ArcGIS Server でのセキュリティの実装方法

GIS サーバは、保護したい作業内容やリソースを表します。ArcGIS Server には、権限のないユーザがサービスやアプリケーションにアクセスするのを防ぐためのセキュリティ メカニズムが含まれています。ArcGIS Server を使用して、組織内のさまざまなグループに対してアクセス層を構成することもできます。

GIS サーバの以下の側面をセキュリティで保護することができます。

• システム全体のセキュリティ

  システム全体をセキュリティで保護するには、ハードウェアとソフトウェアを保護し、ArcGIS Server を組織内の既存のセキュリティ インフラストラクチャ内で実行するように構成する必要があります。組織では、悪意を持つインターネット ユーザから内部ネットワークを保護するために、おそらくファイアウォールを使用しています。ArcGIS Server システムがファイアウォールの内側にある場合、コンポーネント同士をファイアウォールで遮断する必要はありません。

  ArcGIS Server システムは、他の IT システムと同様に、悪意のあるネットワークや物理的攻撃から保護する必要があります。物理的セキュリティ、ソフトウェア更新、ウィルス対策などの問題については、IT 管理者の定めたベスト プラクティスに従ってください。

  Web アプリケーションは、SQL インジェクションなどの悪意のある攻撃に対して常に警戒しておく必要があります。ArcGIS Server Web サービスは、SQL インジェクションと不正利用についてはテストを行っています。カスタム Web アプリケーションも同様にテストして、同じセキュリティ ガイドラインに従っていることを確認する必要があります。

  最後に、Manager にログインするなど、ユーザがサーバに機密情報を送信する際には、SSL（Secure Sockets Layer）接続を使用することをお勧めします。SSL はデータを暗号化し、トランザクションを傍受する悪意を持つユーザからユーザ名とパスワードを保護します。

• ローカル接続のセキュリティ

  GIS サーバへのローカル接続は、オペレーティング システムのユーザとグループによって処理されます。agsadmin と agsusers という 2 つのグループがインストール時に作成されて、GIS サーバへのアクセスが許可されます。GIS サーバにローカル接続するユーザは、これらのグループに追加する必要があります。

• インターネット接続（Web サービス）のセキュリティ

  Manager を使用して、ArcGIS Server のインターネット接続（Web サービス）のセキュリティを設定することができます。これには、ユーザとロールの定義や、サービスを操作するために必要なロールの権限を決定することが含まれます。

• Web アプリケーションのセキュリティ

  Manager を使用して、Web アプリケーションにアクセスできるユーザとロール、および Web アプリケーションにアクセスするために必要な特権レベルを定義することができます。Microsoft Visual Studio の WSAT（Web Site Administration Tool）などのツールを使用して、セキュリティを設定することもできます。

セキュリティ ゾーン

ArcGIS Server のセキュリティは、以下の図に示すように、2 つのゾーンに分けて考えることができます。このヘルプ セクションには、ゾーンに対応するトピックが含まれています。

サーバを管理するには agsadmin グループに追加されているアカウントが必要なので、すべての GIS サーバ管理者がローカル セキュリティ ゾーンに取り組む必要はありません。agsadmin および agsusers グループのユーザを追加または削除することにより、ローカル セキュリティの設定を直ちに開始することができます。これに対し、インターネット セキュリティに関しては、ユーザやロール ストアを構成し、セキュリティを明示的に有効にする準備を行ってからでなければ、ユーザに Web アプリケーションやサービスにアクセスさせることはできません。

セキュリティの焦点をどこに合わせるかは、GIS サーバのユーザ次第です。インターネットに接続できるユーザがさまざまなレベル（ゲスト、社員、管理者など）でアクセスできる Web アプリケーションまたはサービスがある場合は、インターネット セキュリティ ゾーンに取り組む必要があります。つまり、ユーザとロールを設定し、それらの格納方法を決定する必要があります。これに対し、ArcMap にサービスを追加するようなローカル ネットワーク上のユーザだけの場合は、ローカル セキュリティ ゾーンに取り組み、agsadmin グループと agsusers グループを構成すれば十分です。

GIS データを編集するために LAN 上の従業員によって使用される Web アプリケーションなど、両方のゾーンに配慮しなければならないアプリケーションもあります。このようなアプリケーションは agsusers グループのメンバとして実行する必要があり、ローカル セキュリティ ゾーンが関与します。同時に、アプリケーションへのアクセスをユーザとロールを通じて管理する必要もあるので、インターネット セキュリティ ゾーンも関与します。