Micro Focus Solutions Business Manager 11.0の Webアプリケーションセキュリティ評価文責：Sarah Timmons、Brock Bland 2015年 12月 8日

ホワイトペーパーSolutions Business Manager

目次 ページ

はじめに . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1

Solutions Business Manager のセキュリティ保護 . . . . . . . . . . . . . . . . . . . . . . . . 1

SBM 11.0 の Web アプリケーションセキュリティテスト結果 . . . . . . . . . . . . . . 3

1www.microfocus.com

はじめに

インターネットアプリケーションは、さまざまな悪意あるユーザー、不正なボット、およ

び Web 探索プログラムの攻撃に常にさらされています。これらの攻撃者はデータセキュリ

ティモデルの脆弱性を悪用し、重要なデータに不正にアクセスします。Micro Focus®

Solutions Business Manager (SBM) は、認証プロセスの一環として、リリースごとにス

キャンを実行し、Web アプリケーションのセキュリティを確保しています。また、徹底的

なテストを通じて、データベースに保存されたエンタープライズデータのセキュリティを

検証しています。

こうしたテストで検出された脆弱性が悪用されて機密性の高いエンタープライズデータに

アクセスされ、最終的には経済的損失につながる可能性があることを Micro Focus は理解し

ています。当社の開発および品質保証部門は、各テストサイクルにおいてこのような潜在

的脆弱性を特定および解決するために尽力しています。Micro Focus はセキュリティを重視

しており、SBM を積極的に強化し、新たに発見された脆弱性から保護しています。

本ホワイトペーパーの対象読者本ホワイトペーパーは、SBM 11.0 の既存のセキュリティ保護および最新の Web アプリケー

ションセキュリティスキャン結果に関心のあるシステム管理者などを対象としています。

Solutions Business Managerのセキュリティ保護

Micro Focus は、SBM のセキュリティに関して多層アプローチを採用しています。また、

セキュリティ侵害を防止し、データの整合性と機密性を確保するためのベストプラクティ

スを取り入れています。

サーバーおよびデータベースの環境設定SBM Configurator を使用することで、各種 SBM データベースおよびアプリケーションコンポー

ネントを複数のサーバーに容易にデプロイできます。これにより、「攻撃対象箇所」を最小限

に抑えることが可能です。たとえば、ユーザーがアップデートしたデータを 1 つのサーバーに

保存して、プロセスアプリなどの設計アーティファクトの構築や記述に使用したデータを別の

サーバーに保存し、さらに環境設定データや管理データを別のマシンに保存することができま

す。そして管理者が各サーバーへのアクセスを適切に制限することで、攻撃者が 1つのサーバー

または物理マシンにハッキングするだけで簡単にシステムを悪用できる事態を回避できます。

転送データの暗号化データに対する不正アクセスの危険性が最も高まるのは、インターネットやネットワーク

内でのデータ転送時です。そのため、SBM Configuratorには該当サーバーを設定して、セキュ

アな HTTPS (HTTPS) や SSL ( セキュアソケットレイヤ ) を使用してデータの暗号化、認証、

整合性確保を実行するための機能が備わっています。この機能は、エンドユーザーとのや

り取り、コンポーネント間の通信、サードパーティシステムとの通信、そして LDAP サーバー

やリレーショナルデータベースなどのインフラで使用できます。

Micro Focusはセキュリティを重視しており、SBMを積極的に強化し、新たに発見された脆弱性から保護しています。

2

ホワイトペーパーMicro Focus Solutions Business Manager 11.0のWebアプリケーションセキュリティ評価

保存データの暗号化ストレージシステムやメディアに保存されたデータは、企業データの保護やデータプライ

バシーの確保を実現する際の重大な懸念事項となります。SBM では 2 種類の保存データを

保護できます。リレーショナルデータベースに保存されたデータとファイルシステムに保

存されたデータです。

リレーショナルデータベースに保存されたデータを保護するためには、2 つの要素を使用し

ます。1 つ目の要素は、SBM で使用するデータベースへの許可を設定して、データアクセスを

制限することです。これは、データベースへのアクセス権を付与された Windows ドメイン

アカウントまたは DBMS ユーザーアカウントを通じて管理します。2 つ目の要素は、デー

タベース内のデータを DBMS で暗号化することでセキュリティ層を追加することです。

ファイルシステムに保存されたデータ ( 環境設定や接続情報など ) も保護する必要がありま

す。SBM は、トリプル DES 暗号化アルゴリズム (184 ビットキー ) を使用して、各種デー

タベースに接続するための資格情報を暗号化します。シングルサインオン (SSO) 目的で識

