次の方法で共有

Office SharePoint Server 機能のセキュリティ構成を計画する

  • [アーティクル]

この記事の内容 :

  • Office SharePoint Server の機能についての推奨事項

この記事では、Microsoft Office SharePoint Server 2007 の機能をより安全な方法で構成および管理するための推奨事項を紹介します。この推奨事項の多くは、ネットワーク、オペレーティング システム、インターネット インフォメーション サービス (IIS)、または Microsoft .NET Framework ではなく、サーバーの全体管理で構成を実行することになります。この記事での推奨事項は、以下のセキュリティ環境に適したものです。

  • 内部チームまたは部署

  • 内部 IT によるホスト

  • 外部のセキュリティ保護されたグループ作業

  • 外部の匿名アクセス

このような環境の詳細については、「セキュリティ環境を選択する (Office SharePoint Server)」を参照してください。

Office SharePoint Server の機能についての推奨事項

次の表は、Office SharePoint Server 2007 の機能のセキュリティに関する推奨事項を示しています。

機能または領域 説明と推奨事項

認証

  • サーバーの全体管理サイトを使用するときに、クライアント側の自動ログオンを使用しないでください。

  • フロントエンド Web サーバー コンピュータのみが、ユーザーの認証を実行するようにします。データベース サーバー コンピュータに対する認証では、エンドユーザーのアカウントまたはグループの使用を許可しないでください。

承認

権限を個々のアカウントではなくグループに割り当てます。

アクセス許可レベル

ユーザーが各自のタスクを実行するために必要な最低限の権限を割り当てます。

管理

アクセス権限を使用してサーバーの全体管理サイトをセキュリティ保護し、管理者がサイトにリモート接続できるようにします (ローカル コンピュータでの使用時にだけサーバーの全体管理サイトを有効にするのではなく)。これにより、管理者はサーバーの全体管理をホストするコンピュータにローカルにログオンしなければならないという負担がなくなります。コンピュータへのターミナル サービス アクセスを構成すると、サーバーの全体管理 Web サイトへのリモート アクセスを有効にしておくよりも大きなセキュリティ リスクが発生します。

電子メール統合

  • ウイルスや未承諾の広告宣伝メールの除外やメールの送信者の認証を行う、Microsoft Exchange Server などの専用のメール サーバーを介して中継された電子メールだけを受け付けるように Office SharePoint Server 2007 を構成します。

  • ワークフロー設定を構成すると、Office SharePoint Server 2007 では、サイト上のドキュメントへのアクセス許可を持たない参加者が、そのドキュメントを電子メールの添付ファイルとして受信できるようになります。セキュリティ保護された環境では、[外部ユーザーにドキュメントのコピーを送信してワークフローへの参加を許可する] オプションは選択しないでください。Office SharePoint Server 2007 では、このオプションは既定では選択されていません。

Web パーツの保存とセキュリティ

  • サーバー ファームには信頼できるコードのみを展開するようにしてください。展開するすべてのコード、XML、または ASP.NET コードは、信頼できるソースから取得する必要があります。コード アクセス セキュリティなどの多層防御手段によって展開後にセキュリティを強化する予定であるとしても同様です。

  • Web.config ファイルの SafeControl リストに、許可する一連のコントロールと Web パーツが含まれていることを確認してください。

  • 多層防御手段による強化を予定しているカスタム Web パーツは、アセンブリごとに権限を指定して、Web アプリケーション (部分信頼が有効になっている) の bin ディレクトリにインストールします。

  • SafeControl リストからコンテンツ エディタ Web パーツを削除することを検討します。これにより、ユーザーが JavaScript を Web パーツとしてページに追加したり、外部サーバーでホストされる JavaScript を使用したりすることを防止します。

  • サイト内でのデザイン アクセス許可レベルおよび投稿アクセス許可レベルが組織内の適切な担当者に与えられていることを確認します。投稿アクセス許可レベルを持つユーザーは、Active Server Page Extension (ASPX) ページをライブラリにアップロードして Web パーツを追加できます。デザイン アクセス許可レベルを持ち、Web パーツの追加を許可されているユーザーは、ホーム ページ (Default.aspx) も含め、サイト上のページに変更を加えることができます。

検索

  • 既定のコンテンツ アクセス アカウントは、ファーム管理者グループのメンバにしないでください。このグループのメンバにすると、Office SharePoint Server Search サービスは未発行のバージョンのドキュメントのインデックスまで作成するようになります。

