インターネットから利用する場合は必ず以下の留意事項を守ってください。
■運用前に行う対策
ホスト資産を守りセキュリティを確保するため、必ずホストの内部資源に対するアクセス制御、ユーザ認証、自動ログオフ、ロギング等を適切に実施してください(グローバルサーバの場合は、RACFを使用)。
RACF:Resource Access Control Facility
注意
ホスト資産の保護については、ホストの管理者にご確認ください。
また、インターネットからホストを利用する場合は、管理者権限などの高い権限を持つアカウントでホストにログオンしないでください。もし、高い権限をもつホストのユーザアカウント情報が漏洩すると、ホスト資産に重大な侵害をもたらす可能性があります。
設定ファイル等のリソースや、システム、また接続先のWebサーバをウィルス感染による脅威から保護する必要があります。
WSMGR for Web自体にはウィルスに対抗する機能がありませんので、ウィルス対策ソフトを必ず端末およびWebサーバに導入してください。
Webサーバの基本認証で利用するWindowsのユーザアカウント、および、ホストのユーザアカウントは、認証試行回数制限の設定、パスワードの有効期限の設定、パスワードの長さの設定など“パスワードのポリシー設定”と、パスワードはアルファベットとその他の文字を組み合わせる運用ルールを策定し、必ず認証強度を上げて運用してください。これは他の認証機能を利用している場合も同様です。
また、実際にエミュレータを利用するユーザに対してパスワードを厳重に管理するよう指導してください。もしユーザアカウント情報が漏洩すると、悪意のあるユーザにより、Webサーバおよびホストに対して不正アクセスや不正ログオンが発生する可能性があり、Webサーバおよびホストのセキュリティを保証できません。
■運用中に行う対策
ActiveXモードを利用するユーザ、およびグループでは、ホストへログオンするためのパスワード等のホスト機密情報や、その他の機密情報が記載されているマクロファイルは、インターネットユーザリソース、インターネットユーザが属するグループリソース、および、共通リソースに対して、リソースの関連付けでマクロファイルを追加しないでください(推奨)。リソースの関連付けでマクロファイルを追加すると、WSMGR for Webへのログオン時にマクロファイルが端末側にダウンロードされるため、端末リソースのセキュリティ侵害を受けたときに、機密情報が漏洩する可能性があり、ホストおよび機密情報のセキュリティを保証できません。インターネットの端末からマクロ機能を利用する場合は、セキュリティに十分配慮し運用を行ってください。
なお、エミュレータ終了時に端末側のマクロファイルは削除されます。
スクリプトを利用したHTMLファイルは端末側で利用されるため、WSMGR for Webの認証情報、ホストへログオンするためのパスワード等のホスト機密情報、および、その他の機密情報を記載しないでください(推奨)。これはHTMLファイルを動的に作成する場合も同様です。もし記載した場合は、WSMGR for Webの認証情報や機密情報が漏洩する可能性があり、Webサーバ、ホスト、および、機密情報のセキュリティを保証できません。インターネットの端末からスクリプトを利用する場合は、セキュリティに十分配慮して運用を行ってください。
OLEオートメーション機能は端末側で利用されるため、WSMGR for Webの認証情報、ホストへログオンするためのパスワード等のホスト機密情報、および、その他の機密情報を埋め込んだアプリケーションを作成しないでください(推奨)。もしアプリケーションに上記の機密情報を埋め込んだ場合、アプリケーションが不正利用されると、Webサーバ、ホスト、および、機密情報のセキュリティを保証できません。インターネットの端末からOLEオートメーション機能を利用する場合は、セキュリティに十分配慮してアプリケーションの設計および運用を行ってください。
離席時など不測の第三者による不正アクセスから、端末、Webサーバ、ホストを保護する必要がありますので、以下の対策を必ず実施してください。
端末にて離席時には必ずWSMGR for Webからログオフする
端末にて必ずパスワード保護によるスクリーンセーバを使用する
端末での作業終了時には必ずシステムからログオフする
端末にてWebブラウザのオートコンプリート機能を使用しない
ホストの自動ログオフ機能を有効にする
注意
ホストの自動ログオフ機能については、ホストの管理者にご確認ください。
