Symfoware Serverのセキュリティ機能で構築するセキュリティシステムに携わる人は、システムの全責任を担う責任者、Symfoware Serverのセキュリティ機能を用いてサービスを提供する管理者およびサービスを利用する利用者に分けられます。
図1.8 セキュリティ環境の対象者
組織の責任者、あるいは、セキュリティ運用の責任者は、セキュリティポリシーを定め、組織全体の運用の方針を決定する必要があります。また、運用の統括や環境の構築、維持を行うという観点から適切な人間を管理者に任命しなければなりません。1人の人間に権力が集中しないように、複数の人間を管理者に任命する必要があります。そのために、十分な審査や教育を実施しなければなりません。
責任者の作業の詳細については、“2.2 利用者制御”を参照してください。
管理者は、Symfoware Serverを利用してサービスを提供したり、Symfoware Serverを含むセキュリティ環境全体を保守および運用します。セキュリティ対象の資源および利用者に対する制御の権限を持つので、責任ある適切な人間でなければなりません。
管理者は、“スーパユーザ”です。これはOSと協調した形での管理を実施するために固定で、変更することはできません。Symfoware Serverを動作させるために専用のサーバを用意する必要があり、データベースの管理者は、専用のサーバや、サーバにインストールされたOSの管理者でもあります。
また、管理者は、セキュリティ運用にふさわしい人間を利用者として選ばなければなりません。さらに、他の管理者および利用者が、不当な行為を行っていないか、あるいは、必要な運用を怠っていないかも、定期的にチェックしていく必要があります。
管理者は、セキュリティシステムにおいて以下の作業を行います。
インストールと環境構築
データベースの運用および保守
他の管理者の監視
利用者の選出と監視
管理者の作業の詳細については、“3.3 管理者による環境構築”、“3.4 管理者によるデータベースの運用”、“3.5 管理者による他の管理者の運用”および“3.6 管理者による利用者の運用”を参照してください。
利用者は、データベースをアクセスする不特定多数の人であり、管理者以外の人です。データベースシステムに登録されている必要があり、データベースをアクセスする権限によりアクセスを制御されます。
利用者は、管理者によって提供されたサービスを使います。管理者によって許された範囲の処理を行うことができたり、Symfoware Serverに対して許された範囲で、アプリケーションを実行することができます。ただし、データベース環境の保守および運用のための機能を実行することはできません。
利用者は、セキュリティシステムにおいて以下の作業を行います。
アプリケーションの作成
アプリケーションの実行
データベースの参照
データベースの更新
利用者の作業の詳細については、“3.7 利用者の作業”を参照してください。
利用者自身がアプリケーションを作成し、実行するような環境では、利用者がOSにログインして処理を行います。しかし、管理者によって作成されたアプリケーションをネットワークを経由して実行するような場合には、利用者はOSにログインする必要はありません。このような、OSにログインすることはできないが、Symfoware Serverへ接続できる利用者を、データベース専用利用者として設定します。このデータベース専用利用者に関係する情報はOSから独立して、Symfoware Serverとして管理します。
図1.9 利用者の定義
データベース専用利用者は、OSに対してログインできません。これは、ファイアウォールなどでサーバのログインポートを制限している場合に用います。この場合には、利用者は、専用のポートを利用してサーバに対して処理を依頼します。データベース専用利用者のようなサーバにログインできない利用者を設けることにより、以下の脅威を防ぐことができます。
暗号化していないネットワーク上のデータを参照する。
Symfoware/RDB停止中に偽のSymfoware/RDBを起動して、嘘のサービスを提供する。
データベース専用利用者を使用すべき場合には、以下の3つがあります。
クライアントとサーバの間を、リモートアクセスする場合です。リモートアクセスするためには、システム用の動作環境ファイルのMAX_CONNECT_TCPに十分な接続数が設定されている必要があります。
参照
MAX_CONNECT_TCPの詳細は、“セットアップガイド”を参照してください。
この場合、クライアント側の環境にアプリケーションがあるので、クライアントとサーバ間で転送されるデータの扱いに注意する必要があります。不当な利用者によってネットワーク上のデータを参照される恐れのある場合は、暗号化などによるデータ保護を実施してください。
図1.10 リモートアクセスする場合
symjddefdsコマンドを使用して、データソースの情報を定義する場合も同様です。symjddefdsコマンドは、ネーミングサービスとTCPで通信しています。不当な利用者によってネットワーク上のデータを参照される恐れのある場合は、暗号化などによるデータ保護を実施してください。
専用ポートを用いてネットワークからの処理を受け付けるような常駐型のアプリケーションあるいは製品を用いる場合です。なお、通信受付プログラムを使用するためには、OSにログイン可能でなければなりません。したがって、データベース専用利用者がSymfoware Serverを使用するためには、OSを使用可能な利用者として事前にOSにログインし、その後データベース専用利用者に代わって接続する必要があります。
この場合は、受付プログラムでデータを暗号化する必要があります。あるいは、受付プログラムでデータを暗号化しない場合には、ファイアウォールを設置して、ネットワーク上のデータを保護する必要があります。
図1.11 通信受付プログラムを常駐させる場合
受付プログラムとSymfoware Serverが別のサーバにあり、その間もまた、ネットワークで接続されている場合です。
この場合は、受付プログラムがあるサーバ、Symfoware Serverがあるサーバおよびその間を結ぶネットワークは1つの閉じた環境の中にあり、それはネットワーク上ファイアウォールで保護されていなければなりません。また、このようにファイアウォールで保護することによって、受付プログラムとSymfoware Serverの間の暗号化が不要になり、性能の向上を図ることができます。
図1.12 通信受付プログラムを用い、さらにSymfoware Serverも別サーバにある場合
