セキュリティ対策として実施すべき項目の例を示します。
各対策についての実装方法は、本書中に記載する環境の構築、IISの設定、または運用方法等の説明の中で適時記述しています。
■WSMGR for Webで実施する対策
HTTPトンネリング(ActiveXモード利用時)
WSMGR for Web認証強化
管理者のログオン情報の設定
ユーザ情報設定ファイルのパスワード部分の暗号化
設定ファイルの保護
セキュリティロックダウン
ログオン履歴
接続監視モニタログ
簡易シングルサインオン
パスワードポリシーの設定
■ネットワーク環境で実施する対策
SSL暗号化通信によるHTTPSプロトコルの利用
IIS認証の利用
IISアクセス制御
Webサイトログの採取
アクセス制御の設定
Proxyサーバのアクセスログ
■ホストもしくはホストに接続する通信プロセッサ等で実施する対策
ホストアカウントのロギング(監査)
アカウントに対するログオン条件(識別子、パスワード等)の制限/管理
インターネットからのアクセスを許すアカウントのアクセス制御
グローバルサーバではRACF(Resource Access Control Facility)を使用し、安全性の高い設定を行ってください。
■他のセキュリティ対策製品の機能で実施する対策
アクセス集中やDoS攻撃等に対抗する機能の設置
(負荷分散機能、帯域制御機能を有する製品等)
アンチウィルス機能の実施
■運用ルール
認証情報の管理
パスワード設定規則の複雑化
スクリーンセーバ(デスクトップ操作のロック)機能の実施
