セキュリティ強化チェックリスト

次のリストは、セキュリティの向上 (「強化」) を Tableau Server インストールで行うための推奨事項を提供します。

セキュリティ更新のインストール

セキュリティ更新は、Tableau Server の最新バージョンおよびメンテナンス リリース (MR) に含まれています。セキュリティ更新をパッチとしてインストールすることはできません。代わりに、最新のセキュリティ修正で Tableau Server を更新するには、最新バージョンまたは MR にアップグレードする必要があります。

アップグレード後は、このトピックの最新バージョンを常に参照してください。最新バージョンには、トピックの URL に /current/ が含まれています。

たとえば、米国バージョンの URL は https://help.tableau.com/current/server/ja-jp/security_harden.htm です。

1.現在のバージョンへの更新

常に最新バージョンの Tableau Server を実行することをお勧めします。さらに、Tableau では、既知のセキュリティ脆弱性に対する修正を含む Tableau Server のメンテナンス リリースを定期的にパブリッシュします。(既知のセキュリティ脆弱性に関する情報は、「セキュリティ文書」ページに記載されています。)メンテナンス リリース通知を確認し、インストールするかどうかを決定することをお勧めします。

Tableau Server の最新バージョンまたはメンテナンス リリースを取得するには、カスタマー ポータル(新しいウィンドウでリンクが開く)にアクセスしてください。

2.有効な信頼された証明書を使用して SSL/TLS を構成する

Tableau Server との通信のセキュリティを保護するには、セキュア ソケット レイヤー (SSL/TLS) が不可欠です。安全な接続を経由して Tableau Desktop, モバイル デバイスおよび Web クライアントを上位のサーバーに接続できるよう、有効な信頼済の証明書 (自己署名証明書以外) で Tableau Server を構成します。詳細については、SSLを参照してください。

3.古いバージョンの TLS の無効化

Tableau Server は TLS を使用して、コンポーネントと外部クライアントの間の多くの接続を認証および暗号化します。ブラウザーなどの外部クライアント、Tableau Desktop、Tableau Mobile は TLS over HTTPS を使用して Tableau に接続します。トランスポート レイヤー セキュリティ (TLS) は、SSL の向上バージョンです。実際、古いバージョンの SSL (SSL v2 および SSL v3) は適切に保護された通信標準とは見なされなくなりました。その結果、Tableau Server 接続に SSL v2 または SSL v3 プロトコルを使用している外部クライアントの使用を許可しません。

外部クライアントが TLS v1.3 および TLS v1.2 を使用して Tableau Server に接続するのを許可することが推奨されています。

TLS v1.2 は依然として安全なプロトコルと見なされており、多くのクライアント (Tableau Desktop を含む) では TLSv1.3 はまだサポートされていません。

サーバーで TLS v1.2 がサポートされている場合でも、TLSv1.3 対応のクライアントは TLSv1.3 をネゴシエートします。

次の tsm コマンドは TLS v1.2 および v1.3 ("all" パラメーターを使用する) を有効にし、SSL v2、SSL v3、TLS v1、および TLS v1.1 を (指定されたプロトコルの先頭にマイナス [-] 文字を付けることにより) 無効にします。TLS v1.3 では、Tableau Server のコンポーネントでまだ対応していないものがあります。

tsm configuration set -k ssl.protocols -v "all -SSLv2 -SSLv3 -TLSv1 -TLSv1.1"

tsm pending-changes apply

また、Tableau Server が SSL/TLS セッションで使用する暗号スイートの既定リストを変更することもできます。詳細については、tsm configuration set のオプションssl.ciphersuite セクションを参照してください。

4.内部トラフィック用に SSL 暗号化を構成する

Postgres リポジトリと他のサーバー コンポーネントの間のすべてのトラフィックを暗号化するために SSL を使用するよう Tableau Server を設定します。デフォルトでは、SSL はサーバー コンポーネントとリポジトリとの間の通信について無効になっています。単一サーバー インストールであっても、Tableau Server のすべてのインスタンス用に内部 SSL を有効化することをお勧めします。マルチ ノード展開では特に、内部 SSL を有効にすることが重要です。内部 Postgres 通信用に SSL を設定するを参照してください。

5.ファイアウォールによる保護を有効にする

Tableau Server は保護された内部ネットワーク内で動作するように設計されました。

重要: Tableau Server または Tableau Server のどのようなコンテンツもインターネット上または DMZ 内で実行しないでください。Tableau Server はインターネット ファイアウォールで保護された会社ネットワーク内で実行する必要があります。Tableau Server に接続する必要があるインターネット クライアント用にリバース プロキシ ソリューションを構成することをお勧めします。Tableau Server プロキシの設定を参照してください。

