Portal for ArcGIS をセキュリティで保護する場合は、ポータルを実行する環境を保護することも重要です。セキュリティを最大にするためのセキュリティに関するベスト プラクティスについて説明します。
ポータルのプロキシ機能の制限
ポータルは、いくつかのシナリオでプロキシ サーバーとして使用されます。そのため、ポータルのプロキシ機能は、ポータル コンピューターがアクセスできる任意のコンピューターに対してサービス妨害 (DoS) 攻撃または SSRF (Server Side Request Forgery) 攻撃を開始するために悪用される恐れがあります。この脆弱性の危険を軽減するために、ポータルのプロキシ機能を承認された Web アドレスに制限することを強くお勧めします。これに関する詳細と詳しい手順については、「ポータルのプロキシ機能の制限」をご参照ください。
匿名アクセスの無効化
ポータルに認証情報を入力していないユーザーがコンテンツにアクセスできないように、匿名アクセスを無効化してポータルを構成することをお勧めします。匿名アクセスを無効化することで、一般のユーザーはポータルのリソースにアクセスできなくなります。
Portal for ArcGIS で匿名アクセスを無効化する方法については、「匿名アクセスの無効化」をご参照ください。Web 層認証 (ArcGIS Web Adaptor を通じた認証) を使用している場合は、Web サーバーの匿名アクセスも無効化する必要があります。この手順については、使用している Web サーバーの製品ドキュメントをご参照ください。
CA 署名サーバー証明書の構成
Portal for ArcGIS には、事前に構成された自己署名サーバー証明書が付属しています。これを使用してポータルで初期テストを行い、インストールが成功したことをすばやく確認できます。ただし、ほとんどの場合、組織は、信頼された認証機関 (CA) からの証明書を要求し、それを使用するようにポータルを構成します。証明書は、社内または商用の CAが署名できます。
社内または商用の CA から取得した証明書を使用して、組織内の該当する各 ArcGIS コンポーネントを構成する必要があります。一般的なコンポーネントの例として、ArcGIS Web Adaptor や ArcGIS Server などがあります。たとえば、ArcGIS Server にも構成済みの自己署名証明書が付属しています。ArcGIS Server サイトをポータルとフェデレートする予定である場合、CA 署名証明書を要求し、それを使用してArcGIS Server と ArcGIS Web Adaptor を構成することが極めて重要になります。
信頼された認証機関からの証明書を構成することによって、Web ベース システムを安全に保護するとともに、ブラウザーの警告メッセージなどの予期しない動作が発生するのを防ぎます。Portal for ArcGIS と ArcGIS Server に付属する自己署名証明書をテスト中に使用すると、以下の状況が生じます。
- 信頼されないサイトに関する Web ブラウザーと ArcGIS Desktop の警告メッセージが表示されます。Web ブラウザーは、自己署名証明書を検出すると、通常は警告を表示し、そのサイトに移動するか確認します。多くのブラウザーは、自己署名証明書を使用した場合、アドレス バーに警告アイコンや赤色を表示します。自己署名証明書を使用している場合、この種の警告が表示されると考えるべきです。
- フェデレーション サービスをポータル マップ ビューアーで開くこと、セキュリティ保護されたサービス アイテムをポータルに追加すること、フェデレーション サーバー上で ArcGIS Server Manager にログインすること、および ArcGIS Maps for Office からポータルに接続することはできません。
- ユーティリティ サービスを構成するとき、ホストされたサービスを印刷するとき、およびクライアント アプリケーションからポータルにアクセスするときに、予期しない動作が発生します。
注意:
自己署名証明書を使用したときに発生する上記の問題は、すべてを網羅していません。CA 署名証明を使用してポータルを完全にテストしてから配置することは不可欠です。
CA 署名証明書を使用した Portal for ArcGIS、ArcGIS Server、および ArcGIS Web Adaptor の構成方法については、以下のトピックをご参照ください。
HTTPS の構成
ポータルの配置を構成した時点では、認証情報を入力するとユーザー名とパスワードが HTTPS を使用して送信されます。つまり、内部ネットワークまたはインターネットで送信される認証情報は、暗号化され、盗聴できません。しかし、ポータルのその他すべての通信は HTTP で送信されるため、セキュリティで保護されていません。ポータル内のすべての通信を盗聴から守るために、HTTPS を使用するようにポータルと ArcGIS Web Adaptor をホストする Web サーバーを構成することをお勧めします。
すべての通信で HTTPS を必須にすると、ポータルのパフォーマンスが低下する可能性があります。また、ポータル Web サイトへのショートカットまたはブックマークで HTTP を使用している場合は、HTTPS を使用するように更新する必要があります。
