Exchange 環境のセキュリティを確保する
公開日: 2004年6月2日
トピック
アクセス権限グループと管理グループを使用して Exchange 2000 へのアクセスを制御する
モジュールの内容
このモジュールでは、Microsoft Exchange 2000 環境に対する攻撃のリスクを最小限に抑えるための手段について検証します。これらの攻撃は組織の内外から仕掛けられます。特に、組織内および組織外から広くアクセスされる Exchange 2000 は、攻撃に対して非常に脆弱です。Exchange は、多数のコンポーネントが互いに依存する複雑なアプリケーションです。Exchange のセキュリティを確保するには、これらのコンポーネント間の関係を理解してそれを考慮したセキュリティ設計を行う必要があります。このモジュールでは、Exchange 2000 環境に対する全般的なリスクについて考察します。
目的
このモジュールを読んだ後は、次の作業を実行できるようになります。
特定の Exchange サービスを安全に無効にしてセキュリティを強化する。
Exchange のインストールに必要な最小限の権限を決定する。
最新の Exchange 2000 修正プログラムを適用してシステムを常に最新の状態に維持する。
SMTP (Simple Mail Transfer Protocol) 偽装から防御する。
ウイルス対策を考案する。
Microsoft Outlook 2002 および Exchange 2000 に組み込まれている機能を使用して迷惑メール (スパム) を防止する。
サービス拒否 (DoS) 攻撃からシステムを保護する。
権限グループおよび管理グループを使用し、次の作業によって Exchange 2000 へのアクセスを制御する。
各タスクの管理役割を委任する。
企業の実情に合った Exchange の管理モデルを選択する。
システム ポリシーを使用してメールボックス ストアおよびパブリック フォルダ ストアを制御する。
適用対象
このモジュールは、次の製品および技術に適用されます。
Microsoft Exchange 2000 Server
Microsoft Outlook 2002 messaging and collaboration client
Microsoft Windows 2000 オペレーティング システム Active Directory ディレクトリ サービス
モジュールの使用方法
このモジュールは、『Microsoft Windows 2000 Server セキュリティ運用ガイド』(日経 BP ソフトプレス発行、ISBN: 4-89100-334-0) の補足として利用できるように構成されています。このモジュールに進む前に、このガイドを通読するように強くお勧めします。このモジュールのセクションの内容は、『Microsoft Windows 2000 Server セキュリティ運用ガイド』に記載されている情報に基づいています。『Microsoft Exchange 2000 Server Operations』 (Microsoft Press、ISBN:0-7356-1831-3、英語) も参考にしてください。このガイドには、Exchange 2000 の一般的な運用に関する詳細情報が記載されています。
このモジュールは、Exchange 2000 のコアとなる機能に対して影響を与えることなく Exchange 2000 環境のセキュリティを確保する際に役立つ情報を提供することを目的としています。このモジュールでは、Exchange 2000 を実行するサーバー上で安全な環境を確立して維持するために必要な作業を中心に説明します。このガイドは、セキュリティで保護された環境の作成および保守のすべてを網羅する完全なリファレンスとしてではなく、Exchange の全体的なセキュリティ計画の一部として使用してください。
はじめに
多くの組織では、Microsoft Exchange の機能をベースに多数の重要なビジネス プロセスを構築しています。Exchange が提供するさまざまなサービス (電子メール、予定表、連絡情報、コラボレーション アプリケーションなど) なしには業務を効率よく遂行することが非常に困難なものとなります。
Exchange 2000 の継続運用におけるリスクの 1 つに、組織内または組織外からの悪質な攻撃があります。Exchange の広範なアクセス機能のために、このようなリスクが増加しています。組織内のほとんどすべての人が Exchange にアクセスし、またインターネットを介して利用されることも少なくありません。
このモジュールでは、Exchange 2000 環境に対する悪質な攻撃のリスクを最小限に抑えるための多数の手段について検証します。
注: Exchange 2000 環境に対して変更を行う場合は、各変更手順を詳細に文書化することが不可欠です。Exchange の変更管理と構成管理の詳細については、『Exchange 2000 Server Operations Guide』(英語) を参照してください。詳細については、このモジュールの最後の「関連情報」のセクションを参照してください。
