Adobe® Reader® XI と Adobe Acrobat ® XI で PDF の セキュリティが
by user
Comments
Transcript
Adobe® Reader® XI と Adobe Acrobat ® XI で PDF の セキュリティが
Adobe Acrobat および Adobe Reader ホワイトペーパー Adobe® Reader ® XI と Adobe Acrobat® XI で PDF の セキュリティが飛躍的に向上 Acrobat XI ファミリー製品のさらに高い安全水準 目次 Adobe Reader XI および Adobe Acrobat XI では、PDF ドキュメントおよびデータのセキュリティがさらに飛躍的に向上してい 1: アプリケーションセキュ ます。従来のバージョンの Adobe Acrobat ファミリー製品同様、Reader XI および Acrobat XI は、セキュリティを重視する体 リティの強化 4: オペレーティングシステ ムのアーキテクチャとの 緊密な連携 5: 展開と管理の簡易化によ る総所有コストの低減 6: コンテンツセキュリティ 7: まとめ 制のもとで開発されています。強力なアプリケーションセキュリティ、ユーザーレベルと管理者レベルのきめ細かいセキュリ ティ制御が実装され、近ごろ急増中の APT(Advanced Persistent Threats)攻撃によって組織の知的財産が電子的に盗み出さ れないよう保護します。さらに、オペレーティングシステムとの緊密な連携、展開と管理を合理化するためのツールにより、 従来のバージョンの Reader および Acrobat と比べ、総所有コスト(TCO)が大幅に低減されます。 アドビ製品使用時のデータの安全性を確保するために、Adobe Secure Software Engineering Team(ASSET)および Adobe Product Security Incident Response Team(PSIRT)の両チームが協力して取り組んでいます。またアドビでは、Microsoft Active Protections Program(MAPP)にも協力し、ウイルス対策ベンダー、侵入検知・防止策ベンダーなどのセキュリティソ フトウェアプロバイダーとの間で製品の脆弱性に関する効果的な情報共有を行っています。これにより、業界を挙げての協力 のもとで Acrobat XI および Reader XI の脆弱性リスクを低減していく体制を確立しています。 Reader XI お よ び Acrobat XI に搭載されているセキュリ テ ィ 強 化 機 能 は、PDF フ ァ イル形式を利用した次のよ うな攻撃に対応しています。 •ユーザーのシステムへのマ ルウェアのインストール •ユーザーのシステムからの 機密データの抽出 アプリケーションセキュリティの強化 Reader XI の保護モード 悪意のあるコードには、PDF 形式を使用してコンピューターのファイルシステムに対し書き込みまたは読み取りを試みるもの があります。このようなコードからユーザーおよびユーザーが属する組織を保護するために、アドビでは Adobe Reader X 以 降の製品に保護モードと呼ばれる最先端のサンドボックス技術を実装しています。 Adobe Reader XI の保護モードは、攻撃者がユーザーのシステムにマルウェアをインストールできないようブロックするだけ ではありません。さらに保護レベルが強化され、悪意のある個人がユーザーのコンピューターまたは企業ネットワーク上の機 密データおよび知的財産にアクセスしたり、これらを抽出できないようになっています。 Reader XI の起動時、保護モードはデフォルトで常に有効になっています。このモードでは、プログラムに付与されるアクセ スレベルを制限することで、コンピューターのファイルシステムに対する書き込みまたは読み取り、ファイルの削除、システ ム情報の改ざんなどを試みる悪意のある PDF ファイルから、Windows® を実行中のシステムを保護します。 サンドボックスとは サンドボックスとは、セキュ リティ専門家の間で高く評価 されている手法の 1 つで、隔 0S ユーザー主導 離した環境の中で権限または セキュリティ特権を低下させ た状態でプログラムを実行す 呼び出し ることを指します。サンドボッ クスを使用すると、実行可能 Reader の 仲介プロセス コードを含む信頼されないド キュメントによる損 害から、 APIs ユーザー の システムを 保 護 することができます。Adobe Reader の 場 合、 す べ て の PDF ファイルと、PDF ファイ IPC ルによって起動されるすべて のプロセス が、 信 頼され な いコンテンツに該 当します。 