今回はWebサーバ製品として代表的な、Microsoft Windows ServerのInternet Infotmation Service（IIS）とオープンソースのApache、Apache Tomcat、またApacheの技術を活用しているOrcle Application Server、IBM Websphere Application Serverにおける脆弱性の発生状況と対応から、各Webサーバ製品における堅牢性をみていこう。

　表は、デンマークのセキュリティ企業のSecuniaが2002年以降に公開している各製品での脆弱性に対するアドバイザリー件数と修正パッチが提供されていない（未パッチ）の件数を示した。カッコ内の数字は、同社が解析した5段階の脆弱性深刻度のうち、深刻度の高いレベル4以上のアドバイザリー件数である。

このため、IISは脆弱度の高いWebサーバプラットフォームという見方が市場に広まることになったが、Microsoftは次のIIS 6.0以降でセキュリティ強化を最大目標に掲げて、ソースコード自体の見直しを含めたプラットフォーム全体の改善を図った。この結果、IIS 6.0に対するアドバイザリー件数はIIS 5.xの3分の1になり、昨年公開したWindows Server 2008に搭載している最新版のIIS 7.0では現時点で1件のみにとどまっている。

Apache 1.3.x〜2.2.xにはいくつかの未パッチの脆弱性が残されているものの、Apache Tomcatの各バージョンでは公開されているものに対しては、すべてパッチが提供されている状況だ。Apacheはオープンソースソフトウェアという性質から、脆弱性への迅速な対応という点ではベンダー製品に比べて弱い部分もある。しかし、Apache Software財団を中心とするコミュニティーの活発な活動や、長年使い続けているユーザーが蓄積した多数のセキュリティ対策のノウハウを考慮すれば、ベンダー製品に決して引けを取らないのは言うまでもない。

企業用途が主体のOrcle Application ServerやIBM Websphere Application Serverでは、特にOrcle Application ServerやIBM Websphere Application Server 5.x〜6.1.xで20件以上のアドバイザリーが提供されている。
両製品はApacheの技術を利用する製品として知られているが、やはりベンダー製品として修正パッチが迅速に提供されるメリットがあり、特にIBM Websphere Application Serverでは未パッチの脆弱性がわずかに残るだけである。Oracleは2004年以降、修正パッチの提供を四半期ごとに定期スケジュール化しているため、未パッチの脆弱性がいくつか残されている。これは度重なる修正パッチの適用がユーザーにとって大きな負担となることへの配慮であり、一般公開用としてのHTTP Serverの利用が少ないことを考えれば、大きなマイナス要因にはならないだろう。

脆弱性対策の面でも、IIS 6.0以降では脆弱性の公開件数が大幅に減少しており、月例のMicrosoft Updateが提供されているのはおなじみである。以前のワーム被害によって張られた「IISは危険」というレッテルはすでに過去のものであり、IIS 7.0はWebサーバプラットフォームをとしての堅牢性を十分に実現していると言えるだろう。
業務アプリケーション提供の用途が主体のOrcle Application ServerやIBM Websphere Application Serverは、ApacheやIISのようにWebサイトの公開用途が主体の製品とは求められる堅牢性の性質が異なるものの、Oracleの定例パッチ提供やIBMの迅速なパッチ提供体制がすでに確立されており、サポート体制を含めて十分に信頼される製品となっている。