Exchange の通信セキュリティを強化する
公開日: 2004年6月2日
トピック
Outlook 2002 における通信セキュリティを強化する
モジュールの内容
このモジュールでは、Microsoft® Exchange サーバーとクライアント間の通信のセキュリティを強化する方法について説明します。Microsoft Outlook® メッセージングおよびコラボレーション クライアント、およびサーバーの間で暗号化されたリモート プロシージャ コール (RPC) トラフィックを有効にする方法について説明します。Microsoft ISA (Internet Security and Acceleration) Server を使用して、Web クライアントと Exchange サーバー間のトラフィックをセキュリティで保護する方法について、詳しく説明します。Exchange フロントエンド/バックエンド トポロジと、それを使用してクライアントとサーバー間のトラフィックのセキュリティを強化する方法についても説明します。最後に、Simple Mail Transfer Protocol (SMTP) トラフィックのセキュリティを強化する方法について説明します。
目的
このモジュールの目的は次のとおりです。
Outlook 2002 と Exchange の間の RPC 通信を暗号化する。
Outlook 2002 を使用してメッセージのデジタル署名と暗号化を行う。
SSL (secure sockets layer) の有無にかかわらず、ISA Server を使用して Exchange サーバーとの Web ブラウザ通信をセキュリティで保護する。
SSL を使用して、ISA Server と Outlook Web Access (OWA) フロントエンド間の通信を暗号化する。
IPSec を使用して、OWA フロントエンド サーバーとバックエンド Exchange サーバーの間の通信を暗号化する。
ISA Server とメッセージ スクリーナを併用または別個の SMTP ゲートウェイを使用して、SMTP トラフィックをセキュリティで保護する。
不要な SMTP 中継処理を防止する。
適用対象
このモジュールは、次の製品および技術に適用されます。
Microsoft Exchange 2000 Server
Microsoft Outlook 2002
Microsoft Windows® 2000 オペレーティングシステム Active Directory® ディレクトリサービス
Microsoft Internet Security and Acceleration (ISA) Server
モジュールの使用方法
このモジュールは、『Microsoft Windows 2000 Server セキュリティ運用ガイド』(日経 BP ソフトプレス発行、ISBN: 4-89100-334-0) の補足として利用できるように構成されています。このモジュールを読む前に、このガイドの内容を理解しておくことをお勧めします。このモジュールの各セクションは、『Microsoft Windows 2000 Server セキュリティ運用ガイド』に対応しています。『Microsoft Exchange 2000 Server Operations』(Microsoft Press、ISBN: 0-7356-1831-3、英語) の内容を理解しておくこともお勧めします。この本には、Exchange 2000 の全般的な運用に関する詳細情報が記載されています。
このモジュールの目的は、Exchange のコア機能にできるだけ影響を与えずに Exchange 2000 環境のセキュリティを確保できるようにすることです。このモジュールでは、Exchange 2000 を実行するサーバーの安全な環境を作成および維持するために必要な操作に焦点を当てています。このガイドは、セキュリティで保護された環境の作成および保守のすべてを網羅する完全なリファレンスとしてではなく、Exchange の全体的なセキュリティ計画の一部として使用してください。
このモジュールは、モジュール「Exchange 環境のセキュリティを確保する」およびモジュール「役割に基づいて Exchange 2000 サーバーのセキュリティを強化する」と共に使用してください。
このモジュールでは、暗号化された RPC、ISA Server、SSL、および IPSec を使用して Exchange フロントエンドおよびバックエンド サーバーのセキュリティを確保する方法だけでなく、SMTP トランスポートのセキュリティを確保する方法についても説明します。手順はモジュール方式で、サーバーの設定を構成する方法についてわかりやすく解説します。それらの手順を、新規または既存の Exchange 環境に適用できます。
