• [アーティクル]

内部の SharePoint SharePoint のセキュリティの強化

Pav Cherny

内容

SharePoint 環境でセキュリティの依存関係
ネットワーク アクセス保護を有効にします。
ドメインの分離を確立します。
サーバー (およびワークステーション) の実装の分離
結論

SharePoint のセキュリティ強化には、完全なスペクトラム セキュリティの依存関係の内、およびサーバー ファーム間でのリスクに対処するエンド ツー エンド アプローチ必要です。 具体的には、最新の技術革新のようなネットワーク アクセス保護 (NAP) とインターネット プロトコル セキュリティ (IPsec) の適用、Windows Server 2008 での利用できるテクノロジのに役立つや SharePoint のセキュリティを強化します。 まだ Windows Server 2008 環境で SharePoint のセキュリティ強化に関する詳細なマイクロソフトの推奨事項は、検索が困難です。 、 Windows Server 2008 リソース センター SharePoint 製品とテクノロジセキュリティのガイドを含まない。 セキュリティ強化ガイドをさらに、 Windows SharePoint Services 3. 0 (WSS)and Microsoft Office SharePoint Server 2007 (MOSS)Microsoft パターンとプラクティスは 2003 年 6 月の日付を 2006 年 1 月に更新された部分的に基づくしても (いずれの場合も、インターネット インフォメーション サービス (IIS) 7. 0 では、Windows Server 2008 のリリース前にも長いがいます。

明らかに、改訂版のガイドラインは非常に期限切れ、され以降長があるのでだけでなく [移動 Windows 2000、SQL Server 2000、IIS 5. 0 および Microsoft .NET Framework 1. 1 からもセキュリティの強化を扱うは、古い方法が実証が不足している時間をもう一度ため。 だけでは、独立したサーバー島として、SharePoint ファームをセキュリティ保護に、真空に SharePoint ファーム存在しない場合にありません。 実際はしない、1 つセキュリティ強化ステップ、SharePoint ファーム、Active Directory フォレストが安全でない、スパイウェアとルートキット、イントラネット環境が infested される場合、またはユーザー誤ってまたは悪意を持って違反セキュリティ ポリシーによって、たとえば、ダウンロードし、疑わしいソースからのファイル共有ソフトウェアのインストール場合の重要であります。

これらの問題を Windows Server 2008 のテクノロジを使用して取り組む可能性があります。 キーのデータベース サーバーに至るまで、クライアント コンピューターから、高レベルの SharePoint 環境でエンド ツー エンドのセキュリティを実現します。

この記事では、Windows Server 2008 に基づくイントラネット環境での SharePoint のセキュリティ面について説明します。 この説明は、個々 のファームの制限を超えるの全般的な SharePoint セキュリティの依存を分析およびリスクを軽減する対応するセキュリティおよび分離の規則と IPsec 強制と NAP を展開しがあります。 SharePoint 管理者は、NAP の明白な利点をことができます SharePoint リソースにアクセスして、ドキュメントのダウンロードからアンマネージ クライアント コンピューターを停止します。 ドメインおよびサーバーの分離によって別の論理ネットワークにイントラネットを分割できますが、明らかな利点以下など、別です。 この方法では、受信および送信には-クライアント-サーバーとサーバー ツー サーバー通信を保護しても目的のフロントエンド サーバーへのトラフィックを制限できます。 あるへと仮定して、悪意のある部門ファーム、inadequately 保護では、IT 部門のコントロールの出力の 30% の企業の SharePoint サイトに存在するクライアント トラフィックを制限する利点は overemphasized ことはできません。 同様には、常に、付属リソースには、テスト環境での自分の説明を次のステップ バイ ステップの命令でワークシートが含まれます。

SharePoint 環境でセキュリティの依存関係

SharePoint ベースのソリューション、本当の SharePoint サイトの多くの場合、矛盾セキュリティ、および企業では、生産性の要件に格納されたデータ量の複雑さを考慮することができます難しい方法と場所を決定する SharePoint のセキュリティ強化に取りかかるにします。 おそらくフレンドリな環境で十分境界ファイアウォールとウイルス検索プログラムによって保護されているが、イントラネット、長期間保持の概念を撤廃するのには、まず。 ファイアウォールやスキャナーは、クライアント コンピューターに、PS2 または USB ハードウェア keylogger をアタッチから悪意のあるユーザーをブロックしない-必要なドライバーがありません。 しないようにゼロ日間ルートキット ホテル、空港または顧客サイトで、自宅で inadequately セキュリティで保護された環境に接続中にゾンビにモバイル コンピューターにするとします。 過酷、サウンドがありますが、内および SharePoint ファーム間での重要なセキュリティの依存関係を認識の用語でにより攻撃と内部環境を分類します。

