2 環境の理解と保護

WebLogic Server環境に対して策定するセキュリティ要件は、WebLogic Serverでホストされる保護を必要とするリソースのタイプ、それらのリソースにアクセスするユーザーおよびその他のエンティティ、Oracleからの推奨事項、社内または独立セキュリティ・コンサルタントなどの複数の考慮事項に基づいています。

この章には次の項が含まれます:

• 環境の理解

• セキュリティ・コンサルタントの採用または診断ソフトウェアの使用

• セキュリティ関連の公開資料の参照

• ホスト環境の保護

• データベースの保護

環境の理解

WebLogic Server環境には、WebLogic Serverでホストされているリソースだけでなく、それらのWebLogic Serverリソースと連携するソフトウェア・システムおよびその他のエンティティ(データベース、ロード・バランサおよびその環境にアクセスするユーザーなど)も含まれます。

セキュリティ・ニーズについての理解を深めるために、次の質問の回答を検討してください。

• 保護しているのはどのリソースですか。

  本番環境には、WebLogic Serverがアクセスするデータベースの情報、およびWebサイトの可用性、パフォーマンス、アプリケーション、整合性など、保護の対象となるリソースが多数あります。提供する必要のあるセキュリティ・レベルを決定する際に、保護するリソースを考慮します。

• リソースを誰から保護していますか。

  多くのWebサイトでは、インターネット上のすべてのユーザーからリソースを保護する必要があります。しかし、社内のイントラネット上の従業員からWebサイトを保護する必要があるでしょうか。従業員がWebLogic Server環境内のすべてのリソースにアクセスできるようにするべきでしょうか。また、システム管理者はすべてのWebLogicリソースに対するアクセス権を持つべきでしょうか。さらにシステム管理者がすべてのデータにアクセスできるようにするべきでしょうか。極秘データまたは戦略上重要なリソースへのアクセス権は、少数の信頼性のあるシステム管理者にのみ付与することを考慮した方がよい場合もあります。一般的には、システム管理者には、このようなデータまたはリソースへのアクセスを許可しないことをお薦めします。

• 戦略上重要なリソースの保護に失敗したらどうなりますか。

  セキュリティ計画の欠陥が簡単に検出され、不都合が生じることがあります。また、欠陥によって、そのWebサイトを使用する企業または個人クライアントに大きな被害を与える場合もあります。各リソースのセキュリティの影響を理解することは、セキュリティを適切に保護するうえで役立ちます。

セキュリティ・コンサルタントの採用または診断ソフトウェアの使用

インターネットまたはイントラネットのどちらにWebLogic Serverをデプロイする場合でも、セキュリティ計画および手順の検討、インストールされたシステムの監査、改良点の提案を、第三者にあたるセキュリティ・エキスパートに依頼することをお薦めします。

Oracle Consultingでは、WebLogic Serverの本番環境の保護に役立つサービスおよび製品を提供しています。https://www.oracle.com/consulting/index.htmlでOracle Consultingのページを参照してください。

セキュリティ関連の公開資料の参照

WebLogic Serverの運用環境のセキュリティを保持するために、My Oracle Supportで入手可能な資料など、セキュリティに関する最新の公開資料を参照しておいてください。

セキュリティ問題に関する資料を参照してください。

• My Oracle SupportにWebLogic Serverインストールを登録します。登録すると、Oracle Supportからのインストール固有のセキュリティ更新を直ちに受信できます。(http://www.oracle.com/support/index.html)を参照してMy Oracle Supportのアカウントを作成できます。

• セキュリティ勧告については、次の場所にある、クリティカル・パッチ・アップデート、セキュリティ・アラートおよび掲示板に関するページを参照してください。

  https://www.oracle.com/security-alerts/

• Webアプリケーションを開発する際、OWASPの「Top Ten Web Application Security Risks」(https://owasp.org/www-project-top-ten/)に示されるリスクを最小限に抑えるようにしてください。

ホスト環境の保護

WebLogic Server本番環境のセキュリティは、その環境が稼働しているマシンのセキュリティと同程度でしかありません。 物理的なマシン、オペレーティング・システム、ホスト・マシンにインストールされているその他すべてのソフトウェアなど、WebLogic Serverが実行されているホストを保護することが重要です。

次の表に、WebLogic Serverホスト環境を保護するための推奨事項を示します。マシンやオペレーティング・システムのメーカーが推奨しているセキュリティ対策も確認してください。WebLogic Serverの保護の詳細は、「WebLogic Serverのロック・ダウン」を参照してください。