はじめに
ネットワークのセキュリティを強化するには、個々のコンピュータのセキュリティだけでなく、コンピュータ間で転送されるデータについても検証する必要があります。どのような機能が使用可能かをチェックし、各機能に伴うリスクを考慮しながら、どの機能が実際に必要かを検証するのが最善のアプローチとなります。
このガイドでは、インターネット経由で電子メールを送受信できること、Outlook Web Access を使用してインターネット経由で Exchange にアクセスできることの必要条件を想定しています。このような機能が必要でないなら、システムをさらに強固にロックダウンすることが可能です。一方、POP3 と IMAP4 の機能を使用する場合は、その機能に対応した環境を整える必要があります。
このガイドで推奨しているフロントエンドおよびバックエンド環境では、インターネット経由でメールを送受信できると共に、インターネット経由で Exchange にアクセスすることができます。このモジュールでは、外部からのアクセスに対するセキュリティを強化する方法を述べ、クライアント側でのセキュリティ強化についても検証します。
注: ISA Server に用意されている Exchange リモート プロシージャ コール (RPC) アプリケーション フィルタを使用すると、インターネット経由で Outlook にアクセスすることができますが、このガイドでは、この方法による Exchange へのアクセスについては説明しません。「関連情報」セクションに示すホワイトペーパー「Microsoft ISA Server 2000 - Configuring and Securing Microsoft Exchange 2000 Server and Clients」(英語) および『Microsoft Exchange 2000 Server Hosting Series』(Microsoft Press、ISBN: 0-7356-1829-1 および 0-7356-1830-5、英語) を参照してください。
Outlook 2002 における通信セキュリティを強化する
Outlook 2002 では、次のような方法で通信セキュリティを強化できます。
Outlook 2002 から Exchange サーバーへの MAPI 接続を暗号化する。
S/MIME 証明書によるメッセージの署名と暗号化を行う。
Outlook 2002 から Exchange サーバーへの MAPI 接続を暗号化する
Windows 2000 には、RPC 通信の 128 ビット暗号化を実現するセキュリティ機能が組み込まれています。MAPI 接続は RPC 上で確立されるので、この機能を使用すると、Outlook 2002 クライアントから Exchange サーバーへの接続のセキュリティを強化できます。
Outlook 2002 から Exchange サーバーへの MAPI 接続を RPC で暗号化するには
Outlook 2002 で、[ツール] メニューの [電子メールアカウント] をクリックします。
[次へ] をクリックします。
Exchange サーバーが選択されていることを確認し、[変更] をクリックします。
[詳細設定] をクリックします。
[詳細設定] タブをクリックします。
[ネットワークを使用しているとき] チェック ボックスをオンにします。
[OK] をクリックします。
[次へ] をクリックします。
[完了] をクリックします。
注: Outlook 2002 でユーザープロファイルを設定する場合も、上記設定を指定できます。
RPC 暗号化では、MAPI クライアントから Exchange サーバーへのデータだけが暗号化されます。メッセージ自体は暗号化されません。
メッセージの署名と暗号化を行う
Outlook 2002 では、内部または外部の受信者に送信するメッセージに署名を付けて暗号化することができます。この暗号化を行うには、証明書が必要です。署名と暗号化の一方または両方を適用した電子メールをインターネット上の受信者に送信するには、サードパーティ ベンダから発行された証明書 (デジタル ID) を使用する必要があります。
クライアントに証明書をインストールすると、S/MIME を使用して署名付き暗号化メッセージを送信できるようになります。ただし、他のユーザーに暗号化メールを送信するには、送信先のユーザーの公開キーにアクセスできる必要があります。送信先のユーザーに署名付きメッセージを送信してもらい、そのユーザーを連絡先に追加すると、そのユーザーの公開キーにアクセスできるようになります。
