セキュリティ強化チェックリスト
次のリストは、セキュリティの向上 (「強化」) を Tableau Server インストールで行うための推奨事項を提供します。
Tableau Server on Windows については、「セキュリティ強化チェックリスト」(新しいウィンドウでリンクが開く)参照してください。
セキュリティ更新のインストール
セキュリティ更新は、Tableau Server の最新バージョンおよびメンテナンス リリース (MR) に含まれています。セキュリティ更新をパッチとしてインストールすることはできません。代わりに、最新のセキュリティ修正で Tableau Server を更新するには、最新バージョンまたは MR にアップグレードする必要があります。
アップグレード後は、このトピックの最新バージョンを常に参照してください。最新バージョンには、トピックの URL に /current/ が含まれています。
たとえば、米国バージョンの URL は https://help.tableau.com/current/server/ja-jp/security_harden.htm です。
1.現在のバージョンへの更新
常に最新バージョンの Tableau Server を実行することをお勧めします。さらに、Tableau では、既知のセキュリティ脆弱性に対する修正を含む Tableau Server のメンテナンス リリースを定期的にパブリッシュします。(セキュリティの脆弱性に関する既知の情報は、Tableau の「セキュリティ文書」ページ、およびSalesforce の「セキュリティ アドバイザリ」(新しいウィンドウでリンクが開く)ページにあります。)メンテナンス リリース通知を確認し、インストールするかどうかを決定することをお勧めします。
Tableau Server の最新バージョンまたはメンテナンス リリースを取得するには、カスタマー ポータル(新しいウィンドウでリンクが開く)にアクセスしてください。
2.有効な信頼された証明書を使用して SSL/TLS を構成する
Tableau Server との通信のセキュリティを保護するには、セキュア ソケット レイヤー (SSL/TLS) が不可欠です。Tableau Desktop、モバイル デバイス、および Web クライアントが安全な接続を介してサーバーに接続できるように、有効で信頼できる証明書 (自己署名証明書以外) を使用して Tableau Server を構成します。詳細については、SSLを参照してください。
3.古いバージョンの TLS の無効化
Tableau Server は TLS を使用して、コンポーネントと外部クライアントの間の多くの接続を認証および暗号化します。ブラウザーなどの外部クライアント、Tableau Desktop、Tableau Mobile は TLS over HTTPS を使用して Tableau に接続します。トランスポート レイヤー セキュリティ (TLS) は、SSL の向上バージョンです。実際、古いバージョンの SSL (SSL v2 および SSL v3) は適切に保護された通信標準とは見なされなくなりました。その結果、Tableau Server 接続に SSL v2 または SSL v3 プロトコルを使用している外部クライアントの使用を許可しません。
外部クライアントが TLS v1.3 および TLS v1.2 を使用して Tableau Server に接続するのを許可することが推奨されています。
TLS v1.2 は依然として安全なプロトコルと見なされており、多くのクライアント (Tableau Desktop を含む) では TLSv1.3 はまだサポートされていません。
サーバーで TLS v1.2 がサポートされている場合でも、TLSv1.3 対応のクライアントは TLSv1.3 をネゴシエートします。
次の tsm コマンドは TLS v1.2 および v1.3 ("all" パラメーターを使用する) を有効にし、SSL v2、SSL v3、TLS v1、および TLS v1.1 を (指定されたプロトコルの先頭にマイナス [-] 文字を付けることにより) 無効にします。TLS v1.3 では、Tableau Server のコンポーネントでまだ対応していないものがあります。
tsm configuration set -k ssl.protocols -v 'all -SSLv2 -SSLv3 -TLSv1 -TLSv1.1'
tsm pending-changes apply
Tableau Server PostgreSQL リポジトリの SSL を管理するプロトコルを変更するには、pgsql.ssl.ciphersuite を参照してください。
また、Tableau Server が SSL/TLS セッションで使用する暗号スイートの既定リストを変更することもできます。詳細については、tsm configuration set のオプションの ssl.ciphersuite セクションを参照してください。
4.内部トラフィック用に SSL 暗号化を構成する
Postgres リポジトリと他のサーバー コンポーネントの間のすべてのトラフィックを暗号化するために SSL を使用するよう Tableau Server を設定します。デフォルトでは、SSL はサーバー コンポーネントとリポジトリとの間の通信について無効になっています。単一サーバー インストールであっても、Tableau Server のすべてのインスタンス用に内部 SSL を有効化することをお勧めします。マルチ ノード展開では特に、内部 SSL を有効にすることが重要です。内部 Postgres 通信用に SSL を設定するを参照してください。
5.ファイアウォールによる保護を有効にする
Tableau Server は保護された内部ネットワーク内で動作するように設計されました。
