$Id: local.jwnt,v 1.5 1999/09/06 09:53:37 kjm Exp $ ---- cut here ---- [Secur] ローカル イントラネット ゾーン とは何か? --------------- Internet Explorer (IE) 4, 5 のセキュリティ設定には 4 種類のゾー ン (インターネット、ローカル イントラネット、信頼済みサイト、制 限付きサイト) が存在する。このうち、ローカル イントラネットが正 確に何を意味しているのか、あなたは理解しているだろうか。以下の説 明においては IE 5 を前提としているが、IE 4 でも状況は同様である。 IE 5 のヘルプには次の記述がある。 イントラネット ゾーン : このゾーンには、システム管理者によって 定義され、プロキシ サーバーを経由せずにアクセスできるアドレス が含まれます。このようなサイトは、[接続] タブでネットワーク パ ス "\\server\share" のように指定されている場合や、イントラネッ ト サイト (このアドレスには、"http://internal" のようにピリオ ドは含まれません) として指定されている場合があります。このゾー ンには、ユーザー自身がサイトを割り当ることもできます。 いまひとつわかりにくい。ローカル イントラネットとして認識される のは次の 4 項目である。 1. プロキシ サーバーを経由せずにアクセスするアドレス。設定して しない場合、次の 2., 3., 4. に該当するものを除いた全てのサイ トがインターネットゾーンに属するとみなされる。また、プロキシ サーバーを使用しない場合も同様に、2., 3., 4. を除いてインター ネットゾーンに属するとみなされる。 プロキシ サーバーの設定を手動で行っている場合は、次の手順で 設定内容を確認できる。 (a) ツールメニューからインターネット オプションを開き、接続 タブを選択する。 (b) [LAN の設定] をクリックし、「ローカルエリア ネットワーク (LAN) の設定」ウィンドウを開く。 (c) プロキシ サーバーの項の [詳細] をクリックし、「プロキシ の設定」ウィンドウを開く。 (d) 例外の項にプロキシ サーバーを経由せずにアクセスするアド レスが設定されている。たとえば *.foo.co.jp;192.168.* と設定された場合、foo.co.jp ドメイン下の全ホスト、および IP アドレス 192.168.*.* についてはプロキシ サーバーを経 由せずにアクセスする。 自動設定を利用している場合は、ネットワーク管理者に内容を確認 されたい。 2. UNC 形式。\\server\share など 3. ドットが含まれない URL。http://foobar など 4. ユーザが個別に指定したサイト。 ただし上記は、インターネット オプションのセキュリティタブでロー カル イントラネットを選択し、[サイト] をクリックして表示される設 定画面のチェックボックス全てをチェックした場合の動作である。この 設定画面で [詳細] をクリックすると、個別のサイトをローカル イン トラネットとして設定するためのウィンドウが現れる。 上記には「ローカル」という言葉から連想するもの、たとえば TCP/IP のサブネットマスク範囲内のホスト (ブロードキャストドメイン) や、 ネットワーク コントロールパネルで定義した DNS ドメインは全く含ま れていないことに注目されたい。これらが自動的にローカル イントラ ネットと認識されることはない。ネットワークの知識がある人ほど誤解 しやすいので注意が必要だ。 セキュリティタブでローカル イントラネットを選択したときの説明に このゾーンには、会社のイントラネットにあるすべての Web サイ トが含まれています と記述されていることがさらに誤解を助長しているのは残念だ。明示的 に設定しない限り、この説明のとおりには動作しないのだから。 上記 3. の「ドットが含まれない URL」にはさらなる注意が必要である。 この形式の URL を用いる、組織外のホストが意図せずにローカル イン トラネットに属すると認識されてしまう可能性があるのだ。 例を示そう。ネットワーク コントロールパネルの DNS 設定において、 ドメインが foo.bar.co.jp と設定されているとする。また、ドメイン サフィックスの検索順序には何も設定されていないとする。 この状態で http://hoge をアクセスすると、IE は次の URL を順次検 索し接続を試みる。 http://hoge.foo.bar.co.jp http://hoge.bar.co.jp http://hoge.co.jp IE は最初に DNS 検索に成功した URL に接続する。もしいずれの検索 にも失敗した場合はエラーを表示する。このとき、IE のアドレス欄の 表示は変化せず http://hoge のままであり、適用されるゾーンはロー カル イントラネットとなる。 問題となるのは、hoge.foo.bar.co.jp および hoge.bar.co.jp が存在 せず、hoge.co.jp が存在した場合だ。hoge.co.jp は明らかに組織外の ホストであるにもかかわらずローカル イントラネットとみなされてし まうのだ。これを防ぐには、 ・ドットが含まれない URL を使わない ・ドメイン サフィックスの検索順序を設定し、意図しない DNS 検索を 防止する といった方法がある。 管理者各位においては、以上を理解したうえで各種設定を行って頂きた い。 (小島 肇@Newsletter-wg) ---- cut here ----