注: メッセージの署名と暗号化の詳細については、マイクロソフト サポート技術情報の 286159「[OL2002] 暗号化とメッセージ保護の概要」 を参照してください。
Key Management Service
Exchange 組織内のユーザー間で署名付き暗号化メッセージを日常的に送信する場合は、Exchange 2000 に用意されている Key Management Service の使用を検討してください。このサービスでは、Windows 2000 の証明書サービスを使用して、公開キーへのアクセスを提供すると共に、プライベート キーについては、セキュリティの高い方法で集中管理します。これにより、クライアントは署名付き暗号化メッセージにシームレスにアクセスでき、グローバル アドレス リスト (GAL) に登録されている受信者にメッセージを送信することができます。
注: サードパーティ証明機関 (CA) に従属する証明機関と共にキー マネージメント サーバーを使用する場合は、Key Management Service をインターネット上の他のサービスと統合することができます。
OWA 通信のセキュリティを強化する
OWA との通信は非常にシンプルです。クライアントは、電子メールを送受信するときに Web ブラウザを通じて OWA サーバーと通信します。この通信には、ポート 80 が使用されます。通信がセキュリティで保護されている場合は、ポート 443 が使用されます。しかし、クライアントがポート 80 またはポート 443 を通じてフロントエンド サーバーに接続するときには、フロントエンド サーバーがドメイン内のドメイン コントローラと通信してユーザーを認証する必要があります。また、適切なメールボックスまたはパブリック フォルダの情報に実際にアクセスするには、フロントエンド サーバーが Exchange バックエンド サーバーと通信する必要があります。
バックエンド サーバーをファイアウォールの内側に置く一方で、OWA フロントエンド サーバーを境界領域のネットワーク (非武装地帯、すなわち DMZ) 内に置けば、OWA フロントエンド サーバーのセキュリティを強化できます。ただし、この方法を実際に使用するには、内部ファイウォールで多数のポートを開放しなければならなくなります。
ISA Server を使用して OWA のセキュリティを強化する
Microsoft ISA (Internet Security and Acceleration) Server などのアプリケーション レイヤ ファイアウォールを使用すると、内部ファイウォール上で開放するポートの数をできるだけ少なくすることができます。ISA Server では、SMTP サーバーと OWA フロントエンド サーバーの両方をファイアウォールの内側に配置することができます。ISA Server は、サーバー公開ルールと Web 公開ルールを使用し、実際にはファイアウォールの内側に存在するサーバーを、あたかもファイアウォール外のサーバーのように偽装します。つまり、外部からアクセスされるサーバーを DMZ 内に配置する必要がありません。
注: フロントエンド サーバーとその他のサーバーの間の通信に使用されるポートの一覧については、モジュールの最後の「関連情報」に記載されている「Exchange 2000 Front-end and Back-end Topology」を参照してください。
図 1 は、インターネット上の OWA クライアントに対して ISA Server が OWA Server を公開するしくみを示しています。
図 1 セキュリティを強化したファイアウォール構造
注: この構成の場合、フロントエンド OWA サーバーに対応する外部 DNS エントリからは、OWA フロントエンド サーバーのアドレスではなく、ISA Server 上で公開されている IP アドレスを参照する必要があります。
注: 既存の二重ファイアウォール インフラストラクチャを ISA Server による偽装に対応した構成に変更できない場合は、ISA Server を現在の内部ファイアウォールの内側に配置し、TCP ポート 443 を ISA Server に開放することで対処できます。
ファイアウォールは、サーバーを攻撃から保護するための手段ですが、サーバーとの間で転送されるデータについても保護が必要です。インターネット上の Web ブラウザ クライアントが HTTP を使用して OWA 経由で Exchange にアクセスするときには、次のような処理が行われます。
Web ブラウザから ISA Server に HTTP 要求が送信されます。これらの要求は、ISA の公開ルールによって許可された場合は、OWA フロントエンド サーバーに渡されます。