次の 図 1 で示されている「複数の SharePoint ファームと、ネットワーク ポリシー サーバーのテスト環境を展開する」コンパニオン ワークシートに記載などに、簡単なテスト ラボで検出できますおどのような重大な問題を見てみましょう この SharePoint 環境は、セキュリティで保護されました。 実際には、展開ワークシートいくつかのセキュリティのベスト プラクティスに違反し、重要な依存関係を無視します。 通常すぐ、テスト ラボでのセキュリティ要件がないことを前提を表示します。 もちろん、可能性がある done 悪化ドメイン コントローラー上で SharePoint をインストールしてセキュリティを付与またはアカウント管理者権限はこれらの意図的な構成エラーが必要ありません。 セキュリティの観点からは自分のテスト環境が既に十分な正しくありません。

fig01.gif

図 1 に危険なテスト環境で複数の SharePoint ファーム

まず、ドメイン管理者アカウントを使用するすべてのサーバーおよびワークステーションにログオンして、インターネットに接続していた間にすべてのシステムをインストールします。 これは危険です。 ドメイン管理者アカウントを使用して、セキュリティで保護されていないコンピューターにログオンを回避するお勧めします。 同様に、最適な方法を展開する前に、独立した、セキュリティで保護されたステージング環境のコンピューターの修正プログラムをインストールして方します。 Windows 自動インストール キット (AIK) および Windows 展開サービス (WDS) は、優れたソリューションを提供まだするしなかったこれらのテクノロジで活用テスト ラボの複雑さの理由です。 [Active Directory 環境が既に侵害はショートカットを撮ったするため、それを使用してすべての SharePoint ファーム。 開始前に、ゲームは終了! SharePoint ファームは、Active Directory 環境よりも安全できません。

ドメイン管理者アカウントは、きわめて機密性の高いアカウント本当です。 場合も重要な領域で、SharePoint 3. 0 サーバーの全体管理サイトと SharePoint サイト コレクションなどの SharePoint リソースにアクセスするとき。 フロントエンド サーバー上で現在のユーザーの ID の ASP.NET コードの実行を意味する、SharePoint サイトにアクセスします。 ドメイン管理者で現在のユーザーはそのような場合、コードが管理者特権を持つ実行されます。 2009 年 1 月の列で説明したようにセキュリティ アカウントとパスワードを展開するなど、システムの特権を悪用することがあるためには、ドメイン管理者および SharePoint Web アプリケーションにローカル サーバーの管理者アクセスを拒否する必要があります。 攻撃者は、悪意のあるコンポーネントを展開またはインライン ASP.NET コードを有効に、SharePoint 管理者を騙そうできる場合、攻撃者なるセキュリティ アカウントのパスワードの確認と、後でこれらのアカウントを使用するすべてのファームのすべてサイトへのアクセスも可能性があります。

個人用テスト ラボでは無視これらのセキュリティ アカウントの依存関係と管理リスクと同じセキュリティ アカウントで、WSS ファームと人事ファームを構成され使用、ドメイン管理者アカウント両方ファームで SharePoint 3. 0 サーバーの全体管理を使用します。 ファーム間のセキュリティ アカウントを共有は不良かを把握、異なるセキュリティ要件を持っている場合特になります。 そのアカウントを共有するファームは、他のファームのセキュリティとは異なります) と、その他のファームのより高いレベルのセキュリティできますしない到達ため。

