- よくある質問 > 一般ユーザー様向けFAQ > FileZen > FileZenをより安全にお使いいただくための設定
FileZenをより安全にお使いいただくための設定
FileZenのお問い合わせ対応において、インターネットから管理者ログインできる環境で運用されているケースが散見されております。
管理者アカウント/パスワードが漏洩、推測された場合、攻撃者が管理者権限でFileZenを不正に操作し、FileZenにアップロードしたファイルを搾取されたり、踏み台にされさらなる攻撃に悪用される恐れがあります。
管理者アカウント/パスワードが漏洩、推測された場合、攻撃者が管理者権限でFileZenを不正に操作し、FileZenにアップロードしたファイルを搾取されたり、踏み台にされさらなる攻撃に悪用される恐れがあります。
FileZenをより安全にご利用いただくため、最新バージョンをご使用いただくとともに、
以下、システム管理者のアクセス制御に関する設定項目等の確認、
見直しを実施いただきますようご案内申し上げます。
以下、システム管理者のアクセス制御に関する設定項目等の確認、
見直しを実施いただきますようご案内申し上げます。
※インターネット環境で社外とのファイル授受にFileZenをご利用の場合は、特にご確認をお願いいたします。
- カテゴリー :
回答
1. システム管理者のアクセス制御に関する設定
システム管理者の権限が設定されているユーザー単位でアクセス制御を行ってください。
<FileZen サービスページ>
(1) [管理者]-[システム設定]-[管理者設定](図 1)で、システム管理者の権限のあるユーザーを確認します。
(1) [管理者]-[システム設定]-[管理者設定](図 1)で、システム管理者の権限のあるユーザーを確認します。
図 1 管理者設定
(2) [管理者]-[ユーザー管理]-[一覧表示](図 2)でシステム管理者権限のあるユーザーの<変更>から
「アクセス元 IP アドレスの検証」の設定(図 3)を行います。
社内ネットワークアドレスなど管理者アクセスに必要な IP アドレスのみを指定してください。
アクセス元に IP アドレスは、サブネット単位でも設定が可能です。
例)192.168.1.0/24
図 2 ユーザーの一覧表示
図 3 アクセス元IPアドレスの検証
2. 初期管理者アカウント「admin」の無効化に関する設定
以下の手順で、初期管理者アカウント「admin」を無効化してください。
「admin」のみをお使いの場合は、新たにシステム管理者アカウントを作成後、「admin」を無効化します。
※新たにシステム管理者アカウントを作成した場合は、「2.システム管理者のアクセス制御に関する設定」を忘れずに実施してください。
<FileZen サービスページ>
(1) [管理者]-[ユーザー管理]-[一覧表示](図 2)で、システム管理者権限を設定するユーザーを作成します。
(2) [管理者]-[システム設定]-[管理者設定](図 1)で、作成したユーザーにシステム管理者の権限を設定します。
(3) 設定したユーザーで FileZen サービスにログオンして、[管理者]タブにアクセスできることを確認します。
<システム管理ページ>
[サービス]-[サーバー状態]「サービス操作」(図 4)で、「FileZen サービスのシステム管理者(admin)に関する操作」の「無効にする」の<実行>をクリックします。
図 4 (システム管理ページ)サービス操作
3. アクセス制御に関する設定
FileZen の利用状況に合わせ、アクセス制御設定でアクセス項目ごとに接続元 IP アドレスの検証設定を行ってください。
※ 「システム管理者」項目だけではアクセス制御は完全ではありません。
「システム管理者」「APIからのアクセス」「FileZen Relay Agent」の設定を行ってください。
「システム管理者」「APIからのアクセス」「FileZen Relay Agent」の設定を行ってください。
<FileZen サービスページ>
[管理者]-[システム設定]-[ アクセス制御設定](図 5)で<編集>から設定を行います。
図 5 アクセス制御設定
- システム管理者
- 社内ネットワークアドレスなど管理者アクセスに必要な IP アドレスのみを指定してください。
- API からのアクセス
- API および、FileZen Mobile を使用していない場合
- 「127.0.0.1」を設定してください。
- API を使用している場合
- API への接続を行うシステムの IP アドレスまたはネットワークアドレスを指定してください。
- FileZen Mobile を使用している場合
- インターネットより FileZen Mobile を使用されている場合は、クライアント証明書検証を行うこ とを推奨いたします。
- FileZen Mobileによる接続が、社内ネットワークなど限定されている場合は、そのネットワーク アドレスを指定してください。
- Soliton SecureBrowser / WrappingBoxのFileZen連携を利用している場合
- Soliton SecureGatewayのIPアドレス(FileZenとの経路上に上位プロキシが存在する場合にはその機器のIPアドレス)を指定してください。
- API および、FileZen Mobile を使用していない場合
- FileZen Relay Agent
- FileZen RA、FileZen Client、FileZen FileConversion を使用していない場合
- 「127.0.0.1」を設定してください。
- FileZen RA を使用している場合
- FileZen RA をインストールしている Windows サーバーの IP アドレスを指定してください。
- FileZen Client、FileZen FileConversion を使用している場合
- FileZen Client、FileZen FileConversion を使用する端末が存在するネットワークアドレスを 指定してください。
- FileZen RA、FileZen Client、FileZen FileConversion を使用していない場合
4. システムログの外部送信に関する設定
FileZenのシステムログは初期設定では、ローカルファイルに記録され、ローテート条件によりローテートし ています。より長期間のシステムログを記録するために、外部 syslog サーバーへの送信、syslog サーバーでの管理を行ってください。
<システム管理ページ>
[システム設定]-[システムログ](図 6)で出力先の外部 syslog サーバーの IP アドレスまたはホスト名を設定します。「プライオリティ」の設定は「INFO」にしてください。
図 6 (システム管理ページ)システムログ
5. インターネット上で攻撃者に発見されない対処
FileZenは、FileZenを利用していることをインターネット上から判別されにくくする工夫をしておりますが、唯一、Faviconをデフォルトでご利用の場合に判別が容易になりますので、該当する場合は変更することをご検討ください。
Faviconの変更は下記より行えます。
Faviconの変更は下記より行えます。
<FileZen サービスページ>
[管理者]-[システム設定]-[画面デザイン]の「Favicon」
[管理者]-[システム設定]-[画面デザイン]の「Favicon」
各設定項目の詳細は、製品マニュアルをご参照ください。