Microsoft Forefront: Forefront を使用してワークグループを保護する
Microsoft Forefront Threat Management Gateway は、その目的どおりに Active Directory と組み合わせて使用することも、ワークグループ環境のセキュリティを確保するために使用することもできます。
Brien Posey
接続性により共同作業が可能になりますが、同時にリスクと漏えいのリスクが生じます。Microsoft Forefront Threat Management Gateway (Forefront TMG) 2010 を使用すると、ユーザーをワークグループ環境で管理しながら、ユーザー、データ、企業ネットワークを保護できます。
Forefront は、一般に Active Directory 環境で使用することを目的に設計されたエンタープライズ クラスのアプリケーションと見なされていますが、Active Directory 環境に展開しなければならないわけではありません。Forefront TMG は、さまざまなトポロジや目的のために展開できる製品です。
ワークグループ環境では、ネットワーク境界に Forefront TMG を配置して、HTTP/HTTPS 着信パケットに悪意のあるコンテンツが含まれていないかどうか検査することをお勧めします。また、ユーザーがアクセスする Web サイトの種類をフィルター処理する目的にも使用できます。
ネットワーク境界に配置するので、Forefront TMG サーバーには、少なくとも 2 枚のネットワーク アダプターが必要になります。1 枚のアダプターはプライベート ネットワークに接続し、もう 1 枚は外界と接続します。マイクロソフトでは、どちらのアダプターも静的な IP アドレスを使用して構成することが推奨されています。
Forefront は、Windows ドメインに展開することを前提に設計されています。ワークグループ環境で使用することは可能ですが、ドメイン環境では直面することがない、いくつかの制限事項があります。
たとえば、ワークグループ環境に Forefront を展開する場合、Web プロキシの自動検出機能は使用できません。また、Active Directory ドメインを使用していない場合は、グループ ポリシーの設定を使用して Forefront を構成することはできず、Forefront を実行している各コンピューターでローカル セキュリティ ポリシーを使用する必要があります。
他の制限事項については、さらに注意深い検討が必要になります。たとえば、多くの場合、Forefront TMG Standard を実行しているコンピューターは、Enterprise Management Server に参加していますが、ワークグループ環境では、Enterprise Management Server のレプリケーションを実行できないという問題があります。
証明機関
ワークグループ環境に Forefront をインストールするための最大の要件は、Forefront TMG サーバーにサーバー証明書がインストールされていることです。この証明書は、内部でしか使用しないので、市販の証明書を購入した場合にかかるコストを節約するため、マイクロソフトは、独自のエンタープライズ証明機関を作成するを推奨しています。
Windows Server には、エンタープライズ証明機関として構成して動作するのに必要なものがすべて用意されています。ただし、サーバー証明書の機密性を考えると、ネットワーク境界で Forefront ゲートウェイとして機能しているサーバー以外に証明書サービスを展開する必要があります。
証明機関の役割を担うサーバーを決めたら、サーバー マネージャーを開きます。[役割] をクリックし、[役割の追加] をクリックします。役割の追加ウィザードが起動します。ウィザードの最初のページで [次へ] をクリックすると、インストールする役割を選択するページが表示されます。
[Active Directory 証明書サービス] チェック ボックスをオンにし、[次へ] をクリックします。Active Directory 証明書サービスのインストール後には、サーバーの名前やドメインの状態を変更できないこと説明する警告メッセージが表示されます。
展開する役割サービスを選択するページが表示されたら、[証明機関] チェック ボックスと [証明機関 Web 登録] チェック ボックスをオンにして、[次へ] をクリックします。
この時点で、スタンドアロン証明機関とエンタープライズ証明機関のどちらを展開するのかを指定します。ワークグループ環境用にセットアップしているので、[スタンドアロン] を選択します。[次へ] をクリックすると、証明機関の種類を選択するページが表示されます。組織に初めて展開する証明機関なので、[ルート CA] を選択し、[次へ] をクリックします。
今度は、新しい秘密キーを作成するのか、または既存の秘密キーを使用するのかを選択します。[新しい秘密キーを作成する] を選択し、[次へ] をクリックします。
暗号化のページが表示されたら、[次へ] をクリックして既定値を採用します。今度は、証明機関の共通名を指定するページが表示されます。任意の名前を入力して、その名前をメモしておきます。この名前は、後で Forefront を展開するときに必要になります。
証明書の有効期間を指定するページが表示されます。[次へ] をクリックして、既定値を採用します。次に、証明書データベースの場所を指定するページが表示されます。任意の場所を使用できますが、指定した場所にかかわらず、データベースのバックアップは定期的に作成する必要があります。