ISA Server からフロントエンド サーバーに対して、新しい HTTP 接続が確立されます。この接続では、ISA Server の IP アドレスがソース IP アドレスとして使用されます。
OWA フロントエンド サーバー上で HTTP 要求が処理されます。このとき OWA フロントエンド サーバーが行う処理は、次のとおりです。
グローバル カタログ サーバーに対してユーザーと連絡先を認証し、ユーザー メールボックスの場所を判別します。
ユーザー メールボックス サーバーの IP アドレスを解決します。
OWA フロントエンド サーバーからバックエンド Exchange サーバーに対して、新しい HTTP セッションが確立されます。
IIS を構成して OWA をサポートさせるときに、基本認証を有効にする必要があります。統合 Windows 認証は HTTP または HTTPS で通信するための唯一のプロトコルとしては動作しません。また、匿名のアクセスを使用すると、電子メール環境がインターネットに対して完全に開放されてしまうので、匿名のアクセスは使用しないでください。
基本認証では、パスワードと電子メールが暗号化されずにインターネット上の HTTP 接続を通じて転送されます。付加的な暗号化方式を使用しなければ、ISA Server と OWA フロントエンド サーバーの間で、これらのパケットが暗号化されず、クリア テキストのまま転送され続けることになります。OWA が認証を実行した後も、パスワードなどの情報が暗号化されずに OWA フロントエンド サーバーとバックエンド サーバーの間で HTTP 送信されることになります。この問題に対処するには、Web ブラウザからバックエンド Exchange サーバーの間の全経路にわたってユーザー資格情報を暗号化することが必須になります。つまり、次のセキュリティ対策が必要です。
SSL 暗号を使用して Web ブラウザと ISA Server の間の通信を保護する。
SSL を使用して ISA Server と OWA フロントエンド サーバーの間の通信を保護する。
IPSec 暗号化を使用して OWA フロントエンド サーバーとバックエンド Exchange サーバーの間の通信を保護する。
それぞれの対策について順を追って検討します。
Web ブラウザと ISA Server の間の通信を保護する
SSL を使用して Web ブラウザと ISA Server の間の通信を暗号化するには、ISA Server 上に SSL 証明書をインストールして、適切な SSL リスナを構成する必要があります。組織のインフラストラクチャに含まれていない外部 Web クライアントからも証明書が使用されることになるため、グローバルに信頼されている CA によって発行された証明書をインストールすることが必要です。
ISA Server を構成して SSL 通信を可能にする
ISA Server は、Web ブラウザからの SSL 要求を受け付けるように構成できます。SSL 要求をどのように処理するかについては、次の選択肢があります。
受信した SSL 通信をそのままファイアウォールの内側のサーバーに転送する。
受信した SSL 通信を暗号化解除し、暗号化されていない状態でバックエンド サーバーに転送する。
受信した SSL 通信を暗号化解除し、再暗号化してからバックエンド サーバーに転送する。
注: SSL 通信の暗号化解除と再暗号化には ISA Server SP1 以降が必要です。ISA Server SP1 以降がインストールされていない場合は、次の手順が正しく実行されません。
次の 3 つの処理方法のうち、パケットを暗号化解除してから再暗号化する方法を使用すると、ISA Server 上でデータの脆弱性を検査できるため、最も高いセキュリティが得られます。また、ISA Server の内側ではデータが攻撃から保護されます。
注: 国によっては、ネットワークの中間点でデータを暗号化解除して検査することが法律上禁止されている場合があります。このソリューションを採用する前に、法的な制限がないかどうかを確認してください。
注: パフォーマンスを向上させ SSL のオーバーヘッドを軽減するには、SSL アクセラレータ機能付きのネットワーク アダプタの採用を検討してください。
データが正しく暗号化されるように、次の条件が満たされていることを確認してください。
OWA 用の ISA Server 証明書には、Web ブラウザが OWA リソースを参照するときに使用される完全修飾ドメイン名 (FQDN) に一致する共通名 (フレンドリ名) が記載されている必要があります。たとえば、クライアントの使用する OWA URL が https://mail.nwtraders.com/exchange なら、証明書の共通名は mail.nwtraders.com となります。
