ArcGIS Server サイトに対する HTTP アクセスが無効になっているとしても、SSL ストリッピングという一種のセキュリティ攻撃に対して依然として潜在的な脆弱性があります。サイトがユーザーの Web ブラウザーに HTTPS リクエストのみを使用するよう誘導しないと、この種の攻撃につけこまれます。攻撃者がポート 80 の ArcGIS Server サイトの偽コピーを実行し、ユーザーのブラウザーからの最初の HTTP リクエストを傍受した場合、攻撃者は、知られては困るユーザーのセキュリティ情報を入手できる可能性があります。
SSL ストリッピング攻撃へのこの脆弱性を解決するため、HSTS (HTTP Strict Transport Security) プロトコルで、サイトがユーザーの Web ブラウザーと通信するよう構成します。HSTS は、ArcGIS Server 10.6.1 サイトで有効にできます。
HSTS (HTTP Strict Transport Security) の有効化
10.6.1 から、サイトの ArcGIS Server Administrator Directory のセキュリティ コンフィグレーション文字列には Boolean プロパティ HSTSEnabled が含まれており、デフォルトで false が設定されています。このプロパティが true に更新されると、ArcGIS Server サイトは セキュアな HTTPS のみを使用してリクエストを送信するようWeb ブラウザーに伝達します。この処理は Strict-Transport-Security ヘッダーを使用して行われ、ブラウザーが、max-age プロパティで定義された一定期間 (秒単位) HTTPS リクエストのみを使用するようにします。この期間は 1 年 (Strict-Transport-Security: max-age=31536000) に設定されています。
注意:
ユーザーが、ArcGIS Web Adaptor またはリバース プロキシ サーバー経由で ArcGIS Server サイトにアクセスした場合、サイトでの HSTS の実行が予期せぬ結果を引き起こす可能性があります。HSTS プロトコルによって送信されたヘッダーに従って、ユーザーの Web ブラウザーはそれらのデバイスに HTTPS リクエストのみを送信します。ArcGIS Web Adaptor をホストする Web サーバーやリバース プロキシ サーバーが、同時に、HTTPS を使用しない他のアプリケーションをホストしている場合、ユーザーはそれらのアプリケーションにアクセスできません。HSTS を有効にする前に、このような依存関係が存在しないことを確認します。
ArcGIS Server サイトで HTST を有効にするには、以下の手順を実行します。
- https://gisserver.domain.com:6443/arcgis/admin で ArcGIS Server Administrator Directory にサイン インします。
- [security] > [config] > [update] の順に移動します。
- Protocol パラメーターが [HTTPS Only] に設定されていない場合はこれに設定します。
- サイトのプロトコルによって HTTP 通信が無効になると、[HTTP Strict Transport Security (HSTS) enabled] オプションが使用できるようになります。このボックスをオンにして HSTS を有効にし、[Update] をクリックします。
- サーバー サイトを再起動すると、サイトにリクエストを送信するすべての Web ブラウザーに対して Strict-Transport-Security ヘッダーを返すようになります。
HTTP Strict Transport Security は、ArcGIS Enterprise ポータルでも有効化できます。