インターネットコンテンツの企画・運営を行う株式会社バガボンド（代表取
締役　中込 知野　東京都渋谷区）は2002年3月に実施した国内17万件のco.jp
ドメイン調査に続き、同月に国内の自治体ドメイン調査を行った。

■「サーバ管理」に焦点を当て、自治体ドメイン3,557件の実態を調査

　現在、行政府によって掲げられている電子政府の構築や住基ネットなど、さ
まざまな行政関連の手続き・書類などが電子化されつつある。（一部では既に
実現している。）そこではセキュリティが必須となる。そこで、セキュリティ
対策にどの程度注意を払っているかの一つの目安として、「サーバ管理」に焦
点を当て今回の調査を行った。サーバ管理にどの程度配慮してるかを測るべく、
各種サーバ（Web・SMTP・POP）の管理状況の実態を調査した。

　この調査結果について、代表的なセキュリティベンダであるシマンテック社
と最大手データセンター事業社のひとつケーブルアンドワイヤレスIDC社から
コメントが寄せられている。以下はその抜粋である。
　なお、このコメント/分析文はバガボンド社発行のScan Incident Report誌
において、掲載された。

◇ケーブルアンドワイヤレスIDC社

・・・ウェブサーバでは、Apacheに関しては1.3.xが多いが、調査時点での最
新と思われる1.3.23を使用しているサイトよりも、古いものを使用しているサ
イトの方が多い。とりわけ、Apacheを採用しているサイトのうち、最も多い
1.3.12には多くのセキュリティホールが発見されている。これには、例えば攻
撃者がサーバ上の全てのファイルにアクセスできてしまうものや、インデック
スページではなくディレクトリリスティングを表示できてしまうもの、ログフ
ァイルへの書き込みを許してしまうもの、DoS攻撃を許してしまうもの等が含
まれており、大変危険である。なお、Windows版のApacheであるが、本調査の
後、1.3.24より前のものはリモートから任意のコードを実行することができる
という脆弱性が発見されている。そのため早急に最新のものにする必要がある。
・・・

◇シマンテック社

・・・Solarisに関してはVer.2.5が500件以上も使われているのは注意が必要
と思われる。もしかするとFirewallのOSが情報として出てきており、Firewall
自身やそのプラットフォームのOSがバージョンアップされていない為かもしれ
ない。しかし、いずれにしても商用OSまたはFirewallに関してはバージョンア
ップの手間や費用が掛かる為、そのままにされているとしたら、セキュリティ
対策にかける手間を省いている可能性が考えられる。一般的にプラットフォー
ムに対するセキュリティの第一歩は最新のバージョンの使用や最新のパッチの
適用である。このように手間や費用の節約の為に、古いOSが使われているとし
たら、パッチ等の安全性に対する手間も省かれている可能性があり、セキュリ
ティの点からは危ないことが考えられる。・・・

■■ 調査概要 ■■

●調査対象：日本国内の自治体/行政府のドメインを格納しているサーバ3,557件
　　　　　　ドメインに「city.」「pref.」「town.」「vill.」「village.」
　　　　　　「lib.」「library.」「go.jp」が含まれるもの

●調査日程：2002年3月16日〜22日

●調査項目：公開サーバOSの種別とバージョン
　　　　　　webサーバアプリケーションの種別とバージョン
　　　　　　SMTPサーバアプリケーションの種別とバージョン
　　　　　　POPサーバアプリケーションの種別とバージョン
　　　　　　ORBZ、ORDB不正中継データベース登録状況
　　　　　　サーバ事業者名
※資料は上記内容を集計したものを一覧にし、収録したものが
　掲載されております。（事業者名を除く）

●特定できた調査項目：
　　　　　　特定できたOS：1,200件
　　　　　　特定できたwebアプリケーション：3,103件
　　　　　　特定できたpopサーバ：3,965件
　　　　　　特定できたSMTPサーバ：4,265件

■■ 調査結果要約 ■■

>> 企業よりも低いアウトソーシング比率
　企業ドメインと比較すると、データセンターなどのサーバ事業者へのアウト
ソーシングの比率が低い。また、アウトソーシング先も地元の企業や関連団体
（協議会など）というケースが見受けられる。

