潜在的なセキュリティー脅威を回避するには、DIVAnet を運用しているお客様がシステムの認証と承認を考慮する必要があります。
こうしたセキュリティー脅威は、適切な構成によって、また付録A セキュアな配備のためのチェックリストにあるインストール後チェックリストに従うことによって最小限に抑えることができます。
セキュリティー脅威からの保護を実現するための重要なセキュリティー機能は次のとおりです。
認証 - 承認された個人にのみシステムおよびデータへのアクセスが許可されるようにします。
承認 - システム特権およびデータへのアクセス制御。この機能は、認証に基づいて、個人が適切なアクセスのみを取得することを保証します。
DIVAnet サービスは、次に示すいくつかの方法を使用して認証を実行できます。
SSL / TLS 証明書 - DIVAnet はリモート DIVAnet サービスへのアウトバウンド接続を作成するとき、証明書トラストストアを調べます。このことは、DIVAnet が本物の DIVAnet サービスに接続していることの確認に役立ちます。DIVAnet ClientAdapter から DIVArchive インスタンスへのセキュアな接続を作成するには、WebServices として識別される <ConnectionType> を使用して、ManagerAdapter を介して接続する必要があります。
アクセスルール - アクセスルールは技術的にはアクセス制御の一形態で、インバウンド IP アドレスに基づいてインバウンド接続をフィルタリングできます。この機能は、許可されたシステムのみが DIVAnet サービスに適切にアクセスできることを保証するために必要です。
警告:
DIVAnet サービスは構成の一部としてデータベースパスワードを使用します。パスワードはインストールの直後およびその後 (最低でも) 180 日ごとに変更する必要があります。変更を行なったら、パスワードはオフラインの安全な場所に保管し、必要に応じて Oracle サポート用に使用できるようにする必要があります。
アクセスルールは、分散アーカイブシステム内で特定のユーザーまたはシステムが実行できる操作を制限するために作成できます。アクセスルールは次のいずれかの方法で実行できます。
ClientAdapter /MultiDiva モード - 実行可能な DIVAnet 要求のタイプを制限します。
ManagerAdapter - (おそらくリモートシステムによって要求される) DIVAnet 要求を満たすために実行できる DIVArchive 要求のタイプを制限します。
アクセスルールは、DIVAnetUI または API ソケット接続から開始される (おそらく MAM または自動システムによって開始される) 要求に影響を与えることがあります。
DIVAnet 要求には、DIVAnet レベルまたは DIVArchive レベルのアクセスルールが実行される可能性があります。DIVAnet レベルでは、ClientAdapter は、要求が受信された場合に要求を処理します。DIVArchive レベルでは、リモート ManagerAdapter は DIVAnet 要求を満たすために発行された DIVArchive 要求を処理します。
アプリケーション要件を満たすもっとも制限の厳しいルールセットを作成することをお勧めします。たとえば、管理者だけがグローバル削除を実行する必要がある場合、ほかのユーザーはその機能へのアクセスを拒否されるようにします。あるシステムユーザーのグループが、ソースおよび接続先の有限リストへのアクセスのみを必要とする場合は、これらのユーザーがそれらの特定のソースおよび接続先に対してのみ要求を発行できるようにします。
要求を満たすために使用されるサイトも考慮します。たとえば、ローカルサイトのユーザーが、ソースサイトもターゲットサイトもローカルサイトでなく、コピーを実行する理由を持たない場合 (DIVAnet を使用すれば可能)、これらのルールを ClientAdapter 構成に構成します。
最後に、要求内で全般的に除外する特定の構文について考慮します。たとえば、オブジェクト名のみ持つ (カテゴリのない) オブジェクトに対処する必要がない場合は、カテゴリがブランクのすべての要求を除外します。
さらに、個々の ClientAdapter WorkflowProfile には、WorkflowProfile に割り当てられている要求によって処理できる有効なメッセージのリストが含まれています。MultiDiva モードでは、これによって特定のメッセージ (情報メッセージを含む) を処理から除外するための方法が提供されます。
独自のアクセスルールを定義しない場合でも、AccessRules.xml.ini ファイルで定義されたデフォルトルールで始めることをお勧めします。DIVAnet アクセス制御機能について詳しくは、次の場所にある『Oracle DIVAnet ガイド』を参照してください。
SSL/TLS の構成DIVAnet では証明書データを 2 つの場所に保管します。非公開キーストアは、ローカルシステム上でホストされている Web サービス用に使用され、公開キーストアは、リモートで呼び出される Web サービスを検証するために使用されます。Java Keytool ユーティリティー を使用して、キーストアパスワードを変更し、証明書を追加および削除できます。
キーストアの作成に関する詳細情報については、次を参照してください。
http://docs.oracle.com/javase/8/docs/technotes/guides/security/jsse/JSSERefGuide.html#CreateKeystore
DIVAnet Web サービス接続のみが SSL/TLS を使用します。このリリースでは、DIVArchive API ソケット接続を使用する DIVArchive または DIVAnet への接続では、SSL/TLS は使用されません。
DIVAnet 非公開鍵証明書データは次の場所に保管されています。
$DIVANET_HOME\Program\divanet\lib\diva129.jks
このキーストアには、正確に 1 つの証明書が出現する必要があります。この証明書は、この $DIVANET_HOME ディレクトリから実行されているサービスによってホストされる Web サービスのために使用されます。出荷時に提供された証明書を新しい証明書に置き換えることと、ネットワーク内の DIVAnet サイトごとに別の証明書を使用することをお勧めします。
このキーストアのパスワードを変更する必要があります。パスワード情報を、$DIVANET_HOME\Program\divanet\lib\diva129.properties という名前の新しいファイルに格納し、このファイルを DIVAnet サービスから読み取り可能にし、システムの一時的ユーザーからは読み取り不能にします。ファイルには、次の書式を使用します。
keystorePassword=[newpassword]
このデータはトラストストアと呼ばれることもあり、次の場所にあります。
$DIVANET_HOME\Java\lib\security\cacerts2
この証明書データは、アウトバウンド Web サービス呼び出し (DIVAnetUI を含む) で使用されます。このキーストアには複数の公開鍵をロードできます。
新しい自己署名付き証明書を DIVAnet 非公開キーストアに追加した場合は、keytool ユーティリティーを使用して証明書をエクスポートします。このサイトで WebServices を起動するすべてのアプリケーション (DIVAnet サービス、DIVAnetUI など) は、エクスポートされた証明書を独自の公開キーストアに追加するべきです。