リソース
最終更新日 :
2025年3月31日
警告 :
サンドボックスセキュリティは、ColdFusion(2025 リリース)で非推奨となりました。詳しくは、ColdFusion の非推奨の機能を参照してください。
ColdFusion には、次の 2 つのレベルのリソースベースセキュリティがあります。
- ColdFusion Standard のサンドボックスセキュリティを、リソースセキュリティと呼びます。 このセキュリティでは、ColdFusion リソースへのアクセス制限セットを 1 つ指定して、すべての ColdFusion アプリケーションに適用します。
- ColdFusion Enterprise のサンドボックスセキュリティを、サンドボックスセキュリティと呼びます。サンドボックスセキュリティは、リソースセキュリティのスーパーセットです。サンドボックスセキュリティでは、複数のサンドボックスを作成して、それら** を異なるディレクトリに適用できます。 サンドボックスごとに制限セットを指定して、サンドボックスディレクトリ内やそのサブディレクトリ内のすべての ColdFusion ページに適用できます。 サンドボックスのサブディレクトリとなるサンドボックスを作成した場合は、そのサブディレクトリのルールによって、親ディレクトリのルールが上書きされます。
ColdFusion Administrator のリソースセキュリティページ (スタンダード版) およびサンドボックスセキュリティページ (エンタープライズ版) を使用して、リソースベースのセキュリティを有効にできます。 ColdFusion スタンダード版のセキュリティページでは、すべての ColdFusion アプリケーションに適用するリソース設定を設定できます。 ColdFusion エンタープライズ版のセキュリティページでは、複数のサンドボックスを作成して、サンドボックスごとにリソース制限を設定できます。
リソースの制御
ColdFusion では、次のリソースへのアクセスを制御できます。
|
|
説明 |
|---|---|
|
データソース |
指定したデータソースへのアクセスを可能にします。 |
|
CF タグ |
外部リソースにアクセスする CFML タグを使用できないようにします。ディレクトリ内のページで、次のタグの一部またはすべてを使用することを禁止できます:cfcollection、cfcontent、cfcookie、cfdirectory、cfdocument、cfexecute、cffile、cfftp、cfgridupdate、cfhttp、cfhttpparam、cfindex、cfinsert、cfinvoke、cfldap、cflog、cfmail、cfobject、cfobjectcache、cfpop、cfquery、cfregistry、cfreport、cfschedule、cfsearch、cfstoredproc、cftransaction、cfupdate |
|
CF 関数 |
ページが外部リソースにアクセスする CFML 関数を使用できないようにします。次の関数のいずれかまたはすべてを使用できないようにページを設定できます:CreateObject (COM, Java, Web Service),{{}}DirectoryExistsExpandPath、FileExists、GetBaseTemplatePath、GetDirectoryFromPath、GetFileFromPath、GetGatewayHelper、GetProfileString、GetTempDirectory、GetTempFile、GetTemplatePath、SendGatewayMessage、SetProfileString |
|
ファイル/ディレクトリ |
読み取り、書き込み、実行、および削除アクセスを、指定のディレクトリ、ディレクトリツリー、またはファイルに設定します。 |
|
サーバー / ポート |
ColdFusion から IP アドレスおよびポート番号へのアクセスを制御します。 ホスト名または数値アドレスを指定できます。また、個々のポートおよびポート範囲も指定できます。 |
注意:
リソースセキュリティおよびサンドボックスセキュリティの設定の詳細については、『ColdFusion 設定と管理』および ColdFusion Administrator のオンラインヘルプを参照してください。
サンドボックスセキュリティ
ColdFusion エンタープライズ版では、サンドボックスセキュリティを使用して、複数のルールセットをそれぞれ異なるディレクトリ構造に適用できます。 これによって、共有ホスティング環境を分割することができ、目的や所有者が異なる多数のアプリケーションを 1 つのサーバー上で安全に実行できます。 複数のアプリケーションでホストを共有している場合は、アプリケーションごとに別個のディレクトリ構造を設定し、各アプリケーションが固有のデータソースとファイルのみにアクセスできるようにルールを適用します。
サンドボックスセキュリティを使用すると、各機能コンポーネントに設定するアクセス権に基づいて、アプリケーションの構造を作成および分割できます。 たとえば、従業員用の問い合わせ関数と、人事部用の機密データの作成、アクセス、および変更関数を作成する場合は、アプリケーションを次のように構築できます。
- 人事部用のページは、ほとんどのアクティビティを許可するアクセスルールを持つ単一のディレクトリに配置します。
- 従業員用のページは、変更可能なファイルや使用可能なタグを制限するルールを持つ別のディレクトリに配置します。
- 人事部用と従業員用の両方の関数で必要なページは、適切なアクセスルールを持つ 3 番目のディレクトリに配置します。