Exchange セキュリティの一般的な検討事項
Exchange のセキュリティ向上を検討する場合は、ローカル コンピュータおよびリモート コンピュータ上で互いに通信を交わす多数のプロセスから Exchange が成り立っているということを理解することが重要です。具体的には Exchange サーバーは、その他の Exchange サーバー、ドメイン コントローラ、および多数のさまざまな種類のクライアントと通信する必要があります。Microsoft Internet Information Service (IIS) は、Exchange の機能にとって不可欠です。Exchange サーバーにはファイル システムを通じてアクセスすることも可能です。このような一連の複雑な関連性によって、Exchange サーバーをロックダウンしようとする場合は多くの異なる要素を検討しなければなりません。このような要素には次のものがあります。
サービスのセキュリティ
ファイルのセキュリティ
IIS のセキュリティ
レジストリ エントリ
Windows 2000 の基本セキュリティ
ドメイン コントローラおよびグローバル カタログのセキュリティ
Active Directory のセキュリティ
Exchange データベースのセキュリティ
Exchange のトランスポート メカニズム
Exchange サービスの依存関係
このモジュールの目的は、Exchange コア機能にできるだけ影響を与えずに Exchange 2000 環境のセキュリティを確保する作業の手助けとなることです。この目的にとって主要な対象の 1 つが Exchange サービスです。Exchange は Windows 2000 上で動作し、Exchange のインストール、およびその正常な動作の維持には、いくつかの Windows 2000 サービスが実行されている必要があります。Exchange サービスの中には、他の Exchange サービスと依存関係があるものもあります。
図 1 に、既定で Exchange サーバーで実行されるサービスと互いの依存関係を示します。
図 1 Exchange Server サービスの依存関係
拡大表示する このモジュールでは、これらの多くのサービスに対して設定を行うことをお勧めしています。これらのサービスは通常、自動的に起動するように既定で構成されます。無効にできるサービスもありますが、その場合、サーバーの機能の一部が使用できなくなります。サービスを無効にする場合は、対象の環境を考慮してその妥当性を検討する必要があります。
Exchange をインストールする
Exchange 2000 は、スキーマが変更可能なアプリケーションです。これは、setup /forestprep を実行したときに、スキーマ コンテナが変更されることを意味します。続いて、各 Exchange 2000 サーバーがインストールされるときに、構成コンテナが更新され適切な Exchange 2000 オブジェクトが格納されます。実際の作業においては、これは Exchange をインストールするアカウントには Exchange 管理者 (完全) 権限のアカウントが必要になるのに対し、setup /forestprep を実行するアカウントには Schema Admin 権限が必要になることを意味します。
注: Exchange 2000 で使用される権限の詳細については、「Microsoft Exchange 2000 の内部仕様: アクセス許可ガイド」を参照してください。詳細については、このモジュールの最後の「関連情報」のセクションを参照してください。
権限管理の原則として、管理者には各自の作業遂行に必要な権限のみを付与してください。高いレベルのアクセス権限に対しては、特に厳重に保護してください。既定で Schema Admins グループを空にしておき、setup /forestprep を実行するときに明示的にユーザーを Schema Admins グループに追加することを検討してください。Schema Admins グループを空にしておくと、アプリケーションがスキーマを変更しようとするたびに警告が発生するため、システム保護のための適切な対策となります。
setup /forestprep の実行中に、スキーマ管理者は、Exchange 2000 の管理者アカウントを指定できます。このアカウントには、Exchange 組織全体にわたる Exchange 管理者 (完全) 権限が付与され、これにより、以降の Exchange インストール作業を実行できます。インストール時にセキュリティ上のリスクを最小限に抑える 1 つの方法として、特定のユニバーサル セキュリティ グループを作成してこれに Exchange のインストール権限を与える方法があります。その後、そのグループを Exchange 管理者 (完全) として定義できます。これによって、グループのメンバ登録の管理を通じて Exchange をインストールするユーザーを厳密に制御できます。
