今回は、前回のApacheの設定確認に続けてのWindows＋IISの設定確認でした。IISのセキュリティ設定を行ったことのある方であれば、基本的すぎる、という印象を受けられたのではないかと思います。しかし、基本的なこと、当たり前のことを、あらゆる環境に対して、あらゆる角度から確認し、実装することは容易ではありません。つまり、確認する方法は違うものの、確認する観点はApacheであろうとIISであろうと変わりませんし、個々の対策はそれほど難しい内容ではないはずです。
カード情報システムでのIIS、QSAはどう見る？