シングル ノード展開およびマルチノード展開では、ローカルのファイアウォールをオペレーティング システムで有効化して Tableau Server を保護する必要があります。Tableau Server の分散 (マルチノード) インストールでは、ノード間の通信は安全な通信を使用しません。そのため、Tableau Server をホストするコンピューター上でファイアウォールを有効化することをお勧めします。

受動的な攻撃者によってノード間の通信が傍受されるのを防ぐため、分離された仮想 LAN または他のネットワーク レイヤー セキュリティ ソリューションを設定します。

Tableau Server で必要なポートとサービスを理解するには、Tableau サービス マネージャーのポートを参照してください。

6.サーバー コンピューターや重要なディレクトリへのアクセスを制限する

Tableau Server 構成ファイルおよびログ ファイルには、攻撃者に対して脆弱な情報が含まれる可能性があります。そのため、Tableau Server を実行しているマシンへの物理アクセスを制限します。さらに、認証され、信頼されたユーザーのみが C:\ProgramData\Tableau ディレクトリの Tableau Server ファイルにアクセスできるようにします。

7.Tableau Server 実行ユーザー アカウントの更新

既定では、Tableau Server は事前に定義されたネットワーク サービス (NT Authority\Network Service) Windows アカウントで実行されます。Windows 認証を要求する外部データ ソースへ Tableau Server が接続する必要がないシナリオでは、既定のアカウントを使用できます。Active Directory によって認証されたデータ ソースへのアクセスをユーザーが必要とする場合は、[実行ユーザー] をドメイン アカウントに更新します。[実行ユーザー] に対して使用するアカウントの権限を最小限に抑えることが重要です。詳細については、実行サービス アカウントを参照してください。

8.新しいシークレットとトークンの生成

リポジトリまたはキャッシュ サーバーと通信する Tableau Server サービスは、シークレット トークンを使用して最初に認証する必要があります。シークレット トークンは、Tableau Server セットアップ時に生成されます。セットアップ時には、Postgres リポジトリへのトラフィックを暗号化するために内部 SSL が使用する暗号化キーも生成されます。

Tableau Server をインストールした後、展開用に新しい暗号化キーを作成することをお勧めします。

これらのセキュリティ アセットは、tsm security regenerate-internal-tokens コマンドで再生成できます。

次のコマンドを実行します。

tsm security regenerate-internal-tokens

tsm pending-changes apply

9.使用していないサービスの無効化

Tableau Server の攻撃表面を最小限に抑えるため、不要な接続ポイントを無効化します。

JMX サービス

JMX は、既定で無効化されています。有効化されているにもかかわらず使用していない場合は、次を実行して無効化する必要があります。

tsm configuration set -k service.jmx_enabled -v false

tsm pending-changes apply

10.セッション存続時間設定の検証

既定では、Tableau Server に絶対的なセッション タイムアウトはありません。つまり、Tableau Server の非アクティブ タイムアウトを超えない場合、ブラウザベースのクライアント セッション (Web 作成) を開いたままにすることができます。既定の非アクティブ タイムアウトは、240 分です。

セキュリティ ポリシーで要求される場合は、絶対的なセッション タイムアウトを設定できます。絶対的なセッション タイムアウトは、時間がかかる抽出のアップロードまたはワークブックのパブリッシュ操作が組織で実行できる範囲で設定してください。セッション タイムアウトの設定が短すぎると、操作に時間がかかりすぎて抽出やパブリッシュが失敗する場合があります。

セッション タイムアウトを設定するには、次のコマンドを実行します。

tsm configuration set -k wgserver.session.apply_lifetime_limit -v true

tsm configuration set -k wgserver.session.lifetime_limit -v value、ここで value は分数です。既定では、1440 (24 時間) です。

tsm configuration set -k wgserver.session.idle_limit -v value、ここで value は分数です。既定では、240 です。

tsm pending-changes apply

接続されたクライアント (Tableau Desktop、Tableau Mobile、Tableau Prep Builder、Bridge、および個人用アクセス トークン) のセッションでは、OAuth トークンを使用して、セッションを再確立することによりユーザーをログインしたままにします。すべての Tableau クライアント セッションを、上記のコマンドによって制御されるブラウザベースのセッション制限のみによって管理する場合は、この動作を無効にできます。詳細については、自動クライアント認証を無効にするを参照してください。

11.ファイルベースのデータ ソース用にサーバーの許可リストを設定する

既定では、Tableau Server は認証 Tableau Server ユーザーに対し、サーバー上のファイルをファイル ベースのデータ ソース (スプレッドシートなど) として使用するワークブックの作成を許可します。このシナリオでは、ファイルは 実行サービス アカウント によってアクセスされます。

ファイルへの不要なアクセスを防ぐため、許可リスト機能を設定することをお勧めします。これにより、データ ファイルをホストしているディレクトリ パスのみに実行サービス アカウントのアクセスを制限できます。

