インストール資源のセキュリティについて説明します。

本製品をインストールした後、JDK/JREの設定ファイルを以下のように修正して、ロードされるセキュリティライブラリを変更してください。

JDK/JREの設定ファイルを以下に示します。

[環境変数JAVA_HOMEの設定値]/jre/lib/security/java.security

JDK/JREの設定ファイルを次のように修正します。

security.provider.n (n は整数) と記述された行のうち「sunpkcs11-solaris.cfg」の行を削除します。

以降の行のsecurity.provider.n (n は整数)の番号nを1つずつ小さくします。

[変更前の例]

～前略～
security.provider.1=sun.security.pkcs11.SunPKCS11 \${java.home}/lib/security/sunpkcs11-solaris.cfg
security.provider.2=sun.security.provider.Sun
security.provider.3=sun.security.rsa.SunRsaSign
security.provider.4=com.sun.net.ssl.internal.ssl.Provider
security.provider.5=com.sun.crypto.provider.SunJCE
security.provider.6=sun.security.jgss.SunProvider
security.provider.7=com.sun.security.sasl.Provider
security.provider.8=org.jcp.xml.dsig.internal.dom.XMLDSigRI
security.provider.9=sun.security.smartcardio.SunPCSC
～後略～

[変更後の例]

～前略～
security.provider.1=sun.security.provider.Sun
security.provider.2=sun.security.rsa.SunRsaSign
security.provider.3=com.sun.net.ssl.internal.ssl.Provider
security.provider.4=com.sun.crypto.provider.SunJCE
security.provider.5=sun.security.jgss.SunProvider
security.provider.6=com.sun.security.sasl.Provider
security.provider.7=org.jcp.xml.dsig.internal.dom.XMLDSigRI
security.provider.8=sun.security.smartcardio.SunPCSC
～後略～

本製品をインストールした後、以下のセキュリティ強化を行ってください。

• Interstage Application Serverがインストール済みの環境に本製品をインストールした場合、セキュリティ強度を高めるため、Interstage Application Serverについても運用開始前に強化セキュリティモードの設定を推奨します。

• Formatmanagerの変換テーブルの配置先をデフォルトの配置先ディレクトリから変更した場合、Interstage運用グループから参照および更新できるようにアクセス権限を設定してください。

• インストール後の作業でユーザが環境設定ファイルや定義ファイルを作成した場合、Interstage運用グループから参照および更新できるようにアクセス権限を設定してください。
  また、ISIの環境設定ファイルでディレクトリ指定できる設定項目の値をデフォルトのディレクトリから変更した場合、ディレクトリに対してグループとアクセス権限を適切に設定してください。グループにはInterstage運用グループを指定してください。

  [実行例]

  chgrp isgroup /opt/FJSVesi/etc/def/soap/headercoop.properties
  chmod 660 /opt/FJSVesi/etc/def/soap/headercoop.properties

• 必要に応じてサービス運用ユーザーを設定してください。詳細は、“ISI Java EE運用ガイド”の“利用者制限”を参照してください。

一般ユーザによる資源の改ざんを防ぐために、NTFS形式のドライブにインストールした場合、ISIのインストール資源のアクセス権を変更することができます。必要に応じて実施してください。
以下は、ISIインストールディレクトリを、Windowsのエクスプローラのプロパティから参照したセキュリティの状態の例です。Everyoneを削除し、特定の一般ユーザだけにアクセス権を付与することにより、不特定の一般ユーザからのアクセスを防ぐ権限に変更することができます。
また、すべての一般ユーザに対して、以下のディレクトリ以外のwrite権を外すことを推奨します。

• “<INSDIR>\etc”

• “<INSDIR>\var”

• “<INSDIR>\FM\F5FCTFLTJ”

• “<INSDIR>\FM\F5FCTFLTJ\lib”

• “<INSDIR>\FM\F5FCTFLTJ\log”

図6.17 [ISIインストールディレクトリのプロパティ]画面の例