新しい信頼の境界 Reader XI で は、 す べ て の PDF ファイルを潜在的に有害 であると見なし、PDF ファイ 指定オブジェクト PDF 主導 ルの処理をすべてサンドボッ クス内で実行します。 読み取り 読み取り/書き込み (制限) サンドボックスプロセス ファイルシステム レジストリ またアドビでは、製品ライフサイクルのあらゆる段階にセキュリティ機能を組み込む、Adobe Secure Product Lifecycle(SPLC) プロセスに取り組んでおり、その一環として、既存コードの定期的な再評価と必要に応じた強化を行っています。これにより、 アドビ製品使用時のアプリケーションセキュリティがさらに強化され、データの安全性も向上します。 Acrobat XI の保護されたビュー 保護されたビューとは、Adobe Reader の保護モードと同じくサンドボックス技術の実装の一種で、Adobe Acrobat の豊富な 機能に対応しています。Acrobat XI では、保護されたビューの機能が拡張されており、PDF ファイルを利用してコンピューター のファイルシステムで悪意のあるコードを実行する書き込みベースの攻撃だけでなく、PDF ファイルを通じて機密データや知 的財産を盗み出す読み取りベースの攻撃もブロックできます。 保護されたビューでも、保護モードと同じく、信頼されないプログラム(例えば、あらゆる PDF ファイルとそこから起動され るプロセス)を、機能制限されたサンドボックスの中に隔離して実行します。この仕組みが、PDF 形式を利用した悪意あるコー ドによってコンピューターのファイルシステムへの書き込みまたは読み取りが実行されるのを防ぎます。 保護されたビューは、悪意あるコードがどの PDF ファイルにも含まれる潜在的な可能性があることを前提に機能するので、ユー ザーが具体的な個別のファイルを信頼できると判断した場合以外はサンドボックス内で処理を実行します。保護されたビュー は、ユーザーが PDF ドキュメントを単体の Acrobat XI アプリケーション上で開く場合と、ブラウザー上で開く場合の両方をサ ポートしています。 Adobe Acrobat および Adobe Reader ホワイトペーパー 2 悪意を含んでいる可能性があるファイルを保護されたビューで開くと、Acrobat の表示ウィンドウの上部に黄色のメッセージ バー(YMB)が表示されます。このバーは、それが信頼できないファイルであることと、現在は保護されたビューで動作して いるので Acrobat の機能の多くが無効化され、ファイルに対する操作が制限されることを示しています。簡単にいえば、ファ イルは読み取り専用モードで表示され、悪意ある埋め込みコンテンツや付随するコンテンツがシステムに手を加えることはで きないようになります。ファイルを信頼して Acrobat XI の機能をすべて有効にするには、YMB 上の「すべての機能を有効にする」 ボタンをクリックします。このボタンをクリックすると、保護されたビューが終了し、Acrobat でセキュリティ特権付きとし て扱われる場所のリストにそのファイルが追加されます。ファイルに永続的な信頼が設定され、以降、その信頼された PDF ファ イルを開くときには、保護されたビューによる制限が適用されません。 ホワイトリストフレーム ワーク セキュリティ特 権 の 場 所を 使 用してファイル をホワイ トリスト指定することで、信 頼され るワークフローで の JavaScript の実行を選択的に 有効にできます。セキュリティ JavaScript の実行 Acrobat XI ファミリーでは、Windows 環境でも、Mac OS X 環境でも、JavaScript のホワイトリストおよびブラックリスト指定 をきめ細かく制御できます。 Adobe Reader XI では、Adobe JavaScript ホワイトリストフレームワークを使用して、特定の PDF ファイル、サイト、ホスト、 信頼済みの証明書で署名されたドキュメントの JavaScript を選択して有効化できます。この機能は、Windows と Mac OS X の 両方の環境に対応しています。Adobe Reader XI の新機能である「セキュリティ特権の場所」でも、Win OS セキュリティゾー 特権の場所を有効にすると、 ンや証明済み文書に基づいて、または特定のファイル、フォルダー、ホストを追加することで信頼を付与できるため、信頼で Win OS セキュリティゾーンや きるワークフローで JavaScript を有効にできます。 証明済み文書に基づいて、ま たは特定のファイル、フォル Adobe JavaScript ブラックリストフレームワークは、ビジネスワークフローの中で JavaScript を使用できるようにしつつ、特 ダー、ホストを追加すること 定の JavaScript API 呼び出しを狙った攻撃からユーザーとシステムを保護する仕組みです。