Exchange 2000 の修正プログラム管理
長期にわたり極力 Exchange のセキュリティを確保するには、常に最新バージョンの修正プログラムが適用されていることが必要です。これには 2 つの要素があり、オペレーティング システムと Exchange の両方を最新の状態にしておく必要があります。オペレーティング システムに脆弱性があれば、Exchange 2000 に対しても脆弱性の影響が及びます。このため、Exchange サーバーのセキュリティを考えるとき、オペレーティング システムのセキュリティも十分に考慮しなければなりません。
Windows 2000 に対し、最新のサービス パックおよび各種修正プログラムを適用し、最新の状態を維持するための多数のユーティリティがあります。この用途のために、マイクロソフトでは、Hfnetchk と Microsoft Baseline Security Analyzer の 2 種類のユーティリティを提供しています。
Windows 2000 Service Pack 2 のリリース以来、多くのセキュリティ更新を提供してきましたが、その多くは、Windows 2000 セキュリティ ロールアップ パッケージとして 1 つのパッケージにまとめられています。詳細については、このモジュールの最後の「関連情報」のセクションを参照してください。また、IIS と Microsoft Internet Explorer の脆弱性に関しても、最新の対応がとられていることの確認が必要となります。
Exchange 2000 の脆弱性は Windows 2000 の場合よりも、その影響が重大ですが、現在のところ、このセクションで取り上げたツールによって判明した問題は報告されていません。マイクロソフトから最新の修正プログラムに関する通知が届くようになっていることを確認してください。マイクロソフト セキュリティ情報を購読している場合、これらの通知は自動的に届けられます。
注: マイクロソフト セキュリティ情報購読の詳細については、このモジュールの最後の「関連情報」のセクションを参照してください。
注: Windows 2000 環境における修正プログラム管理の詳細情報については、『Microsoft Windows 2000 Server セキュリティ運用ガイド』を参照してください。
注: Exchange 2000 の推奨構成および更新の詳細については、このモジュールの最後の「関連情報」のセクションを参照してください。
クライアント環境のセキュリティを確保する
Exchange 2000 はクライアント/サーバー アプリケーションです。したがって、Exchange 環境のセキュリティ全般を検討する場合は、使用されるクライアントの検証を行うことが非常に重要となります。
Exchange では、多数のさまざまな種類のクライアントがサポートされています。リスク管理の一環として、それらのクライアントにどの機能が必要で、どの機能を制限すべきかを見極めるようにしてください。最新の修正プログラムを適用した最新のクライアント ソフトウェアが使用され、クライアント セキュリティ更新が提供されているかどうかを定期的に確認してください。このようなクライアント ソフトウェアは、サーバー ソフトウェアと同様に重要です。
クライアントのセキュリティ確保の鍵はユーザーが握っています。ユーザー教育を通じて、責任をもってクライアントを使用することがユーザーに浸透すれば、攻撃を受けるリスクを減少させることができます。たとえば、電子メール ウイルス、デマ ウイルス情報、チェーンメール、迷惑メールに関する教育が必要になります。
注: クライアントとサーバー間の通信のセキュリティ確保の詳細については、モジュール「Exchange の通信セキュリティを強化する」を参照してください。
アドレス スプーフィング (なりすまし) に対して防御する
電子メール システム攻撃の最も多く見られる方法の 1 つに、電子メール メッセージの「差出人」フィールドを操作するものがあります。SMTP では、ユーザーの身元確認は行われませんが、Exchange 側でなりすましメッセージの可能性を最小限に抑えるいくつかの手段をとることができます。
アドレス スプーフィングの中で最も注意を要するものの 1 つが、内部ユーザーの電子メール アドレスを使用した外部からの攻撃です。これには多くの方法がありますが、よくあるのは、人をだまして秘密情報を入手し (ソーシャル エンジニアリング)、この情報を悪用してさらに他のユーザーを攻撃するという手法です。
既定では、Exchange 2000 は、アドレス帳の電子メール アドレスをグローバル アドレス一覧内の名前と比較して解決します。このため、メッセージが組織外から発信されたものかどうかの判断が非常に困難なものになります。既定の動作を変更して、組織外からのメールを常にアドレスが未解決として処理することができます。それによってユーザーが未解決の電子メール アドレスに敏感に対応できるようになれば、このようなアドレス スプーフィングに対する防御の助けとなります。
