JEE 上のAEM Formsのセキュリティに関する一般的な考慮事項

JEE 上のAEM Forms環境を強化するための準備方法を説明します。

この記事には、AEM Forms 環境を堅牢化するための準備に役立つ、基本的な情報を記載しています。これには、JEE 上の Forms、オペレーティングシステム、アプリケーションサーバー、データベースセキュリティに関する前提条件の情報も含まれます。環境のロックダウンを続行する前に、この情報を確認してください。

ベンダー固有のセキュリティ情報

この節には、JEE 上の AEM Forms ソリューションに統合されるオペレーティングシステム、アプリケーションサーバーおよびデータベースに関するセキュリティ関連情報を記載しています。

このセクションにあるリンクを使用して、使用しているオペレーティングシステム、データベースおよびアプリケーションサーバーのベンダーに固有のセキュリティ情報を検索してください。

オペレーティングシステムのセキュリティ情報

オペレーティングシステムを保護する際は、次のようなオペレーティングシステムのベンダーが説明する対策を慎重に実装することを検討してください。

  • ユーザー、ロール、権限を定義し、制御する
  • ログと監査記録を監視する
  • 不要なサービスとアプリケーションを削除する
  • ファイルのバックアップを作成する

JEE 上のAEM Formsがサポートするオペレーティングシステムのセキュリティ情報については、次の表の資料を参照してください。

オペレーティングシステム

セキュリティ情報

IBM® AIX® 7.2

IBM AIX Security Benefits

Microsoft Windows Server® 2012

Windows Server 2012 セキュリティガイド

Microsoft Windows Server® 2016

Windows Server 2016 セキュリティガイド

Red Hat® Linux® AP または ES

Red Hat Enterprise Linux セキュリティガイド

Sun Solaris 11

セキュリティと堅牢化のガイドライン

Oracle Linux® 7 Update 3 リリース 7 のセキュリティガイド
CentOS 7 保護に関するドキュメント

アプリケーションサーバーのセキュリティ情報

アプリケーションサーバーを保護する際は、次のようなサーバーベンダーが説明する対策を慎重に実装することを検討してください。

  • 管理者ユーザー名として推測しにくい名前を使用する
  • 不要なサービスを無効にする
  • コンソールマネージャーを保護する
  • cookie の保護を有効にする
  • 不要なポートを閉じる
  • IP アドレスまたはドメインでクライアントを制限する
  • Java™ Security Manager を使用して、プログラムによって権限を制限する

JEE 上の AEM Forms がサポートするアプリケーションサーバーのセキュリティ情報については、次の表の資料を参照してください。

アプリケーションサーバー

セキュリティ情報

Oracle WebLogic®

「Understanding WebLogic Security」( ) を検索します。 https://download.oracle.com/docs/.

IBM WebSphere®

アプリケーションとその環境の保護

Red Hat® JBoss®

セキュリティサブシステムの構成

データベースのセキュリティ情報

データベースを保護する場合は、次のような方法で、データベースのベンダーが説明した対策を実装することを検討してください。

  • アクセス制御リスト(ACL)を使用して操作を制限する
  • 非標準ポートを使用する
  • ファイアウォールの内側にデータベースを隠す
  • 機密データをデータベースに書き込む前に暗号化する(データベース製造元のドキュメントを参照)

JEE 上の AEM Forms がサポートするデータベースのセキュリティ情報については、次の表の資料を参照してください。

データベース

セキュリティ情報

IBM DB2® 11.1

DB2 Product Family ライブラリ

Microsoft SQL Server 2016

「SQL Server 2016: Security」について Web を検索してください

MySQL 5

MySQL 5.0 General Security Issues

MySQL 5.1 General Security Issues

Oracle® 12c

Oracle 12g Documentation」のセキュリティの章を参照

次の表では、JEE 上の AEM Forms の設定プロセス中に開く必要のあるデフォルトポートについて説明します。https 経由で接続している場合、ポート情報と IP アドレス情報を適宜修正する必要があります。ポートの設定について詳しくは、使用しているアプリケーションサーバー版の「JEE 上の AEM Forms のインストールおよびデプロイ」ドキュメントを参照してください。

