WebSphere Application Server セキュリティー標準構成

WebSphere® Application Server は、政府によって要求されるセキュリティー要件を満たすために一般的に使用される各種セキュリティー標準と連携するように構成できます。

注: WebSphere Application Server には、Java™ Secure Socket Extension (JSSE) および Java Cryptography Extension (JCE) を含む暗号モジュールが組み込まれています。 標準の要件のほとんどは JSSE および JCE で処理され、政府の標準を満たすために認証プロセスを受ける必要があります。WebSphere Application Server は、特定の標準に対して JSSE および JCE が使用可能にされて実行するように構成する必要があり、現在、 FIPS 140-2、SP800-131、および Suite B の各セキュリティー標準をサポートしています。
  • FIPS 140-2 は、暗号モジュールの要件を規定した連邦情報処理標準 (FIPS) です。多くのユーザーはこのレベルを使用するように構成できますが、より新しい SP800-131 または Suite B 標準に移行する必要が生じる場合もあります。

    140-2 標準について詳しくは、米国連邦情報・技術局の Web サイトを参照してください。

    FIPS 140-2 を構成するには、トピック『連邦情報処理標準 (FIPS) Java セキュア・ソケット拡張機能ファイルの構成』を参照してください。

  • SP800-131 は、米国連邦情報・技術局 (NIST) が起案した要件であり、より長い鍵の長さおよびより強力な暗号化が要求されます。この仕様では、ユーザーが SP800-131 の厳格な (strict) 適用に移行できるようにする移行用 (transition) 構成も用意されています。移行用構成では、ユーザーは、FIPS140-2 と SP800-131 の両方の設定を混合して実行することもできます。SP800-131 は、2 つのモード transitionstrict で実行できます。
    WebSphere Application Server での SP800-131 要件の厳格な適用には、以下が含まれます。
    • Secure Sockets Layer (SSL) コンテキストでの TLSv1.2 プロトコルの使用。
    • 証明書の鍵長が 2048 ビット以上でなければならない。楕円曲線 (EC) 証明書では、244 ビット以上の曲線が必要です。
    • 証明書は、署名アルゴリズム SHA256、SHA384、または SHA512 で署名する必要があります。有効な署名アルゴリズムとしては、以下のものがあります。
      • SHA256withRSA
      • SHA384withRSA
      • SHA512withRSA
      • SHA256withECDSA
      • SHA384withECDSA
      • SHA512withECDSA
    • SP800-131 承認暗号スイート

    SP800-131 標準について詳しくは、米国連邦情報・技術局の Web サイトを参照してください。

    WebSphere Application Server を SP800-131 strict 標準に移行する方法については、トピック『WebSphere Application Server の SP800-131 標準への移行 (Transitioning WebSphere Application Server to the SP800-131 security standard)』を参照してください。SP800-131 を構成する方法については、トピック『SP800-131 標準の strict モード用の WebSphere Application Server の構成 (Configuring WebSphere Application Server for SP800-131 standard strict mode)』を参照してください。

  • Suite B は、暗号の相互運用性戦略を規定するために米国家安全保障局 (NSA) が起案した要件です。この標準は、SP800-131 と似ていますが、より厳格な制限があります。 Suite B は 2 つのモード 128 ビットまたは 192 ビットで実行できます。制限付き ポリシー・ファイルは、128 ビット・モードの暗号化を規定し、デフォルトで適用されます。 192 ビット・モードを使用する場合は、192 ビット・モードで必要なより強力な暗号を使用できるように、無制限のポリシー・ファイルを JDK に適用する必要があります。

    次の表は、 制限付きポリシー・ファイルで IBMJCE および IBMJCECCA アルゴリズムに許容される最大の 鍵サイズのリストです。より強い暗号化を必要とするユーザーは 制限のないポリシー・ファイルを使用する必要があります。

    表 1. 制限付き ポリシー・ファイルの値
    アルゴリズム 最大鍵サイズ (ビット単位)
    DES 64
    DESede 96
    RC2 128
    RC4 128
    RC5 128
    RSA 2048
    その他のすべてのアルゴリズム 128

    制限のないポリシー・ファイルを適用するには、 WAS_HOME/java/J5.0/lib/security ディレクトリーから WAS_HOME/java/J5.0/demo/jce/policy-files/unrestricted ディレクトリーに US_export_policy.jar ファイルと local_policy.jar ファイルをコピーします。

    WebSphere Application Server での Suite B 要件には、以下のものがあります。
    • SSL コンテキストでの TLSv1.2 プロトコルの使用
    • Suite B 承認暗号スイート
    • 証明書:
      • 128 ビット・モードの証明書は、SHA256withECDSA で署名する必要があります。
      • 192 ビット・モードの証明書は、SHA384withECDSA で署名する必要があります。
    • 暗号:
      • SSL_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256
      • SSL_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384

    Suite B の構成については、トピック『Suite B セキュリティー標準用の WebSphere Application Server の構成 (Configuring WebSphere Application Server for the Suite B security standard)』を参照してください。

セキュリティー標準を使用可能にするために使用するプロパティー

IBM® Virtual Machine for Java (JVM) は、システム・プロパティーに基づいて特定のセキュリティー・モードで実行されます。 WebSphere Application Server は、セキュリティー構成設定に基づいて、これらのシステム・プロパティーを設定します。セキュリティー構成をセットアップするには、管理コンソールまたはスクリプト管理タスクを使用します。アプリケーションがこれらのプロパティーを直接設定した場合は、WebSphere Application Server の SSL 通信に影響することがあります。

表 2. セキュリティー標準を使用可能にするための JVM システム・プロパティー
セキュリティー標準 使用可能にするシステム・プロパティー 有効な値
FIPS 140-2 com.ibm.jsse2.usefipsprovider true または false
SP800-131 com.ibm.jsse2.sp800-131 transition または strict
Suite B com.ibm.jsse2.suiteB 128 または 192

WebSphere Application Server 構成は、これらのプロパティーが設定されている場合は、そのすべてを消去してから、セキュリティー構成で指定されているとおりにそれらのプロパティーを設定します。WebSphere Application Server は、セキュリティー構成に設定されているカスタム・プロパティーに基づいて、セキュリティー標準を使用可能にします。

セキュリティー標準を使用可能にするための WebSphere Application Server セキュリティー・カスタム・プロパティー

表 3. セキュリティー標準を使用可能にするための WebSphere Application Server セキュリティー・カスタム・プロパティー
セキュリティー標準 セキュリティー・カスタム・プロパティー JVM システム・プロパティー
FIPS 140-2

com.ibm.security.useFips=true
com.ibm.websphere.security.FIPSLevel=FIPS140-2

com.ibm.jsse2.usefipsprovider=true
SP800-131- transition

com.ibm.security.useFips=true
com.ibm.websphere.security.FIPSLevel=transition

com.ibm.jsse2.sp800-131=transition
SP800-131 – strict

com.ibm.security.useFips=true
com.ibm.websphere.security.FIPSLevel=SP800-131

com.ibm.jsse2.sp800-131=strict
Suite B 128

com.ibm.security.useFips=true
com.ibm.websphere.security.suiteB=128

com.ibm.jsse2.suiteB=128
Suite B 192

com.ibm.security.useFips=true
com.ibm.websphere.security.suiteB=192

com.ibm.jsse2.suiteB=192

トピックのタイプを示すアイコン 概念トピック



タイム・スタンプ・アイコン 最終更新: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=csec_security_standards
ファイル名:csec_security_standards.html