■運用形態についての注意事項
運用形態の遵守 | |
---|---|
概要 | “21.1 運用形態”で説明している内容は、アプリケーション連携実行基盤でのセキュリティ確保の基本対策です。セキュリティを考慮する必要がある業務システムでは、必ず従ってください。 |
リスク | “21.1 運用形態”に従わない環境で業務システムを運用した場合、ネットワーク経由のセキュリティ侵害や、物理的な資源破壊など、さまざまなリスクが発生する危険性があります。 |
リスクの具体例 | イントラネット外に業務用サーバを配置した場合、インターネット経由の攻撃に対して脆弱な状態となり、業務が停止する可能性があります。 業務用サーバが設置された部屋への出入りが自由な場合、悪意のある者により業務用サーバ・回線などが物理的に破壊され、業務が停止する可能性があります。 |
対策 | “21.1 運用形態”に従って、業務システムを構築してください。 |
■アプリケーション連携フロー定義の登録についての注意事項(非同期アプリケーション連携実行基盤の場合)
アプリケーション連携フロー定義の正当性の確認 | |
---|---|
概要 | 一般に、業務システムの運用環境とアプリケーション連携フロー定義の開発環境は別になります。フロー定義を業務システム運用環境のフロー定義DBに登録する場合、登録操作前のフロー定義のすり替えや改ざんを防止する必要があります。 |
リスク | 誤ったフロー定義が運用環境に登録された場合、不正な業務処理が実行される危険性があります。 |
リスクの具体例 | アプリケーション連携フロー定義には、業務処理実行アプリケーションの連携方式などが定義されています。これが改ざんされて登録されることにより、不正なアプリケーションの業務への組込みなどが発生する危険性があります。 |
対策 | フロー定義開発環境から業務システム運用環境へのフロー定義の受渡しは、第三者を介さずに直接行うことでフロー定義のすり替えを防止できます。 やむを得ず第三者を介して受渡しを行う場合、フロー定義DBへの登録前にフロー定義ファイルのタイムスタンプ確認などで、フロー定義の正当性を確認します。 業務システム運用環境でフロー定義を登録する際に、管理用端末や業務サーバのディスクにフロー定義を一時保存する場合は、フロー定義ファイルに不正アクセスされないように適切なアクセス権を設定してください。 |
■管理用端末についての注意事項
管理用端末-サーバ間の通信の暗号化 | |
---|---|
概要 | 業務システムを構成するサーバの管理用にPC端末を使用する場合、管理用端末-サーバ間の通信を暗号化するように設定することで、回線上のデータ傍受などによるセキュリティリスクを軽減することができます。 |
リスク | 管理用端末とサーバ間の通信が傍受された場合、管理用端末に表示される各種情報の漏洩や、管理用端末からの操作内容を改ざんされることによるサーバの不正操作などが行われる危険性があります。 |
リスクの具体例 | 管理用端末が接続されているハブなどに、パケットキャプチャなどの機能をもつ機器を接続された場合、管理用端末の通信データを傍受される危険性があります。 |
対策 | 管理用端末でInterstage管理コンソールを使用する場合、Interstage管理コンソールで使用する通信を暗号化するように設定することができます。 管理用端末でサーバのコマンド操作を行う場合、SSHなどの暗号化対応シェルを用いることにより、サーバとの通信を暗号化できます。 管理用端末は、イントラネット(業務サーバセグメント)内に設置することを推奨します。“21.1 運用形態”と同時にこの対策を実施することで、間接的に管理用端末へのセキュリティ侵害を抑止することができます。 |
管理用端末の保護 | |
---|---|
概要 | 管理用端末では、OSやデータベースのユーザID・パスワードを入力する機会があります。このため、管理用端末にキーロガーなどが仕掛けられると、キー入力のログからOSやデータベースのユーザID・パスワードが漏洩する危険性があります。 |
リスク | 管理用端末も業務システムの一部となりますので、端末の管理がずさんな場合、セキュリティネックとなって業務システム全体のセキュリティレベルを下げる危険性があります。 |
リスクの具体例 | 管理者は、管理用端末からInterstage管理コンソールやSSHなどのシェルを利用して業務サーバを管理します。このため、Interstage管理コンソールやシェルからすべてログアウトすれば、管理用端末はログインしたまま放置しても問題ないと思い込みがちですが、ログインしたままだと悪意のある者によってキーロガーなどが仕掛けられる危険性があります。キーロガーが仕掛けられた後、管理者が業務サーバのパスワードなどを入力すると、入力のログが記録され、そこからパスワードなどが漏洩する可能性があります。 管理用端末がインターネットに接続している場合、インターネット経由でウィルス・スパイウェアなどの危険なソフトウェアがインストールされる危険性があります。 |