  1. Tableau Server を実行しているコンピューターで、データ ソース ファイルをホストするディレクトリを識別します。

    重要: この手順で指定したファイル パスがサーバー上に存在していることを確認してください。コンピューターの起動時にパスが存在していない場合、Tableau Server は起動しません。

  2. 次のコマンドを実行します。

    tsm configuration set -k native_api.allowed_paths -v "path"、ここで、path は許可リストに追加するディレクトリです。指定したパスのすべてのサブディレクトリは、許可リストに追加されます。複数のパスを指定する場合は、この例のようにセミコロンで区切ります。

    tsm configuration set -k native_api.allowed_paths -v "c:\datasources;c:\HR\data"

    tsm pending-changes apply

12.Web ブラウザー クライアントでの HTTP Strict Transport Security の有効化

HTTP Strict Transport Security (HSTS) は、Tableau Server などの Web アプリケーション サービスで構成されるポリシーです。適合するブラウザーに HSTS を実行している Web アプリケーションがある場合、サービスとのすべての通信が安全な接続 (HTTPS) を介して行われる必要があります。HSTS は主要なブラウザーでサポートされています。

HSTS のしくみとサポートされるブラウザーの詳細については、Open Web Application Security Project Web ページの「HTTP Strict Transport Security チート シート (HTTP Strict Transport Security Cheat Sheet)」(新しいウィンドウでリンクが開く)を参照してください。

HSTS を有効にするには、Tableau Server で次のコマンドを実行してください。

tsm configuration set -k gateway.http.hsts -v true

既定では、HSTS ポリシーが 1 年に設定されています (31536000 秒)。ブラウザが HTTPS 経由でサーバーにアクセスする期間を指定します。HSTS の初期ロールアウト時は最長期間を短く設定することを検討する必要があります。この期間を変更するには、tsm configuration set -k gateway.http.hsts_options -v max-age=<seconds> を実行します。たとえば、HSTS ポリシーの期間を 30 日に設定し、tsm configuration set -k gateway.http.hsts_options -v max-age=2592000 と入力します。

tsm pending-changes apply

13.ゲスト アクセスの無効化

Tableau Server のコアベースのライセンスには、ゲスト ユーザー オプションが含まれます。このオプションでは、組織のすべてのユーザーに対し、Web ページに埋め込まれた Tableau ビューの表示や操作を許可できます。

コアベースのライセンスを使用して展開された Tableau Server では、ゲスト ユーザー アクセスが既定で有効になっています。

ゲスト アクセスによって、ユーザーは埋め込みビューを表示できます。ゲスト ユーザーは Tableau Server インターフェイスを参照できません。また、ビューを操作するサーバー インターフェイス エレメントは表示されません (ユーザー名、アカウント設定、コメントなど)。

組織でコア ライセンスを使用して Tableau Server を展開しており、ゲスト アクセスが必要ない場合は、ゲスト アクセスを無効にします。

ゲスト アクセスをサーバー レベルまたはサイト レベルで無効にできます。

サーバー レベルまたはサイト レベルでゲスト アカウントを無効にするには、サーバー管理者である必要があります。

ゲスト アクセスをサーバー レベルで無効にするには、次の手順を行います。

  1. サイト メニューで、[すべてのサイトを管理] > [設定] > [全般] の順にクリックします。

  2. [ゲスト アクセス] で、[ゲスト アカウントを有効にする] チェック ボックスをクリアします。

  3. [保存] をクリックします。

サイトのゲスト アクセスを無効にするには、次の手順を行います。

  1. サイト メニューで、サイトを選択します。

  2. [設定] をクリックし、[設定] ページで、[ゲスト アカウントを有効化] チェック ボックスをクリアします。

詳細については、ゲスト ユーザーを参照してください。

14.Referrer-Policy HTTP ヘッダーを 'same-origin' に設定する

2019.2 から、Tableau Server には Referrer-Policy HTTP ヘッダーの動作を構成する機能が含まれています。このポリシーは、すべての "secure as" 接続で起点の URL を含める既定の動作 (no-referrer-when-downgrade) を指定して有効になっています。この動作では、同種の接続 (HTTP から HTTP) またはよりセキュリティの高い接続 (HTTP から HTTPS) にのみ、起点の参照元に関する情報が送信されます。

この値を、参照元の情報が同じサイトの起点にのみ送信される same-origin に設定することをお勧めします。サイトの外部からの要求は参照元に関する情報を受信しません。

Referrer-Policy を same-origin に更新するには、次のコマンドを実行します。

tsm configuration set -k gateway.http.referrer_policy -v same-origin

tsm pending-changes apply

セキュリティ向上を目的とした追加のヘッダー構成の詳細については、HTTP 応答ヘッダーを参照してください。

15.TLS による SMTP 接続の構成

2019.4 から、Tableau Server には TLS による SMTP 接続を構成する機能が含まれています。Tableau Server では、STARTTLS (便宜的または明示的な TLS) のみがサポートされています。

