検索 
       

セキュリティについて - 19件

1件目から10件目までを表示

1 2


SSLサーバー証明書更新時にCSRの再作成が必要なのですが、その際の注意点はありますか。

注意点としては、Proself管理画面上で行うCSRの再作成からSSLサーバー証明書のインポートまでの間にProselfの再起動が発生すると、自己署名証明書が適用された状態でProselfが起動してしまうという点がございます。

そのため、以下の手順を実施頂き、自己署名証明書が適用された状態でProselfが起動してしまっても復旧できるように備えておきます。

◆復旧に備えた手順
  1. CSR再作成前の下記設定ファイルをバックアップします。
    {Proselfインストールフォルダ}/conf/keystore.ssl
    バックアップファイル名は keystore.ssl.20170927 のようにバックアップした日時がわかるようにした上で同階層内にバックアップすることをおすすめします。(以後「バックアップファイル1」と呼称します)
  2. Proselfの管理画面でCSR再作成を行います。
    詳細はインストールガイドP.10より始まる「SSLを使用する」内の手順をご覧ください。
  3. CSR再作成後の下記設定ファイルをバックアップします。
    {Proselfインストールフォルダ}/conf/keystore.ssl
    バックアップファイル名は keystore.ssl.new.20170927 のようにバックアップした日時がわかるようにした上で同階層内にバックアップすることをおすすめします。(以後「バックアップファイル2」と呼称します)

万が一SSL証明書を適用する前にProselfサービスの再起動が発生して自己署名証明書が適用された状態でProselfが起動してしまった場合には、以下の手順で復旧してください。

◆復旧手順
  1. Proselfのサービスを停止します。
  2. 事前にバックアップしておいた「バックアップファイル1」を {Proselfインストールフォルダ}/conf/ にコピーして keystore.ssl にリネームします。
    ※「バックアップファイル1」は残しておきます。
  3. Proselfのサービスを起動します。
  4. 自己署名証明書ではなく現在利用中のSSLサーバー証明書となっていることを確認します。

上記手順で復旧後は、サーバー証明書が外部認証機関より送付された後に下記の手順を実施してください。

◆サーバー証明書が外部認証機関より送付された後の適用手順
  1. Proselfのサービスを停止します。
  2. 事前にバックアップしておいた「バックアップファイル2」を {Proselfインストールフォルダ}/conf/ にコピーして keystore.ssl にリネームします。
  3. Proselfのサービスを起動します。
    ※一時的に自己署名証明書が適用された状態でProselfが起動しますが、引き続き以下を実施してください。
  4. SSL証明書設定画面内にあるサーバー証明書の設定の[設定]をクリックして表示される画面内で、認証機関より送付されたサーバー証明書をインポートします。
    詳細はインストールガイドP.12内の4.以降の手順をご覧ください。

このFAQは次のURLで直接ご覧いただけます。
https://www.proself.jp/support/faq409/

(最終更新日:2019/10/07)




ProselfでTLS1.3を用いたhttps接続を可能にするための方法を教えてください。

以下のサーバー側条件を満たす場合にご案内する手順を実施することで、TLS1.3による接続が可能となります。

  • サーバー条件
    • Proself Ver5.20以降、Ver4.40以降が必要となります。
    • JDK11以降が必要です。
  • ブラウザ条件
    • Google Chrome 70以降
    • Firefox 63以降
    • Safari 12.1.1以降
    ※Internet Explorer11、Edgeは非対応です。
    ※Safariについては公式情報不明につき弊社で確認の取れたバージョンになっております。
  • 適用手順
    1. Proselfのサービスを停止します。
    2. Proselfインストールフォルダ/conf/server.xml を編集して保存します。
      ※編集前に「server.xml.yyyymmdd」のようなファイル名でバックアップを取得してください。