別情報プロバイダーに接続するために使用する情報は機密性が高いと考えられるため、

SBM ではこの情報の暗号化にも対応しています。SSO では、256 ビットキーの Blowfish、

非同期イベントサービス (AES)、または 3DES を使用します。

認証およびセッション管理アクセス方法 (Web ブラウザ、モバイルアプリ、デスクトップアプリケーション ) を問わず、

すべてのユーザーアクセスに認証プロセスが適用されます。SBM Configurator には、内部

ユーザーデータベース、Windows ドメイン、LDAP、またはその他のサードパーティプロ

バイダーなど、複数の識別情報プロバイダーオプションがあります。SBM でセッション管

理を設定して、HTTP クッキー、NTLM、またはセキュリティトークンを SSO で使用でき

ます。SBM は、複数の識別情報プロバイダーへの検証やスマートカードを使用した 2 要素

認証など、複雑な SSO シナリオにも対応しています。

さらに、セキュリティトークンのセッショントークンライフタイムのアイドルタイムアウ

トも管理します。

権限付与 (アクセス制御 )SBM Application Administrator を使用して、管理者は役割、グループ、および個人レベルで

ユーザー権限を設定できます。これにより、「最小権限」の原則に基づいて、ユーザーが業務を

遂行する上で必要な最小限の権限のみを付与できます。また、SBM は双方向 SSL 接続にも

対応しているため、エンドユーザー以外のインターフェイスへのアクセスを制限できます。

WebアプリケーションセキュリティSBM には、次の種類の攻撃から保護するための商用およびサードパーティのファイアウォー

ル機能とサニタイズ機能が統合されています。

XML/HTMLコンテンツ攻撃 (クロスサイトスクリプティング攻撃［XSS］、JavaScriptインジェクション、SQLインジェクション、整形式 )

暗号攻撃 (サービス拒否およびリプレー攻撃 )

SOAP攻撃 (SOAP操作フィルタリングおよび不正 SOAP添付ファイル )

アクセス方法 (Webブラウザ、モバイルアプリ、デスクトップアプリケーション )を問わず、すべてのユーザーアクセスに認証プロセスが適用されます。SBM Configuratorには、内部ユーザーデータベース、Windowsドメイン、LDAP、またはその他のサードパーティプロバイダーなど、複数の識別情報プロバイダーオプションがあります。

SBM Application Administratorを使用して、管理者は役割、グループ、および個人レベルでユーザー権限を設定できます。これにより、「最小権限」の原則に基づいて、ユーザーが業務を遂行する上で必要な最小限の権限のみを付与できます。

3www.microfocus.com

通信攻撃 (HTTPヘッダおよびクエリ文字列分析 )

認証攻撃 (クロスサイトリクエストフォージェリ攻撃［XSRF］)

SBM Application Administrator では、このサニタイズ機能をカスタマイズできます。

SBM には、コンテンツのモニタリング機能とサニタイズ機能に加え、ModSecurity (Web ア

プリケーションファイアウォール ) も含まれています。ModSecurity を使用して、モニタリン

グを実行したり、定義したセキュリティルールに従って要求を能動的にブロックしたりでき

ます。セキュリティルールはカスタマイズ可能なため、特定のコンテンツニーズや厳格なセ

キュリティ要件に応じて管理者がセキュリティ環境設定をカスタマイズできます。セキュリ

ティ脆弱性が見つかった場合は、該当システムに仮想パッチを適用することも可能です。

SBM 11.0のWebアプリケーションセキュリティテスト結果

テストでは Burp Suite Professional v1.6.28 を使用しました。このスイートに含まれる Burp

Web Vulnerability Scanner ツールを使用して、クライアントからの要求を能動的にスキャン

しました。このツールは業界で高い評価を得ており、潜在的な脆弱性の静的リストの代わ

りに、フィードバック主導型のスキャンロジックを採用しています。

テストの設定専用マシン (Web ブラウザから行われた要求をモニターするプロキシサーバー ) 上で Burp

Suite を実行しました。このテストでは、Burp Suite を使用して、SBM 内部認証および SSO

セッション管理を含むリモートの独立型 SBM の要求をモニターしました。ブラウザから行

われた要求と、受動的に検出された脆弱性を同時に記録しました。そして、記録したすべ

ての要求 ( パラメータを含む ) を能動的にスキャンし、要求のスキャン後にフォーマットさ

れた多数 ( 数百または数千 ) の要求のうち、脆弱性の悪用を試みるパラメータ変更のあった

ものを送信しました。SBM の設定では、要求に HTTPS を使用し、SSO を有効化しました。

カスタマイズのバリエーションに対応するため、カスタムの ModSecurity ルールセットも

設定しました。スキャンでは次の種類の攻撃をテストしました。

SQLインジェクション

OSコマンドインジェクション

サーバー側コードおよびテンプレートインジェクション

反射型および蓄積型クロスサイトスクリプティング (XSS)

