サーバー ファーム内でセキュリティ保護された通信を計画する (Windows SharePoint Services)

この記事の内容 :

• サーバー間の通信を計画する

• クライアントとサーバー間の通信を計画する

• SSL の使用を計画する

この記事を参考にして、サーバー ファームのセキュリティを計画してください。 この記事には、サーバー間の通信およびクライアントとサーバー間の通信の保護に関するガイダンスが記載されています。

この記事のタスクは、以下のセキュリティ環境に適しています。

• 内部 IT によるホスト

• 外部のセキュリティ保護されたグループ作業

• 外部の匿名アクセス

サーバー間の通信を計画する

ネットワーク盗聴の脅威が問題視されていない、物理的にセキュリティ保護されたデータ センターの外部にサーバーを配置する場合は、暗号化された通信チャネルを使用して、サーバー間で送信されるデータを保護する必要があります。

Windows SharePoint Services 3.0 では、サーバー ファーム内のサーバー間の通信は、大規模に行われます。この通信をセキュリティ保護すると、機密性の高いデータの侵害を防止でき、また悪意のある攻撃や意図的でない脅威からもサーバーを保護できます。

次の図は、ファーム内のサーバー間での一般的な通信トランザクションを示しています。

ファーム内のサーバー間での一般的な通信トランザクションは次のとおりです。

• 構成の変更   フロントエンド Web サーバーは、構成データベースと通信し、ファーム設定の構成変更を通信します。

• 変更要求   サイト内のコンテンツを追加、削除、修正、または表示するユーザー要求は、コンテンツ データベースに直接送信されます。

• 検索要求   フロントエンド Web サーバーは最初に検索サーバーと通信して、検索クエリの結果を生成します。次に、フロントエンド Web サーバーは、コンテンツ データベースと通信して、検索結果内の特定のドキュメントに対するユーザー要求に応じます。

• インデックス作成   インデックス コンポーネントは、フロントエンド Web サーバーを介した通信によってコンテンツ データベース内のコンテンツをクロールし、インデックスを作成します。

注意

Windows SharePoint Services 3.0 環境では、検索コンポーネントとインデックス コンポーネントは、同じサーバー ロールを共有します。

インターネット プロトコル セキュリティ (IPsec) と Secure Sockets Layer (SSL) は両方とも、トラフィックの暗号化によるサーバー間の通信の保護に使用できます。これらの方法はそれぞれ有効に働きます。どちらの方法を選択するかは、セキュリティ保護する特定の通信チャネルと、組織に最も適した利点とトレードオフによって決まります。

IPsec

一般に、IPSec は 2 台のサーバー間の通信チャネルを保護し、相互に通信可能なコンピュータを制限する場合に適しています。たとえば、アプリケーション サーバー、Web サーバーなど、信頼できるクライアント コンピュータからの要求だけを許可するポリシーを設定することにより、データベース サーバーを保護することができます。また、特定の IP プロトコルと TCP/UDP ポートに通信を制限することもできます。

次のサーバー ファームのネットワーク要件と推奨事項がある場合、IPSec が適しています。

• すべてのサーバーが 1 つの物理 LAN 上にある (IPSec のパフォーマンスが向上する)。

• サーバーに静的 IP アドレスが割り当てられている。

IPsec は、信頼できる Windows Server 2003 または Windows 2000 Server ドメイン間でも使用できます。たとえば、内部ネットワークの Microsoft SQL Server を実行しているコンピュータに接続する境界ネットワークで IPSec を使用して、Web サーバーまたはアプリケーション サーバーの通信をセキュリティ保護することもできます。詳細については、「Windows Server 2003 の運用 (英語)」(https://go.microsoft.com/fwlink/?linkid=76095&clcid=0x411) の「Selecting IPSec Authentication Methods (英語)」(https://go.microsoft.com/fwlink/?linkid=76093&clcid=0x411) を参照してください。

IPsec の推奨環境の詳細については、「Windows Server 2003 Deployment Guide (英語)」(https://go.microsoft.com/fwlink/?linkid=76095&clcid=0x411) の「Determining Your IPSec Needs (英語)」(https://go.microsoft.com/fwlink/?linkid=76094&clcid=0x411) を参照してください。

