既知のリスクと脆弱性

  • [アーティクル]

 

公開日: 2017年1月

対象: Dynamics 365 (on-premises)、Dynamics CRM 2016

このトピックでは、Microsoft Dynamics 365 を使用する場合に存在する可能性があるリスクと脆弱性について説明します。 また、適用可能な緩和策と回避策がある場合は、それについても説明します。

このトピックの内容

セキュリティで保護されていないネットワークでユーザーが Dynamics 365 に接続する場合のリスク

サーバーの役割の展開におけるセキュリティ上の推奨事項

匿名認証

インターネットに接続する展開におけるヘルプ サーバーの役割の分離

クレームベース認証の問題と制限

web.config ファイルのセキュリティ保護

サンドボックス処理サービスによって実行されるユーザー定義コードからのインターネットでの発信呼は有効である

サーバー間の通信のセキュリティ保護

DNS Rebinding 攻撃

個人用ダッシュボードの Power BI URL に対する JavaScript

セキュリティで保護されていないネットワークでユーザーが Dynamics 365 に接続する場合のリスク

Transport Layer Security (TLS) または Secure Sockets Layer (SSL) (HTTPS) を使用しないで Microsoft Dynamics 365 を実行した場合に発生する可能性がある問題は次のとおりです。

  • セキュリティで保護されていない HTTP 接続では、Microsoft Dynamics 365 のビジュアル グラフ定義を含むユーザー設定データは、"中間者" 攻撃などによって改ざんされる可能性があります。 この脆弱性を軽減するには、必ず TLS/SSL を使用するように Microsoft Dynamics 365 を構成します。TLS/SSL を使用するための Microsoft Dynamics 365 Server の構成方法の詳細については、Dynamics 365 のクライアント サーバー間ネットワーク通信をセキュリティ強化するを参照してください。

サーバーの役割の展開におけるセキュリティ上の推奨事項

次の推奨事項に従って、Microsoft Dynamics 365 展開の信頼性を高めて、セキュリティを強化してください。

サーバーの役割

推奨事項

サンドボックス処理サービス

この役割は、Microsoft Dynamics 365 Server の役割を実行するコンピューターとは別の仮想 LAN (VLAN) の専用サーバーにインストールします。 コンピューターを利用しようとする悪意のあるプラグインがサンドボックスで実行されても、ネットワークが VLAN から切り離されているため、他の Dynamics 365 リソースのセキュリティが侵害されるのを防止できます。

ヘルプ サーバー

IFD および内部接続型展開の別々のコンピューターにこの役割をインストールします。 詳細については、このトピックの後半の「インターネットに接続する展開におけるヘルプ サーバーの役割の分離」を参照してください。

匿名認証

Microsoft Dynamics 365インターネットに接続する展開 (IFD) では、クレームベース認証に IIS で匿名認証を有効にする必要があります。 クレームベース認証のトークンには、未加工の資格情報または Microsoft Dynamics 365 Server への接続文字列が含まれません。 ただし、web.config ファイルには、認証モードに関する構成情報が含まれています。 詳細については、このトピックの後半の「web.config ファイルのセキュリティ保護」を参照してください。Microsoft Dynamics 365 Web サイトをセキュリティで保護するには TLS/SSL を使用します。

インターネットに接続する展開におけるヘルプ サーバーの役割の分離

Microsoft Dynamics 365インターネットに接続する展開 (IFD) には匿名認証が必要です。 匿名 Web サイト認証が使用されるため、Microsoft Dynamics 365 ヘルプ サイトによって使用される仮想ディレクトリは、サービス拒否 (DoS) 攻撃の標的となる可能性があります。

Microsoft Dynamics 365 ヘルプ ページを分離して、他の Microsoft Dynamics 365 Server の役割が DoS 攻撃を受けないように保護するには、ヘルプ サーバー の役割を別のコンピューターにインストールすることを検討します。

Microsoft Dynamics 365 の役割を別々のコンピューターにインストールする操作の詳細については、Microsoft Dynamics 365 サーバーの役割を参照してください。

