SSL暗号化通信を利用したネットワークセキュリティの向上

604 Views

December 28, 15

スライド概要

2015/11/27 FileMaker カンファレンス 2015 講演資料

profile-image

Web Application Developer / kintone CERTIFIED App Design Specialist 2020 / kintone CERTIFIED Customization Specialist 2020

シェア

またはPlayer版

埋め込む »CMSなどでJSが使えない場合

関連スライド

各ページのテキスト
1.

SSL暗号化通信を利用した ネットワークセキュリティの向上 2015/11/27 FileMaker カンファレンス 2015 講演資料 松尾篤(株式会社エミック)

2.

自己紹介 • 松尾 篤(まつお ✓ 株式会社エミック あつし) 代表取締役 ✓ FileMaker 8 / 9 / 10 / 11 / 12 / 13 / 14 Certified Developer ✓ FileMaker Server対応Webフレームワーク「INTER-Mediator」 コミッター ✓ カスタムWeb勉強会を隔月で開催

3.

株式会社エミック • FileMaker製品対応ホスティングサービス を1998年から提供 ✓ FileMaker Server 14に対応した「FMPress14」 ✓ データベースからモバイル対応Webアプリを生成する 「FMPress Publisher」を搭載 • https://www.emic.co.jp/ FMPress

4.

デモを FileMaker Proデータベースから、 ご覧下さい プログラムなしでWebアプリを生成 Webアプリで導入・運用コストを削減、同時接続ライセンスは不要です FileMaker Proでデータベースを作成 Webアプリを自動生成

5.

今回の話題 1. SSLとは何か 2. FileMaker製品でSSLを利用するには 3. SSL/TLS関連最新情報

6.

1. SSLとは何か

7.

例えばこのようなとき • 重要な情報をインターネット上でやり 取りする際にデータを安全に送受信し たい

8.

暗号化通信 盗聴 ❌❌ 改竄 なりすまし

9.

Secure Sockets Layer • データを暗号化してやり取りする手順の 決まり(プロトコル) • クライアント・サーバー間の通信を暗号 化できる

10.

次のようなエラーに遭遇 したことはありませんか?

11.

❌ ⭕

12.

FileMaker Serverは SSL暗号化通信に対応 • FileMaker Pro/GoとFileMaker Server間(TCP 5003番ポート)の通 信を暗号化 • WebブラウザーとWebサーバー間 (TCP 443/16000番ポート)の通信 を暗号化

13.

SSLはサービスごとに対応が必要 SSL FileMaker Proや FileMaker Goでの接続 FileMaker Server SSL Web Server Webサイト閲覧、 WebDirectクライアント カスタムWebクライアント

14.

参考:SSLとVPNの違い SSL FileMaker Network HTTPS DNS VPN

15.

TLS:SSLの後継規格 • 最新の規格はTLS 1.2(TLS: Transport Layer Security) • SSL/TLSは世界で最も利用されている 暗号化通信の方法

16.

2. FileMaker製品で SSLを利用するには

17.

どのバージョンが必要? (2015年11月現在) • FileMaker Pro 13.0v9以降 • FileMaker Go 13.0.9以降 (FileMaker Pro Advancedも同様) • FileMaker Server 13.0v9以降 (最新版であるバージョン14の利用を推奨)

18.

SSL対応手順概要 1.認証局に提出するCSRファイルを生成 2.認証局から発行されたSSLサーバー証 明書をFileMaker Serverにインポート 3.Admin Consoleで[データベース接続 に SSL を使用する(保護された接続が 必要)]設定を有効化

19.

SSL導入にあたって • SSL暗号化通信を実現するには認証局 から証明書を購入する必要がある • FileMaker製品でサポートされている SSLサーバー証明書の販売元と種類は 限られている

20.

サポートされる証明書の販売元および商品名 シマンテック・ウェブサイトセキュリティ シマンテック セキュア・サーバID コモドジャパン 企業認証タイプ SSL ジオトラスト トゥルービジネスID ジオトラスト クイックSSL プレミアム Thawte SSL123 GoDaddy Standard SSL 種類 実在認証型 実在認証型 実在認証型 署名ハッシュ アルゴリズム SHA-1 SHA-2 SHA-1 SHA-2 SHA-2 SHA-1 ドメイン認証型 SHA-2 SHA-1 ドメイン認証型 SHA-2 SHA-1 ドメイン認証型 SHA-2 (独自調査の結果)

21.

ドメイン認証 (DV) 実在認証 (OV) 拡張認証 (EV) 約9,000〜31,300円 25,800〜81,000円 価格(年間)の目安 (無料、千〜1.5万円) (約9千〜13.8万円) (約2.4万〜21.9万円) 用途 個人、開発用、 社内ネットワーク用 企業、一般用 企業、一般用 運営者の実在性審査 - 実施 厳格に実施 アドレスバー 組織名は表示されない 組織名は表示されない 証明書ビューア 組織名は表示されない 組織名が表示される 組織名が表示される 組織名が表示される

22.

