Interstage Job Workload Serverが提供するアプリケーションでのセキュリティ強化について説明します。
セキュリティの概要
バッチアプリケーションでは、業務データを格納するファイルのセキュリティを考慮して設計してください。
バッチアプリケーションにバッチ実行基盤が割り当てるファイルの権限について以下に説明します。
ファイルの権限
バッチアプリケーションで作成するファイルには、関係者以外がアクセスできないようにファイルの権限を設定します。
以下の図のように、バッチアプリケーションは、バッチワークユニットを起動したユーザの権限で動作します。したがって、作成したファイルは、バッチワークユニットを起動したユーザの権限を持つ運用者だけがアクセスできるようになります。
Windows(R)でのファイルのグループ所有権は、ファイルを作成するディレクトリのアクセス権が引継がれて設定されます。このため、バッチアプリケーションが作成するファイルのディレクトリまたは親ディレクトリに対して関係者以外がアクセスできないように設定します。
バッチ実行基盤で実行するバッチアプリケーションの権限は、以下のとおりバッチワークユニットを起動するユーザの権限に依存します。
バッチワークユニットを起動するユーザ | バッチアプリケーションの権限 |
|---|---|
| Interstage運用者 |
| ローカルシステムアカウント |
ファイルのグループ所有権の設定
バッチアプリケーションが作成したファイルは、バッチワークユニットを起動したユーザの権限を持つユーザだけが参照できます。したがって、以下の場合、バッチアプリケーションが作成したファイルは、バッチワークユニットを起動したユーザ以外のユーザは参照することができません。
バッチ実行基盤のジョブ以外のジョブがファイルを使用する場合
Systemwalker Operation Managerなどのジョブスケジューラ製品から直接投入されたジョブなどがバッチ実行基盤のジョブ以外のジョブに相当します。
上記を“バッチシステム利用者”の権限で可能にするかどうかを設計します。
バッチシステム利用者の権限でファイルをアクセスするイメージを以下に示します。
ファイル管理機能の設定を行うことにより、バッチアプリケーションが作成するファイルのグループ所有権をInterstage運用グループ、からバッチシステム利用グループに変更することができます。
ファイルのグループ所有権の設定方法は、“4.2.2 ファイル管理機能の設定”を参照してください。
ファイルのグループ所有権の設定
Windows(R)でのファイルのグループ所有権は、ファイルを作成するディレクトリのアクセス権が引継がれて設定されます。このため、バッチアプリケーションが作成するファイルのグループ所有権をバッチシステム利用グループに設定したい場合は、ジョブが使用するファイルを格納するディレクトリまたは親ディレクトリに対して“バッチシステム利用者”のアクセス権限を設定します。