重要: Tableau Server または Tableau Server のどのようなコンテンツもインターネット上または DMZ 内で実行しないでください。Tableau Server はインターネット ファイアウォールで保護された会社ネットワーク内で実行する必要があります。Tableau Server に接続する必要があるインターネット クライアント用にリバース プロキシ ソリューションを構成することをお勧めします。Tableau Server のプロキシとロード バランサーの設定を参照してください。
シングル ノード展開およびマルチノード展開では、ローカルのファイアウォールをオペレーティング システムで有効化して Tableau Server を保護する必要があります。Tableau Server の分散 (マルチノード) インストールでは、ノード間の通信は安全な通信を使用しません。そのため、Tableau Server をホストするコンピューター上でファイアウォールを有効化することをお勧めします。
受動的な攻撃者によってノード間の通信が傍受されるのを防ぐため、分離された仮想 LAN または他のネットワーク レイヤー セキュリティ ソリューションを設定します。
Tableau Server で必要なポートとサービスを理解するには、Tableau サービス マネージャーのポートを参照してください。
6.サーバー コンピューターや重要なディレクトリへのアクセスを制限する
Tableau Server 構成ファイルおよびログ ファイルには、攻撃者に対して脆弱な情報が含まれる可能性があります。そのため、Tableau Server を実行しているマシンへの物理アクセスを制限します。さらに、認証され、信頼されたユーザーのみが /var/opt/tableau/tableau_server/
7.新しいシークレットとトークンの生成
リポジトリまたはキャッシュ サーバーと通信する Tableau Server サービスは、シークレット トークンを使用して最初に認証する必要があります。シークレット トークンは、Tableau Server セットアップ時に生成されます。セットアップ時には、Postgres リポジトリへのトラフィックを暗号化するために内部 SSL が使用する暗号化キーも生成されます。
Tableau Server をインストールした後、展開用に新しい暗号化キーを作成することをお勧めします。
これらのセキュリティ アセットは、tsm security regenerate-internal-tokens コマンドで再生成できます。
次のコマンドを実行します。
tsm security regenerate-internal-tokens
tsm pending-changes apply
8.使用していないサービスの無効化
Tableau Server の攻撃表面を最小限に抑えるため、不要な接続ポイントを無効化します。
JMX サービス
JMX は、既定で無効化されています。有効化されているにもかかわらず使用していない場合は、次を実行して無効化する必要があります。
tsm configuration set -k service.jmx_enabled -v false
tsm pending-changes apply
9.セッション存続時間設定の検証
既定では、Tableau Server に絶対的なセッション タイムアウトはありません。つまり、Tableau Server の非アクティブ タイムアウトを超えない場合、ブラウザーベースのクライアント セッション (Web 作成) を開いたままにすることができます。既定の非アクティブ タイムアウトは、240 分です。
セキュリティ ポリシーで要求される場合は、絶対的なセッション タイムアウトを設定できます。絶対的なセッション タイムアウトは、時間がかかる抽出のアップロードまたはワークブックのパブリッシュ操作が組織で実行できる範囲で設定してください。セッション タイムアウトの設定が短すぎると、操作に時間がかかりすぎて抽出やパブリッシュが失敗する場合があります。
セッション タイムアウトを設定するには、次のコマンドを実行します。
tsm configuration set -k wgserver.session.apply_lifetime_limit -v true
tsm configuration set -k wgserver.session.lifetime_limit -v value、ここで value は分数です。既定では、1440 (24 時間) です。
tsm configuration set -k wgserver.session.idle_limit -v value、ここで value は分数です。既定では、240 です。
tsm pending-changes apply
接続されたクライアント (Tableau Desktop、Tableau Mobile、Tableau Prep Builder、Bridge、および個人用アクセス トークン) のセッションでは、OAuth トークンを使用して、セッションを再確立することによりユーザーをログインしたままにします。すべての Tableau クライアント セッションを、上記のコマンドによって制御されるブラウザーベースのセッション制限のみによって管理する場合は、この動作を無効にできます。詳細については、自動クライアント認証を無効にするを参照してください。
10.ファイルベースのデータ ソース用にサーバーの許可リストを設定する
2023 年 10 月の Tableau Server リリース以降、デフォルトのファイルベースのアクセス動作が変わりました。以前は、Tableau Server は許可された Tableau Server ユーザーに対し、サーバー上のファイルをファイル ベースのデータ ソース (スプレッドシートなど) として使用するワークブックの作成を許可していました。2023 年 10 月のリリースでは、Tableau またはリモート共有に保存されているファイルへのアクセスは、ここで説明する設定を使用して Tableau Server で特別に構成する必要があります。