証明書は、OWA リソースを公開している ISA Server の "パーソナル" コンピュータ ストアにインポートする必要があります。ISA Server に証明書をインポートする場合は、[エクスポート可能なキーとしてマークする] チェック ボックスがオンになっていることを確認してください。
クリア テキスト パスワードが誤って転送されるのを避けるために、ISA Server は、セキュリティで保護されたチャネルだけを受け付け、公開 OWA サイトに対するクリア テキスト HTTP 接続を拒否するように構成する必要があります。
ISA Server では、Web 公開ルールを使用して、OWA サーバーをインターネット クライアントに提供しますが、Web 公開ルールを作成する前に、Web 公開自体を ISA Server 上で準備しておく必要があります。これを行うには、[着信方向の Web 要求] と [発信方向の Web 要求] の設定を構成します。
注: 次の手順を実行する前に、外部証明書をインポートしておく必要があります。
[着信方向の Web 要求] を構成するには
[ISA の管理] を起動します。
ISA Server を右クリックして、[プロパティ] を選択します。
[着信方向の Web 要求] タブをクリックします。
[IP アドレスごとにリスナを構成する] を選択し、[追加] をクリックします。
ISA Server を選択し、ISA Server の外部 IP アドレスを選択します。
[Web クライアントの認証にサーバー証明書を使う] を選択します。
[選択] をクリックし、クライアントから SSL サイトへのアクセスに使用する FQDN の証明書を選択します。
[OK] をクリックします。
[SSL リスナを有効にする] を選択します。
[OK] をクリックします。
[OK] をクリックします。
[変更を保存して、サービスを再起動する] をクリックし、[OK] をクリックします。
- [発信方向の Web 要求] を設定するには
注: 次の手順を実行すると、内部ネットワーク上のユーザーが ISA Server をプロキシ サーバーとして使用してインターネット上の Web サイトにアクセスすることはできなくなります。この手順は、ISA を通じて OWA を利用できるようにすることではなく、セキュリティを強化することを目的としています。
[ISA の管理] を起動します。
ISA Server を右クリックして、[プロパティ] を選択します。
[発信方向の Web 要求] タブをクリックします。
[IP アドレスごとにリスナを構成する] を選択し、IP アドレスが示されていないことを確認した後、[OK] をクリックします。
[変更を保存して、サービスを再起動する] をクリックし、[OK] をクリックします。
この時点で、OWA をサポートするように Web 公開を構成することができます。
OWA をサポートするように Web 公開を構成するには
[ISA の管理] で、ISA Server を展開し、[公開] を展開します。
[Web 公開ルール] を右クリックして、[新規作成]、[ルール] の順に選択します。
OWA ‐ <OWA フロントエンド サーバーの FQDN> のような名前を指定し、[次へ] をクリックします。
[すべての宛先] が選択されていることを確認し、[次へ] をクリックします。
[すべての要求] が選択されていることを確認し、[次へ] をクリックします。
[要求をこの内部 Web サーバーへリダイレクトする (名前または IP アドレス)] を選択し、[参照] をクリックして、OWA フロントエンド サーバーを選択します。
[公開サーバーに送信されたオリジナルのホスト ヘッダーを、上で指定したサーバーに送信する] を選択し、[次へ] をクリックします。
[完了] をクリックします。
フォルダ ウィンドウで [Web 公開ルール] をクリックし、新しいルールをダブルクリックします。
[ブリッジ] タブをクリックします。
[公開されたサイト用には保護されたチャネル (SSL) を要求する]、[128 ビット暗号化を必要とする] の順に選択し、[OK] をクリックします。
注: 環境内の適切なルーターおよびファイアウォールのポート 80 およびポート 443 に対しても、適切なルールを構成する必要があります。
注: ISA Server を使用した SMTP および OWA の公開の詳細については、マイクロソフト サポート技術情報の 290113「[ISA] Internet Security and Acceleration Server の背後から Outlook Web Access を公開する方法」および 308599「[XCCC] 内部 Exchange Server を公開するための Internet Security and Acceleration Server の設定」を参照してください。
