インターネットでSMBファイル共有を安心して使える時代が到来?――AzureファイルストレージMicrosoft Azure最新機能フォローアップ(9)(3/3 ページ)

» 2015年11月13日 05時00分 公開
[山市良テクニカルライター]
前のページへ 1|2|3       

【注意】ファイアウオールのポート開放は熟慮の上で

 Windows 8およびWindows Server 2012以降のWindows(およびSMB 3.0をサポートするLinux)からは、SMB暗号化が有効なSMB 3.0を使用して、Azureファイルストレージの共有フォルダーに接続できます。

 Windows 7およびWindows Server 2008 R2の場合はSMB 2.1までしか対応していないため、オンプレミスや別リージョンのAzure仮想マシンからは接続できません。それ以前のWindowsはSMB 2.1に対応していないため、場所に関係なく共有フォルダーに接続することはできません。

 インターネット経由で共有フォルダーにアクセスする場合は、SMB 3.0のSMB暗号化で保護されているかどうか気になるでしょう。「Get-SmbConnection」コマンドレットを使用すれば、SMB暗号化で保護されている(EncryptedがTrueである)ことを確認できます(画面6)。

画面6 画面6 「Get-SmbConnection」コマンドレットでSMB暗号化(Encrypted)が有効(True)であることを確認できる

 なお、SMB暗号化に対応していないSMB 2.1クライアント(Windows 7など)からインターネット経由で共有フォルダーにアクセスすると、「システムエラー5が発生しました。アクセスが拒否されました。」というエラーが表示されて接続が拒否されます。

 また、Azureファイルストレージの共有フォルダーにオンプレミスやモバイル環境、あるいは自宅から接続する際には、ファイアウオールでTCPポート445への送信方向のトラフィックが許可されていなければなりません。許可されていないと接続に失敗し、「システムエラー53が発生しました。ネットワークパスが見つかりません」と表示されます。

 ブロードバンドルーターの中には、TCPポート445を含むSMBトラフィックの送受信をブロックするものがあります。また、ネットワークサービスプロバイダーによっては、SMBトラフィックを許可していない場合もあります。その理由は、前述したようにSMBがインターネットでの利用を想定されたプロトコルではなく、セキュリティ上のリスクがあるからです。

 Azureファイルストレージを利用するためにTCPポート445への発信を許可する前に、セキュリティ上のリスクをよく検討してください。Azureファイルストレージの利用はSMB暗号化で保護されますが、Azureファイルストレージとは関係のないSMBトラフィックがセキュリティ問題になる可能性があります。なお、Azureファイルストレージのために受信方向のTCPポート445は開放する必要はありませんし、決して開放するべきではありません。

 例えば、2015年の春、Windowsに古くから存在していた、以下のグループポリシーの脆弱(ぜいじゃく)性が公表されました。この脆弱性は、Active Directoryドメインに参加するシステムを、攻撃者が制御しているネットワークに接続するように誘導できる条件下において、脆弱性を悪用してリモートコードの実行が可能になるというものでした。

 そもそも、オンプレミスのネットワークの境界でSMBトラフィックがブロックされていれば、攻撃者が制御しているネットワークに誘導されたとしても成功しないため、脆弱性が悪用されるリスクは軽減されます。

 特定のトラフィックがファイアウオールでブロックされるネットワークは、ブロックされないネットワークよりも確実に安全です。通信に必要だからポートを開くのではなく、リスクを承知し、影響を検討した上で開くようにしましょう。

 筆者の自宅のブロードバンドルーターは、既定でTCPポート445の発信をブロックしていました。Azureファイルストレージを試用するために一時的に発信方向だけを許可しましたが、試用後に再びブロックするように戻しました。つまり、これまでも、そして今後も、筆者の自宅からAzureファイルストレージを利用することはできません。

「Microsoft Azure最新機能フォローアップ」バックナンバー

筆者紹介

山市 良(やまいち りょう)

岩手県花巻市在住。Microsoft MVP:Hyper-V(Oct 2008 - Sep 2016)。SIer、IT出版社、中堅企業のシステム管理者を経て、フリーのテクニカルライターに。マイクロソフト製品、テクノロジを中心に、IT雑誌、Webサイトへの記事の寄稿、ドキュメント作成、事例取材などを手掛ける。個人ブログは『山市良のえぬなんとかわーるど』。


前のページへ 1|2|3       

Copyright © ITmedia, Inc. All Rights Reserved.

RSSについて

アイティメディアIDについて

メールマガジン登録

@ITのメールマガジンは、 もちろん、すべて無料です。ぜひメールマガジンをご購読ください。