特定の JavaScript API 呼び出しをブ で、信頼を付与できます。 ラックリストに追加すれば、その呼び出しの実行はブロックされます。JavaScript を完全に無効にする必要はありません。特 定の JavaScript API 呼び出しをブロックする設定を個々のユーザーが上書きできないようにして、組織全体を悪意のあるコー ドから保護することもできます。ブラックリストは、Windows 環境では Windows レジストリを使用して管理され、Mac OS X 環境では Mac OS X FeatureLockdown ファイルに保存されます。 クロスドメイン構成 Acrobat XI ファミリー製品では、Windows クライアントでも Mac OS X クライアントでも、無制限のクロスドメインアクセス は初期設定で無効になっています。これは、攻撃者が PDF ファイルを利用して他のドメインのリソースにアクセスすることを 防止するためです。 Acrobat XI および Reader XI には、サーバーベースのクロスドメインポリシーファイルをサポートする機能が組み込まれており、 ドメインをまたいだデータ処理が必要な場合はポリシーファイルによって許可できます。クロスドメインポリシーファイルは、 リモートドメインに置かれる XML ドキュメントです。これを使用すると、ソースドメインにアクセスし、Acrobat XI または Reader XI のトランザクションを続行することが可能になります。 アドビのクロスドメインサポートは次のような場合に有効にします。 • 特定のドメイン間でクロスドメインアクセスを行うことや、デジタル証明書に基づく認証などの機能を利用することが必要 な場合 • クロスドメインのアクセス許可をサーバーベースの単一の場所で一元管理する必要がある場合 • フォームデータの返信を求める複数のドメインからのデータリクエスト、SOAP リクエスト、ストリーミングメディアの参照、 Net HTTP リクエストなどのワークフローを実装する場合 あるドメインからユーザーが ファイルを開き、そのファイ ルが他のドメインからデータ を読み込もうとする。 クライアントは、クロスドメ インポリシーファイルのアク セス許可に基づいて接 続を 許 可 することで、a.com と b.com 間の接続を制御する。 1 参照 4 アップロード 2 ポリシーの アクセス許可 3 データの 読み取り a.com SWF、PDF など b.com/crossdomain.xml フォームデータ、コンテンツなど Adobe Acrobat および Adobe Reader ホワイトペーパー 3 わかりやすいセキュリティ警告 Acrobat XI ファミリーでは、YMB でセキュリティ警告をわかりやすく表示します。従来のダイアログボックスと異なり、この YMB はページのコンテンツを遮ることがないため、警告をすばやく確認して対応できます。 Acrobat XI および Reader XI では、YMB は、警告またはエラーメッセージとともにドキュメントの上部に表示されます。ユー ザーは、このドキュメントを 1 回だけ信頼するか、常に信頼するかを選択できます。常に信頼することを選択した場合、ドキュ メントは、セキュリティ特権扱いのドキュメントとしてリストに追加されます。 拡張セキュリティが有効になっており、PDF ファイルがセキュリティ特権の場所または信頼済みの場所として設定されていな い場合、このファイルが次のような操作を実行しようとすると、潜在的な危険性があるため YMB が表示されます。 • クロスドメインアクセスの開始 • セキュリティ特権が設定された JavaScript の実行 • JavaScript によって呼び出された URL の呼び出し • ブラックリストに含まれる JavaScript API の呼び出し • データのインジェクション • スクリプトのインジェクション • 従来形式の埋め込みマルチメディアの再生 ユーザーは、このドキュメントを 1 回だけ信頼するか、常に信頼するかを「オプション」ボタンで選択できます。信頼済みの 企業ワークフローで YMB が表示されないように、ファイル、フォルダー、ホストの信頼について企業全体で事前に設定する こともできます。 オペレーティングシステムのアーキテクチャとの緊密な連携 常時作動のセキュリティ Acrobat XI ファミリー製品では、デスクトップシステムの制御やメモリの破壊を試みる攻撃に対して追加の防御レイヤーを装 備するために、Windows および Mac OS X オペレーティングシステムに組み込まれている常時作動のセキュリティ保護機能を 活用します。 