セキュリティー強化機能の使用可能化およびマイグレーションに関する考慮事項
このリリースの WebSphere® Application Server では、サーバーのセキュリティー強化機能がさらに豊富になり、デフォルトで使用できるようになっています。マイグレーション時には、マイグレーション前に有効だった設定が保持されます。ただし、マイグレーション後に機能が使用可能になっていない場合は、自分で使用可能にする必要があります。
WebSphere Application Server の構成がデフォルトで保護されるように設定するために、WebSphere Application Server バージョン 8.0 で、次のデフォルトが新しいセキュリティー強化機能の一部として変更されました。
- Secure Sockets Layer (SSL) の使用可能化 - デフォルトでは Common Secure Interoperability (CSIv2) トランスポート 2 で必要とされます。
CSIv2 トランスポート層に対して、TCP/IP 接続のための「TCP/IP」、TCP/IP または SSL 接続のための「SSL サポート」、および SSL 接続のみのための「SSL 必須」の設定が存在します。「SSL 必須」は、WebSphere Application Server のこのリリースではデフォルトです。デフォルト設定として「SSL 必須」に切り替えると、サーバーとの間のすべての CSIv2 接続が、セキュア SSL 接続を使用するようになります。
- LTPA Cookie での HttpOnly 属性のデフォルトでの使用可能化
com.ibm.ws.security.addHttpOnlyAttributeToCookies カスタム・プロパティーが true にセットされている場合、サーバーにより作成されたセキュリティー Cookie (LTPA および WASReqURL Cookie) に HttpOnly 属性が追加されます。HttpOnly 属性は、ブラウザー属性であり、クライアント・サイド・アプリケーション (Java™ スクリプトなど) が Cookie にアクセスできないようにして、クロスサイト・スクリプティングのぜい弱性から保護するために作成されました。この属性は、管理コンソールで構成可能です。WebSphere Application Server バージョン 8.0 より前は、 com.ibm.ws.security.addHttpOnlyAttributeToCookies カスタム・プロパティーのデフォルトは false でした。WebSphere Application Server Version 8.0 では、デフォルトは現在は LTPA Cookie とセッション Cookie のいずれでも true です。
詳しくは、「セキュリティー・カスタム・プロパティー」のカスタム・プロパティー com.ibm.ws.security.addHttpOnlyAttributeToCookies に関する記事を参照してください。
- デフォルトでのセッション・セキュリティー統合の使用可能化
保護ページで作成されるセッションには、認証済みユーザーのみがアクセスできます。セッション管理機能は、セキュリティー・インフラストラクチャーを使用して、クライアント HTTP 要求と関連付けられた認証済み ID を判別し、セッションの検索または作成のいずれかを行います。セッション・セキュリティーについて詳しくは、セッション・セキュリティーのサポート記事を参照してください。
セッション・セキュリティー統合を使用可能にするとともに、クレデンシャルのパーシスタンスも使用可能になります。これにより、無保護の Web クライアントにもログイン情報が使用可能になり、ユーザー情報への追加アクセスが可能になります。クレデンシャルのパーシスタンスについて詳しくは、Web 認証設定の記事内の「無保護の URI へのアクセス時に使用可能な認証データを使用する」セクションを参照してください。
マイグレーション後の新しいセキュリティー強化機能の使用可能化
マイグレーション後に新しいセキュリティー機能が使用可能になっていない場合は、管理コンソールまたはスクリプトを使用してユーザー自身で使用可能にすることができます。
- CSIv2 におけるデフォルトでの SSL の使用可能化
- CSIv2 でインバウンドおよびアウトバウンドのトランスポートで SSL をデフォルトで使用可能にするには、次のようにします。
管理コンソールを使用している場合、「SSL 必須」を選択して、「適用」をクリックします。
をクリックします。トランスポート・ボックスで、プルダウン・リストからCSIv2 アウトバウンド通信についても同様のステップを繰り返して、「SSL 必須」を選択して、「適用」をクリックします。