この設定により、tableauシステム アカウントによるアクセスを、指定したディレクトリのみに制限できます。
共有ファイルへのアクセスを構成するには、許可リスト機能を構成する必要があります。これにより、データ ファイルをホストしているディレクトリ パスのみに tableau アカウントのアクセスを制限できます。
Tableau Server を実行しているコンピューターで、データ ソース ファイルをホストするディレクトリを識別します。
重要: この設定で指定したファイル パスが存在し、システム アカウントでアクセス可能であることを確認してください。
次のコマンドを実行します。
tsm configuration set -k native_api.allowed_paths -v "path"、ここで、path は許可リストに追加するディレクトリです。指定したパスのすべてのサブディレクトリは、許可リストに追加されます。複数のパスを指定する場合は、この例のようにセミコロンで区切ります。tsm configuration set -k native_api.allowed_paths -v "/datasources;/HR/data"tsm pending-changes apply
11.Web ブラウザー クライアントでの HTTP Strict Transport Security の有効化
HTTP Strict Transport Security (HSTS) は、Tableau Server などの Web アプリケーション サービスで構成されるポリシーです。適合するブラウザーに HSTS を実行している Web アプリケーションがある場合、サービスとのすべての通信が安全な接続 (HTTPS) を介して行われる必要があります。HSTS は主要なブラウザーでサポートされています。
HSTS のしくみとサポートされるブラウザーの詳細については、Open Web Application Security Project Web ページの「HTTP Strict Transport Security チート シート (HTTP Strict Transport Security Cheat Sheet)」(新しいウィンドウでリンクが開く)を参照してください。
HSTS を有効にするには、Tableau Server で次のコマンドを実行してください。
tsm configuration set -k gateway.http.hsts -v true
既定では、HSTS ポリシーが 1 年に設定されています (31536000 秒)。ブラウザーが HTTPS 経由でサーバーにアクセスする期間を指定します。HSTS の初期ロールアウト時は最長期間を短く設定することを検討する必要があります。この期間を変更するには、tsm configuration set -k gateway.http.hsts_options -v max-age=<seconds> を実行します。たとえば、HSTS ポリシーの期間を 30 日に設定し、tsm configuration set -k gateway.http.hsts_options -v max-age=2592000 と入力します。
tsm pending-changes apply
12.ゲスト アクセスの無効化
Tableau Server のコアベースのライセンスには、ゲスト ユーザー オプションが含まれます。このオプションでは、組織のすべてのユーザーに対し、Web ページに埋め込まれた Tableau ビューの表示や操作を許可できます。
コアベースのライセンスを使用して展開された Tableau Server では、ゲスト ユーザー アクセスが既定で有効になっています。
ゲスト アクセスによって、ユーザーは埋め込みビューを表示できます。ゲスト ユーザーは Tableau Server インターフェイスを参照できません。また、ビューを操作するサーバー インターフェイス エレメントは表示されません (ユーザー名、アカウント設定、コメントなど)。
組織でコア ライセンスを使用して Tableau Server を展開しており、ゲスト アクセスが必要ない場合は、ゲスト アクセスを無効にします。
ゲスト アクセスをサーバー レベルまたはサイト レベルで無効にできます。
サーバー レベルまたはサイト レベルでゲスト アカウントを無効にするには、サーバー管理者である必要があります。
ゲスト アクセスをサーバー レベルで無効にするには、次の手順を行います。
サイト メニューで、[すべてのサイトを管理] > [設定] > [全般] の順にクリックします。
[ゲスト アクセス] で、[ゲスト アカウントを有効にする] チェック ボックスをクリアします。
[保存] をクリックします。
サイトのゲスト アクセスを無効にするには、次の手順を行います。
サイト メニューで、サイトを選択します。
[設定] をクリックし、[設定] ページで、[ゲスト アカウントを有効化] チェック ボックスをクリアします。
詳細については、ゲスト ユーザーを参照してください。
13.Referrer-Policy HTTP ヘッダーを 'same-origin' に設定する
2019.2 から、Tableau Server には Referrer-Policy HTTP ヘッダーの動作を構成する機能が含まれています。このポリシーは、すべての "secure as" 接続で起点の URL を含める既定の動作 (no-referrer-when-downgrade) を指定して有効になっています。この動作では、同種の接続 (HTTP から HTTP) またはよりセキュリティの高い接続 (HTTP から HTTPS) にのみ、起点の参照元に関する情報が送信されます。
この値を、参照元の情報が同じサイトの起点にのみ送信される same-origin に設定することをお勧めします。サイトの外部からの要求は参照元に関する情報を受信しません。
