| Symfoware Server 解説書 - FUJITSU - |
|
目次
索引
|
| 第5章 Symfoware Serverの機能 | > 5.5 セキュリティ |
データベースへの不正アクセスからの防御や、業務の機密を保護するために、データベースにアクセスする利用者を制御することができます。
利用者制御により、権限の範囲を超えた処理や、指定量を超えた資源の獲得を制限することができます。
Symfoware Server Enterprise Extended Editionで標準セキュリティ運用を行う場合の、利用者制御についての詳細は、“セキュリティ運用ガイド”を参照してください。
標準運用を行う場合の、利用者制御についての詳細は、“セットアップガイド”を参照してください。
利用者制御について、以下の機能を説明します。
不当な利用者によってデータが破壊された場合に、データが破壊された直後の調査やその利用者の削除などを行うために、一時的に利用者の使用を制限する機能です。起動したSymfoware Serverに対して、利用者が使える時と使えない時を設け、利用者の勝手なデータベースへのアクセスを制限することができます。
Symfoware Serverを用いてサービスを行う場合、Symfoware Serverを利用する人は、管理者と利用者に分けられます。
利用者と管理者の関係について、以下に示します。
管理者は、OSのスーパユーザなので、特に登録しなくてもインストールおよびRDBディクショナリ作成時に自動的に登録されます。管理者は、Symfoware Serverを利用してサービスを提供し、Symfoware Serverを含む環境全体を保守、運用します。
利用者に対する認証と識別について、以下の項目を説明します。
認証と識別の方式
Symfoware Serverは、以下の2つの方式により、利用者に対する認証と識別を行います。
Symfoware Serverが認証を行う方式
OSが認証を行う方式
パスワードのエージング制御
パスワードのエージング制御とは、パスワードが一定期間のみ有効とした上で、これを監視し、利用者に通知する機能です。
Symfoware Serverは、SQLの実行を利用者ごとに制御しています。
管理者は、すべてのSQL文を実行できます。利用者は、使用できるSQL文が限られています。
利用者が実行できるSQL文には、権限を必要としないSQL文と権限を必要とするSQL文があります。権限を必要とするSQL文を利用するには、管理者による権限定義が必要です。詳細は、“RDB運用ガイド(データベース定義編)”を参照してください。
また、業務単位で権限を設定したい場合は、ロールを使用して、権限を定義することができます。ロールの詳細は、“機密保護”を参照してください。
Symfoware Serverは、RDBコマンドの利用者を制御します。
管理者は、すべてのRDBコマンドを実行できます。利用者は、使用できるRDBコマンドが限られています。詳細は、“RDB運用ガイド”を参照してください。
また、データベースの資源に対してRDBコマンドを実行するには、RDBコマンドの実行権のほか、実行する資源に対する権限が必要です。ただし、運用系コマンドの中には、通常、ロールに定義されている権限では実行できないコマンドがあります。運用系コマンドの実行権をロール単位で制御するには、セキュリティパラメタの設定が必要です。詳細は、“セットアップガイド”を参照してください。
なお、利用者がアプリケーションをコンパイルするようなセキュリティとは関係ないコマンドは、OSにログインできるすべての利用者が実行できます。
ある特定の利用者が資源を膨大に使い、全体の資源を枯渇させることによって、他の正当な利用者の処理実行を妨げるという脅威を防ぐために、各利用者が使用できる資源量を制御する機能です。
実行資源の制御について、以下に示します。
Symfoware Serverは、システム表と監査ログ表へのアクセスを制御しています。
システム表は、利用者が定義したデータベースやスキーマなどの定義情報を管理する表です。
システム表は、RDBディクショナリともいいます。
管理者はシステム表のすべての実表およびビュー表を参照できます。
利用者は、自分がアクセス権限を持つ表またはプロシジャに関する定義情報を実表またはビュー表の形式で参照できます。利用者の権限情報(どのような利用者がいて、その利用者がどのような権限を持っているかなど)に関しては、自分の情報に限定してビュー表の形式で参照できます。
|
目次
索引
|