JEE 上の AEM Forms のセキュリティに関する一般的な考慮事項 general-security-considerations-for-aem-forms-on-jee

この記事には、AEM Forms 環境を堅牢化するための準備に役立つ、基本的な情報を記載しています。これには、JEE 上の AEM Forms、オペレーティングシステム、アプリケーションサーバー、データベースセキュリティに関する前提条件の情報も含まれます。環境のロックダウンを継続する前に、この情報を確認してください。

ベンダー固有のセキュリティ情報 vendor-specific-security-information

このセクションには、JEE 上の AEM Forms に統合されるオペレーティングシステム、アプリケーションサーバーおよびデータベースに関するセキュリティ関連情報を記載しています。

このセクションにあるリンクを使用して、使用しているオペレーティングシステム、データベースおよびアプリケーションサーバーのベンダーに固有のセキュリティ情報を検索してください。

オペレーティングシステムのセキュリティ情報 operating-system-security-information

オペレーティングシステムを保護する際には、次のようなオペレーティングシステムのベンダーが挙げている対策を実装することを慎重に検討してください。

  • ユーザー、ロール、権限を定義し、制御する
  • ログと監査記録を監視する
  • 不要なサービスとアプリケーションを削除する
  • ファイルのバックアップを作成する

JEE 上の AEM Forms がサポートするオペレーティングシステムのセキュリティ情報については、次の表のリソースを参照してください。

オペレーティングシステム
セキュリティ情報
IBM® AIX® 7.2
IBM® AIX® のセキュリティ上のメリット
Microsoft® Windows Server® 2016
Windows Server 2016 セキュリティガイド
Red Hat® Linux® AP または ES
Red Hat® Enterprise Linux® セキュリティガイド
Sun Solaris™ 11
セキュリティと強化のガイドライン
Oracle Linux® 7 Update 3
リリース 7 のセキュリティガイド
CentOS 7
保護に関するドキュメント

アプリケーションサーバーのセキュリティ情報 application-server-security-information

アプリケーションサーバーを保護する際には、次のようなサーバーのベンダーが挙げている対策を実装することを慎重に検討してください。

  • 管理者ユーザー名として推測しにくい名前を使用する
  • 不要なサービスを無効にする
  • コンソールマネージャーを保護する
  • Cookie の保護を有効にする
  • 不要なポートを閉じる
  • IP アドレスまたはドメインでクライアントを制限する
  • Java™ Security Manager を使用して、プログラムによって権限を制限する

JEE 上の AEM Forms がサポートするアプリケーションサーバーのセキュリティ情報については、次の表の資料を参照してください。

アプリケーションサーバー
セキュリティ情報
Oracle WebLogic®
https://docs.oracle.com/ で「Understanding WebLogic Security」を検索してください。
IBM® WebSphere®
アプリケーションとその環境の保護
Red Hat® JBoss®
セキュリティサブシステムの設定

データベースのセキュリティ情報 database-security-information

データベースを保護する際には、次のようなデータベースのベンダーが挙げている対策を実装することを検討してください。

  • アクセス制御リスト(ACL)を使用して操作を制限する
  • 非標準ポートを使用する
  • ファイアウォールの内側にデータベースを隠す
  • 機密データをデータベースに書き込む前に暗号化する(データベース製造元のドキュメントを参照)

JEE 上の AEM Forms がサポートするデータベースのセキュリティ情報については、次の表の資料を参照してください。

データベース
セキュリティ情報
IBM® DB2® 11.1
DB2® Product Family ライブラリ
Microsoft® SQL Server 2016
「SQL Server 2016: Security」という文字列で web を検索
MySQL 5

MySQL 5.0 General Security Issues

MySQL 5.1 General Security Issues

Oracle® 12c
Oracle 12g Documentation」のセキュリティの章を参照してください。

次の表では、JEE 上の AEM Forms の設定プロセス中に開く必要のあるデフォルトポートについて説明します。https 経由で接続している場合、ポート情報と IP アドレス情報を適宜修正する必要があります。ポートの設定について詳しくは、使用しているアプリケーションサーバー版の「JEE 上の AEM Forms のインストールおよびデプロイ」ドキュメントを参照してください。

