第6回 Exchange Serverへの安全なリモートアクセス(前編)
竹島 友理NRIラーニングネットワーク株式会社
2006/4/29
いつでも、どこからでも自由自在! でも、安全なの?
このように、インターネットに接続できる環境さえあれば、さまざまなデバイスを使用して企業ネットワーク内にあるExchange Server 2003にアクセスできます。いつでも、どこからでも、自分あてのメールや予定表を確認できれば、きっとユーザーの利便性も業務効率も飛躍的に向上するでしょう。
しかし、インターネットを通じて簡単にExchange Server 2003へのアクセスが可能になるということは、それに伴って、さまざまなセキュリティリスクが発生する可能性も高くなるということです。例えば、
- Exchange Server 2003が外からアクセスされて、危険ではないの?
- 通信している情報が第三者に盗み見られたり、メッセージが改ざんされたりしないの?
- インターネットカフェの端末に、資格情報が残ってしまうことはないの?
- インターネットカフェの端末で、ダウンロードした添付ドキュメントを削除し忘れたら大変!?
などです。
また、肝心のファイアウォールの構成はどのようになるでしょうか。とても便利なインターネットアクセスを、「ぜひ利用したい」と思っても、ファイアウォールの設定が大変だったり、ファイアウォールレベルでOWAなどのセキュリティが確保できなかったりしたら、実際の導入は困難です(ISA Serverを使ったファイアウォールの構成は後編で取り上げます)。
それでは、インターネットアクセス環境で考えられる問題とその対策を見ていきましょう。
Exchange 2003が外からアクセスされて、危険ではないの?
●メッセージストアをインターネットへ公開しないから大丈夫
メッセージストアや、ユーザー情報を登録しているActive Directoryをインターネットに公開しないように、Exchange Serverにはフロントエンド/バックエンドというサーバの構成方法があります。この構成は、本連載の第1回「メッセージ環境の保護について考える」でも紹介しています。
フロントエンドサーバもバックエンドサーバも、どちらもExchange Serverですが、フロントエンドサーバはストア処理を行わず、インターネットクライアントとの窓口になります。メッセージデータは、バックエンドに控えているユーザーのホームサーバ(バックエンドサーバ)がすべて処理します。
 |
| 図5 フロントエンド/バックエンドサーバ構成 |
フロントエンドサーバとバックエンドサーバは、以下のように動作します。
- フロントエンドサーバがインターネットユーザーからの要求を受け取ります
- フロントエンドサーバは、DNSを参照してドメインコントローラにアクセスしてユーザー認証を行います。続けてActive Directoryから、そのユーザーと関連付けられているメールボックスおよびそのメールボックスが配置されているバックエンドサーバを確認します
- メールボックスとバックエンドサーバが確認されると、ストア処理要求はフロントエンドサーバからバックエンドサーバに直接転送されます
- バックエンドサーバはストア処理を行い、情報をフロントエンドサーバを介してクライアントに返します
フロントエンドサーバを構成するには、以下を参照してください。
| 【関連リンク】 フロントエンドサーバーを指定する方法 |
フロントエンド/バックエンドサーバは、Exchange 2000 Serverでも構成できますが、Exchange Server 2003のOWA(OWA 2003)の機能を使用するには、フロントエンドとバックエンドの両方がExchange Server 2003である必要があります。これは、OMAおよびExchange ActiveSyncも同様です。
盗み見られたり、メッセージが改ざんされたりしないの?
●インターネット通信を暗号化できます
OWA、OMA、RPC over HTTPなど、インターネットクライアントからExchange Server 2003にアクセスするすべてのプロトコルは、SSLによる暗号化通信をサポートしています。ぜひとも、クライアントとフロントエンドサーバ間で送受信されるデータをSSLでセキュリティ保護しましょう。特に、基本認証を使用する場合は、SSLを使用してユーザーパスワードをネットワークパケットの傍受から守りましょう。
ところで、SSLはフロントエンドサーバによって解除されるため、フロントエンドサーバとバックエンドサーバ間をSSLで通信することはできません。従って、この間の暗号化を行う場合は、Windows Server 2003が持っているIPSec機能を利用します。
 |
| 図6 SSLとIPSecの併用 |
●メッセージ自体を保護できます
Outlook 2003とOWA 2003は、S/MIMEによるメールの暗号化とデジタル署名機能をサポートしています。そのため、ユーザー間のメールの機密性と整合性が確保できます。
SSLとS/MIMEの詳細は、本連載の第3回「Exchange Server 2003のS/MIME、SSL、TLSの実装手順」を参照してください。
◆ ◇ ◆
Exchangeサーバへ安全にリモートアクセス(後編)では、インターネットカフェからのアクセス対策やISA Server 2004を使ったファイアウォールの構成について解説します。
 |
2/2
|
| Index | |
| Exchange Serverへの安全なリモートアクセス(前編) | |
| Page1 Exchange Server 2003にアクセスする手段はいろいろ WebブラウザからExchange Serverに接続したい 携帯電話やPDAからExchange Serverに接続したい 自宅からOutlookでExchange Serverに接続したい |
|
 |
Page2 いつでも、どこからでも自由自在! でも、安全なの? Exchange 2003が外からアクセスされて、危険ではないの? 盗み見られたり、メッセージが改ざんされたりしないの? |
| 関連記事 |
| 基礎から学ぶExchange Server 2003運用管理 |
 |
Security&Trust記事一覧 |
- Windows起動前後にデバイスを守る工夫、ルートキットを防ぐ (2017/7/24)
Windows 10が備える多彩なセキュリティ対策機能を丸ごと理解するには、5つのスタックに分けて順に押さえていくことが早道だ。連載第1回は、Windows起動前の「デバイスの保護」とHyper-Vを用いたセキュリティ構成について紹介する。 - WannaCryがホンダやマクドにも。中学3年生が作ったランサムウェアの正体も話題に (2017/7/11)
2017年6月のセキュリティクラスタでは、「WannaCry」の残り火にやられたホンダや亜種に感染したマクドナルドに注目が集まった他、ランサムウェアを作成して配布した中学3年生、ランサムウェアに降伏してしまった韓国のホスティング企業など、5月に引き続きランサムウェアの話題が席巻していました。 - Recruit-CSIRTがマルウェアの「培養」用に内製した動的解析環境、その目的と工夫とは (2017/7/10)
代表的なマルウェア解析方法を紹介し、自社のみに影響があるマルウェアを「培養」するために構築した動的解析環境について解説する - 侵入されることを前提に考える――内部対策はログ管理から (2017/7/5)
人員リソースや予算の限られた中堅・中小企業にとって、大企業で導入されがちな、過剰に高機能で管理負荷の高いセキュリティ対策を施すのは現実的ではない。本連載では、中堅・中小企業が目指すべきセキュリティ対策の“現実解“を、特に標的型攻撃(APT:Advanced Persistent Threat)対策の観点から考える。
 |
|
|
|
|
