Interstage Job Workload Server セットアップガイド

目次

2.2.2 アプリケーションでのセキュリティ強化

Interstage Job Workload Serverが提供するアプリケーションでのセキュリティ強化について説明します。

■セキュリティの概要

バッチアプリケーションでは、業務データを格納するファイルのセキュリティを考慮して設計してください。
バッチアプリケーションにバッチ実行基盤が割り当てるファイルの権限について以下に説明します。

■ファイルのアクセス権限

バッチアプリケーションで作成するファイルには、関係者以外がアクセスできないようにファイル権限を設定します。
以下の図のように、バッチアプリケーションは、バッチワークユニットを起動したユーザの権限で動作します。したがって、作成したファイルは、バッチワークユニットを起動したユーザの権限を持つ運用者だけが参照できるようになります。

■バッチアプリケーションの権限

バッチ実行基盤で実行するバッチアプリケーションの権限は、以下のとおりバッチワークユニットを起動するユーザの権限に依存します。

■ファイルのグループ所有権の設定

バッチアプリケーションが作成したファイルは、バッチワークユニットを起動したユーザの権限を持つユーザだけが参照できます。したがって、以下の場合、バッチアプリケーションが作成したファイルは、バッチワークユニットを起動したユーザ以外のユーザは参照することができません。

• バッチ実行基盤のジョブ以外のジョブがファイルを使用する場合
  Systemwalker Operation Managerなどのジョブスケジューラ製品から直接投入されたジョブなどがバッチ実行基盤のジョブ以外のジョブに相当します。

上記をバッチシステム利用者の権限で可能にするかどうかを設計します。
バッチシステム利用者の権限でファイルをアクセスするイメージを以下に示します。

• 
  ファイル管理機能の設定を行うことにより、バッチアプリケーションが作成するファイルのグループ所有権をInterstage運用グループ、からバッチシステム利用グループに変更することができます。
• 
  Windows(R)でのファイルのグループ所有権は、ファイルを作成するディレクトリのアクセス権が引継がれて設定されます。このため、バッチアプリケーションが作成するファイルのグループ所有権をバッチシステム利用グループに設定したい場合は、ジョブが使用するファイルを格納するディレクトリまたは親ディレクトリに対してバッチシステム利用者のアクセス権限を設定します。

ファイルのグループ所有権の設定方法は、“ファイル管理機能の設定”を参照してください。

目次