第1回 メッセージ環境の保護について考える
竹島 友理
NRIラーニングネットワーク株式会社
2005/8/10
 |
Exchange Server 2003のセキュリティ機能 |
Exchange Server 2003にはたくさんのセキュリティ機能が用意されています。どの機能を実装すれば、どのセキュリティリスクを軽減できるのか、以下の表でまとめてみます。
| 項番 | 分類 | セキュリティ リスク | 対策 |
|---|---|---|---|
1 |
メッセージ送受信へのセキュリティ対策 | 不正ユーザーによるアクセス、データの盗難、データの改ざん | Active Directory によるアカウントの一元管理、Kerberos による強力な認証、データの暗号化とデジタル署名 (S/MIME、SSL) |
2 |
悪意のあるユーザーへのセキュリティ対策 | スパムメール | Intelligent Message Filterなどの各種フィルタ、制限された配布リストの設定 |
| なりすまし | 送信者認証、匿名アクセス無効化設定、DNS逆引き参照機能、不正中継制限 | ||
| ウイルス | ウイルス対策プログラム、SMTP送信の無効化、Webビーコンブロック、危険な添付ファイルの実行ブロック | ||
| サービス拒否攻撃(DoS) | メッセージ制限パラメータの設定 | ||
3 |
モバイル環境下でのセキュリティ対策 | インターネットからの危険なアクセス | OWA、OMA、RPC over HTTP、ISA Server 2004 を用いたセキュアアクセス |
4 |
メールクライアント環境へのセキュリティ対策 | 情報漏えい | Rights Management |
不正メール(抑止効果) |
ジャーナル、アーカイブ |
それでは、これらの機能はメールボックスストアを保持しているExchange Server 2003とクライアント環境だけに実装すればよいのでしょうか?
いいえ、違います!
Exchange Server 2003環境は、メールボックスストアを格納しているサーバとクライントPCだけで構成されているわけではありません。環境によっては、メールボックスストアを持たないExchange Server 2003もあります。例えば、パブリックフォルダストアだけを持っているサーバ、メッセージング環境をつなぐコネクタだけを設定しているサーバ、そしてユーザーからの接続要求を専門に処理するサーバなどです。
また、ユーザー認証、ユーザーのメールボックス情報の取得、ユーザーからのアドレス帳の参照には、ドメインコントローラとグローバルカタログサーバが使用されます。さらに、すでにインターネットとの接続を持っているなら、インターネットとの境界を構成しているゲートウェイがあるはずです。
ある共有フォルダに格納しているドキュメントをメッセージに添付して送る場合は、メール処理の中でそのファイルサーバとのアクセスも発生します。もし、そのファイルサーバに不正ユーザーが侵入し、そのファイルサーバがウイルスに侵されている場合、安全にドキュメントを添付してメッセージを送ることはできません。
つまり、セキュリティ対策はどこか1カ所に集中的に実装すればよいのではなく、システム全体への実装が必要になるのです。
|
Exchange Server 2003のクライアント/サーバ構成 |
それでは、Exchange Server 2003の代表的な構成パターンを3つ紹介します。
●イントラネット内での代表的なサーバ構成
 |
| 図2 イントラネット環境の構成 |
Exchangeサーバがユーザーからの接続要求を受け取ると、DNSサーバを使用してドメインコントローラを検索して接続し、ユーザー認証とそのユーザーにバインドされているメールボックス情報を取得します。そして、メールボックスストアへのアクセスは、ユーザーのホームサーバ(メールボックスを保持しているExchangeサーバ)が処理します。
もし、Exchange Server 2003を部門メールサーバという位置付けで導入し、すでにインターネットとつながっているSMTPホストが別に存在する場合は、そのSMTPホストを「スマートホスト」として構成し、インターネットへのメール送信、インターネットからのメール受信の受付窓口として使用することができます。
 |
| 図3 スマートホスト経由でのインターネットメール送信 |
 |