注: Exchange 組織外部からの電子メールが確実に未解決として処理されるように設定する場合の詳細については、マイクロソフト サポート技術情報の 288635「[XIMS] Exchange 2000 Server の ResolveP2 機能」を参照してください。
インターネット上の他のドメインから直接メッセージを受信している場合は、受信した電子メール メッセージに対して DNS (Domain Name System) 逆引き参照を実行するように SMTP 仮想サーバーを設定できます。これにより、送信者のメール サーバー IP アドレス (および完全修飾ドメイン名) がメッセージに表示されるドメイン名と一致するかどうかが確認されます。
逆引き参照は、Exchange サーバーに対して余計な負荷を与えます。また、Exchange サーバーが送信側ドメインの逆引き参照ゾーンにアクセスできる必要があります。
注: DNS 逆引き参照を使用する場合の詳細情報については、マイクロソフト サポート技術情報の 319356「[HOW TO] Exchange 2000 Server で不要な広告電子メールを防ぐ方法」を参照してください。
ウイルス対策
電子メール経由で送信されるウイルスも環境に重大な脅威を与えます。電子メール ウイルスは、コンピュータ システム自体への攻撃であると同時に、システムに処理しきれない大量のメッセージを氾濫させる場合には、電子メール環境に対する攻撃であるともいえます。ウイルスに対する適切な防御対策が環境に施されていることを確認する必要があります。
ウイルス対策は、ファイアウォールにおいて、または SMTP ゲートウェイの外部で、あるいは Exchange サーバーおよびすべてのクライアントにおいて実施してください。
注: Exchange サーバーに関するウイルス対策ソフトウェアの詳細情報については、マイクロソフト サポート技術情報の 245822「[XGEN] ウイルス対策ソフトウェアがインストールされている Exchange コンピュータのトラブルシューティングに関する推奨事項」を参照してください。
クライアント側では、Outlook 2002 によって多くの添付ファイルをブロックできるため、添付ファイルの表示が発端となるウイルス感染を防止できます。ただし、OWA (Outlook Web Access) の使用が可能な場合、OWA クライアント側ではこれらの添付ファイルがブロックされないことに注意してください。
注: ウイルス攻撃に対する防御、および攻撃を受けた場合の対策に関する詳細情報については、『Exchange 2000 Server Operations Guide』(英語) を参照してください。
迷惑メール (スパム) に対して防御する
迷惑メールは多くの組織にとって大きな問題です。迷惑メールに対処することによってユーザーの時間が失われたり、不要なメールを送信したり保存したりすることによるネットワーク帯域幅や記憶域を無駄に消費したりなど、多くの面で余計なコストがかかります。
迷惑メールは防御しにくい攻撃であるといえますが、迷惑メールをできるだけ受信しないで済むような対策も多数あります。
ユーザー教育を実施する
ネットワークに接続するユーザーが、迷惑メールを防ぐための重要な役割を果たします。このタイプのメールは、しばしば、ネットワーク上で得たユーザー情報を不正に使用しています。そのため、ユーザー教育によって注意を喚起することが重要です。たとえば、メーリング リストから自分のアドレスを削除したい場合は「件名欄」に「削除」と入力して返信してください、といった内容のメッセージがユーザーに送られてくる場合があります。こうした場合、単にその電子メール アドレスが有効かどうかを確認する手段としてこのようなメールを送信し、次回に悪用しようとしていることがよくあります。どのような状況においてもユーザーがこうした迷惑メールに返信しないように、ユーザーを啓発する必要があります。また、迷惑メールを組織内の他のユーザーに転送しないようにさせることも大切です。
Outlook 2002 における迷惑メール対策機能
Outlook 2002 には、迷惑メールに対する防御を支援する機能が組み込まれています。Outlook は電子メール メッセージ内の特定の語句を検索して、その語句を含むメッセージを [受信トレイ] から指定した [迷惑メール] フォルダ (Outlook で作成) や [削除済みアイテム] フォルダなどに自動的に移動できます。
Outlook には、filters.txt という名前のファイル内に、迷惑メールの絞り込みに使用する用語の一覧を格納しています。このファイルには、迷惑メールの送信者の一覧も保存されます。このファイルにはまた、その語句がメール内で見つかると迷惑メールとして処理するための判断用の語句も格納されています。
これらの機能を初めて使用するときには、有効なメッセージが誤って削除されていないことを確認するために、受信トレイから移動されたメッセージを確認するようにユーザーに注意をしておく必要があります。
