Lync Server 2013 の主なセキュリティ機能
トピックの最終更新日: 2013-07-18
Lync Server 2013 には、サーバー間認証、ロールベースのアクセス制御、構成データの一元的なストレージなど、いくつかのセキュリティ機能が含まれています。
この記事では、Lync Server 2013 セキュリティの概要について説明します。
Lync Server 2013 の主なセキュリティ機能
セキュリティは非常に広い範囲に及ぶトピックです。 セキュリティは、Lync Server 2013 のすべての機能だけでなく、Lync エコシステムを構成するデータベース、サービス、ハードウェアにも及びます。 この記事では、特にセキュリティ用に設計された Lync Server 2013 の機能の一部について説明します。
計画ツールと設計ツール
Lync Server 2013 には、計画と設計を容易にし、Lync Server コンポーネントを誤って構成する可能性を減らす 2 つのツールが用意されています。
トポロジ計画ツール は、トポロジ設計プロセスの多くを自動化します。 計画ツールからトポロジ ビルダーに結果をエクスポートできます。これは、Lync Server 2013 を実行する各サーバーをインストールするために必要なツールです。
トポロジ ビルダーは、すべての構成情報を中央管理ストアに格納します。
これらのツールの詳細については、「 Lync Server 2013 の計画」を参照してください。
中央管理ストア
Lync Server 2013 では、サーバーとサービスに関する構成データが中央管理ストアの一部です。 中央管理ストアは、Lync Server 展開の定義、設定、保守、管理、記述、操作に必要なデータの堅牢でスキーマ化されたストレージを提供します。 また、データを検証して構成の一貫性を保ちます。 構成データへの変更はすべて中央管理ストアでなされるので、"非同期" の問題を回避できます。
データの読み取り専用コピーは、エッジ サーバーや存続可能ブランチ アプライアンスなど、トポロジ内のすべてのサーバーにレプリケートされます。 レプリケーションは、既定では、ネットワーク サービスのコンテキストで実行されるサービスが管理し、権限とアクセス許可が抑えられてコンピューター上の一般ユーザーと同じになります。
サーバー間認証
Lync Server 2013 では、Open Authorization (OAuth) プロトコルを使用して、サーバー間で認証を構成できます。 たとえば、2013 Exchange Server実行されているサーバーで認証するように Lync Server 2013 を構成できます。 OAuth プロトコルを使用すると、Lync サーバーと Exchange サーバーは相互に信頼できます。 これにより、シームレスな方法で製品を統合する機能が提供されます。 詳細については、「Lync Server 2013 でのサーバー間認証 (OAuth) とパートナー アプリケーションの管理」を参照してください。
Windows PowerShell ベースの管理と Web ベースの管理インターフェイス
Lync Server 2013 には、Windows PowerShellコマンド ライン インターフェイスに基づいて構築された強力な管理インターフェイスが用意されています。 このインターフェイスにはセキュリティを管理するためのコマンドレットが含まれているうえ、Windows PowerShell のセキュリティ機能が既定で有効になっており、ユーザーが簡単にまたは知らないうちにスクリプトを実行することができないようになっています。 つまり、セキュリティを最大限に高め、攻撃の手段を減らすように、ソフトウェアの既定値が自動的に設定されています。 Lync Server 2013 でのWindows PowerShell管理サポートの詳細については、「Lync Server 2013 管理シェル」を参照してください。
役割ベースのアクセス制御 (RBAC)
Microsoft Lync Server 2013 にはロールベースのアクセス制御 (RBAC) が用意されています。これにより、高いセキュリティ標準を維持しながら管理タスクを委任できます。 そのため、業務上必要な管理権限のみをユーザーに与える "最小限の特権" の原則に従って RBAC を使用することができます。 Lync Server 2013 では、新しいロールを作成する機能と、既存のロールを変更する機能が導入されています。 詳細については、「 Lync Server 2013 でのロールベースのアクセス制御の計画」を参照してください。
