第1回 メッセージ環境の保護について考える
竹島 友理
NRIラーニングネットワーク株式会社
2005/8/10
 |
Exchange Server 2003の土台を構成する |
ところで、Exchange Server 2003をセキュリティ保護する際、メールサービスだけに目を向けてしまっては大きな落とし穴に落ちてしまいます。なぜなら、Exchange Server 2003は、Active DirectoryがあるWindows Server 2003上で動作しているからです。
|
Exchange Server 2003環境をセキュリティで保護したい場合、アプリケーションの階層だけを見るのではなく、その土台からしっかり考えていきましょう。例えば、Exchange Server 2003を導入しているシステム全体で、以下の作業を行ってください。
●サーバを物理的に保護する
施錠された安全な場所に保管する、BIOSの設定でフロッピードライブやCD-ROMドライブからの起動を無効にする、CD-ROMやUSBメモリなどの外部デバイスの使用を制限するなど、サーバを物理的に保護します。
●不要なサービスをすべて削除する
不要なサービスが動いていると、セキュリティ管理のオーバーヘッドが増大し、不要ポートの公開にもつながります。ドメインコントローラ、ファイルサーバ、プリントサーバ、Exchangeサーバ(フロントエンドサーバ、バックエンドサーバ、Outlook Web Accessサーバ)など、それぞれのサーバの役割に適したサービス構成を行う必要があります。
●最新のサービスパックとそれ以降のすべての修正プログラムを適用する
常に最新のセキュリティ更新プログラムを確実に適用してください。これにより、現在利用できる最適なセキュリティ更新プログラムを実装できます。このとき、以下のツールやサービスを組み合わせて構成すると便利です。
| ツールの種類 | ツール名 |
|---|---|
| 分析ツール | MBSA(Microsoft Baseline Security Analyzer) |
| オンラインアップデートサービス | Windows Update |
| 管理ツール | WSUS(Windows Server Update Services) |
| SMS(Microsoft Systems Management Server) |
●Active Directoryによる認証環境を強化する
1人のユーザーが1つのIDを使用し、誰がログオンしているかを明確に識別できるように(本人認証)、きっちりとIDを管理することはセキュリティ実装の基本です!さらに、複雑なパスワードを要求、スマートカードログオンの導入、不正持ち込み端末使用の拒否など、Active Directoryの機能を活用して認証環境を強化してください。
●機密情報へのアクセス制御を設定する
格納されているデータに対するアクセス制御を設定します。このとき対象となるのは、ファイルサーバ上の共有フォルダやパブリックフォルダ内のデータ保護だけではありません。全社規模でパブリックフォルダを使用している場合、全社員がアクセスするフォルダもあれば、部門ごとにアクセスするフォルダもあると思います。そのような場合、非表示権限を設定することで、参照不要なフォルダを隠すことができます。また、アドレス帳へのアクセス制御もできるので、アドレス一覧を表示できるユーザーを制限することもできます。
●各種ログを有効にして、CPUやメモリの監視、エラー状況の確認などを行う
何が起こっても後で問題を追跡できるように、必要なログを有効化します。また、問題が発生したときにすぐに対応できるように、システムの監視も設定してください。
●障害回復計画を実装する
システム障害が起こったときに、SLA(Service Level Agreement)に従って復旧できるように、障害回復計画を立て、テストを行い、必要な手順書を作成しておいてください。
このような基本的なベストプラクティスも忘れずに行ってください!
|
2005年後半にリリースが予定されているExchange Server 2003 SP2では、強力なセキュリティ保護、信頼性、および管理の容易さを実現する機能が提供される予定です。
次回以降、Exchange Server 2003 SP2の新機能も含めて、「メッセージ送受信のセキュリティ対策」「悪意のあるユーザーへのセキュリティ対策」「モバイル環境下でのセキュリティ対策」「メールクライアント環境のセキュリティ対策」をテーマに、それぞれの機能を解説していきます。
 |
3/3
|
| Index | |
| メッセージ環境の保護について考える | |
| Page1 防御したいセキュリティリスクは何? |
|
| Page2 Exchange Server 2003のセキュリティ機能 Exchange Server 2003のクライアント/サーバ構成 |
|
 |
Page3 Exchange Server 2003の土台を構成するベストプラクティスの適用 コラム:Exchange システムマネージャ コラム:Windows Server 2003 SP1のセキュリティ構成ウィザード(SCW) |
| 関連記事 |
| 基礎から学ぶExchange Server 2003運用管理 |
 |
Security&Trust記事一覧 |
- Windows起動前後にデバイスを守る工夫、ルートキットを防ぐ (2017/7/24)
Windows 10が備える多彩なセキュリティ対策機能を丸ごと理解するには、5つのスタックに分けて順に押さえていくことが早道だ。連載第1回は、Windows起動前の「デバイスの保護」とHyper-Vを用いたセキュリティ構成について紹介する。 - WannaCryがホンダやマクドにも。中学3年生が作ったランサムウェアの正体も話題に (2017/7/11)
2017年6月のセキュリティクラスタでは、「WannaCry」の残り火にやられたホンダや亜種に感染したマクドナルドに注目が集まった他、ランサムウェアを作成して配布した中学3年生、ランサムウェアに降伏してしまった韓国のホスティング企業など、5月に引き続きランサムウェアの話題が席巻していました。 - Recruit-CSIRTがマルウェアの「培養」用に内製した動的解析環境、その目的と工夫とは (2017/7/10)
代表的なマルウェア解析方法を紹介し、自社のみに影響があるマルウェアを「培養」するために構築した動的解析環境について解説する - 侵入されることを前提に考える――内部対策はログ管理から (2017/7/5)
人員リソースや予算の限られた中堅・中小企業にとって、大企業で導入されがちな、過剰に高機能で管理負荷の高いセキュリティ対策を施すのは現実的ではない。本連載では、中堅・中小企業が目指すべきセキュリティ対策の“現実解“を、特に標的型攻撃(APT:Advanced Persistent Threat)対策の観点から考える。
 |
|
|
|
|
