Javaからセキュリティ・プロンプトが表示される場合はどうすればよいですか。
このトピックは、次に当てはまります。:
- Javaバージョン: 7.0, 8.0
Java 7 Update 21では、Javaブラウザ・プラグインの動作に変更が加えられ、ブラウザでJavaアプレットを実行する前に、より多くの情報に基づいて判断を下せるようになりました。ブラウザでのJavaコンテンツの実行を許可する前に、確認を求めるセキュリティ・プロンプトが表示されます。詳細な技術情報が必要なユーザー、開発者およびシステム管理者は、この記事の最後にあるリンクを参照してください。
リスク・レベル
表示されるメッセージは、古いバージョンのJavaの使用や信頼できる認証局の署名がないアプレット・コードの実行など、様々なリスク要素に依存します。アプリケーションのリスクが低い場合は、単純な情報メッセージが表示されます。これには、将来の同じ発行者からのアプリケーションの類似するメッセージの表示を防ぐオプションが含まれます。
このページでは、Javaアプレット実行のリスクを理解できるよう、各種プロンプトについて説明します。
| これらのイメージを含むJavaアプリケーション・プロンプトは、低いセキュリティ・リスクを表します。 | ||
|---|---|---|
 |
Javaロゴまたは発行者ロゴ | 信頼できる認証局(CA)の有効な証明書で識別されるアプリケーションを表します。詳細な情報は、次を参照してください |
|
青色の情報の盾 | アプリケーションを有効な証明書で識別でき、詳細情報を利用可能なことを示します。 |
| これらのイメージを含むJavaアプリケーション・プロンプトは、より高いセキュリティ・リスクを表し、実行を禁止されます。 | ||
|---|---|---|
|
黄色の警告の三角形 | 証明書を信頼できないか、期限が切れているために識別できないアプリケーションを表します。詳細な情報は、次を参照してください |
|
黄色の警告の盾 | アプリケーションが署名されていないか、証明書が有効ではないか、あるいはその両方であることを示します。証明書によって指定された識別情報を信頼できません。 |
» 署名付きコードに関する変更の詳細情報
信頼できる認証局の証明書を使用したJavaアプリケーション
このタイプのアプリケーションは通常低リスクです。このダイアログは信頼できる認証局からの有効な証明書を使用したアプリケーションを表します。探すべき情報:
- 発行者名: 表示
- 表示されるアイコン: Javaまたはベンダー・ロゴおよび青色の情報の盾
アプリケーションがデプロイされる方法に基づいて様々なダイアログが表示される可能性があります。
» 詳細は、その他の信頼できる署名付き証明書ダイアログ
必要な処理:
- ダイアログに表示された名前、発行者または場所の情報を確認します。この情報のいずれかが一致しない場合、「取消」を押すことをお薦めします。
| ダイアログに表示されるメッセージは、アプリケーションが次のいずれをリクエストするかによって異なります。 | |
|---|---|
| 無制限のアクセス権限(特権的) | このアプリケーションは無制限のアクセス権限で実行されるため、コンピュータと個人情報がリスクにさらされる可能性があります。場所と発行者を信頼する場合にかぎり、このアプリケーションを実行してください。 |
| 制限付きのアクセス権限(サンドボックス) | このアプリケーションは、コンピュータと個人情報の保護を目的とする制限付きのアクセス権限で実行されます。 |
証明書のないJavaアプリケーション(署名なし)
Java 7 Update 51以降、証明書のないアプリケーション(署名なしのアプリケーションなど)またはアプリケーションの名前と発行者情報が欠落しているアプリケーションはデフォルトでブロックされます。このようなアプリケーションを実行すると、安全ではなく高レベルのリスクが生じる可能性があります。探すべき情報:
- ダイアログ・タイトル: ブロックされたアプリケーションまたはブロックされたJavaアプリケーション(Java 8)
- 発行者名: 発行者はリストされません
- メッセージ・タイトル: セキュリティ設定によってブロックされたアプリケーションまたはJavaセキュリティによってブロックされたアプリケーション(Java 8)
- メッセージ: セキュリティ設定は信頼されていないアプリケーションの実行をブロックしました
セキュリティ保護のために、アプリケーションは現在「高」または「非常に高」のセキュリティ設定の要件を満たしているか、実行を許可する例外リストに含まれている必要があります。(8u20以上)
必要な処理:
このタイプのアプリケーションは実行しないことを強くお薦めします。ただし、リスクを理解した上でそれでもアプリケーションを実行する場合は、このアプリケーションのURLを例外サイト・リストに追加できます。これは、Javaコントロール・パネルの「セキュリティ」タブの下にあります。このアプリケーションURLがこのリストに追加されると、いくつかのセキュリティ警告が表示された後に実行することができます。
» 例外サイト・リストを管理および構成する方法
信頼できる認証局の期限が切れた証明書を使用したJavaアプリケーション
このタイプのアプリケーションは、発行者が証明書を更新していないため、中レベルのリスクがあります。探すべき情報:
- ダイアログ・タイトル: ブロックされたアプリケーションまたはブロックされたJavaアプリケーション(Java 8)
- メッセージ・タイトル: セキュリティ設定によってブロックされたアプリケーションまたはJavaセキュリティによってブロックされたアプリケーション(Java 8)
