安全な環境を構成するためのベスト プラクティス
ArcGIS Server をセキュリティで保護する場合は、ArcGIS Server を実行する環境を保護することも重要です。セキュリティを最大にするためのセキュリティに関するベスト プラクティスについて説明します。
ファイル権限の制限
ファイル権限を設定して、ArcGIS Server のインストール ディレクトリ、構成ストア、およびサーバ ディレクトリに、必要なアクセス権だけを付与することをお勧めします。ArcGIS Server ソフトウェアがアクセスする必要があるアカウントは、ArcGIS Server アカウントだけです。これは、ソフトウェアを実行するために使用されているアカウントです。組織によっては、追加のアカウントにアクセス権を付与しなければならない場合もあります。サイトを適切に機能させるには、ArcGIS Server アカウントにインストール ディレクトリ、構成ストア、およびサーバ ディレクトリに対するフル アクセス権が必要です。
ArcGIS Server は、ファイル権限をインストール場所の親フォルダから継承します。また、ArcGIS Server は ArcGIS Server アカウントにアクセス権を付与して、インストールされているディレクトリにアクセスできるようにします。ArcGIS Server の実行時に作成されたファイル(ログなど)は、親フォルダのアクセス権を継承します。構成ストアとサーバ ディレクトリをセキュリティで保護する場合は、制限されたアクセス権を親フォルダに設定します。
構成ストアへの書き込みアクセスが可能なアカウントは、通常はシステムの管理者だけが変更できる ArcGIS Server の設定を変更できます。組み込みのセキュリティ ストアを使用してユーザを保守している場合は、構成ストアにこれらのユーザの暗号化されたパスワードが格納されています。この場合は、構成ストアの読み取りアクセス権も制限してください。
マップまたはジオプロセシング サービスをセキュリティで保護している場合は、サーバ ディレクトリのファイル権限をロックして、権限のないアカウントがマップやジオプロセシング ジョブの出力にアクセスできないようにすることが重要です。
プライマリ サイト管理者のアカウントの無効化
プライマリ サイト管理者アカウントは、ArcGIS Server Manager で最初にサイトを作成するときに指定するアカウントです。このアカウントの名前とパスワードは ArcGIS Server のみで認識されます。これはオペレーティング システムのアカウントではなく、アイデンティティ ストアのユーザ アカウントとは別に管理されます。
プライマリ サイト管理者アカウントは無効にすることをお勧めします。これにより、アイデンティティ ストアで指定したグループまたはロール以外の方法では ArcGIS Server を管理することができなくなります。詳細な手順については、「プライマリ サイト管理者アカウントの無効化」をご参照ください。
ArcGIS トークンの生成に使用される共有鍵の定義
ArcGIS トークンは、暗号化された情報の文字列です。共有鍵は、この暗号化された文字列を生成するための暗号鍵です。共有鍵が複雑であるほど、悪意のあるユーザが暗号を破って共有鍵を解読することは困難になります。共有鍵を解読し、ArcGIS Server の暗号化アルゴリズムを複製して認証済みユーザのリストを取得したユーザは、トークンを生成して、その ArcGIS Server 上にあるセキュリティで保護されたリソースを利用できるようになります。
共有鍵を定義する前に、次の点を考慮してください。
- 共有鍵は 16 文字に設定する必要があります(16 文字を超える文字は使用されません)。鍵には一連のランダムな文字を使用することが推奨されます。英数字以外の文字を含め、あらゆる文字を使用することができます。
- 鍵には、辞書にある単語や、簡単に推測できる一般的な値を使用しないでください。鍵を覚えておく必要や、別の場所で鍵を使用する必要はないので、鍵の複雑さがパスワードの場合のように問題になることはありません。
- トークンは、Rijndael としても知られる AES(Advanced Encryption Standard)に基づいて、共有鍵とともに暗号化されます。鍵を構成する 16 文字は、暗号化に使用される 128 ビットを表します。暗号化と AES の詳細については、セキュリティ リファレンスを参照するか、組織内のセキュリティや暗号に詳しい担当者に問い合わせてください。
- セキュリティ レベルが高い環境では、定期的に共有鍵を変更することをお勧めします。共有鍵を変更した場合は、新しい共有鍵を使用するには、アプリケーションの更新が必要になる場合があることに注意してください。共有鍵を変更すると、埋め込まれているすべての既存のトークンが無効になります。
詳細については、「ArcGIS トークンについて」をご参照ください。
ArcGIS トークンのセキュリティで保護された転送
トークンの傍受と悪用を避けるために、HTTPS(SSL、Secure Sockets Layer)を使用してセキュリティで保護された接続を使用することをお勧めします。HTTPS/SSL を使用することで、クライアントから送信されたユーザ名とパスワードと、ArcGIS Server から返されたトークンが傍受されなくなります。詳細については、「ArcGIS Server での SSL の有効化」をご参照ください。
標準化されたクエリの使用
ArcGIS Server には、標準化されたクエリというセキュリティ オプションがあります。これは、SQL インジェクション攻撃に対して強力な保護機能を提供します。このオプションはデフォルトで有効になっています。
サーバ管理者は、このセキュリティ オプションを有効のままにして、アプリケーション開発者に対しては、データベースに依存しない構文を使用する WHERE 句ステートメントを作成するように指示することをお勧めします。このオプションを無効にすると、システムが SQL インジェクション攻撃に対して脆弱になります。
詳細については、「標準化されたクエリについて」をご参照ください。
ArcGIS Server Services Directory の無効化
ArcGIS Server Services Directory を無効化すると、サービスを参照されたり、Web 検索で見つけられたり、HTML フォームでクエリされたりする可能性を減らすことができます。ArcGIS Server Services Directory を無効化すると、クロスサイトスクリプティング(XSS)攻撃から保護することもできます。
ArcGIS Server Services Directory を無効化するかどうかは、サイトの目的と、ユーザと開発者をそのサイトに案内する必要性の度合いによって変わります。ArcGIS Server Services Directory を無効にした場合は、サイトで使用可能なサービスについて、他のリストやメタデータの作成が必要な場合があります。
ArcGIS Server Services Directory の無効化の詳細については、「ArcGIS Server Services Directory の無効化」をご参照ください。
ドメイン間リクエストの制限
ドメイン間リクエストは、多くのシステム攻撃で使用されます。ArcGIS Server サービスの使用を、信頼できるドメイン内でホストされるアプリケーションのみに制限することをお勧めします。詳細については、「ArcGIS Server へのドメイン間リクエストの制限」をご参照ください。