Skype for Business Online - メディアポートの解説・その3
Japan Lync/Skype サポート チームです。
第二回では複数あるポートがどのような接続に用いられるものであるか説明し、開放することによるメリットについてお話しさせていただきました。 今回はより具体的な利用シーンに即したポート開放の方針について解説いたします。
Skype for Business Online - メディアポートの解説・その1
Skype for Business Online - メディアポートの解説・その2
< 想定されるケース >
ポートの開放はセキュリティ上の要件と、開放することにより得られるメリットとの兼ね合いでどこまで開放するか検討する必要があります。 通信品質に影響が出る場合は、セキュリティ上の要件を緩和してポート開放を試みることも重要です。 想定される利用シーンに応じて、開放が必要となるメディアポートは次の様になります。
- 推奨
社内と社外のクライアント間で P2P 通信する場合も、リレー接続とはならずに直接通信することを可能とします。 オンライン会議への参加時も UDP が用いられ、あらゆるシチュエーションで品質の高い接続が選択されます。
ホワイトースペース - オンライン会議の品質は高めたい場合
オンライン会議へ UDP で接続するためには、最低限 UDP 3478 がダイレクトに接続可能である必要があります。 社内外の P2P 通信はリレー接続となりますが、オンライン会議の品質を確保しつつセキュリティを高めたい場合に適しています。 また、Proxy Server を利用しない接続となるため、Proxy Server の負荷などによる品質劣化が避けられます。
ホワイトスペース - 最もセキュリティを高めたい場合
インターネットへの接続がダイレクトに許可されておらず、必ず Proxy Server 経由とする必要がある場合は TCP 443 のみでの接続も可能です。 セキュリティは高まることとなりますが、品質面での優位性を失うこともあります。 特に Proxy Server における負荷が品質に影響する場合は、Skype for Business Online の通信のみを除外し、ダイレクトに接続可能とすることで改善するケースもあります。
< ポート開放の方向 >
ファイアウォールでポートを開放する際は、上記にも記載しているとおりアウトバウンド方向にのみ開放すればよいこととなります。 昨今のファイアウォール装置はステートフル インスペクションの機能が一般的に実装されており、外部から内部へのインバウンド方向をあらかじめ開放しておく必要はありません。
これまで説明させていただいたとおり、TCP/UDP 5xxxx や UDP 3478 のポート開放は必ずしも必要ではありません。 インターネットアクセスのセキュリティ要件により、TCP 443 以外のポートが開放できない場合は TCP 443 のみでも接続を可能とする実装になっています。 しかしながら、セキュリティを高めることと通信品質を確報することは相反する要素となります。 企業ネットワークにおいて、セキュリティの確保は最優先となりますが、品質面で問題が出た場合はポートを開放することによるメリットとリスクを十分に理解していただいた上で、開放を検討いただくことも重要となります。
本情報の内容 (添付文書、リンク先などを含む) は、作成日時点でのものであり、予告なく変更される場合があります。