Mirage ファイルポータルの保護

企業ポリシーで義務付けられているスパイウェアフィルタ、侵入検知システム、およびその他のセキュリティ対策を使用します。

OS のパッチを含め、すべてのセキュリティ対策が最新の状態になっていることを確認します。

表 1. コード MFP01 の保護構成
構成要素	説明
コード	MFP01
名前	Mirage ファイルポータルに適切なパッチが適用されている状態を維持します。
説明	OS を常に最新のパッチが適用された状態にすることで、OS の脆弱性が緩和されます。
リスクまたは制御	攻撃者がシステムのアクセス権を得て Mirage ファイルポータル上で権限の再割り当てを行うと、攻撃者は Mirage ファイルポータルを通じて転送されるすべてのファイルにアクセスできるようになります。
推奨レベル	Enterprise
条件または手順	業界標準ガイドラインまたは適用可能な場合は社内ガイドラインに従い、システムを使って Mirage ファイルポータルに常に最新のパッチが適用されているようにします。

表 2. コード MFP02 の保護構成
構成要素	説明
コード	MFP02
名前	Mirage ファイルポータルホスト上で OS の保護を提供します。
説明	OS レベルの保護を提供することで、OS の脆弱性が緩和されます。この保護には、アンチウイルス、アンチマルウェアなどのセキュリティ対策が含まれます。
リスクまたは制御	攻撃者がシステムのアクセス権を得て Mirage ファイルポータル上で権限の再割り当てを行うと、攻撃者は Mirage ファイルポータルを通じて転送されるすべてのファイルにアクセスできるようになります。
推奨レベル	Enterprise
条件または手順	業界標準ガイドラインまたは適用可能な場合は社内ガイドラインに従い、アンチウイルスなどの OS 保護を提供します。

表 3. コード MFP03 の保護構成
構成要素	説明
コード	MFP03
名前	特権ユーザーのログインを制限します。
説明	Mirage ファイルポータルに管理者としてログインする権限を持つ特権ユーザーの数を最小限にする必要があります。
リスクまたは制御	承認されていない特権ユーザーが Mirage ファイルポータルへのアクセス権を得ると、ダウンロードファイルの承認されていない変更に対してシステムが脆弱になります。
推奨レベル	Enterprise
条件または手順	個々のユーザーに固有の特権ログインアカウントを作成します。これらのアカウントはローカル管理者グループの一部である必要があります。

表 4. コード MFP04 の保護構成
構成要素	説明
コード	MFP04
名前	管理パスワードポリシーを実装します。
説明	すべての Mirage ファイルポータルにパスワードポリシーを設定します。パスワードには、特定のパラメータを含める必要があります。パスワードの最小文字数必要な特殊文字の種類パスワードの定期的な変更の必要性
リスクまたは制御	承認されていない特権ユーザーが Mirage ファイルポータルへのアクセス権を得ると、承認されていない変更に対してシステムが脆弱になります。
推奨レベル	Enterprise
条件または手順	Mirage ファイルポータルにパスワードポリシーを設定します。

表 5. コード MFP05 の保護構成
構成要素	説明
コード	MFP05
名前	不要なネットワークプロトコルを削除します。
説明	Mirage ファイルポータルは IPv4 による通信のみを使用します。その他のサービス（NFS のファイルおよびプリンタ共有、Samba サーバ、Novell IPX など）は削除する必要があります。
リスクまたは制御	不要なプロトコルが有効になっていると、ネットワーク攻撃に対して Mirage ファイルポータルがより一層脆弱になります。
推奨レベル	Enterprise
条件または手順	Mirage ファイル　ポータルオペレーティングシステムのコントロールパネルまたは管理ツールで、不要なプロトコルを削除またはアンインストールします。

