この記事には、AEM Forms 環境を堅牢化するための準備に役立つ、基本的な情報を記載しています。これには、JEE 上の Forms、オペレーティングシステム、アプリケーションサーバー、データベースセキュリティに関する前提条件の情報も含まれます。環境のロックダウンを行う前に、この情報を確認してください。

ベンダー固有のセキュリティ情報

この節には、JEE 上の AEM Forms ソリューションに統合されるオペレーティングシステム、アプリケーションサーバーおよびデータベースに関するセキュリティ関連情報を記載しています。

このセクションにあるリンクを使用して、使用しているオペレーティングシステム、データベースおよびアプリケーションサーバーのベンダーに固有のセキュリティ情報を検索してください。

オペレーティングシステムのセキュリティ情報

オペレーティングシステムを保護する際には、オペレーティングシステムのベンダーが挙げている対策を実装することを慎重に検討してください。この対策には、以下のものがあります。

  • ユーザー、ロール、権限を定義し、制御する

  • ログと監査記録を監視する

  • 不要なサービスとアプリケーションを削除する

  • ファイルのバックアップを作成する

JEE 上の AEM Forms がサポートするオペレーティングシステムのセキュリティ情報については、次の表の資料を参照してください。

オペレーティングシステム

セキュリティ情報

IBM® AIX® 5.3 および 6.1

IBM AIX Security Benefits

Microsoft® Windows® XP SP2(実稼働環境以外の場合のみ)

Windows XP セキュリティガイド

Microsoft Windows 7、32 ビットおよび 64 ビット(実稼働環境以外の場合のみ)

Windows 7 セキュリティガイド

Microsoft Windows Server® 2003 Enterprise Edition、Standard Edition

Microsoft.com の「Windows Server 2003 Security Guide」を検索してください

Microsoft Windows Server® 2008 Enterprise Edition、Standard Edition

Microsoft.com の「Windows Server 2008 Security Guide」を検索してください

Microsoft Vista™ SP1、全エディション、32 ビットおよび 64 ビット(実稼働環境以外の場合のみ)

Microsoft.com の「Windows Vista Security Guide」を検索してください。

Red Hat® Linux® AP または ES

Red Hat Enterprise Linux セキュリティガイド

Sun Solaris 10

Solaris のシステム管理(セキュリティサービス)

アプリケーションサーバーのセキュリティ情報

アプリケーションサーバーを保護する際には、サーバーのベンダーが挙げている対策を実装することを慎重に検討してください。この対策には、以下のものがあります。

  • 管理者ユーザー名として推測しにくい名前を使用する

  • 不要なサービスを無効にする

  • コンソールマネージャーを保護する

  • cookie の保護を有効にする

  • 不要なポートを閉じる

  • IP アドレスまたはドメインでクライアントを制限する

  • Java™ Security Manager を使用して、プログラムによって権限を制限する

JEE 上の AEM Forms がサポートするアプリケーションサーバーのセキュリティ情報については、次の表の資料を参照してください。

アプリケーションサーバー

セキュリティ情報

Oracle WebLogic®

http://download.oracle.com/docs/ で「Understanding WebLogic Security」を検索してください。

IBM WebSphere®

アプリケーションとその環境の保護

Red Hat® JBoss®

JBoss 上のセキュリティ

データベースのセキュリティ情報

データベースを保護する際には、データベースのベンダーが挙げている対策を実装することを慎重に検討してください。この対策には、以下のものがあります。

  • アクセス制御リスト(ACL)を使用して操作を制限する

  • 非標準ポートを使用する

  • ファイアウォールの内側にデータベースを隠す

  • 機密データをデータベースに書き込む前に暗号化する(データベース製造元のドキュメントを参照)

JEE 上の AEM Forms がサポートするデータベースのセキュリティ情報については、次の表の資料を参照してください。

データベース

セキュリティ情報

IBM DB2® 9.1 または 9.5

DB2 Product Family ライブラリ

Microsoft SQL Server 2005 SP2 または 2008

「SQL Server 2005: Security」について Web を検索してください

「SQL Server 2008: Security」について Web を検索してください

MySQL 5

MySQL 5.0 General Security Issues

MySQL 5.1 General Security Issues

Oracle® 10g または 11g

Oracle 11g Documentation」のセキュリティの章を参照

次の表では、JEE 上の AEM Forms の設定プロセス中に開く必要のあるデフォルトポートについて説明します。https 経由で接続している場合、ポート情報と IP アドレス情報を適宜修正する必要があります。ポートの設定について詳しくは、使用しているアプリケーションサーバー版の「JEE 上の AEM Forms のインストールおよびデプロイ」ドキュメントを参照してください。

製品またはサービス

ポート番号

JBoss

8080

WebLogic

7001

WebLogic 管理対象サーバー

設定時に管理者によって指定される

WebSphere

9060(Global Security が有効になっている場合、デフォルト SSL ポート値は 9043)