データ実行防止(DEP)は、Windows オペレーティングシステムで「保護」扱いとされているメモリ領域にデータや危険なコー ドが配置されるのを防ぐ機能です。Apple の Mac OS X Lion にも、スタックおよびヒープベースの DEP など、同様の実行可能 ファイル保護機能が備わっています。この保護は 32-bit および 64-bit アプリケーションにまで拡張されているため、すべての アプリケーションで攻撃への耐性が強化されます。 Address Space Layout Randomization(ASLR)は、システムコンポーネントのメモリやページファイルがある場所を攻撃者に 発見されにくくする機能です。ASLR は Windows と Mac OS X Lion の両方に採用されています。Mac OS X Lion では、ASLR が 32-bit および 64-bit アプリケーションにまで拡張されています。 レジストリレベルの構成と plist 構成 Acrobat XI ファミリー製品には、レジストリレベルの設定(Windows)や plist 設定(Mac OS)などのセキュリティ設定を管 理するための、様々なツールが用意されています。これらの設定を使用すれば、展開の前後に次のようなクライアントの設定 を行うことができます。 • 拡張セキュリティを有効または無効に切り替える • セキュリティ特権の場所を有効または無効に切り替える • 事前定義されたセキュリティ特権の場所を指定する • 特定の機能をロックしてアプリケーション UI を無効化し、エンドユーザーによる設定変更ができないようにする • その他の多種多様なセキュリティ関連機能について、有効と無効の切り替えや設定操作を行う Adobe Acrobat および Adobe Reader ホワイトペーパー 4 展開と管理の簡易化による総所有コストの低減 ソフトウェアセキュリティの堅牢化 保護モードや保護されたビューのようなセキュリティ機能強化は、今後の脅威に対して Reader および Acrobat の堅牢性を高 めるためにアドビが行っている様々な取り組みのごく一部に過ぎません。ソフトウェアが攻撃に強くなれば、システムの運用 停止を伴うセキュリティ更新の必要性を低減または排除することができ、定期的な更新についても緊急度を下げることができ ます。そうした対策全般が運用の柔軟性向上と TCO の低減につながり、特に、セキュリティ保証の要件が厳しい大規模な運 用環境では非常に大きな効果があります。 Citrix のサポートとアプリケーション仮想化 Windows Server® 2008 にインストールされた Citrix XenApp 6.0 および 6.5 ならびに Windows Terminal Server が新たにサポー トされたことにより、Acrobat XI および Reader XI を仮想環境に展開できるようになりました。 Adobe Reader および Acrobat での Multilingual User Interfaces のサポート Adobe Reader Multilingual User Interface(MUI)および Adobe Acrobat MUI により、様々な言語バージョンのインストールプ ロセスが簡易化されます。世界各国に拠点を持つ企業は、この機能を使用することで、サポートされている言語を自由に組み 合わせて迅速に展開できます。MUI を使用すれば、Reader または Acrobat の世界共通の同一イメージを 1 回のインストールジョ ブでロールアウトできます。ユーザーインターフェイスの言語は、ローカルユーザーが選択することも、管理者が部署のグルー プポリシーを使用して設定することもできます。 Windows Server グループポリシーオブジェクトと Microsoft Active Directory のサポート Windows Server グループポリシーオブジェクト(GPO)と Microsoft Active Directory により、コンピューターシステムの 1 対多の管理が可能です。Reader XI および Acrobat XI では、 グループポリシー用の Microsoft Active Directory Administrative (ADM) テンプレートが新たにサポートされており、オンデマンドでソフトウェアをインストールしたり、アプリケーションを自動修 復できます。展開後にさらにアプリケーションの設定が必要な場合は、ADM テンプレートを使用して必要な設定を組織全体 に適用できます。 