ネットワーク アドレス変換 (NAT)
Lync Server 2013 では、エッジ サーバーの内部インターフェイスでのネットワーク アドレス変換 (NAT) の使用はサポートされていませんが、単一およびスケーリングされた統合エッジ サーバー トポロジの両方に対してネットワーク アドレス変換 (NAT) を実行するルーターまたはファイアウォールの背後に、Access Edge サービス、Web 会議エッジ サービス、および A/V Edge サービスの外部インターフェイスを配置することがサポートされています。 ハードウェア ロード バランサーの背後にある複数のエッジ サーバーでは、NAT を使用できません。 複数のエッジ サーバーの外部インターフェイスで NAT を使用する場合は、ドメイン ネーム システム (DNS) の負荷分散が必要です。 DNS 負荷分散を使用すると、エッジ サーバー プール内のエッジ サーバーあたりのパブリック IP アドレスの数を削減できます。 詳細については、「Lync Server 2013 での外部ユーザー アクセスの計画」を参照してください。
注意
Microsoft Office Communications Server 2007 が展開されているエンタープライズとフェデレーションを行うときに、使用しているエンタープライズとフェデレーション先のエンタープライズとの間で音声ビデオを使用する必要がある場合、ポート要件は、展開されているエッジ サーバーのうち、古い方のバージョン用の要件になります。 たとえば、フェデレーション パートナーがエッジ サーバーを Lync Server 2013 にアップグレードするまで、これらの以前のバージョンに必要なポート範囲を両方の企業で開く必要があります。 アップグレード後には、ポート要件を見直して、新しい構成に応じて削減できます。
エッジ サーバーの簡単化された証明書
展開ウィザードは、サブジェクト名 (SN) やサブジェクト代替名 (SAN) を自動的に読む込むことができるので、安全ではない可能性のある不要なエントリを含める危険性が減少します。
信頼できるコンピューティングのセキュリティ開発ライフサイクル (SDL)
Lync Server 2013 は、Microsoft Trustworthy Computing Security Development ライフサイクル (SDL) に準拠して設計および開発されています。詳細については https://go.microsoft.com/fwlink/?linkid=68761、
設計で信頼できる より安全なユニファイド コミュニケーション システムを作成する最初の手順は、脅威モデルを設計し、設計時に各機能をテストすることです。 Microsoft では加えて、設計動作以外でのテストも実施して、予期しない製品動作から生じるセキュリティ脆弱性を探しています。 コーディング プロセスとコーディング手法には、セキュリティに関連する複数の改善点が組み込まれていました。 ビルド時に使われるツールは、製品にコードが最終的にチェックインされる前にバッファ オーバーランなどの潜在的なセキュリティ上の脅威を検出します。 もちろん、あらゆる未知のセキュリティの脅威を防ぐように設計することは不可能です。 完全なセキュリティを保証できるシステムはありません。 しかし、製品開発は最初からセキュリティで保護された設計原則を採用しているため、Lync Server 2013 には、アーキテクチャの基本的な部分として業界標準のセキュリティ テクノロジが組み込まれています。
既定で信頼できる 既定では、Lync Server 2013 のネットワーク通信は暗号化されます。 すべてのサーバーで証明書と Kerberos 認証、TLS、セキュア Real-Time トランスポート プロトコル (SRTP)、および 128 ビット高度暗号化標準 (AES) 暗号化を含む他の業界標準の暗号化手法が使用されるため、事実上すべての Lync Server データがネットワーク上で保護されます。 さらに、役割ベースのアクセス制御を使用すると、Lync Server 2013 を実行しているサーバーを展開して、各サーバー ロールがサービスのみを実行し、サーバー ロールに適したそれらのサービスに関連するアクセス許可のみを持つようになります。
展開別の信頼できる すべての Lync Server 2013 ドキュメントには、展開に最適なセキュリティ レベルを決定して構成し、既定以外のオプションをアクティブ化する際のセキュリティ リスクを評価するのに役立つベスト プラクティスと推奨事項が含まれています。