EDI セキュリティに関する既知の問題
このトピックでは、BIZTALK SERVER EDI および AS2 ソリューションのセキュリティに関する既知の問題について説明します。
証明書が設定されていないパーティからの署名付きメッセージが BizTalk によって中断されない
[パーティのプロパティ] ページの [証明書] ノードでパーティに署名証明書が設定されていないが、そのパーティからの着信メッセージが署名付きである場合は、BizTalk Server がメッセージを中断せず、証明書の不在に基づいて例外を発行します。
[パーティ - AS2 メッセージの送信者] ページで受信メッセージ プロパティをオーバーライドし、"メッセージに署名を付ける" プロパティをクリアすると、署名付き受信メッセージは停止されます。
ファイルの改ざん防止のために、プログラム ファイル フォルダーへのアクセスが制限される場合がある
認証されていないユーザーが BizTalk Server の実行可能ファイルおよび EDI スキーマを格納するプログラム ファイル フォルダーにアクセスできる場合、それらのファイルはそのようなユーザーによって変更される可能性があります。 このような脅威から保護するためには、プログラム ファイル フォルダーでアクセス制御リスト (ACL) を使用し、アクセスを、信頼されているユーザーのみに制限できます。
文字数の多いフィールドを含むスキーマがサービス拒否の攻撃を受けやすい
文字数の多いフィールドを含むカスタム スキーマは、サービス拒否の攻撃の対象になる可能性があります。 BizTalk Serverに付属するスキーマには長いフィールドがないため、一般にこのような攻撃の影響を受けにくいです。
制御番号が最大文字数を超えると、メッセージの処理が中止される
インターチェンジ、グループ、またはトランザクション セットの制御番号の最大文字数は制限されています。 これらの制御番号の文字数が最大文字数を超えると、単一パーティを対象としたそのエンコードの種類のすべてのメッセージの処理は中止されます。 別のエンコードの種類 (たとえば X12 ではなく EDIFACT など) のメッセージは影響を受けません。 これは、セキュリティの脆弱性を表している場合があります。
シーケンス番号の文字数が最大文字数を超えると、ユーザーは影響を受けたパーティについて、EDI プロパティでシーケンス番号をリセットする必要があります。 番号をリセットしたら、そのエンコードの種類のすべてのメッセージの処理を再開できます。
X12 メッセージの場合、制御番号の最大文字数は 9 桁です。 EDIFACT メッセージの場合、制御番号の最大文字数は、3 つのフィールドを合わせて 14 桁です。
HTTP アダプターと共に EDI 受信パイプラインを使用した場合に確認が送信されないと、接続が開いたままになる
トランスポートの種類が HTTP であり、EDIReceive パイプラインを使用する受信場所を作成すると、セキュリティ上の問題が発生する可能性があります。 EdiReceive パイプラインでは、HTTP の "200 OK" 受信確認は生成されません。 EDI の受信確認が返されないと、接続が正常に終了せず、開いたままになります。 接続は、接続タイムアウト期間が経過したときにタイムアウトになります。
AS2EdiREceive パイプラインには、この問題はありません。
ポートベースの認証が有効で、BizTalk Server が認証情報およびセキュリティ情報にアクセスできない場合、X12 でエンコードされたメッセージが中断される
症状:
BizTalk Server は、認証が有効になっている受信ポートでメッセージを受信したときに、そのメッセージを送信したパーティを特定できなければ、メッセージを中断します。
考えられる原因
受信ポートで認証が有効になっている (受信ポートの "認証しない" プロパティがオフになっている) 場合、インターチェンジを処理するためには、BizTalk Server で ISA1 ~ ISA2 (認証修飾子および認証情報) プロパティおよび ISA3 ~ ISA4 (セキュリティ修飾子およびセキュリティ情報) プロパティが設定されている必要があります。 これらのパーティのプロパティは、パーティの [X12 インターチェンジ処理のプロパティ] ページでインターチェンジの送信者として設定されます。 これらのプロパティの値を決定できない場合、BizTalk Server はメッセージを中断します。
これは、2 つの方法で発生する可能性があります。 最初のケースでは、メッセージを送信したパーティを特定できない場合、BizTalk Server は EDI グローバル プロパティを使用するため、認証およびセキュリティの設定にアクセスできません。 その結果、メッセージは中断されます。 2 番目のケースでは、BizTalk Serverがパーティを決定するが、パーティの ISA1-2 および ISA3-4 プロパティが構成されていない場合、BizTalk Serverは再び承認情報とセキュリティ情報にアクセスできなく、メッセージを中断します。
解決策
メッセージの送信側パーティを識別できること、およびパーティ アグリーメントで ISA1 ~ ISA2 および ISA3 ~ ISA4 プロパティが定義されていることを確認します。