FAQ(よくあるご質問)
FileZenをより安全にお使いいただくための設定
※本記事はFileZenをご利用のすべてのお客様を対象としておりますが、インターネット環境で外部とのファイル授受にFileZenをご利用いただいている場合は、特にご確認をお願いいたします。
FileZenのお問い合わせ対応において、インターネットから管理者ログオンできる環境で運用されているケースが散見されております。
管理者アカウント/パスワードが漏洩、推測された場合、攻撃者が管理者権限でFileZenを不正に操作し、FileZenにアップロードしたファイルを搾取されたり、踏み台にされさらなる攻撃に悪用される恐れがあります。
FileZenをより安全にご利用いただくため、最新バージョンをご使用いただくとともに、下記のアクセス制御に関する設定や、万が一の際にいち早く把握し調査を行うための設定の見直しを実施いただけますようご案内申し上げます。
管理者アカウント/パスワードが漏洩、推測された場合、攻撃者が管理者権限でFileZenを不正に操作し、FileZenにアップロードしたファイルを搾取されたり、踏み台にされさらなる攻撃に悪用される恐れがあります。
FileZenをより安全にご利用いただくため、最新バージョンをご使用いただくとともに、下記のアクセス制御に関する設定や、万が一の際にいち早く把握し調査を行うための設定の見直しを実施いただけますようご案内申し上げます。
- カテゴリー :
回答
目次
【1】管理者アカウントのアクセス制御
1. システム管理者のアクセス制御に関する設定
2. 初期管理者アカウント「admin」の無効化に関する設定
3. アクセス制御に関する設定
【2】万が一の事態に備えるための設定
1.システム管理者のメールアドレス設定
2. システムログ、アクセスログの外部送信に関する設定
【3】インターネット上で攻撃者に発見されにくくする対処
【4】システムの健全性の確認
【5】もし緊急通知メールを受信したら
【1】管理者アカウントのアクセス制御
1. システム管理者のアクセス制御に関する設定
システム管理者の権限が設定されているユーザー単位でアクセス制御を行ってください。
<FileZen サービスページ>
(1) [管理者]-[システム設定]-[管理者設定](図 1)で、システム管理者の権限のあるユーザーを確認します。
(1) [管理者]-[システム設定]-[管理者設定](図 1)で、システム管理者の権限のあるユーザーを確認します。
図 1 管理者設定
(2) [管理者]-[ユーザー管理]-[一覧表示](図 2)でシステム管理者権限のあるユーザーの<変更>から
「アクセス元 IP アドレスの検証」の設定(図 3)を行います。
社内ネットワークアドレスなど管理者アクセスに必要な IP アドレスのみを指定してください。
アクセス元に IP アドレスは、サブネット単位でも設定が可能です。
例)192.168.1.0/24
図 2 ユーザーの一覧表示
図 3 アクセス元IPアドレスの検証
2. 初期管理者アカウント「admin」の無効化に関する設定
以下の手順で、初期管理者アカウント「admin」を無効化してください。
「admin」のみをお使いの場合は、新たにシステム管理者アカウントを作成後、「admin」を無効化します。
※新たにシステム管理者アカウントを作成した場合は、「2.システム管理者のアクセス制御に関する設定」を忘れずに実施してください。
<FileZen サービスページ>
(1) [管理者]-[ユーザー管理]-[一覧表示](図 2)で、システム管理者権限を設定するユーザーを作成します。
(2) [管理者]-[システム設定]-[管理者設定](図 1)で、作成したユーザーにシステム管理者の権限を設定します。
(3) 設定したユーザーで FileZen サービスにログオンして、[管理者]タブにアクセスできることを確認します。
<システム管理ページ>
[サービス]-[サーバー状態]「サービス操作」(図 4)で、「FileZen サービスのシステム管理者(admin)に関する操作」の「無効にする」の<実行>をクリックします。
図 4 (システム管理ページ)サービス操作
3. アクセス制御に関する設定
FileZen の利用状況に合わせ、アクセス制御設定でアクセス項目ごとに接続元 IP アドレスの検証設定を行ってください。
※ 「システム管理者」項目だけではアクセス制御は完全ではありません。
「システム管理者」「APIからのアクセス」「FileZen Relay Agent」の設定を行ってください。
「システム管理者」「APIからのアクセス」「FileZen Relay Agent」の設定を行ってください。
<FileZen サービスページ>