別のセキュリティ アカウントを使用して、重要なベスト プラクティスは、危害を受けたファームは同じ Active Directory 環境で他のファームに対する攻撃の手段を提供もできます。 たとえば、多くの労力、内部のフィッシング プラットフォームに危害を受けた、SharePoint サーバーにかかるしません。 攻撃者が基本認証を有効にするまたは「WWW 認証」ヘッダーをユーザーに送信を 図 2 に示すように、プレーンテキストで返される、資格情報を傍受、確立された SharePoint ファームに、悪意のあるコンポーネントを取得します。 ユーザーがその内部の SharePoint サイトを信頼するための hesitation なしの要求された資格情報が入ることを可能性があります)、攻撃が成功したとします。

fig02.gif

図 2 危害を受けた、SharePoint ファームできる攻撃他ファーム。

もちろん、難しい、正しく維持の SharePoint のサーバーを侵害するが、ポイントのないです。 点のため正しく維持されないシステムでのセキュリティ侵害を上位レベルのセキュリティと機密性の高いシステムに展開できません。 そのため、少なくともと個人情報、人事ファームなど、最も機密性の高い、SharePoint リソースのする、考慮する必要があります必要これらアクセス、依存関係を基本的に、SharePoint ファームだけできること、ファーム管理者、サイト コレクションの管理者、およびサイト ユーザーがそのユーザー アカウントにアクセスできる、最小-セキュリティで保護サイトとして安全を意味があります。

アクセスと使用法の依存関係の分析に、クライアント コンピューターを含めるを忘れないでください。 、もう一度自分テスト環境すべてのユーザー、ワークステーションを使用して、任意のリソースにアクセスしたり、コンピューターがウイルス スキャナーまたは最新のセキュリティ修正プログラム装備ために、不適切な例を設定します。 ファームまたはサイト コレクションの管理者が、スパイウェア infested クライアント コンピューターまたは場所、攻撃者、ハードウェアの keylogger を簡単に添付できる、ロックされていない、オフィスのコンピューターにローカルにログオンの権利で、ユーザーとだけします。 ファームおよびサイト コレクションは、攻撃者が、管理者アカウントとパスワード内の任意の場所のコンピューターにアクセスするとすぐ損なわれます。 ローカルで、手動でまたは自動的に一時ファイルにその情報をダウンロードする SharePoint サイトからコンテンツを格納する傾向がクライアント コンピューターとセキュリティのリスク、クライアント コンピューター上のファイル共有ソフトウェアもがあります。 したがって、SharePoint ファームしないできます、ユーザーを使用して、ファームのリソースにアクセスするクライアント コンピューターよりも安全。

もちろん、さらに弱点には自分のテスト環境です。 SharePoint のセキュリティ強化ガイドに関連するセクションを調査してこの確認を続けるを招待します。 などの少なくとも、その他の問題のいくつかを認識する必要があります、SharePoint 3. 0 サーバーの全体管理サイトと検索の役割はサービスのサーバー上でウイルス対策ソリューションがありませんがあること、サイトのコンテンツを提供するフロントエンド サーバーで直接ホストが、WSS ファームと人事ファーム共通と保護されていないデータベース サーバーが、テスト環境内のすべてのコンピューターに直接アクセス、データベース サーバーおよびれてのネットワーク通信はプレーンテキストでの実行を共有します。 このが望ましく、これらのセキュリティ問題の一部は、取り組んでしましょうです。

ネットワーク アクセス保護を有効にします。

コンピューターへの物理的なアクセス制御など、SharePoint 環境でセキュリティを強化するため、多くの手順はあり、ルーター、およびセキュリティで保護するインフラストラクチャ サーバー (DNS サーバー、DHCP サーバー、ドメイン コントローラー、およびなど) を通じて SharePoint の Active Directory の権限の管理サービス (AD RMS) Microsoft Forefront Security を展開にリスト (ACL) を vLANs とアクセス制御を構成する、ネットワーク。 物理的なアクセス制御と基本的な TCP/IP のネットワークとルーターの構成は、このコラムの範囲外でありを残します私たち NAP、IPsec、HTTP Secure Sockets Layer (SSL)、および Forefront Security 経由で、次の論理トピックとしてように AD RMS が以前のコラムで説明されています。 このコラムでは、NAP と IPsec について説明します。 HTTP SSL と Forefront Security は将来の列に対処します。

IPsec で NAP 利点には、少なくとも 3 つキー内部 SharePoint 環境の場合があります。

  • システム正常性ポリシーを適用し、自動的に Windows XP Service Pack 3 または Windows Vista の場合、実行するクライアント コンピューター上の対応の問題を解決できます。
  • ; 全体、Active Directory フォレストにまたがる IPSec および Windows ファイアウォールを通じてネットワーク セキュリティの追加レイヤーを実装します。
  • 暗号化された通信チャンネル カプセル化セキュリティ ペイロード (ESP) によって、SharePoint ファーム内およびサーバーとクライアント コンピューター間で確立できます。