対策 | 管理用端末はインターネットに接続しないでください。 管理用端末へログインするためのユーザID・パスワードは厳重に管理してください。 管理者は、業務システムの管理するとき以外は管理用端末からログアウトしてください。 管理用端末は、イントラネット(業務サーバセグメント)内に設置することを推奨します。“21.1 運用形態”と同時にこの対策を実施することで、間接的に管理用端末へのセキュリティ侵害を抑止することができます。 |
■バックアップについての注意事項
定期的なバックアップの推奨 | |
---|---|
概要 | 業務システムを構成するサーバについては、定期的にバックアップを作成することを推奨します。バックアップを作成することで、万一サーバに異常が発生した場合でもバックアップ時点の状態に復旧させることが可能です。 |
リスク | 何らかの原因でデータの改ざん・破壊が発生した場合、バックアップが存在しないとデータの復旧ができなくなります。 |
リスクの具体例 | 悪意のある者による攻撃以外にも、機器の故障や天災などにより、データが失われる可能性があります。このような場合には、バックアップとして作成されたデータのリストアによる復旧が基本的な対策となります。 |
対策 | フロー定義の改ざんなどは、いつ発生するかわからないため、バックアップの実行間隔を短くすることで、より新しいバックアップデータを復旧できる可能性が高まります。バックアップ間隔を短くすることで作業負荷が高くなるため、運用状況によって、適正なバックアップ間隔は異なりますが、業務システム運用開始の直前や、定義を変更した場合などには、特にバックアップを実行することを推奨します。 |
■業務処理開始アプリケーションについての注意事項(非同期アプリケーション連携実行基盤の場合)
業務処理開始アプリケーションにおけるアプリケーション連携フローの起動についての注意 | |
---|---|
概要 | 業務処理開始アプリケーションは、一般的には以下のような機能をもちます。 外部からの要求に応じた処理の開始 アプリケーション連携フローの開始 業務処理開始アプリケーションは、外部とアプリケーション連携実行基盤の接続点になることになり、この部分のセキュリティを強化することにより、アプリケーション連携実行基盤システムをセキュアな状態に保つことが可能です。 |
リスク | 業務処理開始アプリケーションから、重要な業務データベース更新を伴うアプリケーション連携フローを起動する構成になっている場合、業務処理開始アプリケーション(または業務処理開始アプリケーションを呼び出すアプリケーション)で適切なユーザ認証・サーバ認証などを実行する必要があります。特に、業務処理開始アプリケーションをWebアプリケーションとして構築する場合、意図しない利用者から重要なアプリケーション連携フローが起動されることがないように、設計する必要があります。 |
リスクの具体例 | アプリケーション連携フロー内で、業務データベースを更新するにも関わらず、アプリケーション連携フローの起動がだれでも実行可能になっている場合、だれでも業務データベースを更新可能になっている状態とほぼ同義になります。 |
対策 | アプリケーション連携フローの開始は、フロー上の各アプリケーションによる業務用データベースの更新を意味します。特に、インターネット経由のアクセスを起点として業務処理開始アプリケーションが開始されるような場合には、通常のWebアプリケーションによる業務用データベースへの更新と同様の扱いで、不正なアクセスによってアプリケーション連携フローが開始されないように注意する必要があります。 |
■クライアントアプリケーションについての注意事項(同期アプリケーション連携実行基盤の場合)
クライアントアプリケーションにおけるリクエストの送信についての注意 | |
---|---|
概要 | クライアントアプリケーションは、一般的には以下のような機能をもちます。 外部からの要求に応じた処理の開始 クライアントアプリケーションは、外部とアプリケーション連携実行基盤の接続点になることになり、この部分のセキュリティを強化することにより、アプリケーション連携実行基盤システムをセキュアな状態に保つことが可能です。 |
リスク | クライアントアプリケーションから、重要な業務データベース更新を伴うサーバアプリケーションを呼び出す場合、クライアントアプリケーション(またはクライアントアプリケーションを呼び出すアプリケーション)で適切なユーザ認証・サーバ認証などを実行する必要があります。特に、クライアントアプリケーションをWebアプリケーションとして構築する場合、意図しない利用者から重要なアプリケーションにリクエストが送信されないように、設計する必要があります。 |
リスクの具体例 | サーバアプリケーションで業務データベースを更新するにも関わらず、クライアントアプリケーションが誰でも実行可能な状態になっている場合、誰でも業務データベースを更新可能になっている状態とほぼ同義になります。 |
対策 | クライアントアプリケーションの実行は、サーバアプリケーションによる業務用データベースの更新を意味します。特に、インターネット経由のアクセスを起点としてクライアントアプリケーションが呼び出されるような場合には、通常のWebアプリケーションによる業務用データベースへの更新と同様の扱いで、不正なアクセスによってクライアントアプリケーションが呼び出されないように注意する必要があります。 |