ファイルパスのトラバース /不正操作

外部 /帯域外インタラクション

HTTPヘッダインジェクション

XML/SOAPインジェクション

LDAPインジェクション

クロスサイトリクエストフォージェリ

オープンリダイレクション

このテストでは、Burp Suiteを使用して、SBM内部認証および SSOセッション管理を含むリモートの独立型 SBMの要求をモニターしました。

4

ホワイトペーパーMicro Focus Solutions Business Manager 11.0のWebアプリケーションセキュリティ評価

ヘッダの不正操作

サーバーレベルの問題

Micro Focus はこれらのスキャン結果を評価し、潜在的脆弱性のある要求を探しました。

使用例SBM での一般的な操作に対してスキャンを実行しました。具体的には次のような操作です。

SBMへのログイン

項目データの表示

レポートの表示

バックログの表示

アクティビティの表示

特に、システム内にデータを保存する、またはシステム内のデータを変更する次のような

操作に焦点を合わせました。

項目の送信

項目の転送

レポートの作成および変更

バックログの作成

アクティビティの作成

Work Centerの検索

ユーザーワークスペースの検索

ユーザープロファイル情報のアップデート

5www.microfocus.com

結果セキュリティスキャンの結果を評価しました。重大な脆弱性は見つかりませんでした。重

大度の低い潜在的問題としてフラグ付けされた結果については、手動で検査を行い、次の

とおり、問題なしと判断しました。

セキュリティスキャンの結果を評価しました。重大な脆弱性は見つかりませんでした。

テスト領域 結果 追加情報 項目の送信、表示、転送 合格。重大度が「高」または「中」の問題は見

つかりませんでした ̶

レポートの作成および実行 合格。DOMベース XSSの誤検出 コードインスペクションの結果、適切にサニタイズされていることを確認しました。SBMが DOMベース XSSを適切にブロックしました。

レポートの作成および実行 合格。レスポンスヘッダ結果の誤検出 コードインスペクションの結果、リダイレクト後に適切にクリーンアップされていることを確認しました。

ユーザープロファイルの変更 合格。 ̶ 一般的な検索 合格。DOMベース XSSの誤検出 コードインスペクションの結果、値がサ

ニタイズされていることを確認しました。SBMが DOMベース XSSを適切にブロックしました。

Work Center 合格 (一部例外あり )。シェルパラメータで反射型 XSS問題が見つかりました (「追加情報」を参照 )

Micro Focusでは、これをブロックするためのWebアプリケーションファイアウォール設定のセキュリティルールを提供しています。このセキュリティルールを設定して、カスタムシェルを使用することも可能です。

アクティビティの作成および実行

合格 (一部例外あり )。反射型 XSS問題が見つかりました (「追加情報」を参照 )

コードインスペクションの結果、値がサニタイズされていることを確認しました。SBMが DOMベース XSSを適切にブロックしました。Micro Focusでは、これをブロックするためのWebアプリケーションファイアウォール設定のセキュリティルールを提供しています。

バックログの作成および実行 合格 (一部例外あり )。反射型 XSS問題が見つかりました (「追加情報」を参照 )

SBMが DOMベース XSSを適切にブロックしました。Micro Focusでは、これをブロックするためのWebアプリケーションファイアウォール設定のセキュリティルールを提供しています。

162-JA0094-002A | S | 07/18 | © 2017 Micro Focus. All rights reserved. Micro Focusおよび Micro Focusロゴは、英国、米国、およびその他の国における Micro Focus、その子会社、関連会社の商標または登録商標です。その他すべての商標は、該当する所有者に帰属します。

OSWASPの結果トップ 10

お問い合わせ先：www.microfocus.com

ID テスト領域 結果 追加情報 A1 インジェクション 問題は見つかり

ませんでした SBMは各種インジェクション攻撃を能動的にモニターし、それらを防止するための設計パターンに従います。

A2 認証およびセッション管理の不具合

問題は見つかりませんでした

SBMはセッション管理、認証、パスワード管理のための業界のベストプラクティスに基づいています。

A3 クロスサイトスクリプティング (XSS)

問題は見つかりませんでした

SBMは XSS攻撃を能動的にモニターし、詳細な環境設定を通じてコンテンツを許可します。

A4 セキュアでないオブジェクトの直接参照

問題は見つかりませんでした

SBM内のオブジェクトに対するすべてのアクセスについて、一元的なアクセス制御を通じてユーザー権限を検証します。

A5 不適切なセキュリティ設定 問題は見つかりませんでした

SBMには、セキュリティ設定を容易に行うための環境設定アプリケーションと、環境設定のセキュリティを適切に確保するためのガイドがあります。

A6 機密データの漏えい 問題は見つかりませんでした

SBMでは、保存された機密データおよびサーバーに転送中の機密データ (設定した場合 )のセキュリティが確保されます。

A7 機能レベルのアクセス制御の欠如

問題は見つかりませんでした

すべてのデータがクライアントレベルおよびサーバーレベルで検証され、データに対する適切なアクセス権限が確保されます。

A8 クロスサイトリクエストフォージェリ (CSRF)

問題は見つかりませんでした

SBMは、CSRF攻撃に対する能動的なモニタリング機能および緩和機能を備えています。

A9 既知の脆弱性を含むコンポーネントの使用

問題は見つかりませんでした

リリースプロセスの一環として、脆弱性リストと照らし合わせてサードパーティのコンポーネントをチェックし、適切にアップデートしています。

A10 検証されていないリダイレクトおよび転送

問題は見つかりませんでした

SBMは内部および外部のリダイレクトを厳格にチェックします。