ボーナスはグループ ポリシーによって一元的には、ネットワーク通信の管理し、ネットワーク アクセスを監査する機能です。 つまり、IPsec で NAP は SharePoint の効果的なエンド ツー エンドのセキュリティ戦略の重要な要素です。

中心では、IPsec で NAP は X.509 証明書を巧妙な配布メカニズムによって依存します。 クライアント コンピューターでシステム正常性エージェント (SHAs)、NAP エージェントについて通知ステートメント-の-状態 (SoH) ドキュメント、を通じて準拠状況 NAP エージェント稼働状態 (SSoH) のシステム ステートメントで統合します。 さらに、SSoH NAP 強制サーバー (NAP ES) に渡され、クライアント コンピューターで、SSoH、IPsec の NAP 実施クライアント (NAP EC) に渡します。 これは、正常性登録機関 (HRA) 準拠のコンピューターの証明機関 (CA) からシステム正常性証明書を取得します。 図 3 は、NAP クライアントの正常性証明書を取得する方法を示します。

fig03.gif

図 3 の 証明書の状態情報の交換を NAP クライアント/サーバー通信

要求しているコンピューターが準拠ことを確認するには、NAP ES 渡します、SSoH、RADIUS メッセージ、ネットワーク ポリシー サーバー (NPS) します。 NPS では、もう一度、SSoH に、個々 の SoHs、SSoH から抽出され、対応するシステム正常性 Validators (SHVs) に転送、NAP の管理サーバーに渡します。 SHVs は SoH 情報を分析し、NPS は、NAP システムはし、SHAs に、クライアント コンピューター上で渡されるシステム-ステートメント-の-状態応答 (SSoHR) で統合するステートメントの状態の応答 (SoHR) を返します。 SoH ~ SoHRs、SHVs は SHA の対応する対応によって通信します。 たとえば、SoHR、ウイルス対策の SHV から、対応するウイルス対策 SHA に、クライアント コンピューターへの準拠に戻すには、改善サーバーから、署名ファイルの最新バージョンをダウンロードするように指示することができます。

[サーバー側で NAP も構成されているネットワークおよび正常性ポリシーに、SoHRs を比較してクライアント コンピューターが準拠である場合は、システム正常性証明書を発行します。 NAP クライアント NAP ES から証明書を受信し、そのコンピューター証明書ストアに格納します。 証明書が信頼される通信のパートナーとの IPsec セキュリティ アソシエーションを確立するインターネット キー交換 (IKE) ネゴシエーション可能になりました。 有効期限が切れるしようとしていますが、または、SHA の NAP エージェント - 状態変更を示します、NAP クライアント システム正常性証明書を書き換えます。 下線は、準拠のコンピューター正常性証明書の受信を準拠していないコンピューターしないです。 技術的詳細については、強くお勧めします、ホワイト ペーパー" ネットワーク アクセス保護プラットフォーム アーキテクチャ." コンパニオン ワークシート「を構成するネットワーク アクセス保護」テスト ラボでの基本的な NAP インフラストラクチャを展開する手順を説明します。

ドメインの分離を確立します。

1 台のサーバー上の NPS および HRA 役割を持つ控えめ小さなテスト ラボでもすぐに NAP の利点を確認できます。 NAP グループ ポリシー設定を通じて、クライアント コンピューターを有効にすると同時に NAP は最新のセキュリティ修正プログラムとウイルス スキャナーをインストールすることを強く推奨します。 NAP クライアントのに関するセキュリティ コンポーネント、不足して が通知し、ネットワークの状態にネットワーク アクセスが、コンピューターが稼働状態の要件を満たすまで制限することを示す通知が含まれます。 この時点で、ただし、準拠していないコンピューターでもあるすべてのサーバーへのアクセスをネットワークでので IPsec ポリシーをまだ構成していないおしてください。 要求または受信および送信接続に対して認証を要求する IPsec ポリシー、せず、NAP インフラストラクチャは本当に、正常性証明書の配布メカニズムよりはるか </a0> をできません。 ドメインの分離を有効にするのには NAP を実装する必要があります。

