Share via

サーバー ファームのセキュリティに関する考慮事項 (FAST Search Server 2010 for SharePoint)

  • [アーティクル]

 

適用先: FAST Search Server 2010

トピックの最終更新日: 2011-01-21

Microsoft FAST Search Server 2010 for SharePoint システムを計画するときは、サーバー ファームのセキュリティに関する以下の問題を考慮します。

  • 証明書

  • FAST Search Server ファームと SharePoint ファームの間の通信

  • 管理インターフェイスの保護

  • ファーム内の通信の保護

  • プロキシの設定

  • ウイルス対策の構成

  • 必要なユーザー アカウント

  • ユーザー認証

FAST Search Server 2010 for SharePoint に固有のアイテム レベルでのセキュリティによるトリミングについては、「インデックス作成のためのセキュリティに関する考慮事項 (FAST Search Server 2010 for SharePoint)」を参照してください。

証明書

FAST Search Server 2010 for SharePoint では以下の目的に証明書を使用します。

  • 認証と暗号化

  • FAST Search Server 2010 for SharePoint と Microsoft SharePoint Server の間の Secure Sockets Layer (SSL) 通信

  • 複数サーバーの FAST Search Server 2010 for SharePoint 環境でのサーバー間の通信

FAST Search Server 2010 for SharePoint システム内の各サーバーは、最大で 3 個の証明書を使用して、以下の機能を実現できます。

  • 汎用 FAST Search 証明書: 内部通信、管理サービス、および SharePoint Server のフィード。汎用 FAST Search 証明書は、パスワードで保護する必要もあります。FAST Search Server 2010 for SharePoint を展開するときにパスワードを選択します。

  • クレーム証明書: SharePoint Server 検索アプリケーションから FAST Search Server 2010 for SharePoint に対するクエリを有効にします。

  • サーバー固有証明書: たとえば、HTTPS を使用してクエリ トラフィックを保護します (オプション)。

重要

FAST Search Server 2010 for SharePoint をインストールするときに、自己署名入りの証明書が作成されます。この既定の汎用証明書は、有効期間が 1 年で、テスト環境でのみ使用できます。運用環境では、この自己署名入り証明書を、一般的な証明機関によって署名された証明書に置き換える必要があります。詳細については、「証明書を管理する (FAST Search Server 2010 for SharePoint)」を参照してください。

FAST Search Server ファームと SharePoint ファームの間の通信

FAST Search Server 2010 for SharePoint ファーム内のすべての内部通信では、インターネット プロトコル セキュリティ (IPsec) が使用されます。FAST Search Server 2010 for SharePoint ファームと Search Service アプリケーション (SSA) の間での通信で開く必要のあるポートおよびプロトコルに関する詳細は、<FASTSearchFolder>\Install_Info.txt ファイルを見るとわかります。ここで、<FASTSearchFolder> は、FAST Search Server 2010 for SharePoint をインストールしたフォルダーのパスです (たとえば C:\FASTSearch)。

既定では、FAST Search Query Search Service アプリケーション (SSA) から FAST Search Server 2010 for SharePoint ファームへのすべてのクエリ トラフィックは、HTTP を使用して送信されます。この暗号化されていない情報の方が HTTPS より速く送信できます。ただし、機密性の高いコンテンツに対するクエリのセキュリティを強化するため、SSL 証明書を使用する HTTPS 通信チャネルを有効にできます。詳細については、「Microsoft SharePoint Server からのクエリを有効にする (FAST Search Server 2010 for SharePoint)」を参照してください。

管理インターフェイスの保護

既定では、FAST Search Server 2010 for SharePoint を構成する Administration Service は、HTTP で Windows Communication Foundation (WCF) を使用します。保護を強化するためには、このトラフィックに HTTPS を使用できます。詳細については、「HTTPS を使用する管理サービスを有効にする (FAST Search Server 2010 for SharePoint)」を参照してください。

管理インターフェイス (おすすめコンテンツの追加など) の既定の認証では、NTLM がそのまま使用されます。セキュリティを強化する必要がある場合は、これを Kerberos 認証に変更できます。詳細については、「Kerberos 認証を計画する (SharePoint Server 2010)」を参照してください。

ファーム内の通信の保護

既定では、FAST Search Server 2010 for SharePoint ファーム内のすべての内部通信は、インターネット プロトコル セキュリティ (IPsec) を暗号化しないで使用します。機密性の高いコンテンツを保護するには、内部インターフェイスで IPsec 暗号化を有効にできます。

プロキシの設定

複数サーバーの FAST Search Server 2010 for SharePoint ファームおよび FAST Search Query Search Service アプリケーション (SSA) から FAST Search Server 2010 for SharePoint ファームへのクエリ トラフィックでは、HTTP 通信が使用されます。すべてのサーバー間で HTTP 通信を有効にし、各サーバーでネットワーク プロキシ構成を正しく設定する必要があります。詳細については、「ハードウェア要件およびソフトウェア要件を確認する (FAST Search Server 2010 for SharePoint)」を参照してください。

ウイルス対策の構成

ウイルス対策ソフトウェアがインストールされているサーバーに FAST Search Server 2010 for SharePoint をインストールするときは、<FASTSearchFolder> ディレクトリをウイルス スキャンから除外する必要があります。詳細については、「ハードウェア要件およびソフトウェア要件を確認する (FAST Search Server 2010 for SharePoint)」を参照してください。

必要なユーザー アカウント

FAST Search Server 2010 for SharePoint の複数サーバー インストールでは、FAST Search Server 2010 for SharePoint をインストール、管理、および運用するために、特定のユーザー アカウントの資格情報が必要です。以下の権限を計画してください。

  • 必須コンポーネントのインストーラーおよび FAST Search Server 2010 for SharePoint インストーラーを実行するユーザーは、Administrators グループのメンバーである必要があります。

  • 認証されたドメイン ユーザーが FAST Search Server 2010 for SharePoint を実行する必要があります。ローカル管理者またはサイト管理者をこのユーザーにすることはできません。

  • FAST Search Server 2010 for SharePoint ユーザーには、FAST Search Server 2010 for SharePoint 管理データベースにアクセスするために Microsoft SQL Server での dbcreator 権限が必要です。詳細については、「スタンドアロン展開または複数サーバー展開を構成する (FAST Search Server 2010 for SharePoint)」を参照してください。

詳細については、「ハードウェア要件およびソフトウェア要件を確認する (FAST Search Server 2010 for SharePoint)」を参照してください。

ユーザー認証

FAST Search Authorization (FSA) では、セキュリティによるトリミングを実装することで、アイテム レベルのセキュリティが FAST Search Server 2010 for SharePoint に提供されます。ただし、FSA はユーザーを認証しません。認証は、SharePoint Server の検索フロントエンドによって実行されます。詳細については、「認証方法を計画する (SharePoint Server 2010)」を参照してください。

See Also

Concepts

インデックス作成のためのセキュリティに関する考慮事項 (FAST Search Server 2010 for SharePoint)
証明書を管理する (FAST Search Server 2010 for SharePoint)
Microsoft SharePoint Server からのクエリを有効にする (FAST Search Server 2010 for SharePoint)
HTTPS を使用する管理サービスを有効にする (FAST Search Server 2010 for SharePoint)
ハードウェア要件およびソフトウェア要件を確認する (FAST Search Server 2010 for SharePoint)
スタンドアロン展開または複数サーバー展開を構成する (FAST Search Server 2010 for SharePoint)

Other Resources

認証方法を計画する (SharePoint Server 2010)