Windows に適用される:
SQL Server
セキュリティは、あらゆる製品、あらゆる企業にとって重要です。 単純なベスト プラクティスに従うことで、多くのセキュリティの脆弱性を避けることができます。 この記事では、SQL Serverをインストールする前とSQL Serverをインストールした後の両方で考慮する必要があるセキュリティのベスト プラクティスについて説明します。 特定の機能のセキュリティについては、その機能の参照記事で説明しています。
SQL Serverをインストールする前に
サーバー環境をセットアップする場合、次のベスト プラクティスに従ってください。
- 物理的なセキュリティの強化
- ファイアウォールの使用
- サービスの分離
- 安全なファイル システムの構成
- NetBIOS とサーバー メッセージ ブロックの無効化
- ドメイン コントローラーにSQL Serverをインストールします
物理的なセキュリティを強化する
物理的および論理的な分離は、SQL Serverセキュリティの基盤となります。 SQL Serverインストールの物理的なセキュリティを強化するには、次のタスクを実行します。
無許可の人が入れない部屋にサーバーを配置します。
データベースをホストするコンピューターを物理的に保護された場所に配置します。水位報知器および火災報知器や消火システムによって監視された、鍵がかかるコンピューター ルームが理想的です。
企業イントラネットのセキュリティで保護されたゾーンにデータベースをインストールし、SQL Server インスタンスをインターネットに直接接続しないでください。
すべてのデータを定期的にバックアップし、バックアップを安全な場所に保存します。
ファイアウォールを使用する
ファイアウォールは、SQL Serverインストールをセキュリティで保護するために重要です。 ファイアウォールは、次のガイドラインに従う場合に最も効果的です。
ファイアウォールをサーバーとインターネットの間に配置します。 ファイアウォールを有効にします。 ファイアウォールがオフになっている場合はオンにします。 ファイアウォールが有効になっている場合は、オフにしないでください。
ファイアウォールでネットワークをセキュリティ ゾーンに分割します。 すべてのトラフィックをブロックした後、必要なトラフィックのみを選択的に許可します。
多層環境では、複数のファイアウォールを使用して、スクリーンサブネットを作成します。
Windows ドメイン内にサーバーをインストールする場合は、Windows Authenticationを許可するように内部ファイアウォールを構成します。
アプリケーションで分散トランザクションを使用する場合は、別々の MS DTC インスタンスの間で Microsoft 分散トランザクション コーディネーター (MS DTC) トラフィックが許可されるように、ファイアウォールの構成が必要になる場合があります。 また、MS DTC とリソース マネージャー (SQL Server など) 間のトラフィックフローを許可するようにファイアウォールを構成する必要があります。
Windows ファイアウォールの既定の設定の詳細と、Database Engine、Analysis Services、Reporting Services、Integration Services に影響する TCP ポートの説明については、「
サービスを分離する
サービスを分離すると、いずれかのサービスが停止した場合でも、その他のサービスに影響が及ぶのを防ぐことができます。 サービスを分離する場合は、次のガイドラインを考慮してください。
- 個別の Windows アカウントで個別のSQL Server サービスを実行します。 可能な限り、SQL Serverサービスごとに、権限の低い個別の Windows またはローカル ユーザー アカウントを使用します。 詳細については、「Windows サービス アカウントと権限の構成」を参照してください。
セキュリティで保護されたファイル システムを構成する
正しいファイル システムを使用することで、セキュリティは向上します。 SQL Serverインストールの場合は、次のタスクを実行します。
NT ファイル システム (NTFS) または Resilient File System (ReFS) を使用します。 NTFS と ReFS は、FAT32 ファイル システムよりも安定して回復可能であるため、SQL Serverのインストールに推奨されるファイル システムです。 NTFS または ReFS では、ファイルやディレクトリのaccess controlリスト (ACL) などのセキュリティ オプションも有効になります。 NTFS では、ファイルを暗号化する、暗号化ファイル システム (EFS) もサポートされています。 インストール中に、SQL Serverは NTFS を検出した場合に、レジストリ キーとファイルに適切な ACL を設定します。 これらのアクセス許可は変更しないでください。 SQL Serverの今後のリリースでは、FAT ファイル システムを使用するコンピューターへのインストールがサポートされない可能性があります。
注
EFS を使用する場合、データベース ファイルは、SQL Server実行されているアカウントの ID で暗号化されます。 ファイルの暗号化を解除できるのは、このアカウントだけです。 SQL Server実行するアカウントを変更する必要がある場合は、最初に古いアカウントでファイルの暗号化を解除してから、新しいサービス アカウントで再暗号化します。
警告
EFS 経由でファイル暗号化を使用すると、非同期 I/O が同期的になるため、I/O のパフォーマンスが低下する可能性があります。 「Windows で非同期ディスクの I/O が同期として表示される」を参照してください。 代わりに、Transparent data encryption (TDE)、Always Encrypted、列レベルの暗号化Cryptographic 関数などのSQL Server暗号化テクノロジを使用することを検討してください。