[管理者]-[システム設定]-[アクセス制御設定](図 5)で<編集>から設定を行います。
図 5 アクセス制御設定
- システム管理者
社内ネットワークアドレスなど管理者アクセスに必要な IP アドレスのみを指定してください。 - API からのアクセス
- API および、FileZen Mobile を使用していない場合
「127.0.0.1」を設定してください。 - API を使用している場合
API への接続を行うシステムの IP アドレスまたはネットワークアドレスを指定してください。 - FileZen Mobile を使用している場合
・インターネットより FileZen Mobile を使用されている場合は、クライアント証明書検証を行うことを推奨いたします。
・FileZen Mobile による接続が、社内ネットワークなど限定されている場合は、そのネットワークアドレスを指定してください。 - Soliton SecureBrowser / WrappingBox のFileZen連携を利用している場合
Soliton SecureGateway のIPアドレス(FileZenとの経路上に上位プロキシが存在する場合にはその機器のIPアドレス)を指定してください。
- API および、FileZen Mobile を使用していない場合
- FileZen Relay Agent
- FileZen RA、FileZen Client、FileZen FileConversion を使用していない場合
「127.0.0.1」を設定してください。 - FileZen RA を使用している場合
FileZen RA をインストールしている Windows サーバーの IP アドレスを指定してください。 - FileZen Client、FileZen FileConversion を使用している場合
FileZen Client、FileZen FileConversion を使用する端末が存在するネットワークアドレスを 指定してください。
- FileZen RA、FileZen Client、FileZen FileConversion を使用していない場合
【2】万が一の事態に備えるための設定
1.システム管理者のメールアドレス設定
緊急時の通知を受信できるよう、システム管理者のメールアドレスが正しく設定されていることをご確認ください。
※ 緊急の通知メール機能はV4.2.8、およびV5.0.3以降で対応しています
<システム管理ページ>
[システム設定]-[管理者アカウント]で、権限が「管理者」に設定されているアカウントにメールアドレスを設定します。
<システム管理ページ>
[システム設定]-[管理者アカウント]で、権限が「管理者」に設定されているアカウントにメールアドレスを設定します。
なお、複数の「管理者」にメールアドレスが設定されている場合、緊急時の通知は一覧の一番上に登録されているメールアドレスにのみ通知されます。
2. システムログ、アクセスログの外部送信に関する設定
FileZenのシステムログとアクセスログは、初期設定ではローカルファイルに記録され、ローテート条件によりローテートしていますが、保存世代は1世代でそれ以降は順次削除されていきます。
より長期間これらのログを記録するために、外部 syslog サーバーに送信してそちらで管理を行ってください。
より長期間これらのログを記録するために、外部 syslog サーバーに送信してそちらで管理を行ってください。
<システム管理ページ>
2-1. [サービス]-[サーバー状態](図 6)の「アクセスログ」で「Syslogに記録」にチェックを入れ<適用>をクリックします。
※ V5.0.5以降で対応しています
※ 対象になるのはFileZenサービスのアクセスログです
図 6 (システム管理ページ)サーバー状態
2-2. [システム設定]-[システムログ](図 7)の「ログサーバー」で、出力先の外部 syslog サーバーの IP アドレスまたはホスト名を設定します。ご利用環境に応じて「バックアップサーバー」も設定してください。
「プライオリティ」の設定は「INFO」にしてください。
「プライオリティ」の設定は「INFO」にしてください。
図 7 (システム管理ページ)システムログ
【3】インターネット上で攻撃者に発見されにくくする対処
FileZenは、FileZenを利用していることをインターネット上から判別されにくくする工夫をしておりますが、唯一、Faviconをデフォルトでご利用の場合に判別が容易になりますので、該当する場合は変更することをご検討ください。
Faviconの変更は下記より行えます。
Faviconの変更は下記より行えます。
