エミックはClaris FileMakerのセキュリティを向上するための活動を行っています。
お客さまに安全にサーバーをご利用いただくために
インターネットに接続されているサーバーを安全に運用するためには、セキュリティやネットワークに関する知識は必須と言えます。エミックは、20年以上に渡って、Claris FileMakerに特化したホスティングサービスを提供していますが、お客さまにより安全にサーバーをご利用いただけるよう常に努めています。その一環として、セミナーや勉強会でセキュリティ関連の講演を担当したり、Claris FileMakerに見つかったセキュリティ脆弱性の報告や修正済みのセキュリティ脆弱性に対する対策方法の周知を行っています。
Claris FileMakerで過去に発見された脆弱性
これまで過去に発見された、Claris FileMakerのセキュリティ脆弱性には次のようなものがあります。次の例はすべて、過去に弊社が報告した問題です。
- インスタントWeb公開におけるクロスサイトスクリプティングの脆弱性(CVE-2007-6104、CVE-2014-5322)
- FileMaker ProにおけるSSLサーバー証明書検証不備の脆弱性(CVE-2014-5321)
- FileMaker ServerにおいてPHPソースコードが閲覧可能な問題(CVE-2016-1208)
セキュリティの向上にはバージョンアップも必要
上記の脆弱性は、IPA(情報処理推進機構)の情報セキュリティ早期警戒パートナーシップガイドラインに基づき、弊社がIPAに報告し、JPCERT/CCがベンダーとの調整を行いました。
例えば、SSLサーバー証明書検証不備の脆弱性は、中間者攻撃による暗号通信の盗聴などが行われる可能性があったというものです。FileMaker 12においてGet ( 接続状態 ) 関数が追加されていましたが、この関数ではサーバーに接続する前に中間者攻撃を検知できませんでした。この問題は、FileMaker 13以降で随時修正が行われており、適切に修正・対処するためにはFileMaker製品のバージョンアップが必要です。

一方、PHPソースコードが閲覧可能な問題については、インターネットに接続している最中にFileMaker Server Admin Consoleの展開アシスタントを使用しなければ脆弱性の脅威は特にないというものでした。当該脆弱性を知らない場合には意図せぬ漏洩を招く可能性がありますが、内容と回避策を知っていれば特段の脅威はないと言えます。リスクや脅威、影響範囲を知っていることで、不要なバージョンアップを行うことなく対策を行うことができる例です。
上述のようにバージョンアップをしなくても済む場合もありますが、Claris FileMakerは最新版にのみセキュリティアップデートが提供されるポリシーとなっていることから、Claris FileMakerのセキュリティを保ち続けるには弊社としては最新版のご利用を強く推奨いたします。
セミナーおよび勉強会の講演・発表実績
(セキュリティ関連のみ抜粋)
- SSL暗号化通信を利用したネットワークセキュリティの向上(2020年版)(2020年4月・FileMaker Pro 東京ユーザーズミーティング)
- INTER-Mediatorが備えるセキュリティ機能(2019年8月・INTER-Mediator《大》勉強会 2019)
- FileMaker Cloud 1.15.2とSSL(2017年8月・FileMaker Pro 東京ユーザーズミーティング)
- FileMaker Server 16とHSTS(2017年6月・FileMaker Pro 東京ユーザーズミーティング)
- SSL暗号化通信を利用したネットワークセキュリティの向上(2016年11月・FileMaker カンファレンス 2016)
- FileMaker ServerでLet’s Encrypt(2016年8月・FileMaker Pro 東京ユーザーズミーティング)
- FileMaker Server CWP & Security Basic(2016年8月・INTER-Mediator《大》勉強会 2016)
- FileMaker Server 14.0.4 a Software Patch(2016年4月・FileMaker Pro 東京ユーザーズミーティング)
- Qualys SSL Labs SSL Server Test(2016年1月・INTER-Mediator勉強会2015-#6)
- FileMaker Server 14.0.4 Security Updates(2015年12月・FileMaker Pro 東京ユーザーズミーティング)
- SSL暗号化通信を利用したネットワークセキュリティの向上(2015年11月・FileMaker カンファレンス 2015)
- FileMaker Pro 14.0.3とワイルドカードSSLサーバー証明書(2015年10月・FileMaker Pro 東京ユーザーズミーティング)
- FileMaker 12 セキュリティ更新に関する考察(2015年6月・FileMaker Pro 東京ユーザーズミーティング)
- FileMaker 13.0v9の修正点に関する考察(2015年4月・FileMaker Pro 東京ユーザーズミーティング)
- FileMaker Pro 13.0v4のロックアイコンについて(2014年11月・FileMaker UG 全国合同オフラインミーティング 2014)
- iPad & iPhoneからのリモートアクセスをより安全にするネットワーク構築術(2014年11月・FileMaker カンファレンス 2014)
- リモートアクセスVPNサーバー構築入門(2013年11月・FileMaker カンファレンス 2013)
- CookieのSecure属性とHttpOnly属性(2013年8月・カスタムWeb勉強会)
- Mac OS X ServerのWebサービスとSSL暗号化通信(2011年1月・Mac OS X Server Night!)
Claris FileMakerのサーバー運用歴は20年以上、FileMaker カンファレンスでセキュリティ関連の内容を含む講演を多数担当し、Claris FileMakerのセキュリティ脆弱性改善にも貢献しているエミックにサーバーの運用はおまかせください。