Skip To Content

セキュアな ArcGIS Server 通信

デフォルトで、ArcGIS Server は HTTPS プロトコルの使用を強制するため、Web トラフィック用のセキュアな通信チャンネルが作成されます。 HTTPS を介して ArcGIS Server URL にアクセスすることにより、ネットワークの機密性と一貫性が確保されます。 HTTP を介して送信されるパスワードは傍受されて盗まれる可能性があるため、ArcGIS Server に接続できる Esri のアプリケーションは、ネットワークを介して認証情報を送信する前に、RSA パブリック キー暗号化アルゴリズムを使用してユーザー名とパスワードを暗号化します。

HTTPS の使用は、中間者攻撃に対する保護手段となります。この攻撃では、悪意のある第三者がネットワーク経由での非セキュアな通信を傍受し、クライアントとサーバーのどちらに対してもその通信の合法的なソースになりすまします。

HTTPS 経由での通信は、デジタル証明書を使用して確立されます。 証明書は、クライアントとサーバー間の信頼を確保するために証明機関 (CA) で署名されます。 ArcGIS Server には独自の内部証明機関があり、デフォルトで自己署名証明書が付属していますが、外部 CA で署名された証明書を構成することをお勧めします。この理由は、ほとんどのブラウザーで、自己署名証明書を使用しないように警告または非推奨のメッセージが表示されるので、自己証明書を使用する場合は、これらの警告を非表示にする必要があるためです。 IT 管理者には、外部 CA で署名された証明書をユーザーに提供する能力が必要となります。

証明書の詳細と ArcGIS Server でのさまざまな証明書構成の詳細な手順については、「サーバー証明書について」をご参照ください。

備考:

ArcGIS Server は、リバース プロキシ/ロード バランサーを通じた SSL オフロードをサポートしていません。 リバース プロキシが構成で使用されている場合、HTTPS を通じて ArcGIS Web Adaptor にリダイレクトするか、ArcGIS Server に直接リダイレクトする必要があります。

HTTP プロトコル設定の変更

状況に応じて、ArcGIS Server 管理者は HTTP 通信のデフォルトの規制を緩和させる場合があります。 ほとんどの場合、これによって HTTP 経由での通信と HTTPS 経由での通信がどちらも可能になります。 この操作を行うには、ArcGIS Server Administrator Directory を使用します。

  1. 管理者としてディレクトリにサイン インします。 URL の形式は、https://server.domain.com:6443/arcgis/admin です。
  2. [security] > [config] > [update] の順に移動します。
  3. [Protocol] ドロップダウン メニューを開いて、目的のプロトコルを選択します。
    注意:

    ごくまれな状況でのみ、管理者はサイトのプロトコルを [HTTP Only] に設定します。 この設定を行う理由が特にない場合は、プロトコルを [HTTP and HTTPS] または [HTTPS Only] のどちらかに設定します。

  4. [更新] をクリックして確定します。

    サーバーが再起動します。

HTTP Strict Transport Security の有効化

ArcGIS Server サイトで HTTPS を必ず使用するように強制する場合は、HTTP Strict Transport Security (HSTS) ヘッダーを有効にすることができます。 有効にすると、サーバーは応答を返す際にすべての応答で Strict-Transport-Security ヘッダーを送信します。このヘッダーは、このヘッダーで規定された後続の期間 (デフォルト設定は 1 年) にサーバーに対して HTTPS リクエストを必ず使用するように受け取り側のブラウザーに指示します。 HSTS はデフォルトで無効になっていますが、有効にすると、HTTPS Only プロトコルの使用が強制されます。

詳細については、「厳密な HTTPS 通信の実施」をご参照ください。

サポートされている TLS バージョン

TLS (Transport Layer Security) は、ネットワーク上で通信のセキュリティを実現する暗号プロトコルです。 ArcGIS Server は、デフォルトで TLS バージョン 1.2 に対応しています。 バージョン 1.0 および 1.1 の TLS プロトコルを有効にすることもできます。 詳細については、「TLS プロトコルと暗号スイートの制限」をご参照ください。

レガシー:

10.3 以降、SSL (Secure Sockets Layer) は、SSL 3.0 POODLE の脆弱性のためサポートされなくなりました。