>> 企業に比べて高い Windows 利用率
　そのせいか、企業ドメイン調査の時に比べて、Windows環境の利用が多かっ
た。環境がWindowsであるため、サーバもIISが採用されている。

>> 不正中継放置や極めて古いバージョンの利用など管理不十分な実態
　今回の調査では、81件もの不正中継データベースに登録されていた自治体・
行政府が発見されるなど、必ずしも充分とはいえない管理の実態が浮き彫りに
なった。
　また、運用しているサーバのバージョンが安全なバージョンではないケース
も少なくない。

◇もっともよく使われている OS は、Solaris 27%、Linux 27%、Windows 24%
-----------------------------
　特定できた OS の数は、1,200件であった。もっとも多かったのは、Solaris
である。
　3月に実施した企業ドメイン（co.jp）の実態調査でもトップは、Solaris
がトップであったが、その時のシェアが 40%であったことに比べると、
Windowsのシェアが自治体調査結果の方が多い。

　これは、企業ドメインに比べて、自治体ドメインの方がデータセンターなど
のサーバ事業者へのアウトソーシングの比率が低いためと考えられる。

順位　OS　　　　　　シェア
1 　　Solaris　　　　26.83%
2 　　Linux　　　　　26.50%
3 　　Windows　　　24.17%
4 　　FreeBSD　　　13.25%
5 　　HP-UX　　　　　2.58%

　個別のバージョンで見た場合、Windows NT 4.0 が第2位となっており、ここ
でも Windows 利用比率が高くなっている。

順位　OS バージョン　　　　　　　シェア
1　　Linux 2.1.122 - 2.2.16 　　20.92%
2　　WindowsNT 4.0　　　　　　13.42%
3　　FreeBSD 2.2.1 - 4.1　　　　13.25%
4　　Solaris 2.6 - 2.7　　　　　12.75%
5　　Solaris 2.5　　　　　　　　　9.33%

◇半数以上が Apache を利用、企業に比較して IIS の利用も多い
-----------------------------
　特定できた WEBアプリケーションの数は、3,103件である。
　このうち、もっとも利用されていた web サーバアプリケーションは、
Apacheで 63% であった。
　企業ドメイン調査と比較すると、トップがApacheであることは同じだが、
自治体の方が Windows 用の web サーバである IIS の比率が高くなってい
る。ここでも、自治体での Windows 環境の利用の多さがでている。

企業ドメイン調査結果
SCAN Security Alert #1　webサーバのシェアは、Apache 83% 、IIS 9%
(2002.3.12)
https://www.netsecurity.ne.jp/article/1/4299.html

順位　WEBサーバ　　　　　 シェア
1　　Apache　　　　　　　63.36%
2　　IIS　　　　　　　　　26.04%
3　　Netscape-Enterprise　4.71%
4　　Lotus Domino　　　　1.22%
5　　Zeus　　　　　　　　　0.61%
6 Fujitsu-InfoProvider-Pro 0.71%

　また、個別のバージョンで見た場合、トップは、IIS 20% であり、第2位の
Apache 1.3.12 と大きく差をつけている。
　企業ドメイン調査では、Apache が1位から4位まで続いていた点と比較する
と大きな違いがある。

順位　　Webサーバ バージョン　　　シェア
1　　　Microsoft-IIS 4.0　　　　　20.14%
2　　　Apache 1.3.12　　　　　　　　8.93%
3　　　Apache 1.3.20　　　　　　　　7.19%
4　　　Rapidsite/Apa 1.3.4　　　　　6.93%
5　　　Apache 1.3.22　　　　　　　　6.70%

◇POPサーバはQPOP、SMTPサーバはSendmail が主流　不正中継も多い
-----------------------------
　もっとも多く利用されていた POP サーバは QPOP、SMTP サーバは Sendmail
だった。特に、Sendmail は、全体の約67%という高いシェアであった。