- 警告: セキュリティ設定により、期限切れかまだ有効ではない証明書で署名されたアプリケーションの実行がブロックされています
セキュリティ保護のために、アプリケーションは現在「高」または「非常に高」のセキュリティ設定の要件を満たしているか、実行を許可する例外リストに含まれている必要があります。(8u20以上)
.jpg)
古いJavaバージョンを実行すると、別のダイアログが表示されることがあります。
必要な処理:
このタイプのアプリケーションは実行しないことを強くお薦めします。ただし、リスクを理解した上でそれでもアプリケーションを実行する場合は、このアプリケーションのURLを例外サイト・リストに追加できます。これは、Javaコントロール・パネルの「セキュリティ」タブの下にあります。このアプリケーションURLがこのリストに追加されると、いくつかのセキュリティ警告が表示された後に実行することができます。
» 例外サイト・リストを管理および構成する方法
| ダイアログに表示されるメッセージは、アプリケーションが次のいずれをリクエストするかによって異なります。 | |
|---|---|
| 無制限のアクセス権限(特権的) | このアプリケーションは無制限のアクセス権限で実行されるため、コンピュータと個人情報がリスクにさらされる可能性があります。提供された情報は信頼できないか不明であるため、ソースをよく知っている場合を除き、このアプリケーションは実行しないことをお薦めします。 |
| 制限付きのアクセス権限(サンドボックス) | このアプリケーションは、コンピュータと個人情報の保護を目的とする制限付きのアクセス権限で実行されます。 |
信頼できないソースの証明書を使用したJavaアプリケーション
Java 7 Update 51以降、自己署名型証明書を使用したアプリケーションはデフォルトでブロックされます。このタイプのアプリケーションは、発行者が識別されず、アプリケーションにコンピュータの個人データのアクセスが付与されている可能性があるため、最高レベルのリスクを表します。
探すべき情報:- ダイアログ・タイトル: ブロックされたアプリケーションまたはブロックされたJavaアプリケーション(Java 8)
- 発行者名: 発行者はリストされません
- メッセージ・タイトル: セキュリティ設定によってブロックされたアプリケーションまたはJavaセキュリティによってブロックされたアプリケーション(Java 8)
- 表示されるメッセージ: ご使用のセキュリティ設定により、自己署名付きアプリケーションの実行がブロックされています
セキュリティ保護のために、アプリケーションは現在「高」または「非常に高」のセキュリティ設定の要件を満たしているか、実行を許可する例外リストに含まれている必要があります。(8u20以上)
必要な処理:
このタイプのアプリケーションは実行しないことを強くお薦めします。ただし、リスクを理解した上でそれでもアプリケーションを実行する場合は、このアプリケーションのURLを例外サイト・リストに追加できます。これは、Javaコントロール・パネルの「セキュリティ」タブの下にあります。このアプリケーションURLがこのリストに追加されると、いくつかのセキュリティ警告が表示された後に実行することができます。
» 例外サイト・リストを管理および構成する方法
Javaアプリケーションの失効チェック
Java 7u25以降では、Javaアプリケーションの起動を試行する前に、発行元の認証局に対して署名証明書が検証されます。証明書失効リスト(CRL)とオンライン証明書ステータス・プロトコル(OCSP)を使用して、アプリケーションの署名に使用された証明書が、発行元の認証局によって取り消されていないことがチェックされます。この機能は、かつて盗んだ証明書または違法に購入した証明書を使用してアプリケーションに署名した悪質な開発者から、エンド・ユーザー・システムを保護します。Java 7u25(以上)を含む任意のWebデプロイ済アプリケーションを実行する前に、証明書の盗用や改ざんの被害を防ぐ目的で、失効状態をチェックするために認証局へのアクセスが試行されます。
探すべき情報:
失効チェックでは、チェック内容に基づいて様々なメッセージが返されます。
- 証明書が失効しています
- 証明書の確認に失敗しました
- 認証局に接続できません
証明書は失効しています。アプリケーションは実行されません。
このダイアログが表示されるのは、認証局(CA)によって取り消された証明書を使用してアプリケーションを実行するときです。このシナリオは最高レベルのリスクを示します。このアプリケーションは悪質なソースのものである可能性があるため実行されません。
証明書の確認に失敗しました。アプリケーションは実行されません。
このダイアログが表示されるのは、認証局(CA)によって確認できなかった証明書を使用してアプリケーションを実行するときです。これは、Javaコントロール・パネルでセキュリティ・レベルを「非常に高」に設定し、証明書が確認できなかった場合に表示されます。
認証局に接続できません
このダイアログが表示されるのは、ネットワーク障害があり、証明書を確認するために認証局(CA)に接続できない場合です。このケースでは、アクションが制限されているためアプリケーションは通常安全に実行されますが、引き続き中レベルのリスクが存在する可能性があります。アクセスするサイトの発行者をよく知らない場合は、「取消」をクリックすることをお薦めします。» Javaコントロール・パネルでの失効設定の構成(オプションの詳細)
技術情報
- セキュリティ・プロンプトの詳細は、コード署名に関するFAQを参照してください。
- 開発者とシステム管理者は、JavaアプレットとWeb Startのコード署名に関する記事に目を通してください。(OTN)