表 6. コード MFP06 の保護構成
構成要素	説明
コード	MFP06
名前	不要なサービスを無効にします。
説明	Mirage ファイルポータルでは、OS 用サービスの数を最小限にする必要があります。不要なサービスを無効にすると、セキュリティが強化されます。これにより起動時にサービスが自動的に開始されるのを防ぎます。
リスクまたは制御	不要なサービスが実行されていると、ネットワーク攻撃に対して Mirage ファイルポータルがより一層脆弱になります。
推奨レベル	Enterprise
条件または手順	サーバのロールが有効になっていないことを確認します。必要のないサービスをすべて無効にします。Windows Server 2008 では、デフォルトでさまざまな Windows サービスが開始されますが、その中には不要なサービスも含まれています。以下のサービスは無効にする必要があります。アプリケーションエクスペリエンスアプリケーション管理証明書伝達 Com+ イベントシステム DHCP クライアント分散リンクトラッキングクライアント分散トランザクションコーディネーター診断ポリシーサービス IPsec ポリシーエージェント印刷スプーラーシステムイベント通知

Mirage ファイルポータルは、ブラウザによるアクセスや、インターネットなど潜在的な危険性のあるネットワークを経由したユーザーデータを制限するため、一般に、DMZ または内部データセンターにデプロイされます。DMZ または内部データセンターでは、ファイアウォールを使用してネットワークプロトコルアクセスを制限することが重要です。

表 7. コード MFP07 の保護構成
構成要素	説明
コード	MFP07
名前	DMZ 内の外部ファイアウォールを使用してネットワークアクセスを制御します。
説明	Mirage ファイルポータルは通常、DMZ にデプロイされます。Mirage ファイルポータルとの通信が必要最小限に制御されるように、アクセスを許可するプロトコルとネットワークポートを制御する必要があります。Mirage ファイルポータルは、データセンター内の Mirage 管理サーバに自動的にリクエストを送信して、すべてのトラフィックの転送が認証済みユーザーの代わりに実行されるようにします。
リスクまたは制御	不要なプロトコルおよびポートを許可すると、特にインターネットからのネットワーク通信のプロトコルとポートに対する、悪意あるユーザーによる攻撃の可能性が高まります。
推奨レベル	Mirage ファイルポータルのどちらか一方の側にファイアウォールを構成して、プロトコルとネットワークポートを、ブラウザと Mirage データストレージ間で必要な最小限のセットに制限します。 Mirage ファイルポータルを分離されたネットワークにデプロイして、ブロードキャストフレームの範囲を制限する必要があります。この構成によって、内部ネットワーク上の悪意あるユーザーによる Mirage ファイルポータルと Mirage 管理サーバ間の通信の監視を阻止することができます。ご使用のネットワークスイッチで高度なセキュリティ機能を使用して、Mirage ゲートウェイと Mirage サーバとの通信の悪意ある監視を防止し、ARP キャッシュポイズニングなどの監視攻撃から保護することをお勧めします。
パラメータまたはオブジェクト構成	DMZ 環境で必要なファイアウォール規則の詳細については、『VMware Mirage インストールガイド』を参照してください。

表 8. コード MFP08 の保護構成
構成要素	説明
コード	MFP08
名前	Mirage ファイルポータルで、デフォルトの自己署名サーバ証明書を使用しないでください。
説明	初めて Mirage ファイルポータルをインストールした場合、署名済み証明書が準備できるまで HTTPS サーバは動作しません。Mirage ファイルポータルと HTTPS サーバには、商用認証局 (CA) または組織 CA によって署名された SSL サーバ証明書が必要です。
リスクまたは制御	自己署名証明書を使用すると、中間者攻撃に対して SSL/TSL 接続がより一層脆弱になります。証明書を信頼できる CA が署名した証明書に適用することで、こうした攻撃の可能性を軽減します。
推奨レベル	Enterprise
条件または手順	Mirage ファイルポータル証明書のセットアップの詳細については、『VMware Mirage インストールガイド』を参照してください。
テスト	脆弱性スキャニングツールを使用して Mirage ファイルポータルに接続します。適切な CA によって署名されていることを確認します。