ArcGIS Enterprise 組織をセキュリティで保護する場合は、実行している環境を保護することも重要です。 セキュリティを最大限に高めるためのベスト プラクティスについて説明します。
電子メール設定の構成
パスワードを忘れた場合やパスワード ポリシーが更新された場合などに、メンバーや管理者に電子メール通知を送信するように組織を構成できます。 手順および詳細については、「電子メール設定」をご参照ください。
ポータルのプロキシ機能の制限
ポータルは、いくつかのシナリオでプロキシ サーバーとして使用されます。 そのため、ポータルのプロキシ機能は、ポータル コンピューターがアクセスできる任意のコンピューターに対してサービス妨害 (DoS) 攻撃または SSRF (Server Side Request Forgery) 攻撃を開始するために悪用される恐れがあります。 この脆弱性の危険を軽減するために、ポータルのプロキシ機能を承認された Web アドレスに制限することを強くお勧めします。 これに関する詳細と詳しい手順については、「ポータルのプロキシ機能の制限」をご参照ください。
匿名アクセスの無効化
ポータルに認証情報を入力していないユーザーがコンテンツにアクセスできないように、匿名アクセスを無効化してポータルを構成することをお勧めします。 匿名アクセスを無効化することで、一般のユーザーはポータルのリソースにアクセスできなくなります。
ArcGIS Enterprise ポータルで匿名アクセスを無効化する方法については、「匿名アクセスの無効化」をご参照ください。 Web 層認証 (ArcGIS Web Adaptor を通じた認証) を使用している場合は、Web サーバーの匿名アクセスも無効化する必要があります。 この手順については、使用している Web サーバーの製品ドキュメントをご参照ください。
CA 署名サーバー証明書の構成
ArcGIS Enterprise ポータルには、事前に構成された自己署名サーバー証明書が付属しています。これを使用してポータルで初期テストを行い、インストールが成功したことをすばやく確認できます。 ただし、ほとんどの場合、組織は、信頼された認証機関 (CA) からの証明書を要求し、それを使用するようにポータルを構成します。 証明書は、社内または商用の CA で署名できます。
社内または商用の CA から取得した証明書を使用して、組織内の該当する各 ArcGIS コンポーネントを構成する必要があります。一般的なコンポーネントの例としては、ArcGIS Web Adaptor や ArcGIS Server などがあります。 たとえば、ArcGIS Server にも構成済みの自己署名証明書が付属しています。 ArcGIS Server サイトをポータルとフェデレートする予定である場合、CA 署名証明書を要求し、それを使用して ArcGIS Server と ArcGIS Web Adaptor を構成することが重要になります。
信頼された認証機関からの証明書を構成することによって、Web ベース システムを安全に保護するとともに、ブラウザーの警告メッセージなどの予期しない動作が発生するのを防ぎます。 ArcGIS Enterprise に付属する自己署名証明書をテスト中に使用する場合、以下の状況が生じます。
- 信頼されないサイトに関して Web ブラウザー、または ArcGIS Pro から警告メッセージが表示されます。 Web ブラウザーは、自己署名証明書を検出すると、通常は警告を表示し、そのサイトに移動するか確認します。 多くのブラウザーは、自己署名証明書を使用した場合、アドレス バーに警告アイコンや赤色を表示します。
- フェデレーション サービスをポータルの Map Viewer または Map Viewer Classic で開くこと、セキュリティ保護されたサービス アイテムをポータルに追加すること、フェデレーション サーバー上で ArcGIS Server Manager にサイン インすること、または ArcGIS for Office からポータルに接続することはできません。
- ユーティリティ サービスを構成するとき、ホストされたサービスを印刷するとき、およびクライアント アプリケーションからポータルにアクセスするときに、予期しない動作が発生します。
注意:
上記の問題のリストは、自己署名証明書を使用したときに発生するすべての事象を網羅しているわけではありません。 CA 署名証明を使用してポータルを完全にテストしてからデプロイすることは不可欠です。
CA 署名証明書を使用した ArcGIS Enterprise の構成方法については、以下のトピックをご参照ください。
HTTPS の構成
ArcGIS Enterprise デプロイメントを構成した時点では、認証情報を入力するとユーザー名とパスワードが HTTPS を使用して送信されます。 つまり、内部ネットワークまたはインターネットで送信される認証情報は、暗号化され、盗聴できません。 デフォルトでは、ポータル内での通信はすべて HTTPS を使用して送信されます。 あらゆる通信を傍受から守るために、ArcGIS Web Adaptor をホストする Web サーバーも、HTTPS を使用するように構成することをお勧めします。
HTTPS のみの通信が適用されるようにすると、Enterprise ポータル外でのすべての外部通信 (ArcGIS Server サービスや OGC (Open Geospatial Consortium) サービスなど) がセキュリティで保護され、ポータルは HTTPS が使用できる場合のみ外部の Web コンテンツにアクセスします。 HTTPS が使用できない場合、外部コンテンツはブロックされます。