      【編集前】
      <Connector port="443" protocol="org.apache.coyote.http11.Http11Protocol" SSLEnabled="true"
      maxThreads="150" connectionTimeout="60000" scheme="https" secure="true" URIEncoding="UTF-8"
      clientAuth="false" sslProtocol="TLS" sslEnabledProtocols="TLSv1,TLSv1.1,TLSv1.2"
      ciphers="TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA, TLS_RSA_WITH_AES_256_GCM_SHA384, TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384, TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384, TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA, TLS_RSA_WITH_AES_128_GCM_SHA256, TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256, TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256"
      keystoreFile="${catalina.base}/conf/keystore.ssl" keystorePass="changeit"
      truststoreFile="${catalina.base}/conf/ca.ssl" truststorePass="changeit" />
      【編集後】
      <Connector port="443" protocol="org.apache.coyote.http11.Http11Protocol" SSLEnabled="true"
      clientAuth="false" sslProtocol="TLS" sslEnabledProtocols="TLSv1,TLSv1.1,TLSv1.2,TLSv1.3"
      ciphers="TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA, TLS_RSA_WITH_AES_256_GCM_SHA384, TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384, TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384, TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA, TLS_RSA_WITH_AES_128_GCM_SHA256, TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256, TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256, TLS_AES_128_GCM_SHA256 ,TLS_AES_256_GCM_SHA384"
      keystoreFile="${catalina.base}/conf/keystore.ssl" keystorePass="changeit"
      truststoreFile="${catalina.base}/conf/ca.ssl" truststorePass="changeit" />
      ※赤文字で記載した部分が追記部分です。
    3. Proselfのサービスを起動します。
    4. WebブラウザでProselfにアクセスして正常に表示できることを確認します。
      ※ChromeやFirefoxの場合、Webブラウザの開発者ツールで「Security」「暗号化」という名前のタブ選択の際、接続時のプロトコルに「TLS1.3」と表示されていればTLS1.3で接続されております。

このFAQは次のURLで直接ご覧いただけます。
https://www.proself.jp/support/faq404/

(最終更新日:2019/06/12)




Proselfではどのような情報漏洩対策を取っているかを教えてください。

以下のような対策を取っております。

  • パスワードの暗号化保存
    Proselfで設定したパスワードはハッシュ化した上で暗号化され、Proself内に保存されます。
    そのため、万が一漏洩したとしても復号化できません。
    ※Ver.3からVer.4/Ver.5へバージョンアップしたお客様へ
    Ver.3ではパスワードの暗号化のみ行っているためVer.4/Ver.5より強度が低下している状態ですが、Ver.4/Ver.5へバージョンアップしただけではハッシュ化されません。
    バージョンアップ後にパスワードを更新することによりハッシュ化した上で暗号化されますので、該当する場合はパスワードの更新を行うことを推奨します。
  • ファイル暗号化機能によるファイル保護
    Proselfはファイル暗号化機能を有しております(管理画面から設定可能)。
    本機能をONとして運用する場合は、ファイルやフォルダが暗号化された状態でProselfのストアフォルダ内に保存されるようになります。

    そのため、万が一サーバー内に仕掛けられたバックドア等によってファイルが漏洩したとしても、Proselfを介さない限りは復号化できないためファイル内容を保護することができます。
    ※Proselfの暗号化機能を利用する場合は、必ず運用開始前にONとしておく必要があります。
    以下のFAQもご参照ください。
    https://www.proself.jp/support/faq302/

このFAQは次のURLで直接ご覧いただけます。
https://www.proself.jp/support/faq395/

(最終更新日:2019/02/19)




ProselfではLDAP連携ユーザーのパスワードはどこに保持していますか。

Proselfではパスワードの保持を行っておりません。
LDAP連携ユーザーによるログイン時はLDAP/Active Directoryに対して認証を行い、認証が成功するとProselfにログイン可能となる仕組みとなっているためです。

また、LDAP連携ユーザーの場合はパスワードを保持しないため、以下の制約があります。

  • Proself上では管理者及び自分自身によるパスワード変更は不可です。
    LDAP/Active Directory上でパスワードを変更する必要があります。
  • パスワードポリシーにてパスワードの有効期限を設定しても適用されません。

このFAQは次のURLで直接ご覧いただけます。
https://www.proself.jp/support/faq369/

(最終更新日:2018/04/04)




Proselfに対するHTTPS通信において、暗号スイートを変更したいのですがどのように変更すればいいでしょうか。またおすすめの暗号スイートがあれば教えてください。