SSL

SSL の使用における一般的な推奨事項は、あるコンピュータで実行されるすべてのアプリケーションとサービスを一律に対象とするのではなく、特定のアプリケーションを対象にきめ細かいチャネル保護を行う必要があるときにこの暗号方式を使用するということです。SSL は、個々のアプリケーションで実装する必要があります。したがって、SSL を使用して 2 台のホスト間の通信全体を暗号化することはできません。

さらに、SSL は公開キー証明書による認証しかサポートしていないため、IPSec よりも柔軟性に欠けています。ただし、SSL には明確な利点がいくつかあります。最も重要なのは、SSL がさまざまなサーバーおよびクライアント コンピュータでサポートされており、標準としての成熟度が高いために相互運用性の問題が事実上存在しないという点です。

SSL を検討するシナリオ

次のような、SSL に適したシナリオがいくつかあります。

• 管理サイト   サーバーの全体管理サイトおよび共有サービス管理サイトは、SSL を使用することによってセキュリティ保護できます。

• コンテンツ展開   コンテンツ展開プロセスでは、オーサリングまたはステージングのサーバー ファーム内のサーバーの、1 つのサイト ディレクトリから、発行サーバー ファーム内の 1 つ以上のサーバー上にある一致するサイト ディレクトリにファイルがコピーされます。このシナリオでは、サーバー ファームが異なるネットワーク ゾーンにまたがっている場合、または展開するコンテンツが大量にある場合やコンテンツの展開先のサーバーが多い場合、IPSec は有用ではありません。SSL を使用すると、セキュリティ保護された通信の対象をこれらの特定の通信トランザクションに限定できます。

• ファーム内共有サービス プロバイダ (SSP)   子ファームで親ファームの共有サービスが使用されている場合、ファーム間では機密性の高いデータが共有されます。

クライアントとサーバー間の通信を計画する

クライアント コンピュータとサーバー間の通信全体のセキュリティ保護は有用でない場合があります。一方、サーバー ファーム内のクライアント コンピュータとサーバー間の通信におけるセキュリティ保護に必要な追加構成を行う価値がある、以下のいくつかのシナリオがあります。

• パートナーとのセキュリティ保護されたグループ作業   パートナーはエクストラネット環境のアプリケーションにアクセスして関与します。

• 従業員のリモート アクセス   従業員は内部データにリモート アクセスします。

• 機密性の高いデータのアクセスまたは提供を行う顧客   顧客はログオンして機密性の高いデータの提供またはアクセスを行います。たとえば、顧客はインターネットのニュース サイトにログオンしたり、個人情報を提供して取引を完了する必要があります。

• 基本認証またはフォーム認証   これらの認証方法のどちらかを使用すると、資格情報が暗号化されずに送信されます。ログオン ページのクライアント/サーバー通信は、最低限のセキュリティで保護されます。

機密性の高い情報をセキュリティ保護する必要がある場合、ユーザーとサーバー間の通信のセキュリティ保護には一般に SSL が適しています。SSL を構成すれば、サーバー認証またはサーバー認証とクライアント認証の両方を要求できます。

SSL の使用を計画する

SSL はネットワークのパフォーマンスを低下させる可能性があります。SSL を使用したページの最適化に利用できる共通のガイドラインがいくつかあります。まず、SSL を必要とするページに対してのみ SSL を使用します。対象となるページには、パスワードまたはその他の個人データなど、機密性の高いデータを含むまたは取り込んだページが含まれます。次の条件を満たしている場合にのみ SSL を使用してください。

• ページ データを暗号化する場合。

• データの送信先のサーバーが目的のサーバーであることが保証される場合。

SSL を使用する必要があるページでは、次のガイドラインに従ってください。

• ページ サイズはできるだけ小さくします。

• ファイル サイズの大きいグラフィックの使用は避けます。グラフィックを使用する場合は、ファイル サイズが小さく、解像度が低いグラフィックを使用します。

このドキュメントをダウンロードする

このトピックは、簡単に読んだり印刷したりできるように、次のダウンロード可能なドキュメントに収められています。

• Windows SharePoint Services 3.0 テクノロジの計画とアーキテクチャ、パート 2

• Windows SharePoint Services セキュリティ

入手可能なドキュメントの詳細な一覧については、「Windows SharePoint Services 3.0 テクニカル ライブラリ」を参照してください。