セキュリティのベスト プラクティス

匿名アクセスの無効化

ポータルに認証情報を入力していないユーザがコンテンツにアクセスできないように、匿名アクセスを無効化してポータルを構成することをお勧めします。匿名アクセスを無効化することで、一般のユーザはポータルのリソースにアクセスできなくなります。

Portal for ArcGIS で匿名アクセスを無効化する方法については、「匿名アクセスの無効化」をご参照ください。Web 層認証（ArcGIS Web Adaptor を通じた認証）を使用している場合は、Web サーバの匿名アクセスも無効化する必要があります。この手順については、使用している Web サーバの製品ドキュメントをご参照ください。

独自の SSL 証明書の要求と構成

Portal for ArcGIS には、事前に構成された自己署名 SSL 証明書が付属しています。これを使用してポータルで初期テストを行い、インストールが成功したことをすばやく確認できます。ただし、ほとんどの場合、組織は、信頼された認証機関（CA）からの SSL 証明書を要求し、それを使用するようにポータルを構成します。これには、組織が発行したドメイン証明書または CA 署名証明書を使用できます。

Portal for ArcGIS と同様に、ArcGIS Server にも事前に構成された自己署名証明書が付属しています。ArcGIS Server サイトをポータルとフェデレートする場合、信頼された認証機関（CA）からの SSL 証明書を要求し、それを使用するようにサーバを構成する必要があります。

信頼された認証機関からの証明書を構成することによって、Web ベース システムを安全に保護するとともに、ブラウザの警告メッセージなどの予期しない動作が発生するのを防ぎます。Portal for ArcGIS と ArcGIS Server に付属する自己署名証明書をテスト中に使用する場合、以下の状況が生じます。

• 信頼されないサイトに関する Web ブラウザと ArcGIS for Desktop の警告メッセージが表示されます。Web ブラウザは、自己署名証明書を検出すると、通常は警告を表示し、そのサイトに移動するか確認します。多くのブラウザは、自己署名証明書を使用した場合、アドレス バーに警告アイコンや赤色を表示します。自己署名証明書を使用している場合、この種の警告が表示されると考えるべきです。
• フェデレーション サービスをポータル マップ ビューアで開くこと、セキュリティ保護されたサービス アイテムをポータルに追加すること、フェデレーション サーバ上で ArcGIS Server Manager にログインすること、および Esri Maps for Officeからポータルに接続することはできません。
• ホストされたサービスを印刷するとき、およびクライアント アプリケーションからポータルにアクセスするときに、予期しない動作が発生します。

注意:

自己署名証明書を使用したときに発生する上記の問題は、すべてを網羅していません。ドメイン証明書または CA 署名証明を使用してポータルを完全にテストしてから配置することをお勧めします。

独自の証明書を使用した Portal for ArcGIS と ArcGIS Server の構成方法については、以下のトピックをご参照ください。

• ポータルへの証明書のインポート
• CA 署名証明書を使用した ArcGIS Server での SSL の有効化

HTTPS の構成

ポータルの配置を構成した時点では、認証情報を入力するとユーザ名とパスワードが HTTPS（SSL）を使用して送信されます。つまり、内部ネットワークまたはインターネットで送信される認証情報は、暗号化され、盗聴できません。しかし、ポータルのその他すべての通信は HTTP で送信されるため、セキュリティで保護されていません。ポータル内のすべての通信を盗聴から守るために、SSL を使用するようにポータルと ArcGIS Web Adaptor をホストする Web サーバを構成することをお勧めします。

すべての通信で SSL を必須にすると、ポータルのパフォーマンスが低下する可能性があります。また、ポータル Web サイトへのショートカットまたはブックマークで HTTP を使用している場合は、HTTPS を使用するように更新する必要があります。

Portal for ArcGIS のすべての通信に SSL を適用する方法については、「HTTPS の構成」をご参照ください。

ArcGIS Portal Directory の無効化

ArcGIS Portal Directory を無効化すると、ポータルのアイテム、サービス、Web マップ、グループ、その他のリソースを参照されたり、Web 検索で見つけられたり、HTML フォームでクエリされたりする可能性を減らすことができます。Portal Directory を無効化すると、クロスサイトスクリプティング（XSS）攻撃から保護することもできます。

Portal Directory を無効化するかどうかは、ポータルの目的と、ユーザと開発者をそのサイトを参照する必要性の度合いによって変わります。Portal Directory を無効にした場合は、ポータルで使用可能なサービスについて、他のリストやメタデータの作成が必要な場合があります。

手順の詳細については、「ArcGIS Portal Directory の無効化」をご参照ください。

ポータルでのファイアウォールの構成

各コンピュータには、他のコンピュータが情報を送信するために使用する数千ものポートがあります。ファイアウォールは、他のコンピュータが通信に使用できるコンピュータ上のポートの数を制限するセキュリティ メカニズムです。ファイアウォールを使用して通信を少数のポートに制限すると、それらのポートを厳重に監視して攻撃を阻止できるようになります。

Portal for ArcGIS は、7080、7443、7005、7099、7199、7654 などの特定ポートを使用して通信します。セキュリティのベスト プラクティスとして、これらのポートでの通信を許可するようにファイアウォールを開くことをお勧めします。この設定を行わない場合、ポータルが正常に機能しない可能性があります。詳細については、「 Portal for ArcGIS で使用されるポート」をご参照ください。

ファイル権限の制限

ファイル権限を設定して、Portal for ArcGIS のインストール ディレクトリおよびコンテンツ ディレクトリに必要なアクセス権だけを付与することをお勧めします。Portal for ArcGIS ソフトウェアがアクセスする必要があるアカウントは、Portal for ArcGIS アカウントだけです。これは、ソフトウェアを実行するために使用されているアカウントです。組織によっては、追加のアカウントにアクセス権を付与しなければならない場合もあります。サイトを適切に機能させるには、Portal for ArcGIS アカウントにインストール ディレクトリおよびコンテンツ ディレクトリに対するフル アクセス権が必要です。

Portal for ArcGIS は、ファイル権限をインストール場所の親フォルダから継承します。また、Portal for ArcGIS は Portal for ArcGIS アカウントにアクセス権を付与して、インストールされているディレクトリにアクセスできるようにします。ポータルの実行時に作成されるファイルは、権限を親ファイルから継承します。コンテンツ ディレクトリをセキュリティで保護する場合は、制限されたアクセス権を親フォルダに設定します。

コンテンツ ディレクトリへの書き込みアクセスが可能なアカウントは、通常はシステムの管理者だけが変更できる Portal for ArcGIS の設定を変更できます。組み込みのセキュリティ ストアを使用してユーザを保守している場合は、コンテンツ ディレクトリにこれらのユーザの暗号化されたパスワードが格納されています。この場合は、コンテンツ ディレクトリの読み取りアクセス権も制限してください。