アプリケーションのセキュリティー (Sun Java System Communications Services 6 2005Q4 配備計画ガイド)

Sun Java System Communications Services 6 2005Q4 配備計画ガイド

アプリケーションのセキュリティー

Communications Services 製品ポートフォリオは、業務用通信のセキュリティーと統合を実現する機能を提供します。Communications Services は、次のような幅広い「組み込み」セキュリティー機能を提供します。

認証
メッセージとセッションの暗号化
ウィルスとスパムの防護
通信のアーカイブと監査
エンドユーザーが設定可能なプライバシーオプション

セキュリティー保護された接続の実装

Communications Services は、SSL/TLS、S/MIME 、SAML などのセキュリティー標準をサポートします。SSL/TLS を使えば、クライアントとサーバー間のすべての通信を暗号化されたセッション内で行えます。Portal Server と統合すれば、追加の認証メカニズムがデフォルトで利用可能になるほか、アプリケーション全体にわたってシングルサインオン機能を利用できるようになります。

注 –

Web サーバー内の Communications Express アプリケーションと Calendar Server の cshttpd デーモン間では、SSL はサポートされていません。

公開鍵データセキュリティーを実装する場合は、公開鍵インフラストラクチャーと鍵の選択をサポートするメールクライアントを選択する必要があります。Communications Services 製品は、追加の設定なしで、このように暗号化されたメッセージの転送と保管に直ちに関わることができます。Communications Express Mail クライアント上では、S/MIME (Secure/Multipurpose Internet Mail Extension) を利用できます。S/MIME を使用するように設定された Communications Express Mail ユーザーは、Communications Express Mail、Microsoft Outlook Express、および Mozilla メールシステムを使用するほかのユーザーと、署名または暗号化されたメッセージを交換できます。

注 –

以前のバージョンの Messaging Server に含まれる Web メールクライアントは、暗号化されたメッセージを生成したり復号化したりできません。

一般的に使用されるデータセキュリティーのメカニズムは、さまざまなメッセージングエージェント間のデータ送信に使用する接続で SSL 暗号化を使用して、配線間 (つまり、クライアントからサーバーまで) のデータだけを保護します。このソリューションは、公開鍵暗号化ほど完全ではありませんが、実装がはるかに容易で、数多くの製品とサービスプロバイダによってサポートされています。

クライアントからサーバーまで SSL を使用することにより、どんな問題が解決するでしょうか。組織は、所有するコーポレートネットワークを制御し、そのネットワーク上で送信されるデータは社員以外の者からは安全であるとみなされています。コーポレートネットワークの外部から企業のインフラストラクチャーを使用して送信されるメールは、暗号化接続を介して企業のネットワークにデータを送信します。同様に、コーポレートネットワークの外部の企業ユーザーが受信するすべてのメールは、暗号化接続を介して送信されます。したがって、内部ネットワークの安全に関する企業の仮定が正しく、社員が自分自身とほかの社員間の転送用に認定されたサーバーだけを使用する場合には、社員間のメールは外部攻撃から安全に保護されています。

このソリューションではどんな問題が解決されないか。まず最初に、この方法では、組織の内部ネットワークにアクセスした受信者以外のユーザーが偶然にもデータを参照してしまうことを防げません。次に、社員と外部パートナー、顧客、または供給業者間で送信されるデータの保護が行われません。データは、完全にセキュリティー保護されていない状態で公衆インターネット間を移動します。

ただし、この問題は、企業と顧客の両方のネットワークの MTA ルーター間の SSL 暗号化設定によって修正することができます。この種類のソリューションは、使用する各私設接続の設定が必要になります。このためには、メールを介して送受信する顧客またはパートナーのデータにセキュリティーのための重要な層を追加します。Communications Services の MTA と SSL を使用することにより、企業は送信手段として公衆インターネットを使用してコストの節約ができますが、MTA はパートナーの SSL を使用しなければなりません。このソリューションは、パートナーとの間のほかのトラフィックを考慮しておりません。ただし、通常、メールはトラフィックの大きな部分を占めており、企業は転送されるデータに基づいて料金を支払うことができるので、公衆インターネットの使用はコストが少なくて済みます。

2 つの異なる認証局 (CA) を使用するセキュリティー保護された接続の実装

サーバーとクライアント間、たとえば、Messaging Server から配備したほかのサーバー間に SSL 接続を実装することができます (Web Server、Calendar Server、Directory Server も同様)。必要に応じて、サーバー用とクライアント用に 2 つの認証局 (CA) を使用することができます。

このシナリオでは、ある CA を使用してサーバー証明書を発行し、別の CA を使用してクライアント証明書を発行します。クライアントにサーバーの証明書が本物であることを承認させたい場合は、サーバーの CA 証明書をクライアントの証明書 DB にロードする必要があります。サーバーにクライアントの証明書が本物であることを承認させたい場合は、クライアントの CA 証明書をサーバーの証明書 DB にロードする必要があります。