をクリックします。「トランスポート」ボックスで、メニュー・リストからスクリプトを使用して、CSIv2 でインバウンドおよびアウトバウンドのトランスポートに対して SSL をデフォルトで使用可能にするには、configureCSIInbound コマンドおよび configureCSIOutbound コマンドを使用します。詳しくは、 スクリプトを使用した Common Secure Interoperability 認証の構成に関するトピックを参照してください。
クライアント・サイドで、sas.client.props ファイルを編集します。 com.ibm.CSI.performTransportAssocSSLTLSRequired を true に変更し、com.ibm.CSI.performTransportAssocSSLTLSSupported を false に変更します。
- HttpOnly Cookie 属性の使用可能化
- Cookie で HttpOnly 属性をデフォルトで使用可能にするには、次のようにします。
管理コンソールを使用している場合は、 「新規」をクリックして、「名前」に com.ibm.ws.security.addHttpOnlyAttributeToCookies と入力し、「値」に true と入力します。
をクリックします。HttpOnly 属性を使用可能にすることもできます。「クロスサイト・スクリプティング・アタックから防御するためにセキュリティー Cookie を HTTPOnly として設定 (Set security cookies to HTTPOnly to help prevent cross-site scripting attacks)」をクリックしてから「適用」をクリックします。
をクリックし、管理コンソールを使用してスクリプトを使用して Cookie の HttpOnly 属性をデフォルトで使用可能にするには、setAdminActiveSecuritySettings コマンドを使用します。
- セッション・セキュリティー統合の使用可能化
- 管理コンソールを使用して各サーバーのセッション・セキュリティー統合を使用可能にするには、「セキュリティー統合」チェック・ボックスを選択します。
管理コンソールからクレデンシャルのパーシスタンスを使用可能にするには、 「無保護の URI へのアクセス時に使用可能な認証データを使用する」チェック・ボックスを選択します。
をクリックします。
をクリックします。
セキュリティー強化機能の使用可能化に関するトラブルシューティング
新しいセキュリティー強化機能が使用可能になっている場合、以前使用していた環境によっては、システム動作に違いがある場合があります。
例えば、CSIv2 のトランスポートが前のデフォルトの SSL サポートに設定された環境を使用していた場合は、SSL サポートは TCP/IP および SSL 接続の両方と通信するため、違いは生じません。 ただし、問題が発生した場合は、クライアントとサーバーの間の通信を可能にする証明書が正しく交換されていない可能性があります。 詳しくは、「 Secure Sockets Layer (SSL) を使用したセキュア通信」のトピックを参照してください。
CSIv2 への接続に TCP/IP が使用される環境で作業していた場合、SSL 対応の CSIv2 接続で接続の問題が発生する可能性があります。サーバー構成を「SSL サポート」に変更するか、SSL が必要ない場合は「TCP/IP」に変更することができます。
HttpOnly 属性では、属性がセキュリティー Cookie に追加されると、ブラウザーでクライアント・サイド・スクリプトがこれらの Cookie にアクセスできません。大半の場合、クロスサイト・スクリプティングのぜい弱性を最小化するデフォルトの動作があります。クライアント・サイドのスクリプトに WebSphere セキュリティー Cookie へのアクセスを必ず許可する必要があり、起こりうる結果を認識している場合は、HttpOnly 属性の設定を使用不可にすることができます。
ただし、HttpOnly 属性で WebSphere Cookie にアクセスするために使用されるクライアント・サイドのスクリプトが表示される可能性があり、このことが意図されていない場合でも、それらを使用することができます。これが発生した場合は、WebSphere Cookie にアクセスするスクリプトを使用可能にする Web アプリケーションを評価する必要があります。
セッション・セキュリティー統合の使用可能化では、セッション統合セキュリティーが使用可能になっていると、現在セッションを所有する ID ではない他の認証済み ID に属するセッションにアクセスする場合、サーブレットで UnauthorizedSessionRequestException 例外を受け取る可能性があります。このチェックが発生しないようにするために、問題が発生しているサーバーからセッション・セキュリティーを使用不可にすることができます。