製品またはサービス

ポート番号

JBoss

8080

WebLogic

7001

WebLogic 管理対象サーバー

設定時に管理者によって指定される

WebSphere

9060(Global Security が有効になっている場合、デフォルト SSL ポート値は 9043)

9080

BAM サーバー

7001

SOAP[SOAP]

8880

MySQL

3306

Oracle

1521

DB2

50000

SQL Server

1433

LDAP

LDAP サーバーを実行しているポート。デフォルトのポートは通常 389 です。ただし、SSL オプションを選択した場合、デフォルトのポートは通常 636 です。指定するポートを LDAP 管理者に確認してください。

デフォルト以外の HTTP ポートを使用するための JBoss の設定

JBoss Application Server は、デフォルトの HTTP ポートとして 8080 を使用します。また、JBoss には事前設定のポート 8180、8280 および 8380 があり、これらは jboss-service.xml ファイルでコメントアウトされています。既にこのポートを使用しているアプリケーションがコンピューター上にある場合は、以下の手順に従って JEE 上の AEM Forms で使用するポートを変更してください。

  1. 次のファイルを編集用に開きます。

    シングルサーバーのインストール: [JBoss ルート]/standalone/configuration/standalone.xml

    クラスターのインストール: [JBoss ルート]/domain/configuration/domain.xml

  2. 値の変更 ポート 属性 <socket-binding> タグをカスタムポート番号に追加します。 例えば、次の例では、ポート 8090 を使用します。

    <socket-binding name="http" port="8090"/>

  3. ファイルを保存して閉じます。

  4. JBoss アプリケーションサーバーを再起動します。

JEE 上の AEM Forms セキュリティに関する考慮事項

ここでは、理解しておく必要のある JEE 上の AEM Forms 固有のセキュリティの問題について説明します。

データベース内の電子メールの資格情報は暗号化されない

アプリケーションに保存されている電子メールの資格情報は、JEE 上の AEM Forms データベースに保存される前に暗号化されません。サービスのエンドポイントで電子メールを使用するように設定した場合、エンドポイント設定の一部として使用したパスワード情報は、データベースに保存される前に暗号化されません。

データベース内の Rights Management に関する機密性情報

JEE 上のAEM Formsは、JEE 上のAEM Formsデータベースを使用して、ポリシードキュメントに使用される機密ドキュメントキー情報やその他の暗号化資料を保存します。 データベースへの侵入を防御することで、このような機密性の高い情報を保護することができます。

クリアテキストフォームのパスワード

JEE 上の AEM Forms を実行するアプリケーションサーバーでは、そのサーバー上に設定されたデータソースを介してデータベースにアクセスするように設定する必要があります。アプリケーションサーバーが、データソース設定ファイルのデータベースのパスワードをクリアテキストで公開していないことを確認します。

lc_[データベース].xml ファイルには、クリアテキスト形式のパスワードを含めないでください。 アプリケーションサーバーのパスワードを暗号化する方法については、アプリケーションサーバーのベンダーにお問い合わせください。

メモ

JEE 上の AEM Forms JBoss 自動インストーラーがデータベースのパスワードを暗号化します。

IBM WebSphere Application Server および Oracle WebLogic Server は、デフォルトでデータソースのパスワードを暗号化している可能性があります。ただし、アプリケーションサーバーのドキュメントで、この処理がおこなわれていることを確認してください。

Trust Store に保管された秘密鍵の保護

Trust Store からインポートされた秘密鍵や秘密鍵証明書は、JEE 上の AEM Forms データベースに保管されます。データベースを保護し、アクセスを指定された管理者のみに制限するために、適切な予防措置を講じます。

このページ