TCP/IP
シナリオ 1: エクストラネット上の eRoom
多くの eRoom の顧客は、エクストラネット上に eRoom サーバを配置してい ます。ファイアウォールの外側にある Web サーバに eRoom をインストール する場合は、サーバのセキュリティを強化することが非常に重要となりま す。このような構成のセキュリティを強化する上で最も重要な作業は、要求 されるサービスに必須なポートのみを、Windows NT または Windows 2000 Server で有効にすることです。必要なサービスには、次のどちらかが含まれ ます。
■ HTTP (ポート 80)
■ HTTPS (ポート 443)
さらに会社のニーズに応じて、次の 1 つまたは複数のサービスがファイア ウォールを通過できるようにします。
■ SMTP (ポート 25)
■ POP3 (ポート 110)
■ SQL 2000 (ポート 1433)
ファイル サービス、FTP、または同様のサービスが有効になっていないこと を確認してください。
この構成により、次の 3 つのレベルのセキュリティが確保されます。
■ すべてのリソースへのアクセスを保護するための、Windows NT と Windows 2000 Server のセキュリティ
■ Microsoft IIS Web Server のセキュリティ
■ アクセスを保護するための eRoom ソフトウェア
eRoom では、サーバのセキュリティを強化するだけでなく、SSL やデジタル 証明書を使用して、エクストラネット環境で転送される情報を保護すること を奨励しています。
Secure Sockets Layer (SSL) について
SSL は、TCP/IP を経由して機密データを送信するときにセキュリティを確 保することを目的としたプロトコルです。SSL は、データの暗号化、サーバ の認証、およびインターネットを経由したデータ転送時のメッセージの整合 性の確保を行います。SSL は、eRoom サーバと通信するにあたって安全なト ランスポート層を提供できます。
eRoom の認証には Base64 で暗号化されたパスワードを送信するプロトコル に基づくものがあるため、情報を盗むためのツールを利用して、認証セッ ションがキャプチャされ、分析されるおそれがあります。公的なインター ネット上で、攻撃者がそのようなトラフィックに対して情報を盗むことが可 能となるリスクはあまり高くありません。ただし、リスクが存在することに は変わりなく、eRoom サーバとクライアント間に複数のネットワーク セグ メントを持つ大規模の組織ではリスクがさらに高くなります。eRoom サーバ の管理者は、SSL を設定せずに eRoom をそのまま使用した場合に伴うリス クを認識しておく必要があります。eRoom では、SSL を使用することをお勧 めしています。
デジタル証明書について
デジタル証明書は、サーバとクライアントの両方で利用できます。サーバサ イドのデジタル証明書は、サーバ用の ID カードに相当します。サードパー ティの証明機関によって検証されるデジタル証明書は、インターネットの標 準に基づく、証明書の所有者に関するすべての情報を含んでいます。
付録 D: eRoom のセキュリティ ガイドライン
拡張エンタープライズで eRoom を使用する
eRoom 7 インストール、アップグレード、および設定ガイド D–7
デジタル証明書を使用した場合の利点
デジタル証明書を SSL と共に使用すると、以下の機能が提供され、Web 上で の通信の安全性が確保されます。
認証。サーバにデジタル ID がある場合、すべてのクライアント ブラウザは、
対話相手が有効なソースであることを認識できます。クライアントはその 後、公開鍵を受け入れて SSL セッションを開始する前に、サーバの ID を検 証できます。
メッセージのプライバシー。サーバとブラウザ間のすべてのトラフィック は、一意の "セッション キー" を使用して暗号化されます。各セッション キーは、1 回の接続中に 1 人のみの顧客に使用され、キー自体はサーバの公 開鍵で暗号化されています。これらのプライバシー保護層により、認証を受 けていないパーティが情報を盗んだり表示することができないことが保証さ れています(メモ:暗号化はサーバのみにデジタル ID がある場合でも、双方 向で行われます)。
メッセージの整合性。サーバとブラウザ間のすべての通信内容は、途中で変 更されることがないよう保護されています。その通信の各要素の受信内容 は、送信者から送信されたものと全く同じであることが保証されます。
一般的な証明書の使用は、SSL を有効にするための最も簡単で信頼性の高い 方法です。eRoom とインターネット サーバ アクセス API では、Microsoft Internet Explorer または Netscape Navigator の使用時に SSL とデジタル証明 書を正しく取り扱います。
サーバとの通信が SSL で暗号化されていると、ログイン情報が安全にサーバ に配信され、ユーザ名とパスワードで認証されます。これによって、eRoom クライアントへのスプーフィング攻撃によって、ユーザ名とパスワードのペ アが開示されることがなくなります。すべての通信は、ユーザのセッション 中に暗号化されます。eRoom では、あらゆるバージョンの SSL 技術をサ ポートしていますが、SSL v3 以上を奨励しています。これらのバージョンで は暗号化機能が強化されているためです。