サーバーセキュリティと SSL/TLS 証明書について
Symantec Data Loss Prevention
では、サーバー間で伝送されるすべてのデータは Secure Socket Layer/Transport Layer Security (SSL/TLS) を使って暗号化されます。また、SSL/TLS プロトコルはサーバー間の相互認証にも使われます。認証は、クライアントおよびサーバー側で証明書を必ず使うことで、サーバーに実装されます。 Enforce Server 管理コンソール Web アプリケーションでは、インシデントとポリシーを表示、管理したり、
Symantec Data Loss Prevention
を設定することができます。Web ブラウザを使ってこのインターフェースにアクセスします。Enforce Server とブラウザは安全な SSL/TLS 接続を介して通信します。機密性を確保するために、Enforce Server とブラウザ間のすべての通信は対称キーを使用して暗号化されます。接続開始時に、Enforce Server とブラウザは暗号化アルゴリズムを交信します。交信にはアルゴリズム、キーサイズ、エンコードに加えて暗号化キー自体が含まれます。「証明書」はキーストアパスワードとともに使われるキーストアファイルです。用語の「証明書」と「キーストアファイル」は、多くの場合区別なく使われます。デフォルトでは、
Symantec Data Loss Prevention
サーバー、Enforce Server およびブラウザ間のすべての接続には自己署名の証明書が使われます。この証明書は Symantec Data Loss Prevention
ソフトウェアに安全に埋め込まれます。デフォルトでは、すべてのユーザーのインストールのすべての Symantec Data Loss Prevention
サーバーでこの同じ証明書を使います。既存のデフォルトセキュリティは厳格な基準を満たしていますが、シマンテック社は、暗号化セキュリティを強化する keytool と sslkeytool ユーティリティを提供します。
- keytoolユーティリティは Web ブラウザと Enforce Server 間の通信を暗号化するために新しい証明書を生成します。この証明書はインストールに対して一意です。
- sslkeytoolユーティリティは Enforce Server と検出サーバー間の安全な通信のために新しい SSL サーバー証明書を生成します。これらの証明書はインストールに対して一意です。これらの新しい証明書は、インストールされているすべてのSymantec Data Loss Preventionに付属する単一のデフォルト証明書に置き換わります。Enforce Server に 1 つの証明書を格納し、インストール内の各検出サーバー上に 1 つの証明書を格納します。Symantec Data Loss Preventionサーバーとの通信に専用の証明書を作成することを推奨します。生成された証明書を使うように Enforce Server を設定すると、インストールにおけるすべての検出サーバーも、生成された証明書を使う必要があります。一部の検出サーバーで組み込みの証明書を使って、他のサーバーで生成された証明書を使うことはできません。ホスト環境にネットワーク予防検出サーバーをインストールする場合は、Symantec Data Loss Preventionサーバーの一意の証明書を生成してください。ホストされたネットワーク予防サーバーと通信するために組み込みの証明書を使うことはできません。
また
Symantec Data Loss Prevention
サーバーと Active Directory やメール転送エージェント (MTA) によって使われる他のサーバー間の安全な通信も必要な場合があります。