Referrer-Policy を same-origin に更新するには、次のコマンドを実行します。
tsm configuration set -k gateway.http.referrer_policy -v same-origin
tsm pending-changes apply
セキュリティ向上を目的とした追加のヘッダー構成の詳細については、HTTP 応答ヘッダーを参照してください。
14.TLS による SMTP 接続の構成
2019.4 から、Tableau Server には TLS による SMTP 接続を構成する機能が含まれています。Tableau Server では、STARTTLS (便宜的または明示的な TLS) のみがサポートされています。
オプションで、メール サーバーに接続するように Tableau Server を構成することができます。SMTP を構成したら、システム障害についてサーバー管理者にメールを送信し、サブスクライブしたビューおよびデータ主導アラートについてサーバー ユーザーにメールを送信するよう Tableau Server を構成することができます。
TLS による SMTP を構成するには、次の手順を実行します。
- 互換性のある証明書を Tableau Server にアップロードします。tsm security custom-cert add を参照してください。
- TSM CLI を使用して TLS 接続を構成します。
次の TSM コマンドを実行して、SMTP サーバーへの TLS 接続を有効化および強制し、証明書の検証を有効にします。
tsm configuration set -k svcmonitor.notification.smtp.ssl_enabled -v truetsm configuration set -k svcmonitor.notification.smtp.ssl_required -v truetsm configuration set -k svcmonitor.notification.smtp.ssl_check_server_identity -v true既定では、Tableau Server は TLS バージョン 1、1.1、および 1.2 をサポートしますが、SMTP サーバーがサポートする最も高い TLS バージョンを指定することをお勧めします。
次のコマンドを実行してバージョンを設定します。有効な値は、
SSLv2Hello、SSLv3、TLSv1、TLSv1.1、およびTLSv1.2です。次の例では、TLS バージョンをバージョン 1.2 に設定します。tsm configuration set -k svcmonitor.notification.smtp.ssl_versions -v "TLSv1.2"TLS 構成オプションの詳細については、SMTP セットアップの構成 を参照してください。
- 変更を反映するには、Tableau Server を再起動します。次のコマンドを実行します。
tsm pending-changes apply
15.LDAP の SSL を設定
汎用 LDAP 外部 ID ストアを使用するように Tableau Server の展開が構成されている場合は、Tableau Server と LDAP サーバー間の認証を保護するように SSL を構成することをお勧めします。外部の LDAP アイデンティティ ストアへの暗号化チャネルの構成を参照してください。
Active Directory を使用するように Tableau Server の展開が構成されている場合は、認証トラフィックを保護するために Kerberos を有効にすることをお勧めします。Kerberosを参照してください。
変更リスト
| Date | Change |
|---|---|
| May 2018 | Added clarification: Do not disable REST API in organizations that are running Tableau Prep. |
| May 2019 | Added recommendation for referrer-policy HTTP header. |
| June 2019 | Removed recommendation to disable Triple-DES. As of version 2019.3, Triple-DES is no longer a default supported cipher for SSL. See 変更箇所 - アップグレード前に知っておく事柄. |
| January 2020 | Added recommendation to configure TLS for SMTP. |
| February 2020 | Added recommendation to configure SSL for LDAP server. |
| May 2020 | Added TLS v1.3 to the disabled list of TLS ciphers. Added clarification to introduction about topic versioning. |
| October 2020 | Added TLS v1.3 as a default supported cipher. |
| January 2021 | Added clarification: All products enabled by the Data Management license require REST API. |
| February 2021 | Removed recommendation to disable REST API. The API is now used internally by Tableau Server and disabling it may limit functionality. |