1. 管理ガイド
  2. Oracle APEX管理サービス
  3. セキュリティの構成
  4. HTTPプロトコルの属性の構成

3.4.2 HTTPプロトコルの属性の構成

Oracle APEXインスタンスおよびすべての関連アプリケーションのHTTPSの必要性を判断します。

ノート:

「HTTPSが必要」に設定すると、APEXがHTTPプロトコルではアクセスできなくなります。この設定を有効にする前に、サーバーでHTTPSが有効であり正しく構成されていることを必ず確認してください。

  • SSLの概要
    Secure Sockets Layer (SSL)は、インターネット上で転送されるデータのセキュリティを管理するためのプロトコルです。SSLは、HTTPSプロトコルを使用してWebアプリケーションに実装されます。機密データが暗号化されていない(クリアテキストの)通信チャネルに送信されないように、SSL (HTTPSプロトコル)を使用してAPEXアプリケーションを実行することをお薦めします。
  • HTTPSの必要性
    「HTTPSが必要」属性および「アウトバウンドHTTPSが必要」属性を構成することで、APEXインスタンスとすべての関連アプリケーションでHTTPSを必要とするように構成します。
  • 「HTTPSが必要」の無効化
    「HTTPSが必要」が有効になっている場合、インスタンス管理者は次のSQL文を実行して無効にできます。
  • 「アウトバウンドHTTPSが必要」の無効化
    「アウトバウンドHTTPSが必要」が有効になっている場合、インスタンス管理者は次のSQL文を実行して無効にできます。
  • 追加のレスポンス・ヘッダーの構成
    すべてのアプリケーションのリクエストごとにAPEXが送信する追加のHTTPレスポンス・ヘッダーを入力します。

親トピック: セキュリティの構成

3.4.2.1 SSLの概要

Secure Sockets Layer(SSL)は、インターネット上に転送されるデータのセキュリティを管理するためのプロトコルです。SSLは、HTTPSプロトコルを使用してWebアプリケーションに実装されます。機密データが暗号化されていない(クリアテキストの)通信チャネルに送信されないように、SSL (HTTPSプロトコル)を使用してAPEXアプリケーションを実行することをお薦めします。

親トピック: HTTPプロトコルの属性の構成

3.4.2.2 HTTPSの必要性

「HTTPSが必要」属性および「アウトバウンドHTTPSが必要」属性を構成することで、APEXインスタンスとすべての関連アプリケーションでHTTPSを必要とするように構成します。

重要:

「HTTPSが必要」を有効にすると、APEXがHTTPプロトコルではアクセスできなくなります。この設定を有効にする前に、サーバーでHTTPSが有効であり正しく構成されていることを必ず確認してください。

APEXでHTTPSを必須にするには:

  1. APEX管理サービスにサインインします。
  2. 「インスタンスの管理」をクリックします。
  3. 「インスタンスの設定」で、「セキュリティ」をクリックします。
  4. 「HTTPプロトコル」で、次のように構成します。
    1. HTTPSが必要:

      • 常時 - すべてのアプリケーション(APEX開発および管理アプリケーションを含む)にHTTPSを要求するように強制します。

        「常時」に設定されている場合には、「Strict-Transport-Security最大有効期間」属性が表示されます。このフィールドを使用して、ブラウザがHTTPSのみでサーバーにアクセスしなければならない期間を秒単位で指定します。さらに学習するには、フィールドレベル・ヘルプを参照してください。

      • 開発および管理 - APEX内のすべての内部アプリケーション(つまり、アプリケーション・ビルダー、SQLワークショップ、管理サービスなど)にHTTPSを要求するように強制します。

