セキュリティの要件が満たされなくなることによって脅威が発生します。したがって、セキュリティを確保するためには、セキュリティの要件を満たすような対策を講じる必要があります。
[機密性・完全性を満たすための対策]
ユーザ認証
サーバに対する不正アクセスや不正操作を防止するための対策として、ユーザ認証があります。
OS認証により、Systemwalker Operation Managerにアクセスできるユーザを制御します。システム管理者、運用管理者および運用担当者の識別と認証を行い、識別と認証が失敗した場合には、Systemwalker Operation Managerの利用を拒否します。
拡張ユーザ管理機能【UNIX版】を利用すると、OS上に登録されたユーザとは別に、Systemwalker Operation ManagerにアクセスできるOperation Managerユーザを登録できます。Systemwalker Operation Manager内に閉じたユーザ管理が可能なため、よりセキュアな運用が可能です。
システムや大切な資産への不正アクセスを防止するためには、誰がどの資産にアクセスできるかを正しく管理する必要があります。
アクセスできるユーザを必要最小限にとどめ、十分な検討を行った上でシステム管理者または運用管理者が、運用担当者に対してアクセスを許可する範囲を適切に設定することは、不正アクセスを防止するための有効な対策となります。
プロジェクトに対して、アクセスを許可するユーザと権限を設定します。
職務を越えた操作が行われないよう、業務担当の役割に応じた権限を正しく割り当てる必要があります。
デマンドジョブの投入、ジョブ実行制御属性のジョブネット起動およびジョブスケジューラのコマンドの使用を許可するユーザを制限します。
実行ユーザ制限
予期しない業務が実行されないよう、意図しないユーザからのジョブの実行を制限することは、不正操作を防止するための有効な対策です。
ジョブの実行者として許可するユーザだけを、事前に定義しておきます。
監査ログ
監査ログで不正な兆候がないかを定期的にチェックすることは、ユーザの不審な行為や不正アクセスなどを検出または抑止するための、有効な対策となります。不審な動きを察知して原因となるユーザの操作を監査ログで追跡、対処することで、被害を最小限に抑えることができます。セキュアな運用を行うためには、システム管理者は出力された監査ログを監査する必要があり、監査ログ出力を有効にしておくことを推奨します。
また、上に示したSystemwalker Operation Managerの機能によるセキュリティ対策以外にも、Operation Managerの利用者に対する教育を適宜行うような組織の情報セキュリティポリシーを策定し、運用することも重要な対策です。機能面でのセキュリティ対策だけではなく、運用ルールと併せて総合的にセキュリティ対策を進めていく必要があります。
以下に、Systemwalker Operation Managerの機能以外によるセキュリティ対策について示します。
物理的保護、ネットワーク環境の保護
Systemwalker Operation Managerに関連する機器、記録媒体などを物理的に保護することは、非常に有効な対策です。具体的な例としては、
運用管理者だけが入退室可能な鍵のかかる部屋に機器を設置する。
入退室の記録を取り不審者のチェックを行う。(建物単位での入出管理も同様)
耐震設備のある施設に機器を設置し、災害による影響から保護する。
などが挙げられます。
また、ネットワーク上を流れるデータの保護も重要です。WebブラウザからSystemwalker Operation Managerを使用する場合、Webサーバのセキュリティ機能を設定し、SSL保護付きの通信機能を利用する方法も有効な対策です。
運用による保護
Systemwalker Operation Managerに関連する機器、記録媒体などは運用により保護する必要があります。具体的な例としては、
離席時に、Systemwalker Operation Managerにログオンしたまま端末を放置しない。
などが挙げられます。
また、ID・パスワードの漏洩は、侵入やなりすまし、メール閲覧やデータ改ざんといった不正アクセスを許してしまいます。セキュリティを強化するためには、ID・パスワードの機密管理も重要となります。
ID・パスワードは適切に付与されなければいけません。
ユーザアカウントは、業務に必要な権限だけを付加したIDを準備し、各ユーザには職務に応じたIDを使用させる。
不要になったユーザアカウントは速やかに削除する。
などが挙げられます。
辞書に載っている単語や名前、生年月日、電話番号など、容易に推測されるパスワードは避けるようにします。強度の高いパスワードにするには、パスワード長を極力長くし(5文字以上)、アルファベットの大文字や小文字、数字、記号を混ぜるなど、推測しにくいものを設定します。
設定したパスワードは漏洩防止のため、正しく管理する必要があります。具体的には、
紙などに記録しない。
定期的に変更する。
入力する際には、他の人に見られないようにする。
また、各利用者においては、
システム管理者のパスワードは、システム管理者以外に知られないよう管理する。
運用管理者のパスワードは、システム管理者および運用管理者以外に知られないよう管理する。
運用担当者または一般ユーザのパスワードは、本人以外の運用担当者または一般ユーザに知られないよう管理する。
などが挙げられます。
教育
システムの利用者に対する教育は、利用者にセキュリティ対策の意識を持たせ、組織全体のセキュリティレベルの維持・向上を図るためには必要不可欠です。利用者の教育は、情報の紛失や漏えいなど、さまざまな脅威に対する基本的な対策であり、セキュリティに対する意識とリスクに対する対応能力を向上させるためにも、継続して行うことが大切です。
具体的には、
組織の責任者は、システム管理者に管理者として信頼できる人物を選任し、自身のパスワードを他に漏洩しないよう管理することを教育し、遵守させるようにします。また、システム管理者は、運用管理者に管理者として信頼できる人物を選任し、運用管理者や運用担当者、または一般ユーザに対し、自身のパスワードを他に漏洩しないよう管理することを教育し、遵守させるようにします。
同じマシンで、複数の人がSystemwalker Operation Managerを利用するような場合には、ユーザごとにアカウントを作成して利用させるようにします。
などが挙げられます。
[可用性を満たすための対策]
終了ジョブの管理について
ジョブの計画的な実行を守るための対策として、異常終了ジョブの再実行があります。スケジュールされたジョブが計画通りに実行されず、何らかの理由により途中で異常終了した場合には、異常終了したジョブを自動または手動で再起動します。
運用設計について
運用設計時に資源の見積もりを十分行い、円滑に運用が行えるように設計を行ってください(“Systemwalker Operation Manager 使用手引書”の“性能のチューニングについて”を参考にしてください)。
大量のジョブネットやジョブを登録して運用する場合は、事前に性能検証を 十分行ってください。
バックアップについて
貴重な情報資産が壊れたり、消滅する場合に備えて同じファイルを作成したり、予備のサーバやディスク装置を準備しておくなど、情報資産の復旧に備えてバックアップをしておくことも重要な対策となります。
