最適で維持しやすい Office 365 の URL ベース フィルタリング

対象: 旧Office365 Office 365 Enterprise, Office 365 Small Business, Office 365 for Edcucation

新Office365 Office 365 Enterprise, Office 365 Small Business, Office 365 Midsize Business

(この記事は 2013 年 12 月　2日に Office 365 Community Blog に投稿された記事の翻訳です)

 
Microsoft Office 365 を適切に連携するための要件の 1 つとして、クライアントと (場合によっては、ハイブリッド展開の Exchange のような) サーバーが、適切なエンドポイントすべてにアクセスできるようにする必要があります。この要件を満たすため、単純にクライアントのインターネット アクセスを許可し、サービスへのアクセスを妨げないよう外部への送信を一切制限していないお客様がほとんどです。

しかし、中にはインターネット上の最小限のエンドポイントへのみアクセスを許可し、送信プロキシ デバイスを構成して、送信を厳重に制御できるようにしたいと考えるお客様もいます。こうした制御は、次の 2 つの方法で行えます。

• IP アドレス ベースのフィルタリングを使用し、社内のクライアント コンピューターが、指定された特定のエンドポイントにのみアクセスできるようにする。
• URL ベースのフィルタリングを使用して、特定の URL にのみアクセスを許可することで、アクセスの制御を可能にする。

多くの方が、「IP または URL ベースのフィルタリングではそれぞれどのような課題があるのか?」、「最適なアプローチはどっち?」、「推奨される方法は?」と、疑問に思われているでしょう。

常に変更への対応が必要になることは、お客様が直面する 1 つ目の課題です。サービスで使用される IP アドレスと URL は、こちらのページに記載されていますが、最新の状態で構成されているとしても、いつでも変わる可能性があります。マイクロソフトでは、このページが変更されたときにお客様にお知らせできるように RSS フィードを用意しています。また、広い IP 範囲を使用することで、IP アドレスの変更を極力抑えていますが、新しいデータセンターを稼働するなどといった理由から、リストに記載されている以外の IP アドレスを追加せざるを得ない場合もあります。

一部の機能が単に動作しなくなるということが、2 つ目の課題です (たとえば、OWA を利用しているお客様で、送信接続を制限する手法として、URL ベースのブロックではなく IP アドレスを使用している場合など)。この理由については、こちらの記事で説明しています。マイクロソフトが使用している IP アドレスの一部は動的であり、保護されていないトラフィックに関しては、通知なしに IP アドレスが変更される可能性があります。OWA で処理される画像などは、パフォーマンス向上のため、マイクロソフトが制御する IP アドレス空間の外にある、サード パーティのコンテンツ配信ネットワーク (CDN) から読み出されます。

以下に、上記の記事から重要な部分を抜粋します。

では、URL ベースのフィルタリングでは、最新の状態を維持する必要は一切なく、最初に構成すれば、その後は正常に動作し続けるのでしょうか。

その答えは「いいえ」です。100% 対応不要とは言えません。サービスの URL も変わる可能性があり、変更点は上記の記事に記載されます。ただし、URL ベースのフィルタリングを使用すると、変更の頻度は格段に低くなります。

IP ベースのフィルタリングが簡単だからではなく、送信プロキシ デバイスが URL ベースのフィルタリングに対応していないという理由で、IP ベースのフィルタリングを使用するお客様も少なくありません。これは、古いデバイスの場合は確かに当てはまるのですが、デバイスのソフトウェア更新アプリケーションによって、URL ベースのフィルタリング機能が有効化されている例も多く存在します。URL ベースのフィルタリングが普及するにつれ、より多くのデバイスで、このフィルタリング方式を導入できるようになっています。

ユーザーの物理的な所在によって、一部の機能が動作しない場合があるということが、3 つ目の課題です。場合によっては、Office 365 へのサインアップ時に地理情報に応じて割り当てられたデータセンターの IP アドレスのみを許可しようとするお客様もいます。たとえば、北米で Office 365 を利用している企業の IT 担当者が、クライアントの接続している IP アドレスを監視し、その後アクセスされている形跡がない IP 範囲を許可リストから削除することによって、北米データセンターの IP 範囲のみを許可している場合があります。このやり方は、初めはうまく機能するかもしれませんが、そのうち、ヨーロッパへ出張中の CEO から電話がかかってきて、「サービスにまったくアクセスできない。Office 365 がダウンしているのではないか」と尋ねられることになるでしょう。

では、なぜこのような状況になるのか説明します。
マイクロソフトでは、地理情報に対応した DNS (Geo-DNS) を利用して、受信する DNS への問い合わせに応答しています。マイクロソフトの DNS サーバーは、まず、問い合わせを行うデバイスから送信される要求の IP アドレスを、業界標準の IP 範囲データベースと、各 DNS サーバーが存在するリージョンに対して照合します。次に、特定された IP リージョン内で物理的に最も近い、Office 365 サービスへのエントリ ポイントを指す DNS 応答を、問い合わせを行うデバイスに返します。たとえば、北米で Office 365 を利用するお客様がヨーロッパに出張したときには、ヨーロッパの Office 365 エントリ ポイントを受け取ることになります。これにより、ユーザーのネットワーク トラフィックが、目的のサービスに到達するまでに、パブリック インターネット上で長い距離を移動せずに済みます。Geo-DNS を使用することで、ユーザーのネットワーク トラフィックを最寄りのマイクロソフト データセンターに誘導し、待ち時間の短いグローバル プライベート ネットワークを通じて、ネットワーク トラフィックをユーザーの企業に割り当てられているデータセンター リージョンに返しているのです。このように、マイクロソフトでは、可能な限りパブリック インターネットへの依存度を軽減し、世界中のリージョンにおいて最適なユーザー エクスペリエンスを提供しています。

先ほどの CEO の例に話を戻しましょう。出張先のヨーロッパのホテルにいる CEO は、ホテルの Wi-Fi を使用して、会社支給のノート PC で仕事をしています。outlook.office365.com に対する DNS 応答は、ヨーロッパのデータセンターを指します。北米のデータセンターの IP 範囲のみを許可するよう設定されているため、CEO はサービスに接続できません。そこで、ノート PC が常に企業の DNS サーバーを使用するように設定すればいいのではないかとお考えになる方もいらっしゃるかもしれません。ただし、そのやり方では、クライアントがパブリック インターネットを横断して北米のデータセンターに到達するよう強制することとなり、待ち時間の短いマイクロソフトのデータセンター間のプライベート ネットワークを利用できなくなります。それによって、ユーザーのエクスペリエンスが損なわれることに注意してください。

最適な方法、または推奨される方法について、これまでに説明した課題に基づいて考えてみましょう。マイクロソフトでは、すべてのお客様が URL ベースのフィルタリングを使用して、これらの課題に対応していただきたいと考えています。URL ベースのフィルタリングを使用すると、時間が経過しても変更される頻度が最も低く、サード パーティの CDN レベルでの変更が行われたために一部のコンテンツにアクセスできなくなるという望ましくない事態を回避できます。また、企業に割り当てられているリージョンの外にいるユーザーでも、常に最適なデータセンターにアクセスしてクライアントからの接続を確立することが可能です。

この記事をレビューし、コメントをくれた Brian Day と Joshua Maher に感謝します。

Timothy Heeney