      • アプリケーション固有 - HTTPSをアプリケーション・レベル設定依存にします。

    2. アウトバウンドHTTPSが必要 - 「はい」を選択すると、APEXインスタンスからのすべてのアウトバウンド・トラフィックでHTTPSプロトコルの使用が必須になります。
    3. HTTPレスポンス・ヘッダー - すべてのアプリケーションのリクエストごとにAPEXが送信する追加のHTTPレスポンス・ヘッダーを入力します。開発者は、アプリケーションレベルで追加のヘッダーを指定できます。各ヘッダーは、改行で始まる必要があります。各ヘッダーのサポートは、ブラウザによって異なります。さらに学習するには、フィールドレベル・ヘルプを参照してください。
  5. 「変更の適用」をクリックします。

親トピック: HTTPプロトコルの属性の構成

3.4.2.3 「HTTPSが必要」の無効化

「HTTPSが必要」が有効になっている場合、インスタンス管理者は次のSQL文を実行して無効にできます。

「HTTPSが必要」を無効化するには:

  1. 現行スキーマとしてAPEXエンジン・スキーマを使用してSQL*PlusまたはSQL Developerに接続します。次の例を示します。

    • Windowsの場合:

      SYSTEM_DRIVE:\ sqlplus /nolog
SQL> CONNECT SYS as SYSDBA
Enter password: SYS_password

    • UNIXおよびLinuxの場合:

      $ sqlplus /nolog
SQL> CONNECT SYS as SYSDBA
Enter password: SYS_password
  2. 次の文を実行します。
    ALTER SESSION SET CURRENT_SCHEMA = APEX_220200;
  3. 次の文を実行します。
    BEGIN
    APEX_INSTANCE_ADMIN.SET_PARAMETER('REQUIRE_HTTPS', 'N');
    commit;
end;
/

親トピック: HTTPプロトコルの属性の構成

3.4.2.4 アウトバウンドHTTPS要件の無効化

「アウトバウンドHTTPSが必要」が有効になっている場合、インスタンス管理者は次のSQL文を実行して無効にできます。

「アウトバウンドHTTPSが必要」を無効化するには:

  1. 現行スキーマとしてAPEXエンジン・スキーマを使用してSQL*PlusまたはSQL Developerに接続します。次の例を示します。

    • Windowsの場合:

      SYSTEM_DRIVE:\ sqlplus /nolog
SQL> CONNECT SYS as SYSDBA
Enter password: SYS_password

    • UNIXおよびLinuxの場合:

      $ sqlplus /nolog
SQL> CONNECT SYS as SYSDBA
Enter password: SYS_password
  2. 次の文を実行します。
    ALTER SESSION SET CURRENT_SCHEMA = APEX_220200;
  3. 次の文を実行します。
    BEGIN
    APEX_INSTANCE_ADMIN.SET_PARAMETER('REQUIRE_OUT_HTTPS', 'N');
    commit;
end;
/

親トピック: HTTPプロトコルの属性の構成

3.4.2.5 追加のレスポンス・ヘッダーの構成

すべてのアプリケーションのリクエストごとにAPEXが送信する追加のHTTPレスポンス・ヘッダーを入力します。

追加のレスポンス・ヘッダーを構成するには:

  1. APEX管理サービスにサインインします。
  2. 「インスタンスの管理」をクリックします。
  3. 「インスタンスの設定」で、「セキュリティ」をクリックします。
  4. 「HTTPプロトコル」に移動します。
  5. HTTPレスポンス・ヘッダーで、すべてのアプリケーションのリクエストごとにAPEXが送信する追加のHTTPレスポンス・ヘッダーを入力します。

    開発者は、アプリケーションレベルで追加のヘッダーを指定できます。各ヘッダーは、改行で始まる必要があります。各ヘッダーのサポートは、ブラウザによって異なります。

    重要なセキュリティ関連ヘッダーの1つとして、Content-Security-Policyがあります。このヘッダーを送信すると、クロスサイトスクリプティング(XSS)および関連する攻撃のリスクを大幅に削減できます。さらに学習するには、フィールドレベル・ヘルプを参照してください。

  6. 「変更の適用」をクリックします。

親トピック: HTTPプロトコルの属性の構成