ArcGIS Server サイトの Web プロトコルが [HTTPS Only] に設定されている場合でも、SSL ストリッピングという一種のセキュリティ攻撃に対してまだ潜在的な脆弱性があります。このタイプの攻撃は、サイトからユーザーの Web ブラウザーまでの通信の欠如を利用し、ユーザーに HTTPS リクエストのみを使用するように通知します。攻撃者がポート 80 の ArcGIS Server サイトの偽コピーを実行し、ユーザーのブラウザーからの最初の HTTP リクエストを傍受した場合、攻撃者は、知られては困るユーザーのセキュリティ情報を入手できる可能性があります。
SSL ストリッピング攻撃へのこの脆弱性を解決するため、HSTS (HTTP Strict Transport Security) プロトコルで、サイトがユーザーの Web ブラウザーと通信するよう構成します。HSTS は、ArcGIS Server 11.1 サイトで有効にできます。
サイトでの HSTS の有効化
10.6.1 から、サイトの ArcGIS Server Administrator Directory のセキュリティ コンフィグレーション文字列には Boolean プロパティ HSTSEnabled が含まれており、デフォルトで false が設定されています。このプロパティが true に更新されると、ArcGIS Server サイトは セキュアな HTTPS のみを使用してリクエストを送信するようWeb ブラウザーに伝達します。これはヘッダー Strict-Transport-Security を使用して実行され、その max-age プロパティで定義された後続の期間 (秒で指定される) は厳密に HTTPS リクエストを使用するよう、ブラウザーに指示します。この期間は 1 年 (Strict-Transport-Security: max-age=31536000) に設定されています。
注意:
ユーザーが、ArcGIS Server またはリバース プロキシ サーバー経由で ArcGIS Web Adaptor サイトにアクセスした場合、サイトでの HSTS の実行が予期せぬ結果を引き起こす可能性があります。HSTS プロトコルによって送信されたヘッダーに従って、ユーザーの Web ブラウザーはこれらのデバイスに HTTPS リクエストのみを送信します。ArcGIS Web Adaptor またはリバース プロキシ サーバーをホストする Web サーバーが、HTTPS を使用しない他のアプリケーションも同時にホストしている場合、ユーザーはこれらの他のアプリケーションにアクセスできなくなります。HSTS を有効にする前に、このような依存関係が存在しないことを確認します。
ArcGIS Server サイトで HSTS を有効にするには、次の手順を実行します。
- https://gisserver.domain.com:6443/arcgis/admin で ArcGIS Server Administrator Directory にサイン インします。
- [security] > [config] > [update] の順に移動します。
- Protocol パラメーターが [HTTPS Only] に設定されていない場合はこれに設定します。
- サイトのプロトコルによって HTTP 通信が無効になると、[HTTP Strict Transport Security (HSTS) enabled] オプションが使用できるようになります。このボックスをオンにして HSTS を有効にし、[Update] をクリックします。
- サーバー サイトを再起動すると、サイトにリクエストを送信するすべての Web ブラウザーに対して Strict-Transport-Security ヘッダーを返すようになります。
HTTP Strict Transport Security は、ArcGIS Enterprise ポータルでも有効化できます。