以下手順を実施することで変更することが可能です。
変更内容を反映するにはProselfの再起動が必要ですのでご注意ください。

【設定ファイル】
  • Windows OSの場合
    {Proselfインストールフォルダ}\conf\server.xml
    Proselfインストールフォルダは標準インストールの場合以下となります。
    (Ver4) C:\Program Files\Proself4
    (Ver5) C:\Program Files\Proself5
  • Linux OSの場合
    {Proselfインストールフォルダ}/conf/server.xml
    Proselfインストールフォルダは標準インストールの場合以下となります。
    (Ver4) /usr/local/Proself4
    (Ver5) /usr/local/Proself5
【変更手順】
  1. Proselfをインストールしたサーバーにログインします。
  2. 【設定ファイル】のバックアップを取得します。
    ※バックアップファイルをバックアップ元と同じ階層に格納する場合、バックアップファイルの拡張子は".xml"にしないでください。".xml"でファイルを保存しますとProselfが誤作動を起こす可能性がございます。
  3. 【設定ファイル】内92行目付近の、「ciphers="~"」部分に許可する暗号スイートを「,(カンマ)」区切りで記載して下さい。
    また弊社がおすすめする暗号スイートとして以下内容となります。
    ciphers="TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA, TLS_RSA_WITH_AES_256_GCM_SHA384, TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384, TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384, TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA, TLS_RSA_WITH_AES_128_GCM_SHA256, TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256, TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256"
    ※暗号利用モードの一つであるGCMが含まれた暗号スイートを利用するには、ProselfにインストールしているJavaのバージョンをJDK8/JDK11以降にして頂く必要がございます。

    JDK8/JDK11以降対応のProselfのバージョンについては以下をご参照ください。
    https://www.proself.jp/support/faq367/
  4. Proselfを再起動します。
  5. インターネットブラウザ及びクライアントソフトウェアからProselfにhttpsから始まるURLでアクセスできることを確認します。

以上で変更作業は完了です。

このFAQは次のURLで直接ご覧いただけます。
https://www.proself.jp/support/faq368/

(最終更新日:2019/02/01)




既にあるワイルドカード証明書をProselfに適用する方法を教えてください

既にあるワイルドカード証明書については、Proself上でCSRを生成していないため管理画面から証明書の適用を行うことができません。

そのため自己責任となってしまいますが、以下URLをご覧いただきワイルドカード証明書を適用してください。
https://www.proself.jp/support/faq276/

このFAQは次のURLで直接ご覧いただけます。
https://www.proself.jp/support/faq362/

(最終更新日:2018/04/04)




SSLは必須ですか?また、不特定多数の方とやり取りする場合は、毎回証明書を発行しなければならないのでしょうか?

いいえ、SSLは必須ではありません。お客様の用途に応じて証明書を発行し、SSLを利用していただきます。
SSLを通常利用する場合、外部認証機関(べリサインなど)から発行された証明書を使用する際は毎回、証明書を発行する必要はございません。
ただし、さらに安全を高めるためにクライアント認証を行う場合、ユーザごとに証明書を発行する必要がございます。

このFAQは次のURLで直接ご覧いただけます。
https://www.proself.jp/support/faq113/

(最終更新日:2018/04/03)




市販ウィルススキャン製品との組み合わせは可能でしょうか。

Proselfでは市販のウイルススキャン製品のうち、コマンドラインにてウイルススキャン実行可能な製品であれば管理画面から設定可能です。

なお、当社が動作確認済みのウィルススキャンソフトウェアとしては、「エフセキュア Linux セキュリティ コマンドライン エディション」と「ESET File Security for Linux」がございます。

※リアルタイムスキャン連携手順の例については以下をご参照ください。
https://www.proself.jp/support/faq353/

このFAQは次のURLで直接ご覧いただけます。
https://www.proself.jp/support/faq109/

(最終更新日:2018/04/03)




セキュリティ監査ツールをProselfに対して実施した結果、HTTP PUT、HTTP DELETEのメソッドが有効になっているとの指摘を受けました。HTTP PUT、HTTP DELETE のメソッドは無効になっていますか。

PUT/DELETEメソッドは有効になっています。
この二つはWebDAVで使用するため無効にはできません。

ただしシステム全体でWebDAVクライアントソフトウェアからの接続を拒否する設定は可能です。

このFAQは次のURLで直接ご覧いただけます。
https://www.proself.jp/support/faq317/

(最終更新日:2017/10/30)