ポータルで HTTPS を使用すると、ArcGIS Server サービスや OGC (Open Geospatial Consortium) サービスなどの外部 Web コンテンツとの通信も制御されます。HTTPS を使用する場合、Portal for ArcGIS は必ず HTTPS を使用して外部 Web コンテンツにアクセスします。HTTPS を使用できない場合、外部コンテンツはブロックされます。
Portal for ArcGIS のすべての通信に HTTPS を適用する方法については、「HTTPS の構成」をご参照ください。
ArcGIS Portal Directory の無効化
ArcGIS Portal Directory を無効化すると、ポータルのアイテム、サービス、Web マップ、グループ、その他のリソースを参照されたり、Web 検索で見つけられたり、HTML フォームでクエリされたりする可能性を減らすことができます。ArcGIS Portal Directory を無効化すると、クロスサイトスクリプティング (XSS) 攻撃から保護することもできます。
ArcGIS Portal Directory を無効化するかどうかは、ポータルの目的と、ユーザーと開発者をそのサイトを参照する必要性の度合いによって変わります。ArcGIS Portal Directory を無効にした場合は、ポータルで使用可能なサービスについて、他のリストやメタデータの作成が必要な場合があります。
手順の詳細については、「ArcGIS Portal Directory の無効化」をご参照ください。
ポータルでのファイアウォールの構成
各コンピューターには、他のコンピューターが情報を送信するために使用する数千ものポートがあります。ファイアウォールは、他のコンピューターが通信に使用できるコンピューター上のポートの数を制限するセキュリティ メカニズムです。ファイアウォールを使用して通信を少数のポートに制限すると、それらのポートを厳重に監視して攻撃を阻止できるようになります。
Portal for ArcGIS は、7080、7443、7005、7099、7199、7654 など、特定のポートを通信に使用します。セキュリティのベスト プラクティスとして、これらのポートでの通信を許可するようにファイアウォールを開くことをお勧めします。この設定を行わない場合、ポータルが正常に機能しない可能性があります。詳細については、「Portal for ArcGIS で使用されるポート」をご参照ください。
トークンのデフォルトの有効期限の指定
ポータルの組み込みアイデンティティ ストアを使用している場合、トークンがメンバーの認証に使用されます。メンバーはポータルへのアクセスを試みる際に、自分のユーザー名とパスワードを入力します。Portal for ArcGIS は、提示された認証情報を確認した上で、トークンを生成し、そのメンバーに対して発行します。
トークンは、ユーザー名、トークンの有効期限、およびその他の機密情報を含む暗号化された情報の文字列です。トークンがメンバーに対して発行されると、そのメンバーはトークンの有効期限が切れるまでポータルにアクセスできます。トークンの有効期限が切れた時点で、メンバーはユーザー名とパスワードをもう一度指定する必要があります。
デフォルトの有効期限は 2 週間 (20,160 分) です。この有効期限は組織にとっては妥当な期間ですが、有効期限の長いトークンにはセキュリティの脆弱性があります。たとえば、悪意のあるユーザーによって傍受されたトークンは、その有効期限が切れるまで不正に使用されるおそれがあります。反対に、有効期限を短くすると、セキュリティは強化されますが、メンバーは頻繁にユーザー名とパスワードを入力しなければならなくなります。
トークンのデフォルト有効期限を変更するには、「トークンのデフォルトの有効期限の指定」に記載されている手順に従ってください。
ファイル権限の制限
ファイル権限を設定して、Portal for ArcGIS のインストール ディレクトリおよびコンテンツ ディレクトリに必要なアクセス権だけを付与することをお勧めします。Portal for ArcGIS ソフトウェアがアクセスする必要があるアカウントは、Portal for ArcGIS アカウントだけです。これは、ソフトウェアを実行するために使用されているアカウントです。組織によっては、追加のアカウントにアクセス権を付与しなければならない場合もあります。サイトを適切に機能させるには、Portal for ArcGIS アカウントにインストール ディレクトリおよびコンテンツ ディレクトリに対するフル アクセス権が必要です。
Portal for ArcGIS は、ファイル権限をインストール場所の親フォルダーから継承します。また、Portal for ArcGIS は Portal for ArcGIS アカウントにアクセス権を付与して、インストールされているディレクトリにアクセスできるようにします。ポータルの実行時に作成されるファイルは、権限を親ファイルから継承します。コンテンツ ディレクトリをセキュリティで保護する場合は、制限されたアクセス権を親フォルダーに設定します。
コンテンツ ディレクトリへの書き込みアクセスが可能なアカウントは、通常はシステムの管理者だけが変更できる Portal for ArcGIS の設定を変更できます。組み込みのセキュリティ ストアを使用してユーザーを保守している場合は、コンテンツ ディレクトリにこれらのユーザーの暗号化されたパスワードが格納されています。この場合は、コンテンツ ディレクトリの読み取りアクセス権も制限してください。