ただし、ポータル内で HTTP と HTTPS 両方の通信を有効化することが好ましい場合もあります。 ArcGIS Enterprise のすべての通信に HTTP と HTTPS を適用する方法については、「HTTPS の構成」をご参照ください。
グループ管理サービス アカウントの使用
ポータルをインストールする際は、グループ管理サービス アカウント (gMSA) をポータル サービスを実行するアカウントとして使用することをお勧めします。 gMSA を使用すると、定期的なパスワード更新を通じてアカウントのセキュリティを保護しながら、Active Directory ドメイン アカウントのメリットが得ることができます。
ArcGIS Portal Directory の無効化
ArcGIS Portal Directory を無効化すると、ポータルのアイテム、サービス、Web マップ、グループ、その他のリソースを参照されたり、Web 検索で見つけられたり、HTML フォームでクエリされたりする可能性を減らすことができます。 ArcGIS Portal Directory を無効化すると、クロスサイトスクリプティング (XSS) 攻撃から保護することもできます。
ArcGIS Portal Directory を無効化するかどうかは、ポータルの目的と、ユーザーと開発者がそのサイトを参照する必要性の度合いによって変わります。 ArcGIS Portal Directory を無効にした場合は、ポータルで使用可能なサービスについて、他のリストやメタデータの作成が必要な場合があります。
手順の詳細については、「ArcGIS Portal Directory の無効化」をご参照ください。
ポータルでのファイアウォールの構成
各コンピューターには、他のコンピューターが情報を送信するために使用する数千ものポートがあります。 ファイアウォールは、他のコンピューターが通信に使用できるコンピューター上のポートの数を制限するセキュリティ メカニズムです。 ファイアウォールを使用して通信を少数のポートに制限すると、それらのポートを厳重に監視して攻撃を阻止できるようになります。
ArcGIS Enterprise ポータルは、7005、7080、7099、7443、7654 などの特定ポートを使用して通信します。セキュリティのベスト プラクティスとして、これらのポートでの通信を許可するようにファイアウォールを開くことをお勧めします。この設定を行わない場合、ポータルが正常に機能しない可能性があります。 詳細については、「Portal for ArcGIS で使用されるポート」をご参照ください。
トークンの有効期限の指定
トークンは、ユーザー名、トークンの有効期限、およびその他の機密情報を含む暗号化された情報の文字列です。 トークンがメンバーに対して発行されると、そのメンバーはトークンの有効期限が切れるまでポータルにアクセスできます。 トークンの有効期限が切れた時点で、メンバーはユーザー名とパスワードをもう一度指定する必要があります。
ArcGIS Enterprise を使用しているときに、新しいトークンを生成するたびに、有効期限を指定する必要があります。 有効期限を指定しない場合、有効期限のデフォルト値が使用されます。
ポータルによって使用されるトークンには、ArcGIS トークン、OAuth access トークン、および OAuth refresh トークンという 3 つのタイプがあります。 各タイプには、固有の有効期限のデフォルト値があります。
これらの最大値およびデフォルト値は、増やすことができず、ArcGIS Portal Administrator Directory で maxTokenExpirationMinutes プロパティを設定することによって、減らすことができます。 maxTokenExpirationMinutes のプロパティの値は、各タイプのトークンに適用されます。 この値が最大値より小さいが、デフォルト値より大きい場合、最大値のみが影響を受け、デフォルト値は変わりません。 この値が最大値とデフォルト値の両方より小さい場合、両方の値が影響を受け、最大値およびデフォルト値は、maxTokenExpirationMinutes で定義された値に一致します。
トークンのデフォルト有効期限を変更するには、「トークンのデフォルトの有効期限の指定」に記載されている手順に従ってください。
ファイル権限の制限
ファイル権限を設定して、Portal for ArcGIS のインストール ディレクトリおよびコンテンツ ディレクトリに必要なアクセス権だけを付与することをお勧めします。 Portal for ArcGIS ソフトウェアがアクセスする必要があるアカウントは、Portal for ArcGIS アカウントだけです。 これは、ソフトウェアを実行するために使用されているアカウントです。 組織によっては、追加のアカウントにアクセス権を付与しなければならない場合もあります。 サイトを適切に機能させるには、ポータル アカウントにインストール ディレクトリおよびコンテンツ ディレクトリに対するフル アクセス権が必要です。
Portal for ArcGIS は、ファイル権限をインストール場所の親フォルダーから継承します。 また、ポータル アカウントにアクセス権を付与して、インストールされているディレクトリにアクセスできるようにします。 ポータルの実行時に作成されるファイルは、権限を親ファイルから継承します。 コンテンツ ディレクトリをセキュリティで保護する場合は、制限されたアクセス権を親フォルダーに設定します。
コンテンツ ディレクトリへの書き込みアクセスが可能なアカウントは、通常はシステムの管理者だけが変更できるポータルの設定を変更できます。 組み込みのセキュリティ ストアを使用してユーザーを保守している場合は、コンテンツ ディレクトリにこれらのユーザーの暗号化されたパスワードが格納されています。 この場合は、コンテンツ ディレクトリの読み取りアクセス権も制限してください。