| 図4 スマートホスト経由でのインターネットメール受信 |
●インターネット環境でのExchange Server 2003の構成(その1)
インターネット環境にExchange Server 2003を公開して構成する場合、メールボックスやActive Directory情報をインターネット上に公開するのはとても危険なので、通常はExchangeサーバをフロントエンド/バックエンドという形式で構成します。
フロントエンドサーバとは、ユーザーからの接続要求を受け取って、ドメインコントローラにアクセスし、ユーザー認証処理を行うExchange Server 2003のことです。フロントエンドサーバはストア処理を行いません。メッセージングデータは、バックエンドに控えているユーザーのホームサーバ(バックエンドサーバ)に格納されており、ストア処理要求はフロントエンドサーバからバックエンドサーバに直接転送されます。
 |
| 図5 インターネットアクセス構成例(その1) |
●インターネット環境でのExchange Server 2003の構成(その2)
フロントエンドサーバを社内ネットワーク内で保護したい場合は、ISA Server 2004と組み合わせて構成します。ユーザーからの接続要求を受け取ったISAサーバは、それをファイアウォール内のフロントエンドサーバに転送します。
 |
| 図6 インターネットアクセス構成例(その2) |
このように、Exchange Server 2003の環境は、単純にメールクライアントとExchangeサーバだけで構成しているわけではありません。ですから、ウイルス対策プログラムは、ゲートウェイ、メールサーバ、メールクライアント、ドメインコントローラ/グローバルカタログサーバ、ファイルサーバなど、システム上のすべてのコンピュータへのインストールが必要です。同様に、各種メッセージングフィルタも、ゲートウェイだけでなくメールボックスサーバにも構成することで、メッセージング環境がより強力になります。
 |
2/3
|
 |
| Index | |
| メッセージ環境の保護について考える | |
| Page1 防御したいセキュリティリスクは何? |
|
 |
Page2 Exchange Server 2003のセキュリティ機能 Exchange Server 2003のクライアント/サーバ構成 |
| Page3 Exchange Server 2003の土台を構成するベストプラクティスの適用 コラム:Exchange システムマネージャ コラム:Windows Server 2003 SP1のセキュリティ構成ウィザード(SCW) |
|
| 関連記事 |
| 基礎から学ぶExchange Server 2003運用管理 |
 |
Security&Trust記事一覧 |
- Windows起動前後にデバイスを守る工夫、ルートキットを防ぐ (2017/7/24)
Windows 10が備える多彩なセキュリティ対策機能を丸ごと理解するには、5つのスタックに分けて順に押さえていくことが早道だ。連載第1回は、Windows起動前の「デバイスの保護」とHyper-Vを用いたセキュリティ構成について紹介する。 - WannaCryがホンダやマクドにも。中学3年生が作ったランサムウェアの正体も話題に (2017/7/11)
2017年6月のセキュリティクラスタでは、「WannaCry」の残り火にやられたホンダや亜種に感染したマクドナルドに注目が集まった他、ランサムウェアを作成して配布した中学3年生、ランサムウェアに降伏してしまった韓国のホスティング企業など、5月に引き続きランサムウェアの話題が席巻していました。 - Recruit-CSIRTがマルウェアの「培養」用に内製した動的解析環境、その目的と工夫とは (2017/7/10)
代表的なマルウェア解析方法を紹介し、自社のみに影響があるマルウェアを「培養」するために構築した動的解析環境について解説する - 侵入されることを前提に考える――内部対策はログ管理から (2017/7/5)
人員リソースや予算の限られた中堅・中小企業にとって、大企業で導入されがちな、過剰に高機能で管理負荷の高いセキュリティ対策を施すのは現実的ではない。本連載では、中堅・中小企業が目指すべきセキュリティ対策の“現実解“を、特に標的型攻撃(APT:Advanced Persistent Threat)対策の観点から考える。
 |
|
|
|
|
