第2回 メッセージ送受信へのセキュリティ対策
竹島 友理
NRIラーニングネットワーク株式会社
2005/9/15
いよいよ実りの秋に突入です。気分良く過ごせるようになってきたので、仕事や勉強に精を出すのによい季節! さて、今回からは、Exchange Server 2003環境でのセキュリティ対策を紹介していきます。
本稿では、データ盗難・改ざん対策として、Exchange Server 2003環境におけるS/MIME(Secure/Multipurpose Internet Mail Extensions)、SSL(Secure Sockets Layer)、TLS(Transport Layer Security)について見ていきます。その前に、セキュリティ対策の基本であるユーザー管理と認証について簡単に整理しておきましょう。
 |
Active Directoryによるユーザーオブジェクトと |
●全員が「Suzukiさん」のアカウントを共有していたら、どうなる?
故意であろうとなかろうと、誰かがシステムに悪さをした場合、本人識別ができていればログを追跡して原因を究明することが可能です。
しかし、もし大勢で1つのユーザーアカウントを共有していたら? 例えば、全員が「Suzuki」というユーザーアカウントでWindowsにログオンしていたら?
これではログを記録していたとしても、どのユーザーなのかを判別できません。1つのユーザーアカウントをみんなで共有することは絶対にやってはいけません!
では、メッセージング環境でアカウント(メールボックス)を共有すると何が起こりますか?
自分あてのプライベートメッセージをすべて共有することになってしまいます。通常、このような構成にはしません。つまり、Windowsにログオンするユーザーアカウントも、自分あてのメッセージを格納するメールボックスも、1人1つずつ持つようにしてください。
●メールボックスとユーザーは1対1の関係
Exchange Server 5.5では、1つのユーザーアカウントに対して、複数のメールボックスを割り当てる構成が許されていましたが、Active Directoryと統合して動作するExchange 2000 Server/Exchange Server 2003になってからは、「メールボックスとユーザーオブジェクトの関係は1対1」というルールができました。
つまり、1つのメールボックスを作成するには、1つのActive Directoryユーザーオブジェクトが必要になります。実際には、ユーザーオブジェクトの1つの属性としてメールボックスが構成されます。ですから、このメールボックスへの接続は、Windowsにログオンするときに入力するユーザー名とパスワードがそのまま使用されます(シングルサインオン)。
 |
| 図1 ユーザーオブジェクトとメールボックスは1対1 |
●証明書による高度な認証機能
Active Directoryは、CA(Certificate Authority:認証局)と呼ばれる証明書発行機関から発行されるデジタル証明書を利用する認証方式をサポートしています。例えば、スマートカードログオン認証やIEEE 802.1xに準拠した証明書認証などがそうです。もちろん、Exchange Server 2003環境でもサポートされています。
スマートカードを導入し、それをカードリーダから引き抜くと画面がロックするようにしておけば、不正ログオンを防ぐ手段になります。この設定は、Active Directoryのグループポリシーを活用することで、たとえクライアントが何台あっても一括で管理できます。さらに、スマートカードログオンをオフィス内の入出カードキーと併用させておくと、不正ログオン防止を徹底しやすくなります。
一方、IEEE 802.1xに準拠した証明書認証は、無線LAN環境でも有線LAN環境でも利用可能なので、不正端末からの社内ネットワークへの侵入の防止策として利用可能です。例えば、第三者が皆さんの会社に不正侵入して、持ち込んだノートPCを社内ネットワークに接続しても、認証されなければ社内ネットワークに入れません。
|
1/3
|
 |
| Index | |
| メッセージ送受信へのセキュリティ対策 | |
 |
Page1 Active Directoryによるユーザーオブジェクトとメールボックスの管理 - 全員が「Suzukiさん」のアカウントを共有していたら、どうなる? - メールボックスとユーザーは1対1の関係 - 証明書による高度な認証機能 |
| Page2 S/MIME、SSL、TLSって何? S/MIMEでメールのメッセージ自体を守ろう! |
|
| Page3 SSLでクライアントとサーバ間の通信を守ろう! フロントエンド/バックエンドサーバ構成ではSSLがお勧め! Exchange Server 2003のSMTP通信を保護するTLS コラム:SSLとTLS |
|
| 関連記事 |
| 基礎から学ぶExchange Server 2003運用管理 |
 |
Security&Trust記事一覧 |
- Windows起動前後にデバイスを守る工夫、ルートキットを防ぐ (2017/7/24)
Windows 10が備える多彩なセキュリティ対策機能を丸ごと理解するには、5つのスタックに分けて順に押さえていくことが早道だ。連載第1回は、Windows起動前の「デバイスの保護」とHyper-Vを用いたセキュリティ構成について紹介する。 - WannaCryがホンダやマクドにも。中学3年生が作ったランサムウェアの正体も話題に (2017/7/11)
2017年6月のセキュリティクラスタでは、「WannaCry」の残り火にやられたホンダや亜種に感染したマクドナルドに注目が集まった他、ランサムウェアを作成して配布した中学3年生、ランサムウェアに降伏してしまった韓国のホスティング企業など、5月に引き続きランサムウェアの話題が席巻していました。 - Recruit-CSIRTがマルウェアの「培養」用に内製した動的解析環境、その目的と工夫とは (2017/7/10)
代表的なマルウェア解析方法を紹介し、自社のみに影響があるマルウェアを「培養」するために構築した動的解析環境について解説する - 侵入されることを前提に考える――内部対策はログ管理から (2017/7/5)
人員リソースや予算の限られた中堅・中小企業にとって、大企業で導入されがちな、過剰に高機能で管理負荷の高いセキュリティ対策を施すのは現実的ではない。本連載では、中堅・中小企業が目指すべきセキュリティ対策の“現実解“を、特に標的型攻撃(APT:Advanced Persistent Threat)対策の観点から考える。
 |
|
|
|
|
