更新日:2014年02月12日
Java Runtime Environment (JRE) 7 では、Update 10 以降、セキュリティ機能の強化が図られています。 特に、Update 51より、"信頼できる認証局からのコード署名"、"マニフェスト属性" のセキュリティ要件が変更され、 該当要件を満たしていない Java アプレットや Web Start アプリケーションが正常に動作しなくなる事象が生じる可能性があります。
Java アプレットや Web Start アプリケーションを使用している日立製品
Java アプレットや Web Start アプリケーションが正常に動作しなくなる事象が生じる可能性があります。
各製品から発信されている注意事項に沿って、対処してください。
HP-UX AAA Server
HP Integrity Virtual Server Manager
Hitachi Universal Storage Platform
Hitachi Network Storage Controller
Hitachi Unified Storage Platform V
Hitachi Unified Storage Platform VM
Hitachi Virtual Storage Platform
Hitachi Unified Storage VM
Hitachi Adaptable Modular Storage
Hitachi Workgroup Modular Storage
Hitachi Adaptable Modular Storage2000
Hitachi Unified Storage 100
JP1/Integrated Management - Manager(WWWページ版のJP1/Integrated Management - View機能使用時だけ該当)
JP1/Data Highway - Server
JP1/Cm2/SNMP System Observer
JP1/Integrated Management - Universal CMDB
JP1/Server Conductor/Blade Server Manager
JP1/Server Conductor/Deployment Manager
uCosminexus TP1/Client/J
Symantec Scan Engine, Symantec Protection Engine for Cloud Services
Hitachi Unified Compute Platform Pro for VMware vSphere(R) (IaaS基盤モデル) の Hitachi Unified Compute Platform Director
HA8000シリーズ, HA8000-bdシリーズ, Blade Symphonyシリーズ
日立アドバンストサーバHA8000シリーズ
統合サービスプラットフォームBladeSymphony
JP1/Integrated Management - Manager
(WWWページ版のJP1/Integrated Management - View機能使用時だけ該当)
JP1/Data Highway - Server
JP1/Cm2/SNMP System Observer
JP1/Integrated Management - Universal CMDB
JP1/Server Conductor/Blade Server Manager
JP1/Server Conductor/Deployment Manager
uCosminexus TP1/Client/J
Symantec Scan Engine, Symantec Protection Engine for Cloud Services
Hitachi Unified Compute Platform Pro for VMware vSphere(R) (IaaS基盤モデル) の Hitachi Unified Compute Platform Director
JRE 7 の 各 Update のセキュリティ機能強化は、次の通りです。
Java コントロールパネルに例外サイトリストが追加されました (図A1)。
また、7u51 を利用する際には、使用中のリッチインターネットアプリケーション(RIA:Rich Internet Applications、Java アプレットや Java Web Start アプリケーションのこと) に、次の2つが含まれている必要があります (表1)。
表1:セキュリティ要件と 7u45/7u51 での動作状況
| セキュリティ要件 | 7u45 | 7u51 | |
|---|---|---|---|
| コード署名 | マニフェスト権限属性 | ||
| なし | なし | セキュリティダイアログ (図4) | 実行がブロックされる (図A2、図A3) |
| あり | |||
| あり | なし | セキュリティダイアログ (図3) | |
| あり | セキュリティプロンプト (図7) | ||
図1:マニフェストファイル(MANIFEST.MF)の構成 [*1]
図A1:7u51 の Java コントロールパネル
図A2:7u51 実行をブロックするエラー表示の例(自己署名付きの場合)
図A3:7u51 実行をブロックするエラー表示の例(マニフェスト権限属性未設定の場合) [*2]
Java コントロールパネルにセキュリティプロンプトの復元ボタンが追加されました (図2)。復元ボタンは、セキュリティプロンプトで「次回から表示しない」オプションを選択し非表示にしたプロンプトをリセットする機能です。また、マニフェスト権限属性の設定に対する機能強化の一環として、「JAR ファイルのマニフェストに権限属性が含まれていないため、このアプリケーションは、今後の Java セキュリティアップデートでブロックされます」というメッセージがセキュリティダイアログで表示されるようになりました (図3)。
図2:7u45 の Java コントロールパネル
図3:7u45 マニフェスト権限属性の未設定を警告するセキュリティダイアログの例
「信頼できる認証局からのコード署名」に対する機能強化の一環として、署名なしおよび自己署名付きのアプリケーションに対するセキュリティが強化され、「このアプリケーションでは次回から表示しない」のオプションが使用できなくなりました。さらに、「安全でなくセキュリティ上のリスクが生じる可能性があるため、将来のリリースでブロックされます」というメッセージがセキュリティダイアログで表示されるようになりました (図4)。
証明書の使用制限では、Java 7 Update 40 (7u40) 以降、1024 ビット未満の RSA 鍵を持つ証明書の使用が制限 (証明書の鍵長の最小値に対する制限) されます。また、ホワイトリストへの登録では、デプロイメントルールセットを使用してユーザのコンピュータ上で実行する特定の Java アプリケーションをホワイトリストに登録できるようになりました。
図4:7u40 自己署名付きのアプリケーションを警告するセキュリティダイアログの例
署名付き Java アプレットおよび Java Web Start アプリケーションが実行される前に、署名証明書が期限切れでないこと、つまり失効していないことがチェックされ、失効している場合には、セキュリティダイアログが表示されるようになりました (図5)。 また、マニフェストファイルに、権限属性および codebase 属性が導入されました (図1)。
図5:7u25 証明書の失効を警告するセキュリティダイアログの例
Java コントロールパネルのセキュリティレベルから低およびカスタム設定が削除されました (図6)。 また、ブラウザで Java コンテンツ (アプレットとアプリケーションを含む) の実行を許可する前に、確認を求めるセキュリティプロンプトが表示されるようになりました (図7)。
図6:7u21 の Java コントロールパネル
図7:7u21 ユーザの確認を促すセキュリティプロンプトの例
Java アプリケーションの実行を明示的に許可するチックボックス、セキュリティレベルを選択する機能が導入されました (図8)。
図8:7u10 の Java コントロールパネル
グローバルサイン:
重要な電子文書にデジタル署名。広報にも役立っています