セキュリティ監査ツールをProselfに対して実施した結果、サーバーのレスポンスヘッダ内に「Server: Apache-Coyote/1.1」が含まれているとの指摘を受けました。この文言を削除または他の文言に変更することは可能ですか。

削除はできませんが他の任意の文言に変更することは可能です。
以下設定ファイルの変更が必要です。また変更後はProselfのサービス再起動が必要となります。

【設定ファイル】
  • Windows OSの場合
    Proselfインストールフォルダ\conf\server.xml

    ※Proselfインストールフォルダは標準インストールの場合は以下となります。
    【Ver.4】 C:\Program Files\Proself4
    【Ver.5】 C:\Program Files\Proself5
  • Linux OSの場合
    Proselfインストールフォルダ/conf/server.xml

    ※Proselfインストールフォルダは標準インストールの場合は以下となります。
    【Ver.4】 /usr/local/Proself4
    【Ver.5】 /usr/local/Proself5

【変更手順】
  1. Proselfサーバーにログインします。
  2. 【設定ファイル】のバックアップを取得します。
    ※バックアップファイルをバックアップ元と同じ階層に格納する場合、バックアップファイルの拡張子は".xml"にしないでください。
    ".xml"でファイルを保存しますとProselfが誤作動を起こす可能性がございます。
  3. 【設定ファイル】を編集します。
    • 67行目付近 Server="{任意の文字列}"を追記します。
      <Connector port="80" protocol="HTTP/1.1"
      maxThreads="150"
      connectionTimeout="60000"
      disableUploadTimeout="true" URIEncoding="UTF-8"/>
      <Connector port="80" protocol="HTTP/1.1"
      maxThreads="150"
      connectionTimeout="60000"
      disableUploadTimeout="true" URIEncoding="UTF-8" Server="{任意の文字列}" />
    • 89行目付近 Server="{任意の文字列}"を追記します。
      <Connector port="443" protocol="HTTP/1.1" SSLEnabled="true" maxThreads="150" connectionTimeout="60000" scheme="https" secure="true" URIEncoding="UTF-8"
      clientAuth="false" sslProtocol="TLS" ciphers="SSL_RSA_WITH_RC4_128_MD5, SSL_RSA_WITH_RC4_128_SHA, TLS_RSA_WITH_AES_128_CBC_SHA, TLS_DHE_RSA_WITH_AES_128_CBC_SHA, TLS_DHE_DSS_WITH_AES_128_CBC_SHA, SSL_RSA_WITH_3DES_EDE_CBC_SHA, SSL_DHE_RSA_WITH_3DES_EDE_CBC_SHA, SSL_DHE_DSS_WITH_3DES_EDE_CBC_SHA" keystoreFile="${catalina.base}/conf/keystore.ssl" keystorePass="changeit" truststoreFile="${catalina.base}/conf/ca.ssl" truststorePass="changeit" />
      <Connector port="443" protocol="HTTP/1.1" SSLEnabled="true" maxThreads="150" connectionTimeout="60000" scheme="https" secure="true" URIEncoding="UTF-8"
      clientAuth="false" sslProtocol="TLS" ciphers="SSL_RSA_WITH_RC4_128_MD5, SSL_RSA_WITH_RC4_128_SHA, TLS_RSA_WITH_AES_128_CBC_SHA, TLS_DHE_RSA_WITH_AES_128_CBC_SHA, TLS_DHE_DSS_WITH_AES_128_CBC_SHA, SSL_RSA_WITH_3DES_EDE_CBC_SHA, SSL_DHE_RSA_WITH_3DES_EDE_CBC_SHA, SSL_DHE_DSS_WITH_3DES_EDE_CBC_SHA" keystoreFile="${catalina.base}/conf/keystore.ssl" keystorePass="changeit" truststoreFile="${catalina.base}/conf/ca.ssl" truststorePass="changeit" Server="{任意の文字列}" />
  4. Proselfを再起動します。

以上で設定は完了です。

このFAQは次のURLで直接ご覧いただけます。
https://www.proself.jp/support/faq315/

(最終更新日:2019/02/04)



1件目から10件目までを表示

1 2