安全上の理由から SHA-1は非推奨に • 署名ハッシュアルゴリズムがSHA-1で あるSSLサーバー証明書が発行される のは今年12月まで • SHA-1証明書のサポート廃止が2016 年6月に前倒しされる可能性あり • 今後はSHA-2(SHA-256)版を選択

23.

証明書購入時の注意点 • FileMaker 12はSHA-2版SSLサーバー 証明書に非対応 • ワイルドカードSSLサーバー証明書に 対応しているのはFileMaker Pro 14.0.3 (Advanced)以降のみ(独自調査の結果) • EV SSL証明書には未対応

24.

CSRの生成 • 認証局に提出する署名リクエスト(Certificate Signing Request) • fmsadminコマンドで生成可 • CStoreフォルダ内のserverRequest.pem • FileMaker Server 14であれば認証局で案内さ れている手順を参照して生成するのがオススメ • 所有しているドメイン名が必要

25.

fmsadminコマンド (FileMaker Server 13 ヘルプより)

26.

CStoreフォルダ内の ファイル • serverKey.pem プライベートキーファイル(パスフレー • ズを削除したもの) • serverCustom.pem • fmsadmin certificate importで発行さ れたSSLサーバー証明書ファイルをイン ポートして生成されたファイル

27.

証明書のインポート • FileMaker Server 14ではAdmin Console上でインポートが可能 • FileMaker Server 13の場合には fmsadminコマンド(fmsadmin certificate import)を利用

28.

FileMaker Server 14

29.

SSL暗号化通信の有効化 • Admin Consoleで[データベース接続 に SSL を使用する(保護された接続が 必要)]設定を有効化 • データベースサーバーとWeb公開エン ジンを再起動 🔐

30.

FileMaker Go/Pro からの接続 • FileMaker Go/ProからFileMaker Serverに接続する際にはSSLサーバー 証明書のコモンネーム(サーバー名) を使用

31.

Windows環境での注意点 • クライアント環境がWindowsで FileMaker ProもしくはFileMaker Pro Advancedを使用する場合 ➡Windowsアカウントのユーザー名に 漢字やひらがな等のマルチバイト文字 を含めないようにする

32.

3. SSL/TLS関連 最新情報

33.

FileMaker Server 13.0v1a / 13.0v2 • FileMaker Pro (Advanced)はバージョ • OpenSSLのHeartbleed脆弱性を修正 ン13.0v3で、FileMaker Goはバージョ ン13.0.4で上記脆弱性を修正

34.

FileMaker Server 13.0v5 • SSL/TLSの脆弱性を突いたFREAK攻 撃に対応 • SSL 3.0の脆弱性を突くPOODLE攻撃 への対策のためにSSL 3.0を無効化 (OS X版FileMaker ServerのWeb サーバーにおいて)

35.

FileMaker 13.0v9 • FileMaker Server 13.0v9 • FileMaker Pro 13.0v9 • • FileMaker Pro 13.0v9 Advanced FileMaker Go 13.0.9 • SSL関連のセキュリティアップデート

36.

Admin Consoleにおいて 証明書に関する説明に変化 • “デフォルトでインストールされる標準 の FileMaker SSL 証明書はテスト用に のみ利用できます。実際に使用する場 合はカスタム SSL 証明書が必要で す。”

37.

FileMaker Pro 13 FileMaker Go 13 • ウインドウにロックアイコンが表示さ れるように

38.

FileMaker Pro 13.0v4 • [FileMaker Serverにアップロード] ダイアログボックスにロックアイコン が表示されるように

39.

Windows OS X 暗号化通信の状態 接続が暗号化されていません 実際の接続先を装ったサーバーに接続している可能性があ り、お客様の認証情報が危険に曝される可能性があります 接続はカスタム SSL 証明書によって暗号化されています (FileMaker ナレッジベースより)

40.

FileMaker 14 • アカウント名とパスワードを入力する ダイアログボックスにおいてロックア イコンが表示されるように

41.

FileMaker Pro 14.0.3 • ネットワーク共有でワイルドカード SSLサーバー証明書に対応(独自調査の結果) • 1枚のSSLサーバー証明書 (*.example.jp)で複数のサブドメイ ン(a.example.jp/b.example.jp…) に対応した証明書

42.

SSL/TLS関連最新情報 • 常時SSL(Always on SSL) • • HTTP/2 SNI(Server Name Indication)

43.

SNI (Server Name Indication) • 1台のサーバー上で複数のSSL対応Web サイトを運用可能 • 従来はIPアドレス1つにつき1つ

44.

常時SSL (Always on SSL) • GoogleがSEOでHTTPSを優遇 • • HTTP Strict Transport Security Web上のすべての通信をHTTPS化 (HSTS)

45.

HTTP/2 • HTTP/1.1が今年16年ぶりに改訂 (RFC 7540) • Webを高速化するHTTP/2は現時点で は実質的にTLSが必須

46.

まとめ

47.

まとめ • SSL/TLSはさまざまなプロトコル上で使 用できる(HTTPに限らない) • SSL/TLSを実際に使用する場合は認証局 から証明書を購入する必要がある • 安全上の理由からSHA-1版SSLサーバー 証明書の使用は非推奨に(今後はSHA-2 に要移行)