注: Outlook 2002 の迷惑メールの防御方法に関する詳細情報については、Microsoft Office アシスタント センターの文書「Outlook 2002 を使用して迷惑メールや成人向けの内容を含んだメールを管理する」を参照してください。詳細については、「関連情報」のセクションを参照してください。
Exchange 2000 における迷惑メール対策機能
Exchange 2000 には、迷惑メールに対する防御機能が組み込まれています。特に、送信者が記入されていないメールや特定のドメインまたはドメイン群からのメールの配信を拒否できます。すべての Exchange サーバーに対してフィルタを適用するか、フィルタ処理を行う特定の SMTP 仮想サーバーを指定できます。
注: Exchange 2000 Server を使用した迷惑メールのフィルタ処理に関する詳細情報については、マイクロソフト サポート技術情報の 276321「[XADM] Exchange 2000 で不要な電子メールにフィルタを適用する方法」を参照してください。
注: メッセージ スクリーナを使用すると、さらに強力な迷惑メール対策を講ずることができます。この内容については、モジュール「Exchange の通信セキュリティを強化する」を参照してください。
サービス拒否 (DoS) 攻撃に対して防御する
サービス拒否 (DoS) 攻撃に対する防御は、一般的に非常に困難ですが、Exchange にはこの防御を支援するいくつかの設定があります。SMTP 仮想サーバーでメッセージ制限パラメータを設定することによって、メッセージごとの最大受信者数、最大メッセージ サイズ、接続ごとの最大メッセージ数などを指定できます。これらの制限によって、メール転送を使用したサービス拒否攻撃は非常に困難なものになります。
注: メッセージ制限の設定に関する詳細情報については、マイクロソフト サポート技術情報の 319356「[HOW TO] Exchange 2000 Server で不要な広告電子メールを防ぐ方法」を参照してください。
サービス拒否攻撃の別の形態として、特定のサーバーのディスクの空き容量がなくなるまで膨大な量のメールを送り続ける、というものがあります。この攻撃は、メールボックスおよびパブリック フォルダの格納域のサイズを制限することによって回避できます。
注: 記憶域のサイズの設定に関する詳細情報については、マイクロソフト サポート技術情報の 319583「[HOW TO] Exchange 2000 Server のメールボックスで格納域の制限を構成する方法」を参照してください。
アクセス権限グループと管理グループを使用して Exchange 2000 へのアクセスを制御する
どのようなアプリケーションを使用する場合でも、Exchange のアクセス権限を定義する際は、環境内で Exchange 管理者にどのような役割を与えるかを検討し、必要な権限だけを付与する必要があります。権限付与のプロセスを簡略化するために、Exchange 2000 では管理グループを使用します。管理グループはそれぞれ、アクセス権限の管理と委任を目的としてグループ化された Exchange 2000 オブジェクトのコレクションです。管理グループには、ポリシー、ルーティング グループ、パブリック フォルダ階層構造、サーバー、会議オブジェクト、およびチャット ネットワークを含めることができます。たとえば、対象環境内に Exchange 2000 を実行する 2 セットのサーバーを管理する 2 組の管理者が存在する場合は、それら 2 セットのサーバーが含まれた 2 つの管理グループを作成できます。対象組織で使用する管理モデルに基づいて、組織のニーズに応じた管理計画を作成できます。
管理グループおよび Exchange 組織にアクセス権限を割り当てる最も簡単な方法は、Exchange 管理委任ウィザードを使用することです。このウィザードを使用するには、Exchange 組織に対してフル コントロールのアクセス権限を持ったユーザーとしてログオンしておく必要があります。Exchange 管理委任ウィザードを開始するには、Exchange システム マネージャで対象の組織または管理グループを右クリックし、[制御の委任] をクリックします。
3 種類の管理役割が用意されています。
表 1: Exchange 2000 の管理役割
役割 | 説明 |
---|---|
Exchange 管理者 (参照のみ可) | 対象コンテナ以下のすべてのオブジェクトのプロパティについて、一覧と読み取りの権限が付与されます。オブジェクト プロパティの修正を行う必要がない管理者には、常にこの役割を割り当てます。 |
Exchange 管理者 | 所有権の取得、アクセス権限の変更、またはユーザーのメールボックスのオープンを除いたすべての権限が付与されます。オブジェクトの追加、またはオブジェクト プロパティの変更は必要だが、オブジェクトのアクセス権限の委任は必要ない管理者にこの役割を割り当てます。 |
