Java Security Report(JSR)
Second Edition

制作:株式会社ローカス 情報メディア出版局
発行:株式会社バガボンド →御購入はこちらからどうぞ

Java Security Reportとは…
  • Java Security Reportは、Javaにおけるセキュリティのノウハウを提供する有償のオンラインメディアです。
  • Javaによるシステム開発をしているシステム設計者、プログラマを対象に、Javaを利用したシステムにおけるセキュリティ上の問題点と、Javaでのセキュリティ機構を解説します。
  • さらに、セキュリティに配慮したシステム構築をJavaで行うための情報を提供します。

このページの内容:

Javaの開発者が考慮すべきセキュリティとは?

Java型のシステムのセキュリティ上の問題点

 Javaアプレットのようなダウンロード型オブジェクトを利用した分散システムでは、ローカルのコンピュータに自動的にダウンロードされて自動的に実行されるという性質を持っているために、ユーザに知られることなくローカルのコンピュータの環境に影響を与える可能性を持っています。例えば、話題になった「Mellisa」などのウイルスは、自動的には実行されないものの、ダウンロード型オブジェクトの性質を一部利用しています。

 また、一般のアプリケーションでもユーザに知られないところで、セキュリティやプライバシに影響を与えるような処理を行っている可能性があります。「Microsoft Word」などでユーザ固有の情報が密かに集められていたことなどが実例として存在します。

 もちろんJavaには限らないのですが、JavaアプレットやJavaアプリケーションは、セキュリティを侵す可能性がないとは言えません。

Javaのセキュリティ機構

 このような問題点に対して、Javaではいくつものセキュリティ機構を用意して、セキュリティ上の問題点を解決しています。Javaで使われているセキュリティ機構は、根本的にダウンロードされてくるプログラムを信用しないという観点に立つとともに、電子署名という技術を使い、利便性にも配慮した構造になっています。

 Javaを使ってシステムを構築する場合、システム全体のセキュリティに配慮するとともに、利用者の利便性も考慮しなくてはいけなければいけません。そのためには、Javaで使われているセキュリティ機構を理解し、このセキュリティ機構に沿ったプログラムとシステム仕様の作成を行う必要があります。Java Security Reportでは、このために必要な情報を提供します。

Javaでの電子署名と暗号

 Javaを使ったシステムは、ネットワーク環境を前提としていると言っても過言ではありません。ネットワーク上に情報を流す場合には、その情報そのもののセキュリティを考慮する必要があります。そのためにはプログラム中で使用する情報を暗号化したり、電子署名を作成する必要があります。JavaではこのためのAPIが用意されています。Java Security Reportでは、このAPIに関する情報も提供します。

Java Security Reportの内容

第1章 Javaとセキュリティ

  • ネットワークセキュリティの一般論
  • ダウンロード型オブジェクトのセキュリティ
  • 分散環境におけるセキュリティ

第2章 JDK1.0、JDK1.1のセキュリティモデル(SandBoxモデル)

  • Javaのプログラム実行のしくみ
  • SandBoxモデルとは
  • 署名付きアプレットとは

第3章 JDK1.1におけるアプレットへの署名と実行

  • 鍵ペアと公開鍵証明証の作成
  • アプレットへの署名方法
  • 公開鍵証明証の準備
  • appletviewerでの実行方法
  • Java Plug-inでの実行方法

第4章 Netscapeにおける署名付きアプレット

  • Netscape JavaVMのセキュリティ機構
  • アプレットへの署名方法
  • 特権を取得するためのAPIの利用方法

第5章 Java2のセキュリティモデル

  • 拡張SandBoxモデルとは
  • Java2における鍵ペアと公開鍵証明証の作成
  • Java2における署名付きアプレットの実行方法
  • Javaアプリケーションに対するアクセス制限と実行方法
  • 署名付きアプレットの実行環境の選択

第6章 電子署名を行うプログラムの作成

  • 電子署名に必要な鍵ペアの生成
  • 電子署名の生成と検証
  • 鍵の管理

第7章 Javaで利用できる暗号ライブラリ

  • 標準の暗号機構(Java Cryptography Extension)
  • 暗号化の鍵の生成と管理
  • 共通鍵暗号を用いた暗号化
  • MAC(Message Authentication Code)によるメッセージ認証
  • その他の暗号化関連の情報

その他
  • 内容は、状況に応じて変更、追加などが生じることがあります。
  • 内容に関するお問い合わせは、msyk@cserver.locus.co.jp(担当:新居雅行)まで、メールでお願いします。
  • Java Security Reportの情報を使って開発した結果、およびサンプルプログラムの利用については、著者および発行元には責任はないものとします。情報やサンプルプログラムの利用につきましては、購読者の方々の責任で行って下さい。

執筆者

阪倉一(さかくらはじめ)

  • コンピュータシステム関連企業において、セキュリティとJavaに関する業務に従事。雑誌、書籍などへのテクニカルライティングも行っている。

御購入方法
  • サイト構築・運営:新居雅行/Masayuki Nii
  • ロゴ制作:影山千絵/Chie Kageyama
  • Java and all Java-based marks are trademarks or registered trademarks of Sun Microsystems, Inc. in the United States and other countries. Locus Co. is independent of Sun Microsystems, Inc.