サーバー ファーム内のセキュリティ保護された通信を計画する (Office SharePoint Server)

  • [アーティクル]

この記事の内容 :

  • サーバー間の通信を計画する

  • クライアントとサーバー間の通信を計画する

  • SSL の使用を計画する

この記事は、サーバー ファームのセキュリティを計画するために使用してください。この記事には、サーバー間の通信およびクライアントとサーバー間の通信の保護に関するガイダンスが記載されています。

この記事で説明されるタスクは、以下のセキュリティ環境に適合します。

  • 内部 IT によるホスト

  • 外部のセキュリティ保護されたグループ作業

  • 外部の匿名アクセス

サーバー間の通信を計画する

ネットワーク盗聴の脅威が問題視されていない、物理的にセキュリティ保護されたデータ センターの外部にサーバーを配置する場合は、暗号化された通信チャネルを使用して、サーバー間で送信されるデータを保護する必要があります。

Microsoft Office SharePoint Server 2007 のサーバー ファームでは、サーバー間の通信が大規模に行われます。この通信をセキュリティ保護すると、機密性の高いデータの漏洩を防止でき、また悪意のある攻撃や意図的でない脅威からもサーバーを保護できます。

次の図は、ファーム内のサーバー間の主要な通信トランザクションをいくつか示しています。

セキュリティ保護されたサーバー ファーム通信モデル

ファーム内のサーバー間の主要な通信トランザクションには、次が含まれます。

  • 構成変更 フロントエンド Web サーバーは構成データベースと通信して、ファームの設定に関する構成の変更を通信します。

  • 変更要求 サイト内のコンテンツを追加、削除、変更、または表示するユーザーの要求は、コンテンツ データベースに直接送信されます。

  • 検索要求 フロントエンド Web サーバーはまずクエリ サーバーと通信して検索クエリに関する結果を生成します。次に、フロントエンド Web サーバーはコンテンツ データベースと通信して、検索結果内の特定のドキュメントに関するユーザーの要求を満たします。

  • インデックス作成 インデックス コンポーネントはフロントエンド Web サーバーを介した通信によってコンテンツ データベース内のコンテンツをクロールし、インデックスを作成します。

注意

Office SharePoint Server 2007 環境では、検索はクエリとインデックスという 2 つの役割によって提供されます。これらの役割は、異なるサーバー コンピュータにインストールすることができます。

インターネット プロトコル セキュリティ (IPsec) と Secure Sockets Layer (SSL) は両方とも、トラフィックの暗号化によるサーバー間の通信の保護に使用できます。これらの方法はそれぞれ有効に働きます。どちらの方法を選択するかは、セキュリティ保護する特定の通信チャネルと、組織に最も適した利点とトレードオフによって決まります。

IPsec

一般に、IPSec は 2 台のサーバー間の通信チャネルを保護し、相互に通信可能なコンピュータを制限する場合に適しています。たとえば、アプリケーション サーバー、Web サーバーなど、信頼できるクライアント コンピュータからの要求だけを許可するポリシーを設定することにより、データベース サーバーを保護することができます。また、特定の IP プロトコルと TCP/UDP ポートに通信を制限することもできます。

IPSec が適しているのは、サーバー ファームにおけるネットワークの要件と推奨事項が以下のケースに該当する場合です。

  • すべてのサーバーが 1 つの物理 LAN 上にある (IPsec のパフォーマンスを向上するため)

  • サーバーに静的 IP アドレスが割り当てられている

IPsec は、信頼できる Windows Server 2003 または Windows 2000 Server ドメイン間でも使用できます。たとえば、内部ネットワークの Microsoft SQL Server を実行しているコンピュータに接続する境界ネットワークで IPSec を使用して、Web サーバーまたはアプリケーション サーバーの通信をセキュリティ保護することもできます。詳細については、「Windows Server 2003 の運用 (英語)」(https://go.microsoft.com/fwlink/?linkid=76095&clcid=0x411) の「Selecting IPSec Authentication Methods (英語)」(https://go.microsoft.com/fwlink/?linkid=76093&clcid=0x411) を参照してください。

IPsec の推奨環境の詳細については、「Windows Server 2003 の運用 (英語)」(https://go.microsoft.com/fwlink/?linkid=76095&clcid=0x411) の「Determining Your IPSec Needs (英語)」(https://go.microsoft.com/fwlink/?linkid=76094&clcid=0x411) を参照してください。