  • 展開する追加の IFilter とワード ブレーカが IT チームによって信頼されていることを確認します。

  • 既定では、検索インデックス ファイルにはファーム管理者グループのメンバしかアクセスできません。このグループに属さないユーザーがこのファイルにアクセスできないことを確認してください。

ユーザー プロファイル

ユーザー プロファイルとプロパティ コンテンツ アクセス アカウントを使用して、ディレクトリ サービスに接続し、データをインポートします。このアカウントの資格情報を指定しない場合、既定のコンテンツ アクセス アカウントが使用されます。ディレクトリ サービスごとに異なるアカウントを指定できます。セキュリティが強化された環境では、ディレクトリ サービスへの読み取りアクセス許可を持つアカウントを使用します。既定のコンテンツ アクセス アカウントには、ディレクトリ サービスへのアクセス許可を与えないでください。詳細については、「管理者アカウントとサービス アカウントを計画する (Office SharePoint Server)」を参照してください。

個人用サイト

  • 読み取りアクセス許可レベルを持つユーザーは、すべての個人用サイトを表示できます。既定では、すべての認証ユーザーに、読み取りアクセス許可レベルが与えられます。セキュリティが強化された環境では、必要なグループにのみ読み取りアクセス許可レベルを与えます。個別のグループに読み取りアクセス許可レベルを与えるには、共有サービス管理 Web サイトの [個人用サイトの設定] ページの [既定の閲覧者サイト グループ] セクションを使用します。グループのメンバが実行できる操作を指定するには、共有サービス管理のホーム ページで [ユーザーの権限の設定] をクリックし、アクセス許可を変更する対象のグループを選択してから、[選択したユーザーの権限の変更] をクリックします。

  • 共有サービス プロバイダ (SSP) は、環境内の別の SSP を信頼するように構成できます。この信頼関係により、SSP はユーザーがどの SSP に属するかを識別できます。その結果、ユーザーが個人用サイトを作成するときに、信頼された SSP は個人用サイトをホストする SSP を決定できます。ユーザーが個人用サイトを作成するリンクをクリックした時点でどこを閲覧しているかは関係しません。これにより、ユーザーが組織内で個人用サイトを 1 つだけ持つことが保証されます。また、ユーザーが各自の個人用サイトにリンクを追加すると、信頼された SSP は、ユーザーが現在閲覧している SSP ではなくユーザーの SSP のコンテキストに基づいてリンクを作成します。さらに、信頼された SSP は、信頼されていない場所へのリンクが追加されないことも保証します。セキュリティが強化された環境では、信頼された個人用サイトのホストの場所リストが SSP 全体で一律に管理されます。すべての SSP で同じようにリストを構成するのが理想です。

Self-Service Site Creation

Self-Service Site の管理を使用すると、ユーザーが独自のトップレベル Web サイトを自動的に作成および管理できるようになります。Web アプリケーションで Self-Service Site Creation を有効にすると、ユーザーは特定のパス (既定では /sites パス) の下位に、独自のトップレベル Web サイトを作成できます。Self-Service Site Creation を有効にすると、Web アプリケーションのルート パスにあるトップレベル サイトにお知らせが追加されるので、そのお知らせを表示する権限を持つユーザーは新しいサイトにリンクすることができます。

Self-Service Site Creation を有効にするかどうかを、以下の環境に応じて決定します。

  • イントラネット環境   業務上のニーズに応じて Self-Service Site Creation を有効にします。

  • セキュリティ保護されたグループ作業環境   この機能を業務上必要としているユーザーまたはグループに対してのみ Self-Service Site Creation を有効にします。

  • 外部の匿名環境   インターネット上では Self-Service Site Creation を有効にしないでください。

サイト ディレクトリ

一部のサイト テンプレートにはサイト ディレクトリが含まれています。サイト ディレクトリは、承認されたサイト リンクの Web ページです。サイト ディレクトリに追加するサイトはだれでも申請できます。サイトを承認してサイト ディレクトリに追加できるのは、サイト ディレクトリの管理者のみです。

  • セキュリティ保護されたイントラネットでは、会社のファイアウォールの外側にあるサイトへのリンクは承認しないでください。

  • 既定では、投稿者アクセス許可レベルを持つユーザーはだれでも、サイトの承認を申請できます。これは、大規模なイントラネット サイトや社外向けのサイトにはお勧めできません。このようなサイトでは、投稿者アクセス許可レベルを与えるユーザーの数を減らすか、サイト ディレクトリの管理者のみがサイトを申請できるようにすることで、サイトを申請できるユーザーの数を制限します。

