Microsoft Dynamics CRM 2015 用オペレーティング システムとプラットフォーム技術のセキュリティに関する考慮事項

公開日: 2016年11月

対象: Dynamics CRM 2015

広い意味において、セキュリティには脅威とアクセスとの間の妥協点を計画および考慮することが含まれます。 たとえば、コンピューターを金庫室で保管し、1 人のシステム管理者しか使用できないようにしたとします。 確かにセキュリティは確保されますが、他のコンピューターに接続されないため、実用的ではありません。 ビジネス ユーザーがインターネットや社内のイントラネットにアクセスする必要がある場合、ネットワークをセキュリティで保護するだけでなく、実用性についても検討する必要があります。

以下のセクションでは、コンピューティング環境のセキュリティを強化する方法について説明するリンクを紹介します。Microsoft Dynamics 365 のデータ セキュリティは、最終的には、オペレーティング システムと必須およびオプションのソフトウェア コンポーネントのセキュリティに大きく左右されます。

このトピックの内容

Windows Server のセキュリティ保護

SQL Server のセキュリティ保護

Exchange Server と Outlook のセキュリティ保護

モバイル デバイスのセキュリティ保護

Windows Server のセキュリティ保護

Microsoft Dynamics 365 の基盤となる Windows Server は、高度なネットワーク セキュリティを備えています。Active Directory と Active Directory フェデレーション サービス (AD FS) に統合された Kerberos Version-5 認証プロトコルでは、クレームベース認証を使用して Active Directory ドメインをフェデレーションできます。 両方とも強力な標準ベースの認証を提供します。 これらの認証標準では、ユーザー名とパスワードを組み合わせた単一のログオンを入力するだけで、ネットワーク全体のリソースにアクセスできます。 また、Windows Server にはネットワークのセキュリティを強化するいくつかの機能も備えています。

次のリンクをクリックすると、これらの機能について説明するページが表示されます。Windows Server の展開をより強力なセキュリティで保護する方法について学習できます。

• Windows Server 2012

  • Windows Server 2012 R2 と Windows Server 2012 のセキュリティの設定

  • Windows Server 2012 Security ベースライン

Windows エラー報告

Microsoft Dynamics 365 には Windows エラー報告 (WER) サービスが必要です。このサービスがインストールされていない場合は、セットアップによってインストールされます。WER サービスでは、IP アドレスなどの情報が収集されます。 これらの情報がユーザーの特定に使用されることはありません。WER サービスは、個人を特定する情報 (名前、住所、電子メール アドレス、コンピューター名など) の収集を目的とするものではありません。 これらの情報がメモリに保持されたり、開いているファイルからデータとして収集されたりする可能性がありますが、Microsoft がそれらの情報をユーザーの特定に使用することはありません。 また、Microsoft Dynamics 365 アプリケーションと Microsoft との間で送信される情報の一部は、セキュリティで保護されない場合があります。 送信される情報の種類に関する詳細については、Microsoft エラー報告サービスのプライバシーに関する声明を参照してください。

ウイルス、マルウェア、および ID の保護

ウイルスまたはマルウェアから ID およびシステムを保護するには、以下のリソースを参照してください。

• Microsoft セーフティとセキュリティ センター: コンピューターを最新に保ち、悪用、スパイウェア、およびウイルスから保護する方法についてのヒント、トレーニング、およびガイダンスを参照するホームページです。

• セキュリティ TechCenter: このページには、コンピューターやアプリケーションを最新かつより安全に保つうえで役立つ、技術記事、ヒント集、更新プログラム、ツール、およびガイダンスへのリンクがあります。

更新プログラムの管理

Microsoft Dynamics 365 の更新プログラムには、セキュリティ、パフォーマンス、および機能の改善点などが含まれています。Microsoft Dynamics 365 アプリケーションに最新の更新プログラムを適用すると、システムを常に安定した状態で効率的に稼動させることができます。

更新プログラムの管理方法については、次のトピックを参照してください。

• Microsoft Windows Server Update Services (WSUS)

• Update Management in System Center Essentials (System Center Essentials での更新プログラムの管理)

• Windows Server 2012 の更新管理: クラスター対応の更新の公表および新世代の WSUS

SQL Server のセキュリティ保護

Microsoft Dynamics 365 は SQL Server に依存しているため、以下の手段を講じて SQL Server データベースのセキュリティを強化してください。

• 最新のオペレーティング システムと SQL Server Service Pack (SP) および更新プログラムが適用されていることを確認します。 最新情報については、マイクロソフト セキュリティ Web ページを参照してください。

• ファイル システム レベルのセキュリティを強化するために、SQL Server のすべてのデータおよびシステム ファイルが、NTFS パーティションにインストールされていることを確認します。 これらのファイルは、NTFS アクセス許可を通じて管理者レベルまたはシステム レベルのユーザーのみが使用できるようにしてください。 これは、MSSQLSERVER サービスが実行されていない場合に、これらのファイルにアクセスするユーザーに対するセーフガードとなります。