次に、ウィザードでは IIS の概要が表示されます。もう一度、[次へ] をクリックすると、IIS の役割サービスをインストールするページが表示されます。必要な役割サービスは既に選択されているので、[次へ] をクリックし、[インストール] をクリックすると、必要な役割サービスが展開されます。処理が完了したら、[閉じる] をクリックします。
サーバーの準備をする
Forefront TMG をインストールする前にサーバー側で必要な準備があります。まず、サーバーに Windows Server の最新の更新プログラムをべてインストールします。これは重要な手順です。というのも、私は、この手順を知らずに省略したことがありますが、Forefront は正常にインストールされませんでした。
サーバーが最新の状態になったら、Forefront TMG 2010 のインストール メディアをドライブに挿入します。Forefront のスプラッシュ画面が表示されたら、[準備ツールの実行] をクリックします。Forefront TMG 準備ツール ウィザードが起動します。
ウィザードの最初のページで [次へ] をクリックすると、使用許諾契約書のページが表示されます。次に、実行する Forefront インストールの種類を選択するページが表示されます (図 1 参照)。[Forefront TMG のサービスと管理] を選択し、[次へ] をクリックします。
![インストールの種類は [Forefront TMG サービスと管理] を選択する](images/gg547618.figure_1_choose_the_forefront_tmg_services_and_management_option_for_installation(en-us,msdn.10).jpg)
図 1 インストールの種類は [Forefront TMG サービスと管理] を選択する
必要な役割と機能が自動的にインストールされます。処理が完了したら、[Forefront TMG インストール ウィザードの起動] チェック ボックスがオンになっていることを確認して、[完了] をクリックします。
Forefront TMG をインストールする
サーバー側の準備が完了すると Forefront TMG Enterprise インストール ウィザードが起動します。最初のページで [次へ] をクリックし、使用許諾契約書に同意したら、もう一度 [次へ] をクリックして、プロダクト キーを入力します。さらに [次へ] をクリックすると、インストール パスを指定するページが表示されます。設定に問題がなければ、[次へ] をクリックして、[内部ネットワークの定義] ページに進みます。
Forefront TMG はネットワーク境界に配置するように設計されているので、内部ネットワークに含まれる IP アドレスに関する情報が必要です。[追加] ボタンをクリックして、内部アドレスの範囲を指定します。
[追加] をクリックすると、[アドレス] ダイアログ ボックスが表示されます。[アダプターの追加] ボタンをクリックし、内部ネットワークに接続しているアダプターを選択します (図 2 参照)。アダプターで動的な IP アドレスを使用している場合は、[アドレス] ダイアログ ボックスに戻って、内部アドレスの範囲を手動で指定しなければならないことがあります。
.jpg)
図 2 内部ネットワークに接続しているアダプターを選択する
アダプターを指定して、内部で使用している IP アドレスの範囲を指定したら、[次へ] をクリックします。いくつかのサービスを再起動しなければならないことを説明する警告メッセージが表示されることがあります。このような警告が表示されても、特に対応は必要ありません。単純に、もう一度、[次へ] をクリックします。
この時点で、現在使用している IP アドレスからリモート管理が可能になっていることを通知するメッセージが表示される場合があります。このようなメッセージが表示された場合は、[次へ] をクリックする前に、表示された IP アドレスをメモしておきます。
Forefront をインストールする準備が整ったことを示すメッセージが表示されます。[インストール] をクリックすると、インストールが開始します。図 2 のとおり、ウィザードでは、インストールにかかる予想時間が表示されます。インストールが完了したら、[完了] をクリックします。
Forefront TMG を構成する
Forefront TMG のインストールが完了したら、Forefront TMG の管理コンソールを開いて、コンソール ツリーの最上位ノードを選択します。[タスク] ペインで [開始ウィザードの起動] をクリックします。このリンクをクリックすると、開始ウィザードが起動します (図 3 参照)。
.jpg)
図 3 開始ウィザードを使用して Forefront TMG を構成できます
[ネットワーク設定の構成] をクリックして、構成処理を開始します (図 3 参照)。このリンクをクリックすると、ネットワーク セットアップ ウィザードが起動します。ウィザードの最初のページで、[次へ] をクリックすると、ご使用の環境のトポロジに最適だと思われるネットワーク テンプレートを選択するページが表示されます。Forefront サーバーは、ネットワーク境界の保護を提供するように構成するので、[エッジ ファイアウォール] を選択します (図 4 参照)。
![[エッジ ファイアウォール] 選択する](images/gg547618.figure_4_select_the_edge_firewall_option(en-us,msdn.10).jpg)
図 4 [エッジ ファイアウォール] 選択する
内部ネットワークに接続しているネットワーク アダプターを選択するページが表示されます。このページでは、追加のルートを指定することもできます。ただし、ワークグループ環境で追加のルートを指定する必要があることはまれです。
