セキュリティニーズの確認

ドキュメントのダウンロード

サイトマップ

Glossary

検索

e-docs > WebLogic Server > プロダクション環境のセキュリティ > セキュリティニーズの確認

プロダクション環境のセキュリティ

セキュリティニーズの確認

WebLogic Server および J2EE アプリケーションをプロダクション環境にデプロイする前に、以下の節で説明するように、セキュリティニーズを確認し、適切なセキュリティ対策が確実に行われるようにする必要があります。

環境の理解

セキュリティニーズを明確に把握するために、次の質問の回答を検討してください。

保護対象とするリソースはどれか

プロダクション環境には、WebLogic Server がアクセスするデータベース内の情報、Web サイトの可用性、パフォーマンス、および整合性を始めとして、保護可能な数多くのリソースがあります。セキュリティのレベルを決める際に、保護するリソースを十分検討します。
WebLogic サイトリソースを何から保護するのか

ほとんどの Web サイトリソースの場合は、インターネット上のすべてのユーザから保護しなければなりません。しかし、社内のイントラネット上で従業員から Web サイトを保護する必要がありますか。従業員が WebLogic Server 環境内のすべてのリソースにアクセスする必要がありますか。システム管理者がすべての WebLogic リソースにアクセスする必要がありますか。システム管理者はすべてのデータにアクセスできる必要がありますか。機密性の高いデータや重要なリソースへのアクセスは、十分に信頼できるごく一部のシステム管理者に限定した方がよい場合もあります。また、データやリソースには、システム管理者がアクセスできないようにする方がよい場合もあります。
重要なリソースの保護に失敗した場合に何が起こるか

場合によっては、セキュリティスキーマの欠点が簡単に見つけられても迷惑なだけということもあります。また、欠点が原因で、Web サイトを利用する会社や個人の顧客に大きな損害を与えることもあります。各リソースのセキュリティが失敗した場合の結果を理解しておくと、適切な保護のレベルを判断する参考になります。

セキュリティコンサルタントの採用または診断ソフトウェアの使用

インターネットまたはイントラネット上で WebLogic Server をデプロイする場合には、独立したセキュリティ専門家に依頼して、セキュリティプランと手順を検討してもらい、インストール済みシステムの監査を受け、改善点のアドバイスを受けるとよいでしょう。 WebLogic Server のプロダクション環境の保護に役立つ、BEA パートナ提供のサービスおよび製品もあります。 BEA パートナのページ (http://beasys.instantsoft.com/partners/catalog.shtml) を参照してください。

BEA パートナのページに加えて、BEA dev2dev の Web サイトには環境のセキュリティを評価するソフトウェアが用意されています。たとえば、PentaSafe VigilEnt Security Agent は、WebLogic Server アプリケーションの詳細なセキュリティ監査を提供し、コンフィグレーション、アクセス、および CGI-BIN の脆弱性をプロアクティブに識別します。アプリケーションを迅速に評価するには、30 日間無料の試用版を http://dev2dev.bea.com/resourcelibrary/utilitiestools/security.jsp からダウンロードしてください。

セキュリティ関連の公開資料の参照

セキュリティ問題に関する資料を参照してください。

Web サーバのセキュリティ対策の最新情報については、カーネギーメロン大学が運営する CERT Coordination Center が公開している「Security Improvement Modules, Security Practices, and Technical Implementations」をお勧めします。
BEA のセキュリティ勧告については、dev2dev Web サイト (http://dev2dev.bea.com/advisories) にある BEA の Advisories & Notifications ページを参照してください。このページでは、セキュリティ関連のパッチをダウンロードしたり、新しいセキュリティ勧告の通知を受けるよう登録したりできます。

BEA 製品に関するセキュリティ問題は、secalert@bea.com にご報告ください。