| Oracle® Fusion Middleware Oracle WebLogic Server プロダクション環境の保護 11g リリース 1 (10.3.1) B55514-01 |
|
 戻る |
 次へ |
| Oracle® Fusion Middleware Oracle WebLogic Server プロダクション環境の保護 11g リリース 1 (10.3.1) B55514-01 |
|
戻る |
次へ |
プロダクション環境に WebLogic Server および Java EE アプリケーションをデプロイする前に、次の節で説明するようにセキュリティ ニーズを決定し、適切なセキュリティ対策をとっていることを確認します。
セキュリティ ニーズについての理解を深めるために、次の質問の回答を検討してください。
保護しているのはどのリソースですか。
プロダクション環境には、WebLogic Server がアクセスするデータベースの情報、および Web サイトの可用性、パフォーマンス、アプリケーション、整合性など、保護の対象となるリソースが多数あります。提供する必要のあるセキュリティ レベルを決定する際に、保護するリソースを考慮します。
リソースを誰から保護していますか。
多くの Web サイトでは、インターネット上のすべてのユーザからリソースを保護する必要があります。しかし、社内のイントラネット上の従業員から Web サイトを保護する必要があるでしょうか。従業員が WebLogic Server 環境内のすべてのリソースにアクセスできるようにするべきでしょうか。また、システム管理者はすべての WebLogic リソースに対するアクセス権を持つべきでしょうか。さらにシステム管理者がすべてのデータにアクセスできるようにするべきでしょうか。極秘データまたは戦略上重要なリソースへのアクセス権は、少数の信頼性のあるシステム管理者にのみ付与することを考慮した方がよい場合もあります。一般的には、システム管理者には、このようなデータまたはリソースへのアクセスを許可しないことをお勧めします。
戦略上重要なリソースの保護に失敗したらどうなりますか。
セキュリティ計画の欠陥が簡単に検出され、不都合が生じることがあります。また、欠陥によって、その Web サイトを使用する企業または個人クライアントに大きな被害を与える場合もあります。各リソースのセキュリティの影響を理解することは、セキュリティを適切に保護するうえで役立ちます。
インターネットまたはイントラネットのどちらに WebLogic Server をデプロイする場合でも、セキュリティ計画および手順の検討、インストールされたシステムの監査、改良点の提案を、第三者にあたるセキュリティ エキスパートに依頼することをお勧めします。Oracle On Demand では、WebLogic Server のプロダクション環境の保護に役立つサービスおよびパートナ製品を提供しています。http://www.oracle.com/ondemand/index.html の「Oracle On Demand」ページを参照してください。
セキュリティ問題に関する資料を参照してください。
Web サーバのセキュリティ対策の最新情報については、カーネギー メロン大学が運営する (http://www.cert.org/) で公開されている「Security Practices & Evaluations」に目を通すことを推奨。
My Oracle Support に WebLogic Server インストールを登録します。WebLogic Server インストールを登録すると Oracle Support からのインストール固有のセキュリティ更新を直ちに受信できます。(http://www.oracle.com/support/index.html) を参照して My Oracle Support のアカウントを作成できます。
セキュリティ勧告については、次の URL にある「重大なパッチ更新およびセキュリティ警告」を参照してください。
http://www.oracle.com/technology/deploy/security/alerts.htm
WebLogic Server 10g リリース 3 ( 10.3 ) または以前のインストールがある場合は、(http://www.oracle.com/technology/deploy/security/beaarchive.html) URL の「BEA セキュリティ勧告アーカイブ」を参照してください。
現時点では、WebLogic Server のインストールには、完全な JDK およびいくつかの WebLogic Server 開発ユーティリティ (beasvc など) が含まれています。これらの開発プログラムによって、セキュリティの脆弱性がもたらされるおそれがあります。以下に、WebLogic Server のインストールをよりセキュアに行うための推奨事項を示します。
WebLogic Server のサンプル アプリケーションをインストールしない。WebLogic Server をインストールするとき、サーバ サンプル コンポーネントをインストールするオプションは選択されていないことを確認する。
開発モードで、コンフィグレーションされた場合は、WebLogic Server を実行しない プロダクション モードで動作するために、WebLogic Server はコンフィグレーションされていることを確認する。プロダクション モードでは、プロダクション環境にとってよりセキュアで適切な設定を使用してサーバが実行されるように設定される。
|
注意 : WebLogic Server は開発モードでコンフィグレーションした場合、不正な処理をしたアプリケーションまたは WebLogic Server の無効なのコンフィグレーションのようなエラー条件を表示しているトレース スタックに結果として発生する場合もあります。一般的に、エラー応答は問題はありません。悪意の目的用に使用できる、アプリケーションおよび WebLogic Server インストールの情報を犯人に示します。 |
WebLogic Server のインストールを最小限にするには以下を実行する。
|
注意 : WebLogic Server のインストールから実行可能ファイル、ファイル、およびディレクトリを削除する際には、間違いが起こる危険性が常にあります。そのため、セキュアな開発環境で変更をテストしてから、プロダクション環境で実装することをお勧めします。 |
Java SDK の代わりに JRE を使用して実行する。Javasoft SDK では、JRE のダウンロードとインストールが提供されています。WebLogic Server のインストール時に、コンフィグレーション ウィザードを使用して JRE のオプションを選択してください。このオプションによって、Java コンパイラなどの開発ツールが排除されます。
JRockit を使用する場合は、JRockit JRE にない Java SDK のソフトウェア コンポーネントを削除する。
プロダクション環境で使用する予定がない場合は、コンフィグレーション ウィザード、jCOM ツールなどの開発ツールを削除する。
Pointbase データベースは評価目的で付属しており、プロダクション環境ではサポートされないため削除する。