ISA Servers と OWA フロントエンド サーバー間を暗号化する
ISA Servers と OWA フロントエンド サーバー間の HTTP トラフィックを暗号化するには、OWA フロントエンド サーバーに SSL 証明書をインストールする必要があります。ISA Servers と OWA フロントエンド サーバーは組織のインフラストラクチャの一部であるため、組織の内部ルート CA、またはその CA に従属している信頼された証明機関から OWA フロントエンド証明書を発行できます。
- OWA フロントエンドサーバー用の証明書を要求するには
注: 次の手順では、環境内に CA が既にインストールされていることを前提としています。
OWA フロントエンド サーバーの上でインターネット サービス マネージャを起動します。
[既定の Web サイト] を右クリックして、[プロパティ] をクリックします。
[ディレクトリ セキュリティ] タブをクリックし、[サーバー証明書] をクリックします。
[次へ] をクリックし、[証明書の新規作成] をクリックして、[次へ] をクリックします。
[オンライン証明機関に直ちに要求を送信する] オプションボタンをクリックして、[次へ] をクリックします。
[名前] フィールドに名前を入力して、[次へ] をクリックします。
[組織] フィールドに組織名を入力します。
[部門] フィールドに組織単位名を入力して、[次へ] をクリックします。
[一般名] フィールドに OWA フロントエンド サーバーの FQDN を入力して、[次へ] をクリックします。
所在地情報を入力して、[次へ] をクリックします。
[証明機関] ドロップダウン リスト ボックスで、使用する証明機関が選択されていることを確認し、[次へ] をクリックします。
[次へ] をクリックして要求を送信し、[完了] をクリックしてウィザードを終了します。
[ディレクトリ セキュリティ] タブの [セキュリティ保護された通信] グループボックスで、[編集] をクリックします。
[保護されたチャンネル (SSL) を要求する]、[128 ビット暗号化を要求する] の順に選択して、[OK] をクリックします。
[ディレクトリ セキュリティ] タブの [匿名アクセスおよび認証コントロール] グループ ボックスで、[編集] をクリックします。
[基本認証 (パスワードはクリア テキストで送信されます)] を選択します。警告に対して [はい] をクリックします。
その他のオプションをすべてオフにして、[OK] をクリックします。
[OK] をクリックします。
[OK] をクリックして、[継承優先] ダイアログ ボックスを閉じ、インターネット サービス マネージャを終了します。
注: ISA Server 上の OWA 公開ルール プロパティに従って、OWA サーバーの FQDN が共通名として使用されます。ISA Server で行われる公開処理中には、OWA Web 証明書の妥当性、証明書の信頼連鎖、および証明書の有効期限がチェックされます。
OWA フロントエンド サーバーとバックエンド Exchange サーバー間を暗号化する
OWA フロントエンド サーバーとバックエンド サーバーの間で SSL を使用してデータを暗号化することはできませんが、フロントエンド サーバーとバックエンド サーバーはどちらも Windows 2000 上で稼動しているため、IPSec を使用するとデータを暗号化できます。IPSec には、SSL よりも処理速度が大幅に速いという利点があります。
注: パフォーマンスを向上させて IPSec のオーバーヘッドを軽減するには、IPSec の処理をアダプタに任せる専用のネットワーク アダプタの採用を検討してください。
IPSec では、どのプロトコルをネットワーク アダプタで受け付けるかを制御できるため、特定のポートをブロックまたは許可して、他のポートのデータを暗号化することが可能です。フロントエンド/バックエンド サーバー通信の場合は、ポート 80 を必ず暗号化しなければなりません。
IPSec の制御には、Windows 2000 グループ ポリシー内で定義される IPSec ポリシーが適用されます。
表 1. IPSec ポリシーの設定
ポリシー | 設定 |
---|---|
OWA フロントエンド | ポート 80 発信 ‐ 暗号化 ポート 80 着信‐ ブロック |
バックエンド | ポート 80 着信‐ 暗号化 |