　また、SMTPサーバの中には、適切な設定を怠ったために、スパムメールの温
床として不正中継データベースに登録されているサーバが、81件存在した。
この81件については、すでに、関係各所に連絡を行い、告知が行われている。
不正中継対応の進む自治体、行政府サーバ(2002.4.11)
https://www.netsecurity.ne.jp/article/1/4754.html
国内 81 の自治体、行政府が国際的な不正中継データベースに登録済(2002.4.9)
https://www.netsecurity.ne.jp/article/1/4709.html

◇サーバ事業者トップは、OCN 7.9%、NTTPC 1.6%、アヴィスネット 0.9%
-----------------------------
　全体的に、アウトソーシングの比率が、企業ドメインよりも多い自治体・行
政府ドメインであるが、その傾向がサーバ事業者のシェアにもあらわれている。

　企業ドメインに調査では、トップの OCN は 10% のシェアを持ち、続くシェ
アサイト、GMOはそれぞれ 5% のシェアをもっていた。
　今回の調査では、全体としてアウトソーシング事業者のシェアが低めとなっ
ている。なお、アヴィスネットは長野県のプロバイダである。

　4位の C&C インターネットサービス mesh は日本電気のプロバイダサービス
であるが、メールサーバが不正中継データベースに登録されていたことが判明
している（関係各所には連絡済み）。
順位　　事業社名　　　　　　　　　　　　件数
1　　　OCN　　　　　　　　　　　　　　7.90%
2　　　NTTPCコミュニケーションズ　　　1.63%
3　　　アヴィスネット　　　　　　　　　0.90%
4　　C&Cインターネットサービス mesh　0.79%
　　(日本電気株式会社)
5 　　高知県情報ネットワーク協議会　　　0.56%

◇ドメイン数トップは政府、第2位は北海道、第3位は、埼玉県
-----------------------------
　県別のドメイン（サブドメイン含む）の分布を見てみると、もっともドメイ
ン数の多いのは、政府（go.jp）で全体の 19% を占めている、続いて北海道、
埼玉県、愛知県と続く。東京は、意外にも6位となっている。
　今回の調査では、ドメインおよびサブドメイン単位での件数をカウントした
ことが影響しているのかも知れない。

順位　　　県名　　　　シェア
1　　　　政府　　　　19.01%
2　　　　北海道　　　　3.54%
3　　　　埼玉県　　　　3.35%
4　　　　愛知県　　　　3.09%
5　　　　長野県　　　　2.92%
　県別に利用されている OS、web アプリケーションなどを比較してみると微
妙に自治体ごとに違いが見られるが、おおまかには、全体傾向をなぞっている
ようである。

【調査資料の詳細】
発 行 日：2002年7月24日
判　　型：A4版・126頁
発　　行：株式会社バガボンド
販　　売：株式会社バガボンド
頒　　価：98,000円（別途消費税および送料500円）

【資料の詳細およびサンプル】
http://shop.vagabond.co.jp/p-jid01.shtml

■■ 株式会社バガボンド ■■

　・設 立：1996年10月
　・資 本 金：4億1,745万円（2002年1月21日現在）
　・代 表 者：代表取締役社長　中込 知野
　・事業内容：コンテンツオリエンテッドなマーケティング・ソリューション
　　　　　　　の提供会社
　・取扱商品：・ＣＲＭ導入方法論「proCess　TM」の提案・実践
　　　　　　　・ブロードバンド向けオリジナル・コンテンツの企画、制作、
　　　　　　　　コミュニティ運営
　　　　　　　・セキュリティ製品レビュー、ウィルス情報、セキュリティホ
　　　　　　　　ール情報、インシデント情報など幅広くセキュリティ情報を
　　　　　　　　提供
　　　　　　　・情報通信市場、ネットビジネスに特化した独自調査の企画、
　　　　　　　　受託
　　　　　　　・企業様のweb、メールマガジンのコンテンツ企画、制作、運
　　　　　　　　用、顧客対応業務の代行
　・Ｕ Ｒ Ｌ： http://www.vagabond.co.jp/

■■ お問い合わせ ■■
〒150-0043
東京都渋谷区道玄坂2-10-12道玄坂スヤマ3F
株式会社バガボンド
TEL:3464-2915 / FAX:3464-2910
担当：大平
info@shop.vagabond.co.jp