表2-1 WebLogic Serverホスト環境の保護

セキュリティ・アクション	説明
ハードウェアを物理的に保護します。	権限のないオペレーティング・システムのユーザーが、デプロイメント・マシンまたはそのネットワーク接続を変更できないように、ハードウェアを安全な場所に置きます。
オペレーティング・システムが提供するネットワーク・サービスを保護します。	悪意のある攻撃者がオペレーティング・システムにアクセスしたり、システム・レベルのコマンドを実行したりできないように、電子メール・プログラムまたはディレクトリ・サービスなどのネットワーク・サービスについて専門家に確認してもらいます。使用するオペレーティング・システムによって方法は異なります。 ファイル・システムを企業ネットワーク内の他のマシンと共有する場合、そのファイル・システムはリモート攻撃される危険性があります。WebLogic Serverをホストするマシンのファイル・システムを共有する前に、リモート・マシンとネットワークがセキュアであるかどうかを確認してください。 各WebLogic Serverホスト上のファイル・システムで、保護されているリソースへの不正なアクセスができないようになっていることを確認します。たとえば、Windowsコンピュータでは、NTFSのみを使用します。
ホスト・マシンのユーザー・アカウント数を制限します。	WebLogic Serverホスト・マシンに必要な数を超えるユーザー・アカウントを作成するのは避け、各アカウントに付与されるファイル・アクセス権限を制限します。複数のシステム管理者ユーザーを許可するオペレーティング・システムでは、システム管理者権限を持つユーザー・アカウント2つと、WebLogic Serverの実行に十分な権限を持つユーザー1つがホスト・マシンに必要です。システム管理者ユーザーが2つあれば、常にバックアップを確保できます。WebLogic Serverのユーザーは、システム管理者ユーザーではなく制限付きユーザーであることが必要です。いずれかのシステム管理者ユーザーが、必要に応じて新しいWebLogic Serverユーザーをいつでも作成できます。 アクティブなユーザー・アカウントを定期的に再検討します。退職者があった場合にも見直します。 背景情報: WebLogic Server構成データの一部とJava Server Pages (JSP)およびHTMLページなどのURL (Web)リソースの一部は、ファイル・システム上にクリア・テキストで保存されます。ファイルおよびディレクトリへの読込みアクセス権を持つユーザーまたは侵入者が、WebLogic Serverの認証計画および認可計画で確立するセキュリティ・メカニズムを破る可能性があります。
各ホスト・コンピュータで、(アクセスの権限を持つ2つのシステム管理者ユーザーの他に)1つのオペレーティング・システム(OS)ユーザー・アカウントにのみWebLogicリソースへのアクセス権を付与します。	重要: WebLogicドメインおよびサーバーの構成ファイルには、WebLogicサーバーを構成または実行するオペレーティング・システム・ユーザーしかアクセスできないようにする必要があります。他のオペレーティング・システム・ユーザー(システム管理者以外)には、WebLogic Serverの製品ファイルおよびドメイン・ファイルの読取り、書込み、実行のためのアクセス権を付与しないでください。 「WebLogicリソースへのアクセスを単一のユーザー・アカウントに制限する権限の設定」を参照してください
本番マシンで開発しないようにします。	まず開発マシンで開発し、開発が終わりテストが終了したら、コードを本番マシンに移行します。これにより、開発環境でのバグが、本番環境のセキュリティに影響を及ぼすことを防止できます。
開発ソフトウェアまたはサンプル・ソフトウェアを本番マシンにインストールしないようにします。	本番マシンに開発ツールをインストールしません。開発ツールを本番マシンにインストールしないことにより、侵入者がWebLogic Server本番マシンに部分的にアクセスできたとしても、影響を減らすことができます。
root.としてWebサーバーを実行しないようにします。	Unixシステム上のWebサーバー(Apache HTTP Server、Microsoft IIS、Oracle iPlanet Web Serverなど)を実行する場合は、次のことを確認してください。 Webサーバーは、rootとしてではなく、権限のないユーザーとしてのみ実行します。 Webサーバーが配置されるディレクトリの構造(すべてのファイルを含む)は、権限のないユーザーによるアクセスから保護される必要があります。 これらのステップにより、権限のないユーザーは、Webサーバーによって実行可能なコードにコードを挿入することができないことを確認できます。
セキュリティ監査を有効にします。	WebLogic Serverが動作するオペレーティング・システムが、ファイルおよびディレクトリ・アクセスのセキュリティ監査をサポートする場合は、監査ログを使用して、拒否されたディレクトリまたはファイル・アクセス違反をトラッキングすることを推奨します。管理者は、監査ログ用に十分なディスク領域を確保する必要があります。
オペレーティング・システムを保護する追加ソフトウェアの使用を検討します。	多くのオペレーティング・システムでは、本番環境を保護するために、追加ソフトウェアを実行することができます。たとえば、侵入検知システム(Intrusion Detection System: IDS)を使用すると、本番環境を変更しようとしたときに検出できます。 使用可能なソフトウェアの情報については、使用しているオペレーティング・システムのベンダーに問い合せます。
オペレーティング・システムのパッチ・セットおよびセキュリティ・パッチを適用します。	推奨されているパッチ・セットおよびセキュリティ関連のパッチのリストについては、オペレーティング・システムのベンダーに問い合せます。

データベースの保護

多くのWebアプリケーションでは、データの格納にデータベースが使用されます。WebLogic Serverと組み合せて使用されるデータベースとしては、Oracle、Microsoft SQL Server、IBM DB2およびMySQLが一般的です。

これらのデータベースには、顧客リスト、顧客の連絡先情報、クレジット・カード情報、およびその他の顧客データなど、Webアプリケーションの重要なデータが保存されることがよくあります。Webアプリケーションを作成するときは、どのデータをデータベースに保存し、そのデータを作成するためにどのようなセキュリティが必要なのかを考慮する必要があります。また、データベース・メーカーが提供するセキュリティ・メカニズムを理解し、それがセキュリティ・ニーズを満たすうえで十分かどうかを判断する必要があります。提供されたセキュリティ・メカニズムで不十分な場合は、重要なデータをデータベースに書き込む前に暗号化するなど、その他のセキュリティ技術を使用して、データベースのセキュリティを改善することができます。たとえば、クレジット・カード情報は暗号化し、それ以外のすべての顧客データはプレーン・テキスト形式でデータベースに保存します。