NetBIOS とサーバー メッセージ ブロックの無効化
NetBIOS やサーバー メッセージ ブロック (SMB) など、境界ネットワーク内のサーバー上のすべての不要なプロトコルを無効にします。
NetBIOS には次のポートを使用します。
- UDP/137 (NetBIOS ネーム サービス)
- UDP/138 (NetBIOS データグラム サービス)
- TCP/139 (NetBIOS セッション サービス)
SMB には次のポートを使用します。
- TCP/139
- TCP/445
Web サーバーとドメイン ネーム システム (DNS) サーバーでは、NetBIOS または SMB は必要ありません。 これらのサーバーでは、両方のプロトコルを無効にしてユーザー列挙の脅威を緩和します。
ドメイン コントローラーにSQL Serverをインストールする
セキュリティ上の理由から、ドメイン コントローラーにSQL Serverをインストールしないでください。 SQL Serverセットアップでは、ドメイン コントローラーであるコンピューターへのインストールはブロックされませんが、次の制限事項が適用されます。
ローカル サービス アカウントのドメイン コントローラーでSQL Server サービスを実行することはできません。
コンピューターにSQL Serverをインストールした後は、コンピューターをドメイン メンバーからドメイン コントローラーに変更することはできません。 ホスト コンピューターをドメイン コントローラーに変更する前に、SQL Serverをアンインストールする必要があります。
コンピューターにSQL Serverをインストールした後は、コンピューターをドメイン コントローラーからドメイン メンバーに変更することはできません。 ホスト コンピューターをドメイン メンバーに変更する前に、SQL Serverをアンインストールする必要があります。
SQL Serverフェールオーバー クラスター インスタンスは、クラスター ノードがドメイン コントローラーである場合はサポートされていません。
SQL Serverセットアップでは、読み取り専用ドメイン コントローラーにセキュリティ グループやSQL Serverサービス アカウントを作成することはできません。 この場合、セットアップは失敗します。
インストールを成功させるために必要なユーザー権限が割り当てられていることを確認する
セットアップでは、SQL Serverがインストールされているアカウントに次のユーザー権限が付与されている必要があります。
- バックアップ ファイルとディレクトリ
- プログラムのデバッグ
- 監査とセキュリティ ログの管理
これらのユーザー特権は、通常、既定でローカル管理者グループ (BUILTIN\Administrators) に付与されます。 ほとんどの場合、割り当てるアクションを実行する必要はありません。 ただし、セキュリティ ポリシーによってこれらの特権が取り消された場合は、それらの権限が正しく割り当てられていることを確認してください。そうでないと、SQL Server のセットアップは次のエラーで失敗します。
The account that is running SQL Server Setup doesn't have one or all of the following rights: the right to back up files and directories, the right to manage auditing and the security log and the right to debug programs. To continue, use an account with both of these rights.
SQL Serverのインストール中またはインストール後
インストール後、アカウントと認証モードに関する次のベスト プラクティスに従って、SQL Server インストールのセキュリティを強化します。
サービス アカウント
可能な限り低いアクセス許可を使用して、SQL Server サービスを実行します。
SQL Server サービスを低い特権の Windows ローカル ユーザー アカウントまたはドメイン ユーザー アカウントに関連付けます。
詳細については、「Windows サービス アカウントと権限の構成」を参照してください。
認証モード
SQL Serverへの接続にWindows Authenticationが必要です。
Kerberos 認証を使用する。 詳細については、「 Kerberos 接続用のサービス プリンシパル名の登録」を参照してください。
強力なパスワード
- sa アカウントには、必ず強力なパスワードを割り当てます。
- パスワードの強度と有効期限に関するパスワード ポリシー チェックを必ず有効にします。
- すべてのSQL Serverログインには、常に強力なパスワードを使用します。
重要
SQL Server Express のセットアップ中に、BUILTIN\Users グループのログインが追加されます。 このグループは、コンピューターのすべてのユーザーにパブリック ロールのメンバーとしてSQL Server Express のインスタンスにaccessを付与します。
BUILTIN\Users グループを安全に削除して、個々のログインを持つコンピューター ユーザー、またはログインを持つ他の Windows グループのメンバーであるコンピューター ユーザーにDatabase Engine accessを制限できます。
関連コンテンツ
SQL Server 2022 - ネットワーク プロトコルとネットワーク ライブラリ
- Kerberos 接続用にサービス プリンシパル名を登録する