アダプターを選択したら、[次へ] をクリックし、インターネットに接続しているネットワーク アダプターを選択するページに進みます。アダプターを選択したら、[次へ] をクリックし、[完了] をクリックします。
システム設定を構成する
今度は、システム設定を構成します。[システム設定の構成] をクリックします (図 3 参照)。このリンクをクリックすると、システム構成ウィザードが起動します。
最初のページで [次へ] をクリックすると、図 5 のようなページが表示されます。ドメイン環境では、ドメイン名と DNS サフィックスを指定する必要があります。ここではワークグループ環境用に Forefront を設定しているので、必要な処理はありません。[次へ] をクリックし、[完了] をクリックしたら、システム設定の構成は完了です。
.jpg)
図 5 ワークグループ展開用に Forefront が構成されていることを確認する
展開オプションを定義する
最後の構成プロセスは、展開オプションの定義です。[展開オプションの定義] をクリックします (図 3 参照)。展開ウィザードが起動したら、最初のページで [次へ] をクリックします。
ウイルス対策ソフトの更新プログラムの確認に Microsoft Update を使用するかどうかを選択するページが表示されます。ここでは、Microsoft Update を使用するオプションを選択することを強くお勧めします。[次へ] をクリックすると、図 6 のような画面が表示されます。
.jpg)
図 6 無料のライセンスを有効にして、マルウェア検査を有効にする
図 6 に示すように、Forefront ライセンスのライセンス認証を行う必要があります。HTTP/HTTPS パケット レベルで悪意のあるコードを検出するネットワーク検査システムを有効にします。[マルウェア検査を有効にする] チェック ボックスをオンにする必要があります。また、必要に応じて、URL のフィルターも有効にできます。
Forefront でウイルス対策ソフトウェアの更新プログラムを確認する頻度を指定するオプションを設定します。既定では、15 分ごとに更新プログラムの有無を確認するようになっています。更新プログラムのチェックが長期に渡って失敗したときに警告を表示するように構成することもできます。
ウィザードでは、カスタマー エクスペリエンス向上プログラムに参加するかどうかも選択します。参加するかどうかを選択したら、[次へ] をクリックし、[完了] をクリックして、構成処理を完了します。[閉じる] をクリックして、開始ウィザードを閉じます。
Web アクセス ポリシー ウィザードが起動します。このウィザードでは、Forefront で実行する Web フィルター処理の種類を制御します。最初のページで [次へ] をクリックすると、有害な可能性のある URL をブロックする既定のルールを作成するかどうかを確認するページが表示されます。[はい、推奨される最小限の URL カテゴリをブロックするルールを作成します] を選択し、[次へ] をクリックします。
この時点で、アクセスをブロックする Web サイトの種類を確認するページが表示されます。たとえば、悪意のある言葉やわいせつな表現を含むサイトへのアクセスをブロックできます。ブロックされるコンテンツの一覧は自動的に作成されますが、この一覧は必要に応じて調整できます。
その後、ウィザードでは、Web アクセス ポリシーにマルウェア検査のルールを適用するかどうかを選択するページが表示されますが、[はい、インターネットから要求された Web コンテンツを検査します] を選択することを推奨します。また、[暗号化されたアーカイブ (zip ファイルなど) をブロックする] チェック ボックスもオンにすることをお勧めします。
ユーザーが、SSL で暗号化された HTTP セッション (HTTPS) を使用できるようにするかどうかを選択するページが表示されます。HTTPS コンテンツは検査することをお勧めしますが、Forefront では、HTTPS コンテンツを検査することで法的な問題が発生する場合があることを認識しています。この選択は注意深く行う必要があります。
HTTPS コンテンツを検査することを選択した場合は、ユーザーに検査の通知を表示するかどうかを選択できます。また、検査で使用する証明書を指定する必要があります。
Forefront では、自己署名証明書を生成することも、カスタム証明書を使用することもできます。ワークグループ環境では自己署名証明書を使用することはできないので、カスタム証明書を使用する必要があります。このオプションを選択した場合は、証明機関の名前を指定する必要があります。ここで指定する必要があるのは、証明機関を作成したときに定義したフレンドリ名で、サーバーのコンピューター名とは限りません。
最後に、証明書を手動でエクスポートおよび展開する必要があることを説明するページが表示されます。証明書のダウンロードに使用できるフォルダーを指定して、[次へ] をクリックします。Web キャッシュのページが表示された場合は、[既定の Web キャッシュ ルールを有効にする] チェック ボックスをオンにして、処理を完了します。
この手順を使用すると、Forefront TMG は、HTTP/HTTPS パケットがネットワーク境界を通過するときに検査される構成でインストールされます。ですが、Forefront TMG には、電子メール メッセージの検査など、他にも多くの機能が用意されていることを覚えておいてください。この記事で紹介したのはワークグループのセキュリティを確保するのに適した単純な展開です。
.jpg)
Brien Posey は、MVP であり、数千件の記事と数十冊の書籍を執筆した実績のあるフリーランスのテクニカル ライターです。Posey の Web サイトのアドレスは brienposey.com (英語) です。