保護資源に対して加えられる可能性のある脅威への対策について、以下に示します。
加えられる可能性のある脅威 | 対策 |
|---|---|
Interstage Application Serverの各種設定、ログファイルの改竄、搾取、破壊 | “Interstage Application Server セキュリティシステム運用ガイド”の“第1部 セキュリティ侵害の脅威と対策”を参照して対策を行ってください。 |
管理画面への接続の通信内容の改竄、搾取、破壊 |
|
認証に使用するパスワードの搾取、解読 |
|
ログファイルの改竄、搾取、破壊 |
|
データベースの改竄、搾取、破壊 |
|
LDAPサーバーの情報の改竄、搾取、破壊 |
|
管理画面への接続の通信内容の改竄、搾取への対策
インターネットのように一般的に開放されている環境で通信を行う場合、その伝送経路内容において通信内容が改竄、搾取される可能性があります。このような場合は、VPN装置やSSLアクセラレータを使用して通信を暗号化することで、通信内容を保護してください。
認証に使用するパスワードの搾取、解読への対策
インターネットのように一般的に開放されている環境で通信を行う場合、その伝送経路内容において認証に使用するパスワードが搾取、解読される可能性があります。このような場合は、VPN装置やSSLアクセラレータを使用して通信を暗号化することで、パスワードを保護してください。
ログファイルの改竄、搾取、破壊への対策
アプリケーションサービス機能のログファイルには、システムの状態やエラーなどの運用情報が出力されます。これらのファイルを改竄、搾取、破壊から保護するためには、ファイルに適切なアクセス権を設定することが有効です。
ログファイルは以下のフォルダーに格納されます。フォルダー配下のファイルにAdministrator(管理者ユーザー)以外のユーザーがアクセスできないよう、アクセス権を設定してください。設定方法については、OSのマニュアルを参照してください。
[本製品のインストールフォルダ]\SWCTMG\ctbss\logs
ログファイルは以下のディレクトリに格納されます。ディレクトリ配下のファイルにroot(スーパーユーザー)以外のユーザーがアクセスできないよう、アクセス権を設定してください。設定方法については、OSのマニュアルを参照してください。
/opt/FJSVctbss/logs
データベースの改竄、搾取、破壊への対策
アプリケーションサービス機能で使用するほとんどすべてのデータは、データベース上で管理されます。したがって、データベースを改竄、搾取、破壊から保護することはセキュリティ上大変重要です。
インターネット経由でサービスを提供する場合など、高度なセキュリティ対策が必要な場合は、アプリケーションサービス機能の本体とデータベースを分離した構成にし、ファイアウォールでネットワークセグメントや部屋、施設を分離することで、データベースを保護してください。
また、定期的にバックアップを行うことも有効です。バックアップの方法については、“2.4 システムのバックアップ/リストア”を参照してください。
LDAPサーバーの改竄、搾取、破壊への対策
アプリケーションサービス機能のユーザー認証に外部のLDAPサーバーを使用する場合、認証に使用するパスワードは、LDAPサーバー上で管理されます。
インターネット経由でサービスを提供する場合など、高度なセキュリティ対策が必要な場合は、ファイアウォールでネットワークセグメントや部屋、施設を分離することで、データベースを保護してください。
また、定期的にバックアップを行うことも有効です。バックアップの方法については、ご利用のLDAPサーバーの説明書を参照してください。
