JEE上のAEM Formsのセキュリティに関する一般的な考慮事項

JEE上のAEM Forms環境を堅牢化するための準備方法を説明します。

この記事には、AEM Forms 環境を堅牢化するための準備に役立つ、基本的な情報を記載しています。これには、JEE 上の Forms、オペレーティングシステム、アプリケーションサーバー、データベースセキュリティに関する前提条件の情報も含まれます。環境のロックを続ける前に、この情報を確認してください。

ベンダー固有のセキュリティ情報

この節には、JEE 上の AEM Forms ソリューションに統合されるオペレーティングシステム、アプリケーションサーバーおよびデータベースに関するセキュリティ関連情報を記載しています。

このセクションにあるリンクを使用して、使用しているオペレーティングシステム、データベースおよびアプリケーションサーバーのベンダーに固有のセキュリティ情報を検索してください。

オペレーティングシステムのセキュリティ情報

オペレーティングシステムを保護する際は、次のようなオペレーティングシステムのベンダーが説明する対策を慎重に実装することを検討してください。

  • ユーザー、ロール、権限を定義し、制御する
  • ログと監査記録を監視する
  • 不要なサービスとアプリケーションを削除する
  • ファイルのバックアップを作成する

JEE上のAEM Formsがサポートするオペレーティングシステムのセキュリティ情報については、次の表の資料を参照してください。

オペレーティングシステム

セキュリティ情報

IBM® AIX® 7.2

IBM AIX Security Benefits

Microsoft Windows Server® 2012

Windows Server 2012セキュリティガイド

Microsoft Windows Server® 2016

Windows Server 2016セキュリティガイド

Red Hat® Linux® AP または ES

Red Hat Enterprise Linux セキュリティガイド

Sun Solaris 11

セキュリティと堅牢化のガイドライン

Oracle Linux® 7 Update 3 リリース7のセキュリティガイド
CentOS 7 保護に関するドキュメント

アプリケーションサーバーのセキュリティ情報

アプリケーションサーバーを保護する際は、次のように、サーバーベンダーが説明する対策を慎重に実装することを検討してください。

  • 管理者ユーザー名として推測しにくい名前を使用する
  • 不要なサービスを無効にする
  • コンソールマネージャーを保護する
  • cookie の保護を有効にする
  • 不要なポートを閉じる
  • IP アドレスまたはドメインでクライアントを制限する
  • Java™ Security Manager を使用して、プログラムによって権限を制限する

JEE 上の AEM Forms がサポートするアプリケーションサーバーのセキュリティ情報については、次の表の資料を参照してください。

アプリケーションサーバー

セキュリティ情報

Oracle WebLogic®

https://download.oracle.com/docs/で、「Understanding WebLogic Security」を検索します。

IBM WebSphere®

アプリケーションとその環境の保護

Red Hat® JBoss®

セキュリティサブシステムの構成

データベースのセキュリティ情報

データベースを保護する場合は、次のような測定をデータベースのベンダーが記述して実装することを検討してください。

  • アクセス制御リスト(ACL)を使用して操作を制限する
  • 非標準ポートを使用する
  • ファイアウォールの内側にデータベースを隠す
  • 機密データをデータベースに書き込む前に暗号化する(データベース製造元のドキュメントを参照)

JEE 上の AEM Forms がサポートするデータベースのセキュリティ情報については、次の表の資料を参照してください。

データベース

セキュリティ情報

IBM DB2® 11.1

DB2 Product Family ライブラリ

Microsoft SQL Server 2016

「SQL Server 2016: Security」について Web を検索してください

MySQL 5

MySQL 5.0 General Security Issues

MySQL 5.1 General Security Issues

Oracle® 12c

Oracle 12g Documentation」のセキュリティの章を参照

次の表では、JEE 上の AEM Forms の設定プロセス中に開く必要のあるデフォルトポートについて説明します。https 経由で接続している場合、ポート情報と IP アドレス情報を適宜修正する必要があります。ポートの設定について詳しくは、使用しているアプリケーションサーバー版の「JEE 上の AEM Forms のインストールおよびデプロイ」ドキュメントを参照してください。

製品またはサービス

ポート番号

JBoss

8080

WebLogic

7001

WebLogic 管理対象サーバー

設定時に管理者によって指定される

WebSphere

9060(Global Security が有効になっている場合、デフォルト SSL ポート値は 9043)

9080

BAM サーバー

7001

SOAP[SOAP]

8880

MySQL

3306

Oracle

1521

DB2

50000

SQL Server

1433

LDAP

LDAP サーバーを実行しているポート。デフォルトのポートは通常389です。ただし、SSLオプションを選択した場合、デフォルトのポートは通常636です。指定するポートをLDAP管理者に確認してください。

デフォルト以外の HTTP ポートを使用するための JBoss の設定

JBoss Application Server は、デフォルトの HTTP ポートとして 8080 を使用します。また、JBoss には事前設定のポート 8180、8280 および 8380 があり、これらは jboss-service.xml ファイルでコメントアウトされています。既にこのポートを使用しているアプリケーションがコンピューター上にある場合は、以下の手順に従って JEE 上の AEM Forms で使用するポートを変更してください。

  1. 次のファイルを編集用に開きます。

    シングルサーバーのインストール:[JBoss root]/standalone/configuration/standalone.xml

    クラスターのインストール:[JBoss root]/domain/configuration/domain.xml

  2. <socket-binding>​タグの​port​属性の値をカスタムポート番号に変更します。 例えば、次の例ではポート8090を使用します。

    <socket-binding name="http" port="8090" />

  3. ファイルを保存して閉じます。

  4. JBoss アプリケーションサーバーを再起動します。

JEE上のAEM Formsのセキュリティに関する考慮事項

ここでは、理解しておく必要のある JEE 上の AEM Forms 固有のセキュリティの問題について説明します。

データベース内の電子メールの資格情報は暗号化されない

アプリケーションに保存されている電子メールの資格情報は、JEE 上の AEM Forms データベースに保存される前に暗号化されません。サービスのエンドポイントで電子メールを使用するように設定した場合、エンドポイント設定の一部として使用したパスワード情報は、データベースに保存される前に暗号化されません。

データベース内の Rights Management に関する機密性情報

JEE上のAEM Formsは、JEE上のAEM Formsデータベースを使用して、ポリシードキュメントに使用される機密ドキュメントキー情報およびその他の暗号化資料を保存します。 データベースへの侵入を防御することで、このような機密性の高い情報を保護することができます。

クリアテキスト形式のパスワード

JEE 上の AEM Forms を実行するアプリケーションサーバーでは、そのサーバー上に設定されたデータソースを介してデータベースにアクセスするように設定する必要があります。アプリケーションサーバーが、データソース設定ファイルにデータベースのパスワードをクリアテキストで公開しないようにします。

lc_[database].xmlファイルには、パスワードをクリアテキスト形式で含めることはできません。 アプリケーションサーバーのパスワードを暗号化する方法については、アプリケーションサーバーのベンダーにお問い合わせください。

メモ

JEE 上の AEM Forms JBoss 自動インストーラーがデータベースのパスワードを暗号化します。

IBM WebSphere Application Server および Oracle WebLogic Server は、デフォルトでデータソースのパスワードを暗号化している可能性があります。ただし、アプリケーションサーバーのドキュメントで、この処理がおこなわれていることを確認してください。

Trust Store に保管された秘密鍵の保護

Trust Store からインポートされた秘密鍵や秘密鍵証明書は、JEE 上の AEM Forms データベースに保管されます。適切な予防措置を講じて、データベースを保護し、アクセスを指定された管理者のみに制限します。

このページ