1. セキュリティ強化

セキュリティに関する考慮事項

Version:
日本語翻訳に関する免責事項

このページの翻訳はAIによって自動的に行われました。可能な限り正確な翻訳を心掛けていますが、原文と異なる表現や解釈が含まれる場合があります。正確で公式な情報については、必ず英語の原文をご参照ください。

Sitecoreでは、ドキュメントに記載されているすべてのセキュリティ強化手順に従うことをお勧めします。さらに、Sitecoreソリューションの実装方法は、Webサイトのセキュリティに大きな影響を与えるため、追加のセキュリティ関連のコーディングと設定が必要になる場合があります。

サイトコアは、お客様がお客様のウェブサイトで使用する他のソフトウェア製品のセキュリティについて責任を負いません。使用するすべてのソフトウェア製品に対して、利用可能なすべてのService Packと更新プログラムをインストールすることを強くお勧めします。

新しいセキュリティ情報に関する通知を受け取るには、セキュリティ情報のRSSフィードを購読できます。

一般的なセキュリティに関する推奨事項

Sitecoreはいくつかの異なるオペレーティング システムで実行できますが、Sitecoreでサポートされている最新のオペレーティング システムと最新のセキュリティ機能を使用することをお勧めします。Windows Update/自動更新サービスを使用すると、すべてのクライアント コンピューターとサーバーを最新のセキュリティ更新プログラムとサービス パックで最新の状態に保つことができます。

また、災害が発生した場合にサービスを迅速に再開できるように、災害復旧計画を作成する必要があります。リカバリー・プログラムには、以下のものを含める必要があります。

  • 新規または一時的な機器を取得するための計画。

  • バックアップを復元するための計画。

  • 復旧計画のテスト。

管理者パスワードを変更する

追加の保護レイヤーとして、Sitecoreでは、一意の名前で新しい管理者アカウントを作成し、すぐに使用できる管理者アカウントを削除することをお勧めします。

Sitecoreインストールをデプロイする前に、管理者パスワードを強力なパスワードに変更する必要があります。パスワードを変更すると、権限のないユーザーがデフォルトのパスワードを使用して管理者アカウントにアクセスするのを防ぐことができます。

強力なパスワードポリシーを適用する

Sitecoreは、すぐに使用できるユーザー管理システムとしてMicrosoft ASP.NET Membership Providerを活用しています。Sitecoreでは、パスワード ポリシーを組織に適したものに変更することをお勧めします。

web.configファイルの <membership> セクションでは、次のプロパティを設定できます。

  • minRequiredPasswordLength

  • minRequiredNonAlphanumericCharacters

  • maxInvalidPasswordAttempts

  • passwordAttemptWindow

  • passwordStrengthRegularExpression

これらのプロパティの詳細については、Microsoftのドキュメントを参照してください。

コンテンツ管理サーバーとコンテンツ配信サーバーを分離

多層防御戦略の一環として、デプロイの表面積を減らすことを目指す必要があります。

そのため、Sitecoreでは、本番環境にコンテンツ管理 (内部のみ) サーバーとコンテンツ配信 (インターネットに接続) サーバーを別々にデプロイすることをお勧めします。さらに、コンテンツ管理環境をインターネットに公開しないでください。

コンテンツ管理環境をインターネットに公開する必要がある場合は、次のことを行う必要があります。

  • HTTPSを使用して、コンテンツ管理サーバーをセキュリティで保護します。

  • IPフィルタリングを使用して、ホワイトリストに登録された クライアントのみがコンテンツ管理環境に接続できるようにすることを検討してください

    又は

  • IISで使用できるDynamic IP Address Restrictions機能の使用を検討してください。

web.configファイル内のconnectionstringsセクションを保護する

Sitecoreは、web.configファイルの <connectionStrings> セクションに機密情報を保存します。

<connectionStrings> セクションを暗号化して、web.configファイルが許可なくアクセスされた場合にこの情報が公開されないようにする必要があります。

Microsoft ASP.NET IIS登録ツール (aspnet_regiis.exe) を使用して、このセクションを -peまたは -pefオプションで暗号化できます。

大事な

Microsoft ASP.NET IIS登録ツールはマシン キーを使用して暗号化を実行するため、Sitecoreをインストールする各コンピューターでweb.configファイルを個別に暗号化する必要があります。

ASP.NET IIS登録ツールの詳細については、Microsoftのドキュメントを参照してください。

MongoDBの

MongoDBは、デフォルトでネットワークレベルで保護できます。ただし、MongoDBのベスト プラクティスに従って、Sitecoreインストールのセキュリティを強化する必要があります。

MongoDBのセキュリティの詳細については、次のWebサイトを参照してください。

この記事を改善するための提案がある場合は、 お知らせください!