3.1 インストール前

LiveCycle をインストールする前には、ネットワーク層とオペレーティングシステムに対してセキュリティソリューションを適用することができます。この節では、いくつかの問題と、この領域におけるセキュリティの脆弱性を減らすための推奨事項について説明します。

UNIX および Linux へのインストールと設定

LiveCycle のインストール作業や設定作業を実行するときは、ルートシェルを使用しないでください。デフォルトでは、ファイルは /opt ディレクトリの下にインストールされるので、インストールを実行するユーザーには /opt 以下のすべてのファイルの権限が必要です。または、各ユーザーには /user ディレクトリに対するすべてのファイル権限があらかじめ付与されているので、/user ディレクトリにインストールを実行することもできます。

Windows へのインストールと設定

自動オプションインストールを使用して JBoss に LiveCycle をインストールする場合、または PDF Generator をインストールする場合、Windows へのインストールは管理者として実行する必要があります。また、PDF Generator をネイティブアプリケーションサポートと共に Windows にインストールする場合は、Microsoft Office をインストールしたのと同じ Windows ユーザーとしてインストールを実行する必要があります。インストールの権限について詳しくは、使用しているアプリケーションサーバー版の『LiveCycle のインストールおよびデプロイ』ドキュメントを参照してください。

    3.1.1 ネットワーク層のセキュリティ

    ネットワークセキュリティの脆弱性は、インターネットまたはイントラネットに接続しているすべてのアプリケーションサーバーにとって、最も重大な脅威の 1 つです。この節では、このような脆弱性に対してネットワーク上のホストを堅牢化する手順について説明します。具体的には、ネットワークのセグメント化、TCP/IP(Transmission Control Protocol/Internet Protocol)スタックの堅牢化、ホスト保護のためのファイアウォールの使用などの手順を取り上げます。

    次の表では、ネットワークセキュリティの脆弱性を減らすための一般的なプロセスについて説明します。

    問題

    説明

    非武装地帯(DMZ)

    LiveCycle サーバーを非武装地帯(DMZ)にデプロイします。ファイアウォールの内側に配置された、LiveCycle を実行するアプリケーションサーバーに対して、少なくとも 2 つのレベルでセグメント化が必要です。Web サーバーを含む DMZ から外部ネットワークを分離します。同様に、外部ネットワークは内部ネットワークからも分離している必要があります。ファイアウォールを使用して、この分離した層を実装します。必要最小限のデータのみが許可されるように、各ネットワーク層を通過するトラフィックを分類して制御します。

    プライベート IP アドレス

    LiveCycle アプリケーションサーバーで、RFC 1918 プライベート IP アドレスと NAT(ネットワークアドレス変換)を使用します。プライベート IP アドレス(10.0.0.0/8、172.16.0.0/12 および 192.168.0.0/16)を割り当てることにより、インターネットを通じて、NAT を使用する内部ホストに対して攻撃者がトラフィックをルーティングできないようにします。

    ファイアウォール

    次の基準を使用して、ファイアウォールソリューションを選択します。

    • 単純なパケットフィルタリングソリューションではなく、プロキシサーバーまたは「ステートフルインスペクション」をサポートするファイアウォールを実装する。

    • 「明示的に許可されたサービス以外はすべて拒否する」セキュリティパラダイムをサポートするファイアウォールを使用する。

    • デュアルホームまたはマルチホームのファイアウォールソリューションを実装する。このアーキテクチャによって、最も高いセキュリティレベルが実現し、権限のないユーザーがファイアウォールセキュリティを迂回できないようにすることができます。

    データベースポート

    データベースのデフォルトのリスニングポート(MySQL - 3306、Oracle - 1521、MS SQL - 1433)は、使用しないでください。データベースポートの変更について詳しくは、データベースのドキュメントを参照してください。

    データベースポートを変更すると、LiveCycle の設定全体に影響します。デフォルトポートを変更した場合、LiveCycle のデータソースなど、設定の別の領域を変更内容に合わせて修正する必要があります。

    LiveCycle におけるデータソースの設定について詳しくは、使用しているアプリケーションサーバー製品に応じて、『LiveCycle ドキュメントセット』にある、該当する『LiveCycle インストールおよびデプロイ』または『LiveCycle へのアップグレード』を参照してください。

    3.1.2 オペレーティングシステムのセキュリティ

    次の表では、オペレーティングシステムに存在するセキュリティの脆弱性を最小にするために役立つ方法について説明します。

    問題

    説明

    セキュリティパッチ

    ベンダーのセキュリティパッチとアップデートが迅速に適用されない場合、権限のないユーザーがアプリケーションサーバーにアクセスするリスクが高まります。実稼働サーバーにセキュリティパッチを適用する場合は、適用する前にテストしてください。

    さらに、パッチを定期的にチェックしてインストールするためのポリシーとプロシージャを作成してください。

    ウイルス対策ソフトウェア

    ウイルススキャンプログラムは、署名をスキャンするか、異常な動作を監視することによって、感染ファイルを識別します。スキャンプログラムでは、ウイルスの署名をファイルに保管します。通常、このファイルはローカルハードドライブに格納されます。新しいウイルスは次から次へと出現するので、ウイルススキャンプログラムですべての最新のウイルスを識別できるように、このファイルを頻繁に更新する必要があります。

    ネットワークタイムプロトコル(NTP)

    フォレンジック分析のために、LiveCycle サーバーの時計は常に正確に設定されている必要があります。NTP を使用して、インターネットに直接接続しているすべてのシステムの時間を同期させてください。

    オペレーティングシステムのその他のセキュリティ情報については、「2.1.1 オペレーティングシステムのセキュリティ情報」を参照してください。