RSS Web パーツ

既定では、RSS Web パーツは匿名フィードのみにアクセスできます。認証されたフィード (認証された SharePoint サイト コンテンツへのフィードなど) を許可するには、Active Directory ディレクトリ サービスで制限付き委任を使用することで、適切なサーバー コンピュータへのアクセス許可を Web サーバー コンピュータに与える必要があります。

個人設定を行ったコンテンツを持つページのコンテンツのキャッシュ

出力キャッシュを使用して、個人設定を行ったコンテンツを表示するサイトのパフォーマンスを最適化できます。このシナリオでは、個人設定を行ったコンテンツがユーザーに対して更新されることを保証するために、キャッシュ後の置換を使用します。その結果、ページ全体またはページの大部分に個人設定を行ったコンテンツが含まれる場合、出力キャッシュを使用してもパフォーマンスが大きく向上することはありません。

個人設定を行ったコンテンツを持つページの出力キャッシュを有効にする予定があり、以下の条件に該当する場合、個人設定を行ったコンテンツを表示するサイトが、キャッシュ後の置換をサポートすることを確認してください。

  • 匿名ユーザーと認証ユーザーの両方がコンテンツにアクセスしている場合。

  • ソリューションに、個人設定を行ったコンテンツ (認証ユーザー向け) を表示するコントロールを持つサイトが含まれる場合。

このシナリオでは、すべての匿名ユーザーにまったく同じコンテンツが表示されます。認証ユーザーに表示されるコンテンツは、個人設定を行ったコンテンツが表示されるか、およびこのコンテンツに対してキャッシュ後の置換がサポートされるかどうかによって異なります。

  • 個人設定を行ったコンテンツに対してキャッシュ後の置換がサポートされる場合、認証ユーザーが持つアクセス許可が同じでも個人設定を行った各自のコンテンツのみが表示されます。

  • 個人設定を行ったコンテンツに対してキャッシュ後の置換がサポートされない場合、ユーザーが持つアクセス許可が同じならば同じコンテンツが表示されます。たとえば、ユーザー A 用に個人設定を行ったコンテンツが最初にキャッシュされると、ユーザー A と同じアクセス許可を持つ後続のすべてのユーザーには各自のコンテンツが表示されず、ユーザー A の個人設定を行ったコンテンツが表示されます。

コンテンツの展開

コンテンツの展開機能を使用していない場合、サーバー ファームでは、他のファームから受信するコンテンツ展開ジョブを受け付けないようにします。既定設定では、コンテンツ展開ジョブの受信を拒否します。

InfoPath Forms Server

  • 有効にする場合、InfoPath Forms Services Web サービス プロキシは一意なアプリケーション プール アカウントで稼働します。使用しない場合はプロキシが無効になります。

  • コードを含むすべてのフォーム テンプレートをサーバー コンピュータにアップロードする前に確認します。詳細については、「管理者承認済みフォーム テンプレートを展開する (Office SharePoint Server)」を参照してください。

  • ブラウザのみのシナリオでは、Office SharePoint Server 2007 のアクセス制御リスト (ACL) を使用して、ユーザーが XSN をダウンロードできないようにします。

  • ユーザー フォーム テンプレートをブラウザ対応にするかどうかを慎重に検討します。

  • ユーザー フォーム テンプレートのブラウザでの表示を許可するかどうかを慎重に検討します。

  • 構成可能なしきい値を使用して、サービス拒否 (DOS) 攻撃を軽減します。ユーザー セッションは、以下のようなしきい値に基づいて終了します。

    • フォーム セッション状態ごとに許可されるポストバックの最大数

    • ポストバックごとに許可されるアクションの最大数

    • フォーム セッション状態の最大サイズ

    • フォーム セッションをアクティブにできる最大時間

  • ブラウザ対応フォームでは機能を慎重に使用します。以下の機能は、フォームの XML のサイズを大幅に増大し、DOS 攻撃のリスクを高める可能性があります。

    • デジタル署名

    • ファイル添付コントロール

    • リッチテキスト コントロール

    • 大きな結果セットを返すデータ接続クエリ

InfoPath データ接続

  • データ接続ライブラリで [コンテンツの承認] をオンにして、信頼されたユーザーのみがコンテンツの承認権限を持つようにします。

  • ユニバーサル データ接続 (UDC) ファイルで AltDataSource 属性を使用する、サーバーの UDC ファイルでユーザーに表示権限のみを与える、または管理者が管理する接続ライブラリで webAccessible を false に設定することによって ([データ接続ファイルの管理])、サーバー専用の認証情報を保護します。