Microsoft SCCM および SCUP のサポート Acrobat XI ファミリー製品では、Microsoft System Center Configuration Manager(SCCM)を使用して効率よく更新プログラ ムを読み込み、配布することができます。これにより、管理対象の Windows デスクトップを常に最新のセキュリティパッチ や更新プログラムが適用された状態に保つことができます。 Microsoft System Center Updates Publisher(SCUP)カタログがサポートされたことにより、ソフトウェアの初期展開が効率化 されるうえ、組織内の Acrobat XI および Reader XI の更新も自動化できます。SCUP により、アドビが発行した更新プログラ ムは即座に自動的に読み込まれるため、展開した Acrobat XI および Reader XI が効率的に更新されます。SCCM および SCUP との統合機能を活用すれば、組織全体に対して簡単、迅速にパッチを適用できるので、アドビソフトウェアの TCO 低減効果 を期待できます。 Apple Package Installer および Apple Remote Desktop のサポート Acrobat XI ファミリー製品では、独自の Adobe Installer に代わって、Mac OS X に標準装備されている Apple Package Installer が採用されています。これにより、Acrobat および Reader を企業の Macintosh デスクトップに簡単に展開できます。ソフトウェ アの初期展開からその後のアップグレードおよびパッチ適用まで、Apple Remote Desktop 管理ソフトウェアを使用して一元 的に管理できます。 定期的に発行される累積ソフトウェア更新およびパッチ ソフトウェアが最新の状態に維持されるよう、アドビでは、機能のアップグレードやセキュリティの修正を含む更新プログラ ムを定期的に配信しています。また、ゼロデイ攻撃に早急に対応するために、必要に応じてパッチも提供しています。システ ムを最新の状態に保つための手間とコストを抑えられるように、提供するパッチにはできるだけ累積的な内容を含めています。 また、これらのセキュリティパッチは、既存のインストールシステムやフワークフローとの互換性を確保するために、リリー ス前にアドビが積極的にテストを実施しています。 各アップデートの実施予定日は、Adobe PSIRT のブログ(blogs.adobe.com/psirt )で前もって発表されます。 アドビ製品の最新のセキュリティ速報については、www.adobe.com/jp/support/security をご覧ください。 ア ド ビ 製 品 と セ キ ュ リ テ ィ 機 能 に つ い て 詳 し く は、 ア ド ビ セ キ ュ リ テ ィ ラ イ ブ ラ リ(www.adobe.com/go/learn_acr_ appsecurity_jp )をご覧ください。 Adobe Acrobat および Adobe Reader ホワイトペーパー 5 Adobe Customization Wizard および Enterprise Toolkit アドビでは、企業における大規模運用をより的確に管理するために役立つ次のツールを提供しています。 • Customization Wizard for Acrobat XI — 無料でダウンロードできるユーティリティです。Acrobat のインストーラーをカスタ マイズして、導入前にアプリケーションの機能を構成できます。 • Acrobat および Windows 向け Adobe Enterprise Toolkit(ETK)— カスタマイズ可能な自動更新型のアプリケーションで、アド ビの環境設定リファレンスが収録されています。また、大企業の IT 管理者に役立つ様々なリソースが付属し、その内容は随時 拡充されています。 コンテンツセキュリティ 現代のようなコンピューター社会では、未承認のユーザーによるアクセスをブロックするネットワーク境界のセキュリティ対 策(ファイアウォールなど)だけでは十分とはいえません。機密データ、知的財産、その他の情報アセットが、非意図的にも 意図的にも、ネットワークから流出しないように保護することが重要です。 この目的を達成するために、アドビでは、電子署名、権限の管理、およびドキュメントの最も効果的な事例など、PDF ドキュ メントに含まれる情報の保護や認証に役立つ業界標準のメカニズムを多数サポートしています。 電子署名 電子署名を利用すると、印刷やファックス送信、郵送といった紙ベースのプロセスで手書きの署名を返送するよりも時間や費 用を節約できます。また、改ざんのない正当なドキュメントコンテンツが受領されたことをドキュメントの作成者と受領者の 双方が確認できます。