第2回 メッセージ送受信へのセキュリティ対策


竹島 友理
NRIラーニングネットワーク株式会社
2005/9/15


 いよいよ実りの秋に突入です。気分良く過ごせるようになってきたので、仕事や勉強に精を出すのによい季節! さて、今回からは、Exchange Server 2003環境でのセキュリティ対策を紹介していきます。

 本稿では、データ盗難・改ざん対策として、Exchange Server 2003環境におけるS/MIME(Secure/Multipurpose Internet Mail Extensions)、SSL(Secure Sockets Layer)、TLS(Transport Layer Security)について見ていきます。その前に、セキュリティ対策の基本であるユーザー管理と認証について簡単に整理しておきましょう。

 Active Directoryによるユーザーオブジェクトと
 メールボックスの管理

全員が「Suzukiさん」のアカウントを共有していたら、どうなる?

 故意であろうとなかろうと、誰かがシステムに悪さをした場合、本人識別ができていればログを追跡して原因を究明することが可能です。

 しかし、もし大勢で1つのユーザーアカウントを共有していたら? 例えば、全員が「Suzuki」というユーザーアカウントでWindowsにログオンしていたら?

 これではログを記録していたとしても、どのユーザーなのかを判別できません。1つのユーザーアカウントをみんなで共有することは絶対にやってはいけません!

 では、メッセージング環境でアカウント(メールボックス)を共有すると何が起こりますか?

 自分あてのプライベートメッセージをすべて共有することになってしまいます。通常、このような構成にはしません。つまり、Windowsにログオンするユーザーアカウントも、自分あてのメッセージを格納するメールボックスも、1人1つずつ持つようにしてください。

メールボックスとユーザーは1対1の関係

 Exchange Server 5.5では、1つのユーザーアカウントに対して、複数のメールボックスを割り当てる構成が許されていましたが、Active Directoryと統合して動作するExchange 2000 Server/Exchange Server 2003になってからは、「メールボックスとユーザーオブジェクトの関係は1対1」というルールができました。

 つまり、1つのメールボックスを作成するには、1つのActive Directoryユーザーオブジェクトが必要になります。実際には、ユーザーオブジェクトの1つの属性としてメールボックスが構成されます。ですから、このメールボックスへの接続は、Windowsにログオンするときに入力するユーザー名とパスワードがそのまま使用されます(シングルサインオン)。

図1 ユーザーオブジェクトとメールボックスは1対1

証明書による高度な認証機能

 Active Directoryは、CA(Certificate Authority:認証局)と呼ばれる証明書発行機関から発行されるデジタル証明書を利用する認証方式をサポートしています。例えば、スマートカードログオン認証やIEEE 802.1xに準拠した証明書認証などがそうです。もちろん、Exchange Server 2003環境でもサポートされています。

 スマートカードを導入し、それをカードリーダから引き抜くと画面がロックするようにしておけば、不正ログオンを防ぐ手段になります。この設定は、Active Directoryのグループポリシーを活用することで、たとえクライアントが何台あっても一括で管理できます。さらに、スマートカードログオンをオフィス内の入出カードキーと併用させておくと、不正ログオン防止を徹底しやすくなります。

 一方、IEEE 802.1xに準拠した証明書認証は、無線LAN環境でも有線LAN環境でも利用可能なので、不正端末からの社内ネットワークへの侵入の防止策として利用可能です。例えば、第三者が皆さんの会社に不正侵入して、持ち込んだノートPCを社内ネットワークに接続しても、認証されなければ社内ネットワークに入れません。

 
1/3

Index
メッセージ送受信へのセキュリティ対策
Page1
Active Directoryによるユーザーオブジェクトとメールボックスの管理
- 全員が「Suzukiさん」のアカウントを共有していたら、どうなる?
- メールボックスとユーザーは1対1の関係
- 証明書による高度な認証機能
  Page2
S/MIME、SSL、TLSって何?
S/MIMEでメールのメッセージ自体を守ろう!
  Page3
SSLでクライアントとサーバ間の通信を守ろう!
フロントエンド/バックエンドサーバ構成ではSSLがお勧め!
Exchange Server 2003のSMTP通信を保護するTLS
コラム:SSLとTLS


関連記事
基礎から学ぶExchange Server 2003運用管理

Security&Trust記事一覧


Security&Trust フォーラム 新着記事
@ITメールマガジン 新着情報やスタッフのコラムがメールで届きます(無料)

注目のテーマ

Security & Trust 記事ランキング

本日 月間