Show Menu
トピック×

JEE上のAEM Formsのセキュリティに関する一般的な考慮事項

この記事には、AEM Forms 環境を堅牢化するための準備に役立つ、基本的な情報を記載しています。これには、JEE 上の Forms、オペレーティングシステム、アプリケーションサーバー、データベースセキュリティに関する前提条件の情報も含まれます。環境のロックダウンを続行する前に、この情報を確認してください。

ベンダー固有のセキュリティ情報

この節には、JEE 上の AEM Forms ソリューションに統合されるオペレーティングシステム、アプリケーションサーバーおよびデータベースに関するセキュリティ関連情報を記載しています。
このセクションにあるリンクを使用して、使用しているオペレーティングシステム、データベースおよびアプリケーションサーバーのベンダーに固有のセキュリティ情報を検索してください。

オペレーティングシステムのセキュリティ情報

オペレーティングシステムを保護する際は、次のようなオペレーティングシステムのベンダーが挙げる対策を慎重に検討してください。
  • ユーザー、ロール、権限を定義し、制御する
  • ログと監査記録を監視する
  • 不要なサービスとアプリケーションを削除する
  • ファイルのバックアップを作成する
JEE上のAEM Formsがサポートするオペレーティングシステムのセキュリティ情報については、次の表の資料を参照してください。
オペレーティングシステム
セキュリティ情報
IBM® AIX® 7.2
Microsoft Windows Server® 2016
Red Hat® Linux® AP または ES
Sun Solaris 11
Oracle Linux® 7 Update 3 リリース7のセキュリティガイド
CentOS 7 保護に関するドキュメント

アプリケーションサーバーのセキュリティ情報

アプリケーションサーバーを保護する場合は、サーバーベンダーが挙げる対策を以下のように慎重に実装してください。
  • 管理者ユーザー名として推測しにくい名前を使用する
  • 不要なサービスを無効にする
  • コンソールマネージャーを保護する
  • cookie の保護を有効にする
  • 不要なポートを閉じる
  • IP アドレスまたはドメインでクライアントを制限する
  • Java™ Security Manager を使用して、プログラムによって権限を制限する
JEE 上の AEM Forms がサポートするアプリケーションサーバーのセキュリティ情報については、次の表の資料を参照してください。
アプリケーションサーバー
セキュリティ情報
Oracle WebLogic®
Search for Understanding WebLogic Security at https://download.oracle.com/docs/ .
IBM WebSphere®
Red Hat® JBoss®

データベースのセキュリティ情報

データベースを保護する場合は、データベースのベンダーが説明する以下のような対策を実装することを検討してください。
  • アクセス制御リスト(ACL)を使用して操作を制限する
  • 非標準ポートを使用する
  • ファイアウォールの内側にデータベースを隠す
  • 機密データをデータベースに書き込む前に暗号化する(データベース製造元のドキュメントを参照)
JEE 上の AEM Forms がサポートするデータベースのセキュリティ情報については、次の表の資料を参照してください。
データベース
セキュリティ情報
IBM DB2® 11.1
Microsoft SQL Server 2016
「SQL Server 2016: Security」について Web を検索してください
MySQL 5
Oracle® 12c
Oracle 12g Documentation 」のセキュリティの章を参照
次の表では、JEE 上の AEM Forms の設定プロセス中に開く必要のあるデフォルトポートについて説明します。https 経由で接続している場合、ポート情報と IP アドレス情報を適宜修正する必要があります。ポートの設定について詳しくは、使用しているアプリケーションサーバー版の「 JEE 上の AEM Forms のインストールおよびデプロイ 」ドキュメントを参照してください。
製品またはサービス
ポート番号
JBoss
8080
WebLogic
7001
>
WebLogic 管理対象サーバー
設定時に管理者によって指定される
>
WebSphere
9060(Global Security が有効になっている場合、デフォルト SSL ポート値は 9043)
9080
>
BAM サーバー
7001
>
SOAP[SOAP]
8880
>
MySQL
3306
>
Oracle
1521
>
DB2
50000
>
SQL Server
1433
>
LDAP
LDAP サーバーを実行しているポート。デフォルトのポートは通常389です。ただし、SSLオプションを選択した場合、デフォルトのポートは通常636です。LDAP管理者に、指定するポートを確認します。

デフォルト以外の HTTP ポートを使用するための JBoss の設定

JBoss Application Server は、デフォルトの HTTP ポートとして 8080 を使用します。また、JBoss には事前設定のポート 8180、8280 および 8380 があり、これらは jboss-service.xml ファイルでコメントアウトされています。既にこのポートを使用しているアプリケーションがコンピューター上にある場合は、以下の手順に従って JEE 上の AEM Forms で使用するポートを変更してください。
  1. 次のファイルを開いて編集します。
    シングルサーバーインストール: #/standalone/configuration/standalone.xml
    クラスターのインストール: #/domain/configuration/domain.xml
  2. <socket -binding>タグのport属性の値 をカスタムポート番号に変更します 。 例えば、次の例ではポート8090を使用しています。
    <socket-binding name="http" port="8090"/>
  3. ファイルを保存して閉じます。
  4. JBoss アプリケーションサーバーを再起動します。

JEE上のAEM Formsセキュリティに関する考慮事項

ここでは、理解しておく必要のある JEE 上の AEM Forms 固有のセキュリティの問題について説明します。

データベース内の電子メールの資格情報は暗号化されない

アプリケーションに保存されている電子メールの資格情報は、JEE 上の AEM Forms データベースに保存される前に暗号化されません。サービスのエンドポイントで電子メールを使用するように設定した場合、エンドポイント設定の一部として使用したパスワード情報は、データベースに保存される前に暗号化されません。

データベース内の Rights Management に関する機密性情報

JEE上のAEM Formsは、JEE上のAEM Formsデータベースを使用して、ポリシードキュメントに使用する機密ドキュメントキー情報およびその他の暗号化マテリアルを保存します。 データベースへの侵入を防御することで、このような機密性の高い情報を保護することができます。

クリアテキストフォームのパスワード

JEE 上の AEM Forms を実行するアプリケーションサーバーでは、そのサーバー上に設定されたデータソースを介してデータベースにアクセスするように設定する必要があります。アプリケーションサーバーが、データベースのパスワードをクリアテキストでデータソース設定ファイルに公開しないようにしてください。
lc_ #.xmlファイルには、パスワードをクリアテキスト形式で含めないでください。 アプリケーションサーバーのパスワードを暗号化する方法については、アプリケーションサーバーのベンダーにお問い合わせください。
JEE 上の AEM Forms JBoss 自動インストーラーがデータベースのパスワードを暗号化します。
IBM WebSphere Application Server および Oracle WebLogic Server は、デフォルトでデータソースのパスワードを暗号化している可能性があります。ただし、アプリケーションサーバーのドキュメントで、この問題が発生していることを確認してください。

Trust Store に保管された秘密鍵の保護

Trust Store からインポートされた秘密鍵や秘密鍵証明書は、JEE 上の AEM Forms データベースに保管されます。データベースを保護し、アクセスを指定された管理者のみに制限するために、適切な予防策を講じます。