セキュリティを考慮したネットワーク設計を行うには、TeamWARE Officeのサービスのネットワーク形態と、対象となる利用者を検討する必要があります。TeamWARE Officeサービスのネットワークから見た利用形態とそれぞれの留意事項を以下に示します。
注意
イントラネット内の通信の暗号化は、導入費用・保護資産の重要性・イントラネット内に存在する悪意のあるユーザの可能性を考慮した上、導入の検討をお願いします。
外部からのアタックの侵入経路となる通信機器(ファイアウォール、ルータ)では、内部のネットワークを保護するために、ポートの制限・フィルタリングなどのセキュリティ対策を実施することでセキュリティを強化することができます。また経路上の通信機器ではモニタ・ログ等を使用して回線を監視することで回線異常を早期に発見でき、セキュリティを保持できるようになります。
プロキシサーバを経由してTeamWARE Office Webサ-ビスにアクセスする場合、プロキシサーバの設定として、TeamWAREサーバへのアクセスは必ずキャッシュしない設定にしてください。TeamWAREサーバへのアクセスをキャッシュした場合、プロキシサーバが不当な結果をブラウザに返却する場合があります。
また、プロキシサーバ自体にも、セキュリティ対策(O.1の「サーバの保護」)を実施し、不正なアタックの踏み台になることを予防してください。
TeamWARE Officeを含むシステムのサーバはイントラネット内またはDMZ内に配置して、第三者がどこからでもアクアセスできるようなことのないようにしてください。
同一のサブドメイン内にTeamWARE Officeを含むシステムのサーバを配置することでcookieが利用される範囲が限定されますので、セキュリティを高めることができます。
ここでは、以下の接続形態について説明します。
接続形態 |
|---|
イントラネット内での利用 |
DMZに配置されたプロキシサーバ経由の利用 |
イントラネットのクライアントからのアクセス |
公開サーバとしてインターネット上のクライアントから利用 |
各接続形態の詳細を説明します。
イントラネット内での利用
サーバもクライアントもイントラネット内にあります。外部ネットワークとの接点は、メールの送受信などインターネット標準プロトコルでのサーバ間通信などに限られる利用形態です。
この場合の留意事項は、以下のとおりです。
外部ネットワークとの接点にはファイアウォールを設置し、必要最低限のプロトコル(たとえば、SMTP)のみをイントラネット内に通過させるように設定します。
外部メールからのコンピュータウイルスの侵入に備え、TeamWARE Officeサーバ側、およびクライアント側へのウイルス対策用ソフトウェアの導入をお勧めします。"L.4.4 コンピュータウイルスの侵入、および拡散防止"を参照してください。
TeamWARE Officeのセキュリティ設定の観点では、セキュリティオプションのSSL機能の導入をお勧めします。セキュリティオプションのSSL機能では、SSLプロトコルにより通信データを暗号化し、盗聴・改ざんを防止できます。この他に一般的なセキュリティ対策(ログインポリシーの設定、監査ログ)を実施します。
Webサービス、およびインターネット標準クライアント(PO3/IMAP4クライアント)を使用する場合、セキュリティオプションのSSL機能を導入することにより通信データを暗号化し、盗聴・改ざんを防止できます。
TeamWARE Officeサーバのログインポリシー、および監査ログを適切に設定します。
DMZに配置されたプロキシサーバ経由の利用
インターネットのクライアントから、DMZ(DeMilitarized Zone)に配置されたプロキシサーバを経由して接続する利用形態です。
この場合の留意事項は、以下のとおりです。
DMZにリバースプロキシ機能を有したプロキシサーバを配置します。リバースプロキシ機能とは、イントラネット外のクライアントからの要求をイントラネット内のサーバに中継するプロキシです(通常のプロキシは、イントラネット内のクライアントの要求を外部のWebサーバに中継します)。
これにより、インターネットのWebブラウザからの要求を中継させ、不正アクセスを防止します。
インターネットを経由してWebサービスを使用する場合には、リバースプロキシ機能を有したプロキシサーバをご利用ください。また、セキュリティ強化のために、プロキシサーバのSSL通信機能、またはセキュリティオプションのSSL機能の導入をお勧めします。セキュリティオプションのSSL機能では、SSLプロトコルにより通信データを暗号化し、盗聴・改ざんを防止できます。
リバースプロキシを利用して、Webサービスにアクセスする場合には、以下の点に注意してください。
要求元と中継先のURLのマッピングでは、仮想ディレクトリを設定せずに、使用してください。
外部からのコンピュータウイルスの侵入に備え、サーバ側へのウイルス対策用ソフトウェアの利用をお勧めします。
TeamWARE Officeサーバのログインポリシー、および監査ログを適切に設定します。
リバースプロキシ経由では、ActiveX機能を利用できない場合があります。リバースプロキシによっては、"12.3.16 [SSO]セクション" の設定を行うことで、ご利用できる場合がありますので、こちらも参照してください。なお、上記設定をしてもご利用できない場合で、ブラウザとしてWindows® Internet Explorerを使用する場合は、ドラッグ&ドロップによる添付ファイルの追加機能を無効にしてください。
設定方法の詳細については、"12.3.5 [Document]セクション"を参照してください。
イントラネットのクライアントからのアクセス
イントラネットのクライアントから、イントラネットのサーバへ接続する利用形態です。
この場合の留意事項は、以下のとおりです。
企業間/支部間のエクストラネットでインターネットを経由する場合、またはASP(Application Service Provider)タイプの運用形態です。データの盗聴・改ざん防止のため、双方のイントラネット間にVPN(Virtual Private Network)を構築します。
VPNを構築した場合、TeamWARE Officeのセキュリティ設定の観点では特別な対処は必要ありません。一般的なセキュリティ対策(ログインポリシーの設定、監査ログ)を実施します。
公開サーバとしてインターネット上のクライアントから利用
サーバをDMZに配置します。インターネットからの匿名利用者、許可された利用者、または許可された端末から接続する利用形態です。
この場合の留意事項は、以下のとおりです。
公開サーバとしての利用という観点から、個人情報や機密性の高い情報を扱うような使用方法は避けます。イントラネットの業務とは完全に切り離した状態で利用してください。
インターネットに公開するサーバをファイアウォール、およびプロキシサーバの管理下に設置(DMZ構築)し、通過させるプロトコルや接続相手の制限などを実施して不正アクセスを防止するようにしてください。
インターネットからのアクセスは、httpプロトコル(またはhttpsプロトコル)のみに限定します。
インターネットを経由してWebサービスを使用する場合、プロキシサーバのSSL通信機能、またはセキュリティオプションのSSL機能の導入をお勧めします。セキュリティオプションのSSL機能では、SSLプロトコルにより通信データを暗号化し、盗聴・改ざんを防止できます。
外部からのコンピュータウイルスの侵入に備え、サーバ側へのウイルス対策用ソフトウェアの利用をお勧めします。
TeamWARE Officeサーバのログインポリシー、および監査ログを適切に設定します。
注意
以下に示す接続形態での利用はセキュリティ上危険です。このような接続形態は避けてください。
インターネット上のクライアントから直接イントラネット内のTeamWARE Officeサーバに接続する利用形態。
TeamWARE Officeをインターネット経由で利用する場合は、システムの安全性に常に注意を払ってください。なお、インターネットからの基幹イントラネット内の機密データや従業員データへのアクセスはセキュリティ上危険ですので、基幹システムとは独立した環境(サーバ)に対してのみインターネットからアクセスさせる運用をお勧めします。