DoS 攻撃を受けるリスクを低減する方法の詳細については、「MSDN: Improving Web Application Security: Threats and Counter-measures (Web アプリケーションのセキュリティの強化: 脅威と対応策)」を参照してください。

クレームベース認証の問題と制限

このトピックでは、Microsoft Dynamics 365 でクレームベース認証を使用する場合の問題と制限について説明します。

ID プロバイダーで強力なパスワード ポリシーを使用していることを確認する

クレームベース認証を使用する場合は、セキュリティ トークン サービス (STS) によって信頼される ID プロバイダーと Microsoft Dynamics 365 で強力なパスワード ポリシーが強制的に使用されることを確認することをお勧めします。Microsoft Dynamics 365 では強力なパスワードを使用することは強制されません。 Microsoft Dynamics CRM を ID プロバイダーとして使用する場合は、既定で、Active Directory によって強力なパスワード ポリシーが強制的に使用されます。

AD FS フェデレーション サーバー セッションは、非アクティブ化または削除されたユーザーに対しても最大 8 時間有効である

既定で、Active Directory フェデレーション サービス (AD FS) サーバー トークンは、Web シングル サインオン (SSO) の Cookie の有効期限を 8 時間に割り当てます。 したがって、ユーザーが非アクティブ化されたり、認証プロバイダーから削除されても、ユーザー セッションがアクティブである間は、引き続き、セキュリティで保護されているリソースに対してユーザーを認証できます。

この問題を回避するには、これらのオプションのいずれかを使用します。

  • Microsoft Dynamics 365 と Active Directory のユーザーを無効にします。Microsoft Dynamics 365 内のユーザーを無効にする方法については、「ユーザーの管理」を参照してください。Active Directory 内のユーザーを無効化する方法の詳細については、Active Directory ユーザーとコンピューター のヘルプを参照してください。

  • Web SSO の有効期限を削減します。 短縮方法については、Active Directory フェデレーション サービス (AD FS) Management のヘルプを参照してください。

web.config ファイルのセキュリティ保護

Microsoft Dynamics 365 によって作成される web.config ファイルには、接続文字列や暗号化キーは含まれません。 ただし、ファイルには認証モードと戦略、ASP.NET 表示状態の情報、およびデバッグ エラー メッセージ表示の構成情報が含まれます。 このファイルが悪質に改ざんされると、Microsoft Dynamics 365 を実行するサーバーのセキュリティが侵害されるおそれがあります。web.config ファイルをセキュリティで強化するには、次のことを実行することをお勧めします。

  • web.config ファイルが置かれたフォルダーへのアクセス許可を付与して、そのファイルを必要とするユーザー アカウント (管理者など) のみがアクセスできるようにします。 既定では、web.config のファイルは、<drive:>Program Files\Microsoft Dynamics CRM\CRMWeb フォルダーに配置されます。

  • コンソール ログオン権限など、Dynamics 365 サーバーへの対話的なアクセス権を持つユーザーの数を制限します。

  • Dynamics 365 Web サイトでのディレクトリの参照を無効にします。 これは既定で無効です。 ディレクトリの参照を無効にする方法については、インターネット インフォメーション サービス (IIS) マネージャー のヘルプを参照してください。

サンドボックス処理サービスによって実行されるユーザー定義コードからのインターネットでの発信呼は有効である

既定では、インターネット上のサービスにアクセスする Microsoft Dynamics 365サンドボックス処理サービス によって実行されるカスタム コードからの発信呼は有効になっています。 セキュリティ レベルが高い Microsoft Dynamics 365 の展開では、これにより、セキュリティ上のリスクにさらされる可能性があります。Dynamics 365 プラグイン、ユーザー定義のワークフロー活動など、ユーザー定義コードからの発信呼を許可しない場合は、次の手順に従うことで サンドボックス処理サービス によって実行されるユーザー定義コードからの送信接続を無効にすることができます。

すべての発信呼をブロックする代わりに、サンドボックス プラグインの Web アクセス制限を強化できます。詳細:MSDN: プラグイン分離、信頼、および統計

カスタム コードの送信接続の無効化には、Microsoft Azure、Microsoft Azure SQL データベースなどのクラウド サービスの呼び出しの無効化が含まれます。