ドメインの分離を実装する意味制限のセグメントに内部ネットワーク、境界、および IPsec 強制ポリシーによって、セキュリティで保護されたネットワークを分割します。 目的は準拠していないコンピューターにすべてのサーバー、内部ネットワークにアクセスできないようにすること) に準拠し、正常性証明書を取得へのアクセスできる、非準拠コンピューター必要があるこれらのサーバー以外の。 図 4 でこのに関する、NAP サーバー NPS01 です。 境界セグメントと、セキュリティで保護されたセグメントの違いは、IPsec ポリシーの境界のセグメントの着信および発信接続に対する認証を要求か、セキュリティで保護されたセグメントが受信接続でプレーンテキストにフォールバックを禁止されブロック準拠していないコンピューター認証を要求中にしたがってに準拠していないコンピューターは、プレーンテキスト通信のフォールバックを許可するです。 このセグメンテーションを実装するコンパニオン ワークシート「を構成する IPsec ポリシーの正常性強制」使えます。

fig04.gif

図 4 制限あり境界、および NAPNAP のセキュリティで保護されたネットワーク

図 4 のドメイン コントローラーは、特殊なケースです。 要求またはコンピューターに Windows Vista または Windows Server 2008 (コンパニオン ワークシート「を構成する IPSec のドメイン コントローラー通信」を参照) を実行するが、この構成は Windows Server 2003 と Windows XP のサポートされていません場合は、ドメイン メンバーとドメイン コントローラーの間の IPsec で保護された通信を要求しますできます。 ドメイン コントローラーの通信に IPSec を使用しない場合は、制限付きネットワーク; 要求 IPsec 境界セグメントに、ドメイン コントローラーを移動して IPsec により、ドメイン コントローラーのセキュリティで保護されたセグメントのメンバーが必要なの一部が DC01 となります。 構成は、特定の状況とニーズによって異なります。 可能であれば、IPsec を使用してお勧めします。

サーバー (およびワークステーション) の実装の分離

セキュリティ強化に向かって最初の重要なマイルストーンとして機能 NAP IPsec 強制およびドメインの分離を確立します。 内部の SharePoint リソースにアクセスできるにすべてのクライアント コンピューターは妥当な稼働状態要件を満たして今すぐ必要があります。 次に、通信のコントロール、クライアント コンピューターの通信を含め、エンド ツー エンドの細かいレベルを実現する複数の層に、SharePoint 環境をセグメント化に集中できます。 図 5 は、内部ネットワーク内の個別各コンピューターの役割に基づく、可能性のあるセグメンテーション戦略を示しています。

fig05.gif

図 5 に強化されたテスト環境で複数の SharePoint ファーム

図 5 でわかりますとして個人用テスト環境が他のシステムが今すぐ含まれます。 とりわけ、する WSS および人事部のファームの構成を変更する別のセキュリティ アカウントを指定、人事部の構成とコンテンツ データベースを別の SQL サーバーに移動し、SharePoint 3. 0 サーバーの全体管理の両方のファーム内の SharePoint 検索ロール別のコンピューターを展開します。 これらの手順を実行する方法について説明する、付属リソースにさまざまなワークシートをチェックアウトします。

IPsec の準備作業、NAP に感謝、単純なプロセスになります、層間の通信を保護します。 グループ ポリシー] を使ってがクライアント上の着信および発信の通信と最も制限の厳しいレベルにサーバーをロックダウンするセキュリティが強化された Windows ファイアウォールのすべてのルールを集中管理できます。 グループ ポリシーのローカル管理者が競合しているファイアウォールを適用できないようにするのに結合ルールとドメイン メンバー上での接続セキュリティ規則を無効にお勧めします。 たとえば、データベース サーバー上の UDP および TCP のポート 1434年をロックする、既定の SQL Server インスタンスについてカスタム TCP ポートを開く、トラフィックを暗号化、フロントエンド サーバー上の Web アプリケーションを使用する TCP ポートのみを開くできすべての-人事以外コンピューターからすべてのサーバーまたはクライアント コンピューター、人事部門へのアクセスをブロックできます。