<FileZen サービスページ>
[管理者]-[システム設定]-[画面デザイン]の「Favicon」
[管理者]-[システム設定]-[画面デザイン]の「Favicon」
各設定項目の詳細は、製品マニュアルをご参照ください。
【4】システムの健全性の確認
FileZenの起動時のシステムログメッセージより、システムの健全性の確認ができます。
起動用パーティションのファイルのタイムスタンプおよび SHA256 ハッシュ値については、ご利用のバージョンのリリースノートをご参照ください。
【5】もし緊急通知メールを受信したら
上記の手順【2】-1.でメールアドレスを設定したシステム管理者にて
「【緊急】FileZen への攻撃疑い / [EMERGENCY] FileZen might be attacked.」
という件名のメールを受信した場合は(※)、FileZen をシャットダウンせずに直ちにネットワークから隔離したうえで、ご契約のサポート窓口までご連絡ください。
※システムログで確認する場合は、「Critical File Changed」というメッセージをご確認ください。
「【緊急】FileZen への攻撃疑い / [EMERGENCY] FileZen might be attacked.」
という件名のメールを受信した場合は(※)、FileZen をシャットダウンせずに直ちにネットワークから隔離したうえで、ご契約のサポート窓口までご連絡ください。
※システムログで確認する場合は、「Critical File Changed」というメッセージをご確認ください。
該当のメールを受信されていない場合も、この機会にご契約のサポート窓口への連絡方法をご確認ください。
以上です。
ご利用方法
●サポートサービスをご契約のお客様
必ずトップ画面に移動して専用アカウントでログインしてからご利用ください。
ログイン後、多数の技術情報を公開しております。アカウントがご不明な方は、こちらをご覧ください。
以下の製品は、[Soliton Cloud]メニューの「○○○ FAQ」アイコンをクリックして
ご利用いただくことも可能です。
FileZen S / InfoTrace Mark II / NetAttest EPS V5
●クラウドサービスをご利用のお客様
以下のサービスをご利用のお客様は、[Soliton Cloud Service Login Portal]にログイン後、メニューの「FAQ」アイコンをクリックしてご利用ください。
InfoTrace 360 / Mark II Cloud / SSBサービス / Soliton DNS Guard
SecureDesktopサービスなど他のクラウドサービスは、トップ画面から「一般ユーザー様向けFAQ」をご覧ください。
ログイン済みのお客様
アカウントを入力されたお客様、ご利用製品やサービスの管理画面にあるメニューの「FAQ」アイコンを
クリックされたお客様は、下記の「ご契約者様専用FAQ」をご覧ください。
ログイン済みの場合、ログイン欄に「ようこそ」と表示されます。
必ずトップ画面に移動して専用アカウントでログインしてからご利用ください。
ログイン後、多数の技術情報を公開しております。アカウントがご不明な方は、こちらをご覧ください。
以下の製品は、[Soliton Cloud]メニューの「○○○ FAQ」アイコンをクリックして
ご利用いただくことも可能です。
FileZen S / InfoTrace Mark II / NetAttest EPS V5
●クラウドサービスをご利用のお客様
以下のサービスをご利用のお客様は、[Soliton Cloud Service Login Portal]にログイン後、メニューの「FAQ」アイコンをクリックしてご利用ください。
InfoTrace 360 / Mark II Cloud / SSBサービス / Soliton DNS Guard
SecureDesktopサービスなど他のクラウドサービスは、トップ画面から「一般ユーザー様向けFAQ」をご覧ください。
ログイン済みのお客様
アカウントを入力されたお客様、ご利用製品やサービスの管理画面にあるメニューの「FAQ」アイコンを
クリックされたお客様は、下記の「ご契約者様専用FAQ」をご覧ください。
ログイン済みの場合、ログイン欄に「ようこそ」と表示されます。
FAQで解決しなかったら
現在の階層位置は上部にある「よくある質問 > ○○様向けFAQ」でご確認いただけます。
検索結果が表示されない場合には、上の階層に移動して再度検索するか、別の文字に置き換えて検索をお試しください。
- 検索で見つからない、故障発生やご質問等がございましたら、以下のフォームよりお問い合わせください。
<お問い合わせフォーム>