適用対象:
2015 2019 サブスクリプション エディション
TLS プロトコルと MTLS プロトコルにより、インターネット上での通信の暗号化とエンドポイント認証機能が提供されます。 Skype for Business Serverでは、これら 2 つのプロトコルを使用して、信頼されたサーバーのネットワークを作成し、そのネットワーク経由のすべての通信が確実に暗号化されるようにします。 サーバー間のすべての SIP 通信は MTLS により行われます。 クライアントからサーバーへの SIP 通信は TLS により行われます。
TLS を使用すると、ユーザーはクライアント ソフトウェアを使用して、接続先のSkype for Business Server サーバーを認証できます。 TLS 接続の場合、クライアントはサーバーからの有効な証明書を要求します。 証明書が有効であると見なされるためには、証明書の発行元の CA がクライアントからも信頼されていること、およびサーバーの DNS 名が証明書の DNS 名に一致していることが必要です。 証明書が有効な場合、クライアントは証明書内の公開キーを使用して、通信に使う対称暗号化キーを暗号化し、証明書の最初の所有者だけが、その秘密キーを使用して通信の内容を暗号化することができます。 この接続は信頼済みと見なされ、それ以降は他の信頼されたサーバーやクライアントからチャレンジされません。 このような意味合いで、Web サービスで使用される SSL (Secure Sockets Layer) は TLS ベースであるということができます。
サーバー間接続は、相互認証のために MTLS に依存します。 MTLS 接続では、サーバーが発信したメッセージをサーバーが受信すると、相互に信頼できる CA からの証明書を交換します。 証明書は、各サーバーの ID を他のサーバーに証明します。 Skype for Business Server展開では、有効期間中であり、発行元 CA によって取り消されないエンタープライズ CA によって発行された証明書は、Active Directory ドメインのすべてのメンバーがそのドメイン内の Enterprise CA を信頼しているため、すべての内部クライアントとサーバーによって自動的に有効と見なされます。 フェデレーション シナリオでは、発行元 CA は両方のフェデレーション パートナーによって信頼されている必要があります。 必要に応じて、その CA が他のパートナーからも信頼されている限り、各パートナーは異なる CA を使用できます。 この信頼は、パートナーのルート CA 証明書が信頼されたルート CA に存在するエッジ サーバー、または両方の当事者によって信頼されているサード パーティ CA を使用することによって最も簡単に実現されます。
TLS および MTLS は、盗聴と中間者攻撃の両方を防ぐのに役立ちます。 中間者攻撃では、攻撃者は 2 つのネットワーク エンティティ間の通信を、双方に気付かれることなく、攻撃者のコンピューターを経由して再ルーティングします。 信頼されたサーバーの TLS とSkype for Business Server仕様 (トポロジ ビルダーで指定されたもののみ) は、2 つのエンドポイント間の公開キー暗号化を使用して調整されたエンド ツー エンド暗号化を使用して、アプリケーション 層の中間者攻撃のリスクを軽減します。攻撃者は、対応する秘密キーを持つ有効で信頼された証明書を持ち、対応する秘密キーを持ち、その名前に発行する必要があります。クライアントが通信しているサービスを使用して通信の暗号化を解除します。 とはいえ、結局は、現在のネットワーク インフラストラクチャ (このケースでは社内 DNS) でのセキュリティのベスト プラクティスに従う必要があります。 Skype for Business Serverは、ドメイン コントローラーとグローバル カタログが信頼されるのと同じ方法で DNS サーバーが信頼されていることを前提としていますが、DNS では、攻撃者のサーバーがスプーフィングされた名前に対する要求に正常に応答できないようにすることで、DNS ハイジャック攻撃に対する一定のセーフガードが提供されます。