サンドボックス処理サービスを実行するコンピューター上でユーザー定義コードの送信接続を無効にする

  1. Microsoft Dynamics 365サンドボックス処理サービス サーバー ロールがインストールされている Windows Server コンピューター上で、 レジストリ エディタ を開始して以下のサブキーを検索します。
    HKEY_LOCAL_MACHINE\SOFTWARE\MICROSOFT\MSCRM

  2. MSCRM を右クリックし、[新規] をポイントして [DWORD 値] をクリックし、「SandboxWorkerDisableOutboundCalls」と入力して Enter キーを押します。

  3. SandboxWorkerDisableOutboundCalls を右クリックして [修正] をクリックし、「1」と入力して Enter キーを押します。

  4. レジストリ エディタ を閉じます。

  5. サンドボックス処理サービスを再起動します。 これを行うには、[スタート] をクリックし、「services.msc」と入力して、Enter キーを押します。

  6. [Microsoft Dynamics 365 サンドボックス処理サービス] を右クリックし、次に [再起動] をクリックします。

  7. Microsoft 管理コンソール (MMC) サービス スナップインを閉じます。

サーバー間の通信のセキュリティ保護

Web アプリケーション サーバーの役割と、Microsoft SQL Server を実行するサーバーとの間の通信など、Microsoft Dynamics 365 サーバー間の通信は、既定ではセキュリティで保護されたチャネル上で実行されません。 したがって、サーバー間で送信される情報は、man-in-the-middle などの攻撃を受けやすくなる可能性があります。

セキュリティで保護されたネットワーク (Windows Firewall など) を実装して、組織のサーバー間で送信される情報を保護することをお勧めします。詳細:Windows ファイアウォールの高度なセキュリティの概要

DNS Rebinding 攻撃

多くの Web ベースのアプリケーションと同様に、Microsoft Dynamics 365 は、DNS リバインディング攻撃に対して脆弱な面があります。 この脆弱性の悪用により、2 つの異なるサーバーからページを取得するように Web ブラウザーを誘導し、これによってサーバーが同じドメインからであることを信頼し、その後、同一取得元サイト ポリシー の違反が発生します。 このテクニックにより、攻撃者は Dynamics 365 ページでクロスサイト スクリプト攻撃によって対象 ID を使用して Dynamics 365 データを改ざんできます。

これらの攻撃から保護する方法に関する詳細については、ブラウザーを DNS リバインディング攻撃から保護するを参照してください。

個人用ダッシュボードの Power BI URL に対する JavaScript

個人用のダッシュボードが Power BIURLs を使用できるようにするために JavaScript を使用できるので、悪意のあるソースからのスクリプト インジェクション攻撃の危険に注意してください。

  • フィッシング Web サイトなどの予期しない Web サイトへの恣意的なリダイレクト。

  • Web ブラウザをクラッシュさせようとする、複数の大きい JavaScript オブジェクトの作成。

危険を減らすには、次のベスト プラクティスの実装を検討してください。

  • 承認済みの SharePoint サイトのみが、ダッシュボードに Power BI レポートを組み込むために使用される Microsoft Office Excel ドキュメントをホストできるようにします。詳細:Office 365 管理センター用 Power BI の概要

  • 信頼できるソースのみが追加されるドキュメントをダッシュボードに追加できるように、Power BI コンポーネントをホストする SharePoint サイトをセキュリティで保護します。SharePoint のアクセス許可レベルについて説明します。

  • ユーザー ダッシュボードに未承認のコンポーネントを追加しないように、Microsoft Dynamics 365 ユーザーに依頼してください。 これは、不明なソースからの電子メール メッセージに含まれている添付ファイルを開いたり、ハイパーリンクをクリックしないようにユーザーに教えることに似ています。

関連項目

Microsoft Dynamics 365 のセキュリティに関する考慮事項
Microsoft Dynamics 365 のネットワーク ポート
Microsoft Dynamics 365 でサポートされている構成

© 2017 Microsoft. All rights reserved. 著作権