製品またはサービス
ポート番号
JBoss®
8080
WebLogic
7001

>

WebLogic 管理対象サーバー

設定時に管理者によって指定される

>

WebSphere®

9060(Global Security が有効になっている場合、デフォルト SSL ポート値は 9043)

9080

>

BAM サーバー

7001

>

SOAP

8880

>

MySQL

3306

>

Oracle

1521

>

DB2®

50000

>

SQL Server

1433

>

LDAP

LDAP サーバーを実行しているポート。デフォルトのポートは通常 389 です。ただし、SSL オプションを選択する場合、デフォルトのポートは通常 636 です。どのポートを指定するかは、LDAP の管理者に確認してください。

デフォルト以外の HTTP ポートを使用するための JBoss® の設定 configuring-jboss-to-use-a-non-default-http-port

JBoss® Application Server は、デフォルトの HTTP ポートとして 8080 を使用します。また、JBoss® には事前設定のポート 8180、8280 および 8380 があり、これらは jboss-service.xml ファイルでコメントアウトされています。既にこのポートを使用しているアプリケーションがコンピューター上にある場合は、以下の手順に従って JEE 上の AEM Forms で使用するポートを変更してください。

  1. 次のファイルを編集用として開きます。

    シングルサーバーのインストール: [JBoss® ルート]/standalone/configuration/standalone.xml

    クラスターのインストール: [JBoss® ルート]/domain/configuration/domain.xml

  2. <socket-binding> タグの port 属性の値をカスタムポート番号に変更します。例えば、次の例では、ポート 8090 を使用します。

    <socket-binding name="http" port="8090"/>

  3. ファイルを保存して閉じます。

  4. JBoss® アプリケーションサーバーを再起動します。

NOTE
「Ctrl + C」コマンドを使用して SDK を再起動することをお勧めします。 別の方法(Java プロセスの停止など)を使用してAEM SDK を再起動すると、AEM開発環境で不整合が生じる場合があります。

JEE 上の AEM Forms のセキュリティに関する考慮事項 aem-forms-on-jee-security-considerations

ここでは、理解しておく必要のある JEE 上の AEM Forms 固有のセキュリティの問題について説明します。

データベース内のメールアドレスの資格情報は暗号化されない email-credentials-not-encrypted-in-database

アプリケーションに保存されているメールアドレスの資格情報は、JEE 上の AEM Forms データベースに保存される前に暗号化されません。サービスのエンドポイントでメールアドレスを使用するように設定した場合、エンドポイント設定の一部として使用したパスワード情報は、データベースに保存される前に暗号化されません。

データベース内の Rights Management に関する機密性情報 sensitive-content-for-rights-management-in-the-database

JEE 上の AEM Forms は、JEE 上の AEM Forms データベースに、ポリシードキュメントで使用した機密ドキュメントキー情報と暗号化マテリアルを格納します。データベースへの侵入を防御することで、このような機密性の高い情報を保護することができます。

クリアテキストフォームのパスワード password-in-clear-text-format-in-adobe-ds-xml

JEE 上の AEM Forms を実行するアプリケーションサーバーでは、そのサーバー上に設定されたデータソースを介してデータベースにアクセスするように設定する必要があります。アプリケーションサーバーがデータソース構成ファイルでデータベースパスワードをクリアテキストで公開しないようにしてください。

lc_[database].xml ファイルには、クリアテキスト形式のパスワードを含めないでください。アプリケーションサーバーのパスワードを暗号化する方法については、アプリケーションサーバーのベンダーにお問い合わせください。

NOTE
JEE 上の AEM Forms JBoss® 自動インストーラーがデータベースのパスワードを暗号化します。

IBM® WebSphere® Application Server および Oracle WebLogic Server は、デフォルトでデータソースのパスワードを暗号化している可能性があります。ただし、これらのサーバーを使用している場合でも、アプリケーションサーバーのドキュメントで、暗号化が行われているかどうかを必ず確認してください。

Trust Store に保管された秘密鍵の保護 protecting-the-private-key-stored-in-trust-store

Trust Store から読み込んだ秘密鍵や秘密鍵証明書は、JEE 上の AEM Forms データベースに保管されます。データベースを保護し、アクセスを指名された管理者のみに制限するため、適切な注意を払う必要があります。

recommendation-more-help
19ffd973-7af2-44d0-84b5-d547b0dffee2