WebSphere Application Server セキュリティー標準構成
WebSphere® Application Server は、政府によって要求されるセキュリティー要件を満たすために一般的に使用される各種セキュリティー標準と連携するように構成できます。
- FIPS 140-2 は、暗号モジュールの要件を規定した連邦情報処理標準 (FIPS) です。多くのユーザーはこのレベルを使用するように構成できますが、より新しい SP800-131 または Suite B 標準に移行する必要が生じる場合もあります。
140-2 標準について詳しくは、米国連邦情報・技術局の Web サイトを参照してください。
FIPS 140-2 を構成するには、トピック『連邦情報処理標準 (FIPS) Java セキュア・ソケット拡張機能ファイルの構成』を参照してください。
- SP800-131 は、米国連邦情報・技術局 (NIST) が起案した要件であり、より長い鍵の長さおよびより強力な暗号化が要求されます。この仕様では、ユーザーが SP800-131 の厳格な (strict) 適用に移行できるようにする移行用 (transition) 構成も用意されています。移行用構成では、ユーザーは、FIPS140-2 と SP800-131 の両方の設定を混合して実行することもできます。SP800-131 は、2 つのモード transition と strict で実行できます。WebSphere Application Server での SP800-131 要件の厳格な適用には、以下が含まれます。
- Secure Sockets Layer (SSL) コンテキストでの TLSv1.2 プロトコルの使用。
- 証明書の鍵長が 2048 ビット以上でなければならない。楕円曲線 (EC) 証明書では、244 ビット以上の曲線が必要です。
- 証明書は、署名アルゴリズム SHA256、SHA384、または SHA512 で署名する必要があります。有効な署名アルゴリズムとしては、以下のものがあります。
- SHA256withRSA
- SHA384withRSA
- SHA512withRSA
- SHA256withECDSA
- SHA384withECDSA
- SHA512withECDSA
- SP800-131 承認暗号スイート
SP800-131 標準について詳しくは、米国連邦情報・技術局の Web サイトを参照してください。
WebSphere Application Server を SP800-131 strict 標準に移行する方法については、トピック『WebSphere Application Server の SP800-131 標準への移行 (Transitioning WebSphere Application Server to the SP800-131 security standard)』を参照してください。SP800-131 を構成する方法については、トピック『SP800-131 標準の strict モード用の WebSphere Application Server の構成 (Configuring WebSphere Application Server for SP800-131 standard strict mode)』を参照してください。
- Suite B は、暗号の相互運用性戦略を規定するために米国家安全保障局 (NSA) が起案した要件です。この標準は、SP800-131 と似ていますが、より厳格な制限があります。
Suite B は 2 つのモード 128 ビットまたは 192 ビットで実行できます。制限付き
ポリシー・ファイルは、128 ビット・モードの暗号化を規定し、デフォルトで適用されます。
192 ビット・モードを使用する場合は、192 ビット・モードで必要なより強力な暗号を使用できるように、無制限のポリシー・ファイルを JDK に適用する必要があります。
次の表は、 制限付きポリシー・ファイルで IBMJCE および IBMJCECCA アルゴリズムに許容される最大の 鍵サイズのリストです。より強い暗号化を必要とするユーザーは 制限のないポリシー・ファイルを使用する必要があります。
表 1. 制限付き ポリシー・ファイルの値 アルゴリズム 最大鍵サイズ (ビット単位) DES 64 DESede 96 RC2 128 RC4 128 RC5 128 RSA 2048 その他のすべてのアルゴリズム 128 制限のないポリシー・ファイルを適用するには、 WAS_HOME/java/J5.0/lib/security ディレクトリーから WAS_HOME/java/J5.0/demo/jce/policy-files/unrestricted ディレクトリーに US_export_policy.jar ファイルと local_policy.jar ファイルをコピーします。
WebSphere Application Server での Suite B 要件には、以下のものがあります。- SSL コンテキストでの TLSv1.2 プロトコルの使用
- Suite B 承認暗号スイート
- 証明書:
- 128 ビット・モードの証明書は、SHA256withECDSA で署名する必要があります。
- 192 ビット・モードの証明書は、SHA384withECDSA で署名する必要があります。
- 暗号:
- SSL_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256
- SSL_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384
Suite B の構成については、トピック『Suite B セキュリティー標準用の WebSphere Application Server の構成 (Configuring WebSphere Application Server for the Suite B security standard)』を参照してください。
セキュリティー標準を使用可能にするために使用するプロパティー
IBM® Virtual Machine for Java (JVM) は、システム・プロパティーに基づいて特定のセキュリティー・モードで実行されます。 WebSphere Application Server は、セキュリティー構成設定に基づいて、これらのシステム・プロパティーを設定します。セキュリティー構成をセットアップするには、管理コンソールまたはスクリプト管理タスクを使用します。アプリケーションがこれらのプロパティーを直接設定した場合は、WebSphere Application Server の SSL 通信に影響することがあります。
セキュリティー標準 | 使用可能にするシステム・プロパティー | 有効な値 |
---|---|---|
FIPS 140-2 | com.ibm.jsse2.usefipsprovider | true または false |
SP800-131 | com.ibm.jsse2.sp800-131 | transition または strict |
Suite B | com.ibm.jsse2.suiteB | 128 または 192 |
WebSphere Application Server 構成は、これらのプロパティーが設定されている場合は、そのすべてを消去してから、セキュリティー構成で指定されているとおりにそれらのプロパティーを設定します。WebSphere Application Server は、セキュリティー構成に設定されているカスタム・プロパティーに基づいて、セキュリティー標準を使用可能にします。
セキュリティー標準を使用可能にするための WebSphere Application Server セキュリティー・カスタム・プロパティー
セキュリティー標準 | セキュリティー・カスタム・プロパティー | JVM システム・プロパティー |
---|---|---|
FIPS 140-2 | com.ibm.security.useFips=true |
com.ibm.jsse2.usefipsprovider=true |
SP800-131- transition | com.ibm.security.useFips=true |
com.ibm.jsse2.sp800-131=transition |
SP800-131 – strict | com.ibm.security.useFips=true |
com.ibm.jsse2.sp800-131=strict |
Suite B 128 | com.ibm.security.useFips=true |
com.ibm.jsse2.suiteB=128 |
Suite B 192 | com.ibm.security.useFips=true |
com.ibm.jsse2.suiteB=192 |