Skip To Content

ArcGIS のセキュリティ

このセクションでは、ArcGIS のコンポーネントで利用できるセキュリティ機能の概要を説明し、認証、承認、暗号化、監査の実装に関するガイダンスを提供します。 ArcGIS を使用すると、Esri が堅牢かつ効果的なセキュリティ フレームワークを継続的に維持するという保証の下で、必要な GIS 機能を利用することができます。 Esri は、次のような ArcGIS のセキュリティを常に進歩させています。

備考:

脆弱性、セキュリティ パッチ、告知など、最新のセキュリティ関連情報を入手するには、セキュリティ ブログに関連する RSS フィードに登録してください。

セキュリティ上の問題を連絡

組み込みのセキュリティとプライバシー

今日のサイバーセキュリティ環境において、ソフトウェア企業から受け取る製品やサービスがセキュリティとプライバシーに関する問題を内包していないか確認することが最重要課題となっています。 「セキュア開発ライフサイクルの概要」は、管理、標準への適合、評価、ツール、脆弱性、インシデント管理、利用されたガイドラインを含め、Esri が採用する保証手段の概要をまとめたものです。

セキュリティ検証ツール

ArcGIS Enterprise には、一般的なセキュリティの問題をスキャンする Python スクリプト ツールの serverScan.py と portalScan.py が付属しています。 これらのツールは、ArcGIS Enterprise でセキュリティ保護された環境を構成するための一部のベスト プラクティスに基づいて、問題があるかどうかをチェックします。 また、「Esri ソフトウェアのセキュリティとプライバシー」チームも ArcGIS Online Advisor ツールを提供しています。これは、ArcGIS Online 組織の管理者が各自のセキュリティ構成に対して簡単なチェックを実行できる無料のツールです。

ArcGIS Server のセキュリティ検証

serverScan.py スクリプトは <ArcGIS Server installation location>/tools/admin ディレクトリにあります。 コマンド ラインまたはシェルからスクリプトを実行します。 スクリプトを実行中にパラメーターを指定できます。

パラメーターを 1 つも指定せずに serverScan.py スクリプトを実行すると、手動でパラメーターを入力するか、デフォルト値を選択するよう求めるメッセージが表示されます。 トークンを使用するには、スクリプトを実行中にパラメーターとしてトークンを指定する必要があります。

このスキャンによって、指定された ArcGIS Server サイトで見つかった上記の問題をリスト表示するレポートが、HTML 形式で生成されます。

デフォルトでは、このレポートは、スクリプトを実行したのと同じフォルダーに保存され、serverScanReport_[hostname]_[date].html と名前が付けられます。

Portal for ArcGIS のセキュリティ検証

portalScan.py スクリプトは <Portal for ArcGIS installation location>\tools\security ディレクトリにあります。 コマンド ラインまたはシェルからスクリプトを実行します。 スクリプトを実行中にパラメーターを 1 つ以上指定できます。

パラメーターを 1 つも指定せずに portalScan.py スクリプトを実行すると、手動でパラメーターを入力するか、デフォルト値を選択するよう求めるメッセージが表示されます。 トークンを使用するには、スクリプトを実行中にパラメーターとしてトークンを指定する必要があります。

スキャンを実行すると、指定ポータルで前述の問題が発生した場合に、それを記載した HTML 形式のレポートが作成されます。

デフォルトでは、このレポートは、スクリプトを実行したのと同じフォルダーに保存され、portalScanReport_[hostname]_[date].html と名前が付けられます。

ArcGIS Online Security Advisor

ArcGIS Online Advisor ツールは、「Esri ソフトウェアのセキュリティとプライバシー」チームによって作成されたもので、ArcGIS Online 管理者が ArcGIS Online 組織におけるセキュリティ設定や過去の変更を一目で確認できるように、色分けされたインターフェイスを備えています。

ArcGIS Online Advisor ツールは ArcGIS Online 組織の現在のセキュリティ状態をレポートし、潜在的な問題への対応策に関するガイダンスを提供します。

最近の機能強化には、プレーンテキスト HTTP レイヤーを使って追加されたリソースを参照する ArcGIS Online に追加されたアイテムをチェックできる機能などがあります。 これは、HTTPS のみをサポートするという ArcGIS Online の今後の動向を検証する必要がある ArcGIS Online 組織管理者にとって有用です。 最近のその他の機能強化には、編集機能が有効になった、一般に入手可能なフィーチャ レイヤーのチェック、クエリ機能が有効になった調査用レイヤーがある公開調査のチェックなどがあります。

その他の取り組みについては、ソフトウェアのセキュリティとプライバシーに関する 「GeoNet のブログ」をご参照ください。

セキュリティ アップデート

中~高程度のリスクの脆弱性は、標準のセキュリティ パッチの一部として対処されます。これらのパッチは、現在も「General Availability」および「Extended Support」フェーズにある ArcGIS Enterprise 製品の長期サポート (LTS) リリースとしてリリースされます。 リスクは、CVSSv3 の公式を使用した社内評価によって判定されます。 サポートのフェーズについては、「Esri 製品のライフ サイクル定義」をご参照ください。また、STS と LTS のリリースについて説明したブログ投稿「ArcGIS Enterprise 製品ライフサイクルの最新情報」もご参照ください。

重大で実証済みの悪用可能な脆弱性は、Esri の製品ではまれです。 重大で実証済みの悪用可能な脆弱性が Esri ソフトウェアで発見された場合、Esri は、サポートのフェーズや LTS リリースの利用可能性とは関係なく、現在サポートされているすべてのバージョンの影響を受ける ArcGIS ソフトウェアに対して、パッチのリリースを行うことがあります。

ArcGIS Enterprise 向けにリリースされるセキュリティ パッチは累積的で、パッチ対象の ArcGIS Enterprise バージョン向けにリリースされた過去のすべてのセキュリティ パッチを含みます。

ドキュメントとプレゼンテーション

ArcGIS のセキュリティ、プライバシー、コンプライアンスについて学習するためのドキュメントとプレゼンテーションについては、「ドキュメント」をご参照ください。