9080

BAM サーバー

7001

SOAP[SOAP]

8880

MySQL

3306

Oracle

1521

DB2

50000

SQL Server

1433

LDAP

LDAP サーバーを実行しているポート。デフォルトのポートは通常 389 です。ただし、SSL オプションを選択する場合、デフォルトのポートは通常 636 です。どのポートを指定するかは、LDAP の管理者に確認してください。

デフォルト以外の HTTP ポートを使用するための JBoss の設定

JBoss Application Server は、デフォルトの HTTP ポートとして 8080 を使用します。また、JBoss には事前設定のポート 8180、8280 および 8380 があり、これらは jboss-service.xml ファイルでコメントアウトされています。既にこのポートを使用しているアプリケーションがコンピューター上にある場合は、以下の手順に従って JEE 上の AEM Forms で使用するポートを変更してください。

  1. jboss-service.xml ファイルをエディターで開きます。

    JBoss 自動インストール:[JBoss root]/server/lc_turnkey/conf/

    JBoss 手動インストール:[appserver root]/server/all/conf/

  2. 次の mbean を見つけてコメントを解除します。

    <mbean code="org.jboss.services.binding.ServiceBindingManager"

    name="jboss.system:service=ServiceBindingManager">

    <attribute name="ServerName">ports-01</attribute>

    <attribute name="StoreURL">${jboss.home.url}/docs/examples/binding-manager/sample-bindings.xml</attribute>

    <attribute name="StoreFactoryClassName">

    org.jboss.services.binding.XMLServicesStoreFactory

    </属性>

    </mbean>

  3. ファイルを保存して閉じます。

  4. JBoss を再起動します。

これで、JBoss はポート 8180 を使用するように設定されました。8280 または 8380 を使用する必要がある場合は、次のいずれかの代替ポートを使用するように ServerName 属性値を変更します。

  • 8280 の場合:ports-02

  • 8380 の場合:ports-03

JBoss に事前設定されたポート番号以外のポート番号を設定する必要がある場合は、次の手順を実行してください。

  1. [JBoss root](自動インストール)または [appserver root](JBoss 手動インストール)の deploy/jboss-web.deployer ファイルを見つけて開きます。

  2. 上の手順 2 に従って、mbean を見つけてコメントを解除します。

  3. ServerName 値を使用するポート番号に変更します。

  4. ファイルを保存して閉じます。

  5. JBoss を再起動します。

JEE 上の AEM Forms セキュリティに関する考慮事項

ここでは、理解しておく必要のある JEE 上の AEM Forms 固有のセキュリティの問題について説明します。

データベース内の電子メールの資格情報は暗号化されない

アプリケーションに保存されている電子メールの資格情報は、JEE 上の AEM Forms データベースに保存される前に暗号化されません。サービスのエンドポイントで電子メールを使用するように設定した場合、エンドポイント設定の一部として使用したパスワード情報は、データベースに保存される前に暗号化されません。

データベース内の Rights Management に関する機密性情報

JEE 上の AEM Forms は、JEE 上の AEM Forms データベースに、ポリシードキュメントで使用した暗号化マテリアルと機密ドキュメントキー情報を保存します。データベースへの侵入を防御することで、このような機密性の高い情報を保護することができます。

adobe-ds.xml 内のクリアテキスト形式のパスワード

JEE 上の AEM Forms を実行するアプリケーションサーバーでは、そのサーバー上に設定されたデータソースを介してデータベースにアクセスするように設定する必要があります。アプリケーションサーバーが、データベースのパスワードをクリアテキストでデータソース設定ファイルに公開しないことを確認してください。

adobe-ds.xml ファイルには、パスワードがクリアテキスト形式で格納されています。アプリケーションサーバーのパスワードを暗号化する方法については、アプリケーションサーバーのベンダーにお問い合わせください。例えば、JBoss® については、「Encrypting DataSource Passwords」を参照します。

注意:

JEE 上の AEM Forms JBoss 自動インストーラーがデータベースのパスワードを暗号化します。

IBM WebSphere Application Server および Oracle WebLogic Server は、デフォルトでデータソースのパスワードを暗号化している可能性があります。ただし、これらのサーバーを使用している場合でも、アプリケーションサーバーのドキュメントで、暗号化が行われているかどうかを必ず確認してください。

Trust Store に保管された秘密鍵の保護

Trust Store からインポートされた秘密鍵や秘密鍵証明書は、JEE 上の AEM Forms データベースに保管されます。データベースを保護し、アクセスを指名された管理者のみに制限するため、適切な注意を払う必要があります。

本作品は Creative Commons Attribution-Noncommercial-Share Alike 3.0 Unported License によってライセンス許可を受けています。  Twitter™ および Facebook の投稿には、Creative Commons の規約内容は適用されません。

法律上の注意   |   プライバシーポリシー