暗号化

セキュリティー上の理由から、機密性のあるユーザー入力およびアプリケーション出力を暗号化する必要があります。ほとんどのビジネス指向 Web アプリケーションでは、ブラウザと Application Server の間の通信フローの全部または一部を暗号化します。オンラインショッピングアプリケーションでは、ユーザーが購入を完了するとき、または個人データを入力するときにトラフィックを暗号化します。ニュースやメディアなどのポータルアプリケーションでは、通常は暗号化を行いません。SSL (Secure Sockets Layer) はもっとも一般的なセキュリティーフレームワークであり、多くのブラウザおよびアプリケーションサーバーでサポートされています。

Application Server は SSL 2.0 および 3.0 をサポートし、各種の暗号化方式群のソフトウェアサポートが含まれています。また、パフォーマンスをさらに高めるためにハードウェア暗号化カードの統合もサポートしています。セキュリティー上の考慮事項によって、統合ソフトウェアの暗号化を使用している場合に特に影響を受けるのは、ハードウェアのサイジングおよび容量計画です。

配備の暗号化ニーズを評価するときは、次のことを考慮します。

• セキュリティーの面から見たアプリケーションの性質はどのようなものか。アプリケーションの入力と出力をすべて暗号化するか、それとも一部のみか。セキュリティー保護された状態で転送する必要がある情報の割合はどの程度か。

• アプリケーションを配備しようとしているアプリケーションサーバーがインターネットに直接接続されているか。アプリケーションサーバー層およびバックエンドデータベースシステムから独立した非武装ゾーン (DMZ) に Web サーバーを配置する予定か。

  DMZ を使用する配備は、高いレベルのセキュリティーが必要な場合に推奨されます。また、アプリケーションに大量の静的テキストや画像コンテンツがある場合や、最も高いレベルでセキュリティー保護されているファイアウォールの内側に配置された Application Server 上で実行されるビジネスロジックがある場合にも便利です。Application Server では、一般的な Web サーバーとの統合を可能にするために、セキュリティー保護された逆プロキシプラグインが提供されています。Application Server は、DMZ 内の Web サーバーとしての配備および使用も可能です。

• DMZ 内の Web サーバーと、次の層のアプリケーションサーバーとの間で暗号化が必要か。Application Server で提供される逆プロキシプラグインは、Web サーバー層とアプリケーションサーバー層の間での SSL 暗号化をサポートします。SSL が有効な場合、ハードウェアの容量計画では暗号化のポリシーおよび機構を考慮に入れる必要があります。

• ソフトウェア暗号化を使用する予定の場合、次のことを考慮します。

  • 特定のセキュリティー要件のもとで、システムの各層で予測されるパフォーマンスのオーバーヘッドはどの程度か。

  • それぞれの選択肢のパフォーマンス特性およびスループット特性。

Web サーバーと Application Server の間で通信を暗号化する方法の詳細は、『Sun Java System Application Server Enterprise Edition 8.2 管理ガイド』の第 9 章「セキュリティーの設定」を参照してください。