よく仕事で聞かれるのですが、「Windows Server を使って Web サーバーを運用するのは、脆弱性とかも考えると危険じゃないですか?」という話が出てきますが、実際のところはどうでしょう?これに関してはマイクロソフト側からのデータを見つけれなかったので(続報求む)、ざっと今日調べた範囲だけをまとめていきます。

まずシェアという点では Apache はぐいぐい伸びているというのは Netcraft のサイトを見ると出てきます。

半端ない勢いで apache が伸びていますね。IIS にお関しては 2009 年 4 月ごろに何があったのか(?)、Active Server がどーんと減っている形になっていますが、とはいえジワジワ上がっていますね。

ただシェアに関しては、例えば私が VPS サーバーを借りて Linux + Apache で運用を始めればそれで 1 サイトになるわけで、手軽さという点ではどんどん立ち上がるところもありますが、企業での導入はどうでしょう?ということで、Port 80 のサイトにある Fortune 1000 の企業で採用されている Web サーバーを見てみましょう。

数字としては、 apache 23.4% で IIS 54.5% となっています。つまり、IIS は apache の倍以上の企業が採用をしている計算になります。2007 年のレポートの時には 36.5% だったことを考えるとぐっと数字を伸ばしてきたというところでしょうか。その間、apache の数字は少し減っている計算です。

企業で採用する Web サーバーとしては、管理やサポートなども含めると Windows での運用は一定の評価を得ている、ということなのでしょうか。

あとセキュリティという点に関しては、IT Media のサイトに掲載されていた記事を見つけました。

記事としてはもうすぐ 2 年ぐらい前の話なのですが、IIS と apache に関しての脆弱性レポートの数を一覧にしているグラフがあります。

セキュリティに関しては、様々なところで評価をしないといけないというのもありますが( ASP.NET は PHP は?などなど)、とりあえず Web Server の機能となる IIS と apache を比べてみると IIS 6 以降は十分少ない数になっているのではないでしょうか? IIS はセキュリティ上に問題がある!というのは昔のイメージですよね。

広告