  • 複数ドメインのデータ接続の使用状況を確認および監視して、適切なデータのみがドメインを越えて移動するようにします。

  • 既定では、ブラウザで表示されるユーザー フォーム テンプレートは、サーバー専用認証を使用できません。セキュリティ保護された環境では、シングル サインオン (SSO)、明示的なユーザー名とパスワードの認証など、サーバー専用認証の使用を制限します。

  • テスト サーバー コンピュータでのプロトタイプ作成を除いて、UDC ファイルで明示的なユーザー名とパスワードを使用しないでください。代わりに SSO を使用します。

  • データベース接続文字列に埋め込み型の SQL Server 資格情報を使用しないでください。代わりに SSO を使用します。

  • 指定された UserNameToken を使用してデータへのアクセスを承認したり、返されるデータ セットを制限したりする Web サービスにのみ Web サービス プロキシを使用します。

  • 基本認証やダイジェスト認証を要求するデータ ソースに接続するときに、SSL (Secure Sockets Layer) 接続を要求します。資格情報はセキュリティ保護されないままネットワーク上を通過するからです。

  • ユーザーがフォームに入力したデータに基づいてユーザーを認証しないでください。代わりに、セキュリティが強化された認証方式を使用します。

Excel Calculation Services データ アクセス

任意の Microsoft Office SharePoint Server 2007 の Excel Services サーバー ファーム トポロジで使用できるデータ アクセス モデルには、信頼されたサブシステムと制限付きの Kerberos 委任という 2 つのモデルがあります。

  • 信頼されたサブシステム   Windows サーバー ファームの既定の設定です。委任モデルのように追加の構成要件がないことがその理由です。信頼されたサブシステム モデルでは、Excel Calculation Services を実行するフロントエンド Web サーバーとアプリケーション サーバーは、SSP を使用することで関連付けられた Office SharePoint Server 2007 アプリケーションのアカウントを信頼します。信頼されたサブシステム環境では、Office SharePoint Server 2007 のファイルを開くと、エンドユーザー ID に対してファイルへの権限のチェックが実行されます。Kerberos 認証が構成されていない場合も同様です。Excel Calculation Services アプリケーション サーバーが、汎用名前付け規則 (UNC) の共有フォルダまたは HTTP Web サイトからブックを開いている場合、ユーザー アカウントを偽装することはできず、プロセス アカウントを使用する必要があります。

  • 制限付きの Kerberos 委任   制限付きの Kerberos 委任は、Excel Services の展開で推奨される構成です。制限付きの Kerberos 委任は、フロントエンド Web サーバーと Excel Calculation Services アプリケーション サーバーとの通信に対する最も安全な構成です。制限付きの Kerberos 委任は、アプリケーション サーバーからバックエンド データ ソースへのアクセスに対しても、最も安全な構成です。外部データ接続では、統合 Windows 認証は委任モデルが実装されている場合にのみ機能します。

Excel Calculation Services 接続のセキュリティ

インターネット プロトコル セキュリティ (IPsec) または SSL を使用して、Excel Services アプリケーション サーバー、データ ソース、クライアント コンピュータ、およびフロントエンド Web サーバー間でのデータ転送を暗号化できます。クライアント コンピュータとフロントエンド Web サーバー間でデータ転送の暗号化を要求するには、共有サービス管理 Web サイトの [Excel Services の設定] ページで、[接続の暗号化] の設定を [必須としない] から [必須とする] に変更します。[必須としない] が既定の設定です。[接続の暗号化] 設定を [必須とする] に変更すると、Excel Calculation Services アプリケーション サーバーでは、クライアント コンピュータとフロントエンド Web サーバーの間で SSL 接続を経由するデータ転送のみが許可されます。

データ転送の暗号化を要求する場合、IPSec または SSL を手動で構成する必要があります。フロントエンド Web サーバーと Excel Calculation Services アプリケーション サーバーの間は暗号化しない接続を許可しながら、クライアント コンピュータとフロントエンド Web サーバー間の接続の暗号化を要求することができます。

このドキュメントをダウンロードする

このトピックは、簡単に読んだり印刷したりできるように、次のダウンロード可能なドキュメントに収められています。

入手可能なドキュメントの詳細な一覧については、「Office SharePoint Server 2007 のダウンロード可能なブック」を参照してください。