• 低レベルの特権を持つドメイン アカウントを使用します。 または、SQL Server サービスに対して、ネットワーク サービス アカウントまたはローカル システム アカウントを指定できます。 ただし、アクセス許可が低いドメイン ユーザー アカウントで SQL Server サービスを実行できるため、これらのアカウントを使用しないようお勧めします。 ドメイン ユーザー アカウントには、ドメイン内で最低限の権限を持たせるようにします。また、セキュリティ侵害が発生した場合は、このアカウントを利用してサーバーへの攻撃を (停止させるのではなく) 封じ込めるようにします。 つまり、このアカウントには、ドメインのローカル ユーザー レベルのアクセス許可のみを与えてください。 サービス実行のために Domain Administrator アカウントを使用して SQL Server がインストールされる場合、a compromise of SQL Server の侵害によりドメイン全体が侵害されます。 この設定を変更する必要がある場合は、SQL Server Management Studio を使用してください。そうすることで、ファイルのアクセス制御リスト (ACL)、レジストリ、およびユーザーの権利も自動的に変更されます。

• SQL Server は、Windows 認証または SQL Server のいずれかの資格情報を持つユーザーを認証します。 シングル サインオンで操作が容易である点、および最も強力なセキュリティで保護された認証方法を提供できる点から、Windows 認証を使用することをお勧めします。

• 既定では、SQL Server システムの監査は無効になるため、どの状態も監査されません。 そのため、侵入検知は困難で、攻撃者は足跡を隠蔽しやすくなります。 少なくとも、ログインの失敗の監査は有効にしてください。

• レポート サーバー 管理者は RDL サンドボックスを有効にして、レポート サーバー に対するアクセスを制限できます。詳細:「RDL サンドボックスの有効化と無効化」を参照してください

• SQL のログインは、既定のデータベースとして master データベースを使用するよう構成されています。 ユーザーには master データベースに対する権限はありませんが、ベスト プラクティスとしては、SQL ログイン (SYSADMIN ロールを使用するもの以外) ごとに既定値を変更し、OrganizationName_MSCRM を既定のデータベースとして使用するようにしてください。詳細:SQL Server のセキュリティ保護

Exchange Server と Outlook のセキュリティ保護

次の検討事項は、Microsoft Exchange Server に関するものです。Microsoft Dynamics 365 環境内での Exchange Server にのみ該当する検討事項も含まれています。

• Exchange Server には、インフラストラクチャをきめ細かく管理するための高度なメカニズムが含まれています。 とりわけ、管理グループを使用して、サーバー、コネクタ、ポリシーなどの Exchange Server オブジェクトを収集し、これらの管理グループ上で ACL を変更して特定のユーザーだけにアクセスを許可することができます。 たとえば、Microsoft Dynamics 365 管理者に対して、アプリケーションに直接影響のあるサーバーに対する制御権限を許可することができます。 管理グループを効果的に使用することによって、Microsoft Dynamics 365 管理者に対して職務の実行に必要な権限のみを与えることができます。

• 多くの場合、Microsoft Dynamics 365 ユーザー用の組織単位 (OU) を別に作成し、その OU に対する限定された管理者権限を Microsoft Dynamics 365 管理者に付与すると便利です。 こうすると、Microsoft Dynamics CRM 管理者はその OU のユーザーに対しては変更を実行できますが、OU 外のユーザーに対しては変更を実行できません。

• 承認されていない電子メール中継に対して、適切な保護策を講じてください。 電子メール中継の機能によって、SMTP クライアントは SMTP サーバーを使用して電子メール メッセージをリモート ドメインに転送することができます。 既定では、Microsoft Exchange Server は電子メール中継を禁止するように構成されています。 構成する設定は、メッセージ フローや、インターネット サービス プロバイダー (ISP) の電子メール サーバーの構成によって異なります。 ただし、この問題に対処するには、いったん電子メール中継の設定をロックダウンした後、設定を徐々に開放して電子メールが正常に送受信されるようにしていくことが最も良い方法です。 詳細については、Exchange Server のヘルプを参照してください。

• 転送用メールボックスの監視を使用する場合、E-mail Router は Exchange Server または POP3 準拠メールボックスが必要です。 このメールボックスのアクセス許可の設定によって、他のユーザーがサーバー側のルールを追加できないようにすることをお勧めします。Exchange Server メールボックスの詳細は、メールボックスのアクセス許可を参照してください。

• Microsoft Dynamics 365E-mail Router サービスはローカル システム アカウントで実行します。 このアカウントで実行すると、E-mail Router は指定されたユーザーのメールボックスにアクセスし、そのメールボックス内の電子メールを処理できます。

Exchange Server をより強力なセキュリティで保護する方法の詳細については、「展開のセキュリティ チェックリストDeployment Security Checklist」を参照してください。

モバイル デバイスのセキュリティ保護

増加するモバイル人口を組織がサポートするにつれ、強力なセキュリティが必要になります。 以下のリソースは、スマートフォンおよびタブレット PC などのモバイル デバイスに関する情報とベスト プラクティスを提供します。

• Configuration Manager および Windows Intune を使用してモバイル デバイスを管理する方法

• ビジネス用 Windows Phone

• セキュリティに関する考慮事項 (Microsoft Surface)

• ビジネスでの iOS (iPad および iPhone)

関連項目

Microsoft Dynamics CRM 2015 の展開の計画
電子メールの処理および Outlook 用 CRM のセットアップと管理
電話とタブレット PC の設定および管理
Microsoft Dynamics CRM のセキュリティに関する考慮事項

© 2016 Microsoft Corporation. All rights reserved. 著作権