外部にIISを公開するリスクについて

外部にIISを公開するリスクについての
実際にIISを外部に公開して運用されている方の
現場のリスク認識を教えていただけると助かります。

私はapacheのほうがIISより安全性が高く、
デフォルトに近いIISを外に置くなんてとんでもない、と考えて
いました。しかしIISのセキュリティも上がっているだろうし
最近、IISの障害についても聞かなくなったので
置いても大丈夫なのかな？と考えています。

想定している設定は
・IISは基本的にデフォルトセキュリティ
・パケットフィルタ（80と443のみアクセス許可）
・IISのパッチをちゃんと更新する

くらいを考えています。

もちろん、以前からIISを外部において安全に運用している
ところもありますし、IISのカスタマイズのセキュリティ、
FWのカスタマイズ、クラスタリング、ms isa、リバースプロクシ、idsなど
で安全性を高めることは出来ると思います。

ただ、今回の質問内容は”デフォルト設定”
（さらに＋パケットフィルタ）で、apacheと比べてのIISの
リスクについて聞かせていただきたいと思い、質問しました。

IISを外部に置くことに対して、私の印象と同じく
”過度の警戒”をするエンジニアも多いのですが
彼らの話を聞いても、現時点のIISに対する評価ではなく
ちゃんと調べていないような気がします。

現場でIISを運用されている方の意見を聞かせていただければと
思います。よろしくお願いします。

No.2 ベストアンサー 回答者： neko2koban 回答日時： 2006/08/08 21:15

IISでもアパッチでもリスクは同じなのでしょうが、

個人的にはセキュリティに無頓着な人がIISを使うと勝手な
思い込みが残ってますね・・・
また、IISのメリットのASPを使うよりも、アパッチ+各種CGIがOSなどの環境が広くなることから、IISを選択するのが理解出来ない一人でもあります。

No.1 回答者： popesyu 回答日時： 2006/08/08 18:33

いや別にアパッチでもIISでもリスクは同じでしょう。

どちらもアホな設定にする前提なら危険度は同じです。
IISはパッチを全くあてていない状況なら、その時点ですでにアホ設定になっているのと同じことなのですが、アパッチもバージョン次第ではセキュリティホールが残っているのもありますし。まぁノーマルIISと比較してノーマルアパッチを比較してどちらが破壊力が大きいかと問われればIISの方に軍配があがるんじゃないですかね。
ただまぁこの前提に何の意味があるのかがよく分かりませんが。使いやすさとか設定のしやすさとか、そういう比較ならまだしも。