参照

bluebullet.gif ネットワーク アクセス保護の Web サイト
go.microsoft.com/fwlink/?LinkId=69752
bluebullet.gif SharePoint 製品とテクノロジの Web サイト
microsoft.com/sharepoint
bluebullet.gif Windows SharePoint サービス TechCenter
technet.microsoft.com/windowsserver/sharepoint
bluebullet.gif Windows SharePoint サービス デベロッパー センター
msdn2.microsoft.com/sharepoint
bluebullet.gif Microsoft SharePoint 製品とテクノロジのチームのブログ
blogs.msdn.com/sharepoint

興味深い質問が機密性の高いコンピューター nonsensitive コンピューターにアクセスする必要がありますもブロックするかどうか (たとえばはおく HR クライアント WSS ファーム内の非-HR SharePoint のサーバーにアクセスできません。 これは例セキュリティと生産性の要件が競合しています。 生産性の理由の人事部ユーザーは、WSS ファームを HR ファームとしての同じのセキュリティ標準に準拠する必要があることを意味する [WSS ファームでサイトなどの会社全体にわたる SharePoint サイトへのアクセスを拒否することはできませんと思います。 では、両方ファーム中、する、SharePoint 3. 0 サーバーの全体管理サイトを移動、役割を別のコンピューターを検索およびファイアウォールと接続セキュリティ規則を適用する必要があります。 もちろんも両方のファームに SharePoint 管理用の専用の nonprivileged のアカウントを指定してくださいさらにセキュリティ強化手順を適用します。 Joel Oleson が、優れたユーザーのセキュリティ強化手順の一覧を転記します。 陸地の SharePoint ブログ. 高度なエンド ツー エンドの SharePoint のセキュリティ強化の堅牢な基盤を提供する、IPsec 対応のインフラストラクチャで次の Joel のアドバイスお勧めします。

結論

SharePoint ファーム、真空に存在しません。 クライアント コンピューター、インフラストラクチャ サーバー、およびネットワーク機器を含む環境に存在したとします。 つまり、SharePoint のセキュリティ保護の強化によって、高いセキュリティを実現する場合はこれらのコンポーネントに参加する必要があります。 セキュリティで保護されていない Active Directory 環境で、SharePoint ファームを保護すること不可能です。 クライアント コンピューターがスパイウェアに infested される場合、SharePoint ファームを保護すること不可能です。 攻撃者がユーザー アカウント、管理者アカウント、または任意の場所のセキュリティ アカウント highjack する場合、SharePoint ファームを保護することは不可能です。

Windows Server 2008 のテクノロジは、インターネット プロトコル セキュリティの適用、高度なセキュリティ、およびグループ ポリシーの管理された Windows ファイアウォールでネットワーク アクセス保護を通じて、Active Directory フォレスト経由で net 広範なセキュリティをキャストする基準を示します。 SharePoint 環境でこれらのテクノロジを最大限に活用は見合うです。 できますが制御してワークステーション、サーバー、およびドメイン コントローラー間通信の保護、システム状態の標準を適用できます; ドメインの分離; を実装でき、内部 SharePoint 環境での別の層に適用できます。 を通じてセキュリティ グループまたは組織単位 (OU) のメンバーシップ、Active Directory は自動的に、クライアント コンピューター、データベース サーバー、フロントエンド サーバーは、管理およびその他の目的用の中間層サーバーなど、各ドメイン メンバーに適用されるポリシー設定を決定します。 各層の一般的なポリシーとコンピューターの種類とサーバーの役割ごとの特定のポリシーを確立できます。 すべての着信接続をブロックしてクライアント コンピューター上で SharePoint をホストからユーザーを防止ことができ、内部ネットワークで他のファームに対する攻撃の経路を提供する可能性があります未承認とセキュリティで保護されていない SharePoint ファームをホストからの部門を回避できます。

制限付きでな移動しません。 多くの部門のビジネス プロセス、データ センターの外部の SharePoint の展開に依存する表内保持します。 結局のところ、SharePoint は、エンタープライズ内でビジネスに不可欠なコラボレーション プラットフォームです。

Pav Cherny は、IT 専門家でコラボレーションとユニファイド コミュニケーションに関するマイクロソフト テクノロジ専門とするフリーの作成者です。 自分の文書には、ホワイト ペーパー、製品マニュアル、および IT 運用とシステム管理、フォーカスを持つ書籍があります。 Pav は大統領の Biblioso 企業、ドキュメントとローカリゼーションのマネージ サービスを専門とする会社です。