ArcGIS Enterprise ポータルに対する HTTP アクセスが無効化されている場合でも、SSL stripping と呼ばれるクラスのセキュリティ攻撃に対する脆弱性の危険は残ります。このタイプの攻撃は、サイトからユーザーの Web ブラウザーまでの通信の欠如を利用し、ユーザーに HTTPS リクエストのみを使用するように通知します。攻撃者がポート 80 でポータル Web サイトの偽コピーを実行し、ユーザーのブラウザーから最初の HTTP リクエストを傍受した場合、これらはユーザーからセキュリティを侵害する情報を受信する可能性があります。
SSL stripping 攻撃に対するこの脆弱性を遮断するために、HTTP Strict Transport Security (HSTS) プロトコルでは、この通信をユーザーの Web ブラウザーに戻すようにポータルを構成します。HSTS は ArcGIS Enterprise 11.0 ポータルで有効にできます。
ポータルでの HTTP Strict Transport Security の有効化
10.6.1 以降、ArcGIS Portal Administrator Directory のセキュリティ構成文字列にブール値プロパティ HSTSEnabled が含まれており、これがデフォルトで false に設定されています。このプロパティを true に更新すると、ポータル Web サイトは Web ブラウザーに、セキュアな HTTPS のみを使用してリクエストを送信するように指示します。これはヘッダー Strict-Transport-Security を使用して実行され、その max-age プロパティで定義された後続の期間 (秒で指定される) は厳密に HTTPS リクエストを使用するよう、ブラウザーに指示します。この期間は 1 年 (Strict-Transport-Security: max-age=31536000) に設定されています。
注意:
ユーザーが ArcGIS Web Adaptor またはリバース プロキシ サーバーを介してポータルにアクセスした場合、サイト内での HSTS の適用は予期しない結果をもたらす可能性があります。HSTS プロトコルによって送信されたヘッダーに従って、ユーザーの Web ブラウザーはこれらのデバイスに HTTPS リクエストのみを送信します。ArcGIS Web Adaptor またはリバース プロキシ サーバーをホストする Web サーバーが、HTTPS を使用しない他のアプリケーションも同時にホストしている場合、ユーザーはこれらの他のアプリケーションにアクセスできなくなります。HSTS を有効にする前に、このような依存関係が存在しないことを確認します。
ポータル Web サイトで HSTS を有効にする手順は次のとおりです。
- https://portal.domain.com:7443/arcgis/portaladmin で ArcGIS Portal Administrator Directory にサイン インします。
- [Security] > [SSLCertificates] > [Update] の順に移動します。
- このページで、[HTTP Strict Transport Security (HSTS) enabled] オプションをオンにして HSTS を有効化し、[Update] クリックして確定します。
注意:
デフォルトでは、Portal for ArcGIS はすべての通信に HTTPS を適用します。以前にこの設定を変更して、ポータルで HTTP 通信と HTTPS 通信の両方を許可している場合は、HSTS を有効化すると、自動的に HTTPS のみの通信が強化されます。
- ポータルの再起動後、サイトにリクエストを送信するすべての Web ブラウザーに、Strict-Transport-Security ヘッダーが返され始めます。
HTTP Strict Transport Security は ArcGIS Server サイトでも有効化できます。