オプションで、メール サーバーに接続するように Tableau Server を構成することができます。SMTP を構成したら、システム障害についてサーバー管理者にメールを送信し、サブスクライブしたビューおよびデータ主導アラートについてサーバー ユーザーにメールを送信するよう Tableau Server を構成することができます。

TLS による SMTP を構成するには、次の手順を実行します。

  1. 互換性のある証明書を Tableau Server にアップロードします。tsm security custom-cert add を参照してください。
  2. TSM CLI を使用して TLS 接続を構成します。

    次の TSM コマンドを実行して、SMTP サーバーへの TLS 接続を有効化および強制し、証明書の検証を有効にします。

    tsm configuration set -k svcmonitor.notification.smtp.ssl_enabled -v true

    tsm configuration set -k svcmonitor.notification.smtp.ssl_required -v true

    tsm configuration set -k svcmonitor.notification.smtp.ssl_check_server_identity -v true

    既定では、Tableau Server は TLS バージョン 1、1.1、および 1.2 をサポートしますが、SMTP サーバーがサポートする最も高い TLS バージョンを指定することをお勧めします。

    次のコマンドを実行してバージョンを設定します。有効な値は、SSLv2HelloSSLv3 TLSv1TLSv1.1、および TLSv1.2 です。次の例では、TLS バージョンをバージョン 1.2 に設定します。

    tsm configuration set -k svcmonitor.notification.smtp.ssl_versions -v "TLSv1.2"

    TLS 構成オプションの詳細については、SMTP セットアップの構成 を参照してください。

  3. 変更を反映するには、Tableau Server を再起動します。次のコマンドを実行します。

    tsm pending-changes apply

16.LDAP の SSL を設定

汎用 LDAP 外部 ID ストアを使用するように Tableau Server の展開が構成されている場合は、Tableau Server と LDAP サーバー間の認証を保護するように SSL を構成することをお勧めします。外部の LDAP アイデンティティ ストアへの暗号化チャネルの構成を参照してください。

Active Directory を使用するように Tableau Server の展開が構成されている場合は、認証トラフィックを保護するために Kerberos を有効にすることをお勧めします。Kerberosを参照してください。

17.既定以外のインストール場所に対するパーミッションの範囲を設定する

Tableau Server on Windows を既定以外の場所にインストールする場合は、カスタム インストール ディレクトリに対するパーミッションの範囲を手動で設定してアクセスを減らすことをお勧めします。

既定では、Tableau Server はシステム ドライブにインストールされます。システム ドライブは Windows がインストールされているドライブです。ほとんどの場合、システム ドライブは C:\ ドライブにあります。既定では、Tableau Server は次のディレクトリにインストールされます。

  • C:\Program Files\Tableau\Tableau Server\packages

  • C:\ProgramData\Tableau\Tableau Server

ただし、多くのお客様は、非システム ドライブまたは別のディレクトリにインストールします。セットアップ時にインストール場所として別のドライブまたはディレクトリを選択した場合、Tableau Server のデータ ディレクトリは同じパスにインストールされます。

カスタム インストール ディレクトリに対するパーミッションの範囲を設定する場合、次のアカウントだけが、インストール フォルダーとすべてのサブフォルダーに対して対応するパーミッションを持っている必要があります。

このアカウントに対するパーミッションの設定: 必要なパーミッション
Tableau Server のインストールとアップグレードに使用するユーザー アカウント フル コントロール
TSM コマンドの実行に使用するユーザー アカウント フル コントロール
システム アカウント フル コントロール
実行サービス アカウント、ネットワーク サービス、およびローカル サービス 読み取りと実行

これらのパーミッションを設定する手順については、既定以外の場所へのインストールを参照してください。

変更リスト

Date Change
May 2018 Added clarification: Do not disable REST API in organizations that are running Tableau Prep.
May 2019 Added recommendation for referrer-policy HTTP header.
June 2019 Removed recommendation to disable Triple-DES. As of version 2019.3, Triple-DES is no longer a default supported cipher for SSL. See 変更箇所 - アップグレード前に知っておく事柄.
January 2020 Added recommendation to configure TLS for SMTP.
February 2020 Added recommendation to configure SSL for LDAP server.
May 2020 Added TLS v1.3 to the disabled list of TLS ciphers. Added clarification to introduction about topic versioning.
August 2020 Added scoped permissions for non-default installations on Windows
October 2020 Added TLS v1.3 as a default supported cipher.
January 2021 Added clarification: All products enabled by the Data Management license require REST API.
February 2021 Removed recommendation to disable REST API. The API is now used internally by Tableau Server and disabling it may limit functionality.
ありがとうございます!