2.2.3.1 本番環境での注意事項

Interstage Job Workload Server セットアップガイド

第2章業務構成要素の設計

> 2.2 バッチシステム環境のセキュリティ設計

> 2.2.3 バッチシステム利用時の注意事項

2.2.3.1 本番環境での注意事項

■運用形態についての注意事項

本番環境のバッチシステムの構築を行うのは、管理者です。
管理者は、以下の対策を実施してシステムを構築する必要があります。
責任者は、対策を実施させる義務と責任があります。

運用形態の遵守
概要	“運用形態”で説明している内容は、バッチシステムでのセキュリティ確保の基本対策であり、必ず従ってください。
対策を実施しない場合の危険性	“運用形態”に従わない環境でバッチ実行基盤を運用した場合、ネットワーク経由のセキュリティ侵害や、物理的な資源破壊など発生する可能性があります。
危険性の具体例	イントラネット外に本番環境の業務用サーバ(バッチサーバ含む[以降も同様])を配置した場合、インターネット経由の攻撃に対して脆弱な状態となり、業務が停止する可能性があります。業務用サーバが設置された部屋への出入りが自由な場合、悪意のある者により業務用サーバ／回線などが物理的に破壊され、業務が停止する可能性があります。
対策	“運用形態”に従って、本番環境を構築してください。

■バッチジョブ定義の登録についての注意事項

本番環境のバッチジョブ定義データベースにバッチジョブ定義の登録を行うのは、管理者です。
管理者は、以下の対策を実施してバッチジョブ定義を登録する必要があります。
責任者は、対策を実施させる義務と責任があります。

バッチジョブ定義の正当性の確認
概要	本番環境とテスト環境は別になります。バッチジョブ定義を本番環境のバッチジョブ定義データベースに登録する場合、登録操作前のバッチジョブ定義のすり替えや改ざんを防止する必要があります。
対策を実施しない場合の危険性	誤ったバッチジョブ定義が本番環境に登録された場合、不正な業務処理が実行される可能性があります。
危険性の具体例	バッチジョブ定義には、業務アプリケーションの連携方式などが定義されています。これが改ざんされて登録されることにより、不正なアプリケーションの業務への組込みなどが発生する可能性があります。
対策	テスト環境から本番環境へのバッチジョブ定義の記憶媒体での受渡しは、管理者が直接行うことでバッチジョブ定義のすり替えを防止できます。本番環境でバッチジョブ定義を登録する際に、バッチサーバ上のディスクにバッチジョブ定義ファイルを一時保存する場合は、バッチジョブ定義ファイルに不正アクセスされないように適切なアクセス権を設定してください。

■退避についての注意事項

バッチ実行基盤の退避を行うのは、管理者です。
管理者は、以下の対策を実施して、バッチ実行基盤の退避を行う必要があります。
責任者は、対策を実施させる義務、責任があります。

定期的な退避の推奨
概要	業務用サーバは、定期的に退避することを推奨します。退避することで、サーバに異常が発生した場合でも退避時点の状態に復元できます。
対策を実施しない場合の危険性	何らかの原因でデータの破壊／改ざんが発生した場合、退避を実施していないとデータを復元できなくなります。
危険性の具体例	悪意のある者による攻撃以外にも、機器の故障や天災などにより、データが失われる可能性があります。このような場合には、退避として作成されたデータによる復元が必要となります。
対策	［業務データ］業務データなどの破壊／改ざんなどは、いつ発生するかわからないため、退避の実行間隔を短くすることで、より新しい退避データを復元できる可能性が高まります。退避間隔を短くすることで作業負荷が高くなるため、運用状況によって、適正な退避間隔は異なりますが、バッチシステム運用開始の直前や、定義を変更した場合などには、特に退避を実行することを推奨します。［バッチシステムの設定情報］バッチ実行基盤の設定情報やバッチジョブ定義に関しては、業務運用中に頻繁に更新されることはありません。したがって、設定や定義を変更した箇所は必ず退避してください。さらに、定期的にバッチシステムの環境設定資源（ジョブスケジューラ資源、バッチサーバ環境資源、バッチジョブ定義データベース環境資源、業務データベース資源）をすべて退避することを推奨します。

■ジョブの投入／操作についての注意事項

バッチ実行基盤では、ジョブの投入／操作を受け付けるのは、バッチ受付サービスです。
ジョブの投入／操作を行うのは、管理者／運用者です。
ジョブの投入／操作を許可するユーザの設定は、システム構築時に設定します。
システム構築を行うのは、管理者です。
管理者は、以下の対策を実施して、バッチ実行基盤を構築する必要があります。
責任者は、対策を実施させる義務、責任があります。

ジョブの投入／操作についての注意
概要	バッチシステムをセキュアな状態で運用する場合、ジョブを投入できるユーザ、ジョブを操作できるユーザを限定する必要があります。
対策を実施しない場合の危険性	第三者から重要なジョブが投入されたり、重要なジョブを操作される可能性があります。
危険性の具体例	業務用データベースを更新するような重要なジョブが、だれでも実行できる場合、業務用データベースをだれでも更新できる状態と同じになります。ジョブの操作についても上記同様であり、重要な業務用データベースを更新中にジョブ操作により中断されてしまう可能性があります。
対策	業務用サーバは、“運用形態”に従って、バッチシステムを構築してください。ジョブの投入／操作可能なグループとして、新規にバッチ実行基盤専用のグループ(バッチシステム利用グループ)を作成し、運用者だけを登録してください。

■ジョブログの確認についての注意事項

バッチ実行基盤でジョブの投入を行うのは、管理者と運用者です。
ジョブの実行が完了すると、投入時に指定した場所に、ジョブの実行結果が記録されたジョブログファイルが格納されます。
ジョブログファイルの確認を行うのは、ジョブを投入した人です。
ジョブを投入した人は、以下の対策を守って、ジョブログを確認する必要があります。
責任者は、対策を守らせる義務、責任があります。

ジョブログの確認についての注意
概要	ジョブログには、業務に関わる重要な情報が格納されています。ジョブログファイルは、運用者だけが参照可能なアクセス権が付いています。ジョブログファイルの内容を確認作業中に、画面ののぞき見により、バッチシステムの内部情報が漏洩する可能性があります。画面ののぞき見が可能な状況で、カメラなど記録用機器を利用された場合は、より情報漏洩の可能性が高まります。
対策を実施しない場合の危険性	ジョブログには、ジョブの展開結果による、業務アプリケーション情報や、業務で使用するファイル情報などの、バッチシステムの内部情報が格納されます。 telnetなどの画面に表示した、ジョブログファイルの内容が漏洩する可能性があります。実際のバッチシステムへ直接攻撃可能になるわけではありませんが、バッチシステムの内部情報が漏洩することになるため、攻撃の可能性を高めることになります。
危険性の具体例	のぞき見やカメラ撮影によって、ジョブログの内容が漏洩した場合、業務で使用するジョブの、実行する業務アプリケーション情報、ファイル資源情報の漏洩と同等の影響があります。情報の漏洩により、バッチシステムへの攻撃の足がかりとされる可能性があります。
対策	作業中の画面を参照する必要のない人物には、画面をのぞかれないように注意してください。作業用端末の周辺でのカメラ／カメラ付き機器の利用を禁止してください。作業中の端末から一時的に離席する場合、OSからログアウトするか、パスワード付きスクリーンセーバを利用して、第三者に端末を利用されないようにしてください。