SSL

SSL の使用における一般的な推奨事項は、あるコンピュータで実行されるすべてのアプリケーションとサービスを一律に対象とするのではなく、特定のアプリケーションを対象にきめ細かいチャネル保護を行う必要があるときにこの暗号方式を使用するということです。SSL は、個々のアプリケーションで実装する必要があります。したがって、SSL を使用して 2 台のホスト間の通信全体を暗号化することはできません。

さらに、SSL は公開キー証明書による認証しかサポートしていないため、IPSec よりも柔軟性に欠けています。ただし、SSL には明確な利点がいくつかあります。最も重要なのは、SSL がさまざまなサーバーおよびクライアント コンピュータでサポートされており、標準としての成熟度が高いために相互運用性の問題が事実上存在しないという点です。

SSL を検討するシナリオ

SSL に適したシナリオがいくつかあります。

  • 管理サイト サーバーの全体管理サイトおよび共有サービスの管理サイトでは、SSL を使用してセキュリティ強化できます。

  • コンテンツ展開 コンテンツ展開プロセスでは、オーサリングまたはステージングのサーバー ファーム内のサーバー コンピュータの 1 つのサイト ディレクトリから、発行サーバー ファーム内の 1 つ以上のサーバー上にある一致するサイト ディレクトリにファイルがコピーされます。このシナリオでは、サーバー ファームが異なるネットワーク ゾーンにまたがっている場合、または展開するコンテンツが大量にある場合やコンテンツの展開先のサーバーが多い場合、IPSec は有用ではありません。SSL を使用すると、セキュリティ保護された通信の対象をこれらの特定の通信トランザクションに限定できます。

  • ファーム内共有サービス プロバイダ (SSP) 子ファームで親ファームの共有サービスが使用されている場合、ファーム間では機密性の高いデータが共有されます。

  • 外部データ ソースへの通信 Office SharePoint Server 2007 のいくつかの機能は、サーバー ファームの外部にあるサーバー コンピュータへの接続に依存しています。このようなシナリオでは、特定のアプリケーション間でデータが共有されます。IPSec を使用すると、これらのサーバー間の通信全体をセキュリティ保護できますが、ネットワーク構成、外部サーバーの場所、および外部サーバーのプラットフォームによっては SSL の使用が適しています。

クライアントとサーバー間の通信を計画する

クライアントとサーバー間の通信全体のセキュリティ保護は有用でない場合があります。一方、サーバー ファーム内のクライアント コンピュータとサーバー間の通信におけるセキュリティ保護に必要な追加構成を行う価値がある、以下のいくつかのシナリオがあります。

  • パートナーとのセキュリティ保護されたグループ作業 パートナーはエクストラネット環境のアプリケーションにアクセスして関与します。

  • 従業員のリモート アクセス 従業員は内部データにリモート アクセスします。

  • 機密性の高いデータのアクセスまたは提供を行う顧客 顧客はログオンして機密性の高いデータの提供またはアクセスを行います。たとえば、顧客はインターネットのニュース サイトにログオンしたり、個人情報を提供して取引を完了する必要があります。

  • 基本認証またはフォーム認証 これらの認証方法のどちらかを使用すると、資格情報が暗号化されずに送信されます。ログオン ページのクライアント/サーバー通信は、最低限のセキュリティで保護されます。

機密性の高い情報をセキュリティ保護する必要がある場合、ユーザーとサーバー間の通信のセキュリティ保護には一般に SSL が適しています。SSL を構成すれば、サーバー認証またはサーバー認証とクライアント認証の両方を要求できます。

SSL の使用を計画する

SSL はネットワークのパフォーマンスを低下させる可能性があります。SSL を使用したページの最適化に利用できる共通のガイドラインがいくつかあります。まず、SSL を必要とするページに対してのみ SSL を使用します。対象となるページには、パスワードまたはその他の個人データなど、機密性の高いデータを含むまたは取り込んだページが含まれます。次の条件を満たしている場合にのみ SSL を使用してください。

  • ページ データを暗号化する場合。

  • データの送信先のサーバーが目的のサーバーであることが保証される場合。

SSL を使用する必要があるページでは、次のガイドラインに従ってください。

  • ページ サイズはできるだけ小さくします。

  • ファイル サイズの大きいグラフィックの使用は避けます。グラフィックを使用する場合は、ファイル サイズが小さく、解像度が低いグラフィックを使用します。

このブックをダウンロードする

このトピックは、簡単に読んだり印刷したりできるように、次のダウンロード可能なブックに収められています。

入手できるすべてのブックの一覧については、「Office SharePoint Server 2007 のダウンロード可能なブック」を参照してください。