Reader XI および Acrobat XI では、署名用の証明書を使用して簡単にドキュメントに署名を追加できます。 証明書は、ユーザー自身が作成することも、ユーザーの身元を単独で検証するサードパーティの認証機関が発行したものを使 用することもできます。 権限の管理 Acrobat XI ファミリー製品では、Adobe LiveCycle® Rights Management ES3 サーバーソフトウェアの権限管理機能を利用して 機密データを保護し、外部への漏洩や悪用を防ぐことができます。データに対するアクセス、印刷、コピーおよび編集操作の 可否を、ドキュメント単位、ユーザー単位、グループ単位のいずれかで管理でき、使用されているドキュメントについても管 理ポリシーを動的に変更できます。しかも、Adobe Reader があればコンテンツには誰でも安全にアクセスできます。保護さ れたドキュメントを参照するのは簡単で、受信者が追加の製品やプラグインを購入したりダウンロードしたりする必要はあり ません。 Adobe LiveCycle の権限管理機能と Adobe Insight のリアルタイム解析および視覚化ソリューションを組み合わせると、文書流 出のリスクをさらに低減できます。保護されたファイルにアクセスした人物や、これを印刷した人物を特定し、有害となりう るエンドユーザーの行動を発見できます。強力な権限管理機能とエンドユーザーの行動をモニタリングする直感的な機能を併 用することで、世界中のシステムおよびチームのネットワークにおいて、コンテンツのアクセスパターンと利用パターンを動 的に特定し、管理できます。 最善な方法の徹底 Acrobat XI の新たなアクションウィザード機能を使用すれば、ドキュメントのプロセスを簡単にスクリプト化して、組織全体に 展開できます。これにより、一般公開用のドキュメントは最も効果的な事例に従って作成および保護されることになります。 機密情報の管理 削除ツールや強力な墨消しツールを使用して、ファイル内の機密情報を一貫してすばやく削除できます。強力な標準ベースの 暗号化技術により、エンドユーザーは、パスワードとアクセス許可を設定して PDF ドキュメントへのアクセスを制御したり、 変更を禁止できます。 Adobe Acrobat および Adobe Reader ホワイトペーパー 6 まとめ Acrobat XI ファミリー製品では、PDF ドキュメントおよびデータのセキュリティが飛躍的に向上しています。アプリケーショ ンセキュリティの拡張、企業の機密データや知的財産の保護、コンピューターシステムへの危険なマルウェアのインストール 防止、きめ細かい JavaScript の制御、他ツールとの連携による企業規模の運用の合理化など、Adobe Reader XI および Adobe Acrobat XI には、従来の Acrobat ファミリー製品よりも低い TCO でレベルの高いセキュリティを実現する様々な機能が備わっ ています。 また、Acrobat XI および Reader XI の開発は、アドビが擁する製品セキュリティ専門家集団である Adobe Secure Software Engineering Team(ASSET)の支援のもとで行われています。ASSET は、Adobe PSIRT とも協力しながら、ユーザーデータの 安全性とセキュリティをあらゆる場面で確保できるようにするための活動を展開しています。 アドビ システムズ 株式会社 〒 141-0032 東京都品川区大崎 1-11-2 ゲートシティ大崎 イーストタワー www.adobe.com/jp Adobe Systems Incorporated 345 Park Avenue San Jose, CA 95110-2704 USA www.adobe.com Adobe, the Adobe logo, Acrobat, and Reader are either registered trademarks or trademarks of Adobe Systems Incorporated in the United States and/or other countries. Microsoft and Windows are either registered trademarks or trademarks of Microsoft Corporation in the United States and/or other countries. All other trademarks are the property of their respective owners. © 2012 Adobe Systems Incorporated. All rights reserved. Printed in Japan. 91073815 8/12