Exchange 管理者 (完全) | 対象コンテナ以下のすべてのオブジェクトについて、ユーザーのメールボックスのオープンまたはユーザーのメールボックスの偽装を除き、アクセス権限の変更を含むすべての権限が付与されます。オブジェクトのアクセス権限の委任が必要か、管理グループに新しいサーバーを追加する必要のある管理者だけにこの役割を割り当てます。 |
名前 | 含まれるアイテム | 適用されるポリシー | アクセス権限 |
---|---|---|---|
Management | パブリック フォルダ コンテナ ルーティング グループ コンテナ システム ポリシー コンテナ |
なし | Exchange Management: フル コントロールの許可 Group A Admin: フル コントロールの拒否 Group B Admin: フル コントロールの拒否 |
London | サーバー | サーバー ポリシー メールボックス ストア ポリシー パブリック フォルダ ストア ポリシー |
Exchange Management: フル コントロールの許可 Group A Admin: フル コントロールの許可 |
New York | サーバー | サーバー ポリシー メールボックス ストア ポリシー パブリック フォルダ ストア ポリシー |
Exchange Management: フル コントロールの許可 Group B Admin: フル コントロールの許可 |
ユーザー管理を制御する
Exchange 2000 では、メールボックスが有効なユーザー、メールが有効なユーザー、およびメールが有効な連絡先は、すべて、[Active Directory ユーザーとコンピュータ] の設定によって制御されます。これにより、Exchange のその他の要素と分離し、組織単位のレベルでユーザーに対する管理権限を委任できるため、きめ細かい管理を行うことができます。
注: ユーザーの Exchange 設定を変更するには、管理者は少なくとも Exchange 組織に対する「Exchange 管理者 (参照のみ可)」権限を持っている必要があります。
要約
Exchange 2000 環境のセキュリティ向上を実現するには、多くの要素があります。第一に、基本となる Windows 環境のセキュリティが最大限に確保されている必要があります (詳細については、『Microsoft Windows 2000 Server セキュリティ運用ガイド』を参照してください)。次に、Exchange 2000 自体のセキュリティ向上のための対策を実施する必要があります。このモジュールおよび以降のモジュールでは、こうした対策について説明しています。
関連情報
「Exchange 2000 Server Operations Guide」
https://technet.microsoft.com/library/dd277322.aspx
マイクロソフト セキュリティ情報の定期購読に関する情報
https://www.microsoft.com/japan/technet/security/bulletin/notify.mspx
Windows 2000 Server のセキュリティ ロールアップ パッケージの詳細
https://www.microsoft.com/japan/technet/archive/security/news/w2ksrp1.mspx?mfr=true
Microsoft Windows 2000 Server セキュリティ運用ガイド
https://www.microsoft.com/japan/technet/security/prodtech/windows2000/staysecure/default.mspx
Exchange 2000 の推奨構成および更新の詳細 (英語)
https://technet.microsoft.com/library/cc750063.aspx
Exchange 組織外からのメールが確実に未解決として処理される方法の詳細
https://support.microsoft.com/default.aspx?scid=kb;ja;288635
DNS 逆引き参照の使用方法
https://support.microsoft.com/default.aspx?scid=kb;ja;319356
Outlook 2002 を使用して迷惑メールを防御する方法の詳細
https://office.microsoft.com/ja-jp/outlook/HA010347791041.aspx
Exchange サーバー上で使用するウイルス対策ソフトウェアの詳細
https://support.microsoft.com/default.aspx?scid=kb;ja;245822
Exchange 2000 Server で迷惑メールをフィルタ処理する方法の詳細
https://support.microsoft.com/default.aspx?scid=kb;ja;276321
格納域の制限の設定方法の詳細
https://support.microsoft.com/default.aspx?scid=kb;ja;319583