セキュリティに関する考慮事項
Version 22.0.8500
セキュリティに関する考慮事項
Version 22.0.8500
このセクションでは、API Server をインストールおよび設定する際のセキュリティ対策について説明します。
SSL/TLS
Note:サーバーでSSL/TLS を有効にすることを強くお勧めします。
SSL/TLS はクライアントとサーバー間の通信チャネルを暗号化します。このプロトコルは、公開鍵、秘密鍵での暗号化により、データの機密性、真正性、および完全性を保護します。追加で、電子証明書の使用により、TLS はクライアント/サーバーの本人確認のファシリティを提供します。
サーバーでTLS を有効化するには、次の案内からお客様の環境に合致するものをお選びください。
Windows
スタンドアロンサーバーを使う場合には、組み込みサーバー を参照してください。IIS を使う場合には、IIS での設定 を参照してください。
Java
TLS を有効化する方法は、API Server をホストするJava Servlet のドキュメントを参照してください。
セキュアなパスワード
強いパスワードのベストプラクティスは、お客様のWeb サーバーのドキュメントを参照してください。多くのWeb サーバーはパスワードハッシュをパスワードとは別にストアするオプションがあります。これはパスワードが強ければ、よりセキュリティが高いオプションです。
組み込まれたWeb サーバーは、www フォルダ内のweb.config ファイルに、パスワードを平文テキストで保管します。ユーザーパスワードハッシュを別の場所に保管する方法については、ASP.NET のドキュメントを参照してください。
プロセスの権限
Web サーバープロセスが実行されるユーザーおよびロールのベストプラクティスについては、Web サーバーのドキュメントを参照してください。
組み込まれたWeb サーバーは安全に暗号化された接続のためのTLS 証明書の設定には、管理者権限が必要です。実行しているユーザーアカウントは、サービスとして実行してサービスが実行されるユーザーアカウントを変更することで変更することができます。別の方法として、アプリケーションをIIS でホストして任意のアカウントでサーバーを実行することができます。
ファイアウォール
アプリケーションに自社ネットワーク外からのアクセスを許容しなければならない場合、次のオプションが利用できます。
- マシンへの通信がセキュアな方法でアクセスされるためにファイアウォールが設定されているかをネットワーク担当者に相談する必要があります。
- 非武装地帯(DMZ)にAPI Server をデプロイし、ファイアウォールがAPI Server とデータの間に開いていることを確認します。
- Cloud Gateway 機能を使用してDMZ にリバースプロキシを作成し、ファイアウォールのルールが変更されないようにします。 いずれのオプションを選択した場合でも、特定のIP アドレスにアクセスを制限することや、ファイアウォールにサーバーへのアクセスを制限する他のフィルタをかけることができます。