バッチシステム環境のセキュリティ面に配慮した運用形態について説明します。

• バッチシステムの運用条件

• バッチシステムのネットワーク構成

バッチシステムをセキュアに運用するためには、以下の条件を満たしてください。

• イントラネット内での運用
  バッチシステムは、ファイアーウォールなどで適切に保護されたイントラネット内で運用する必要があります。
  インターネットに直接接続している領域や、DMZなどでは運用しないでください。
  また、ネットワーク構成は、“2.2.3.2 バッチシステムのネットワーク構成”に従って設計する必要があります。

  注意

  この運用条件に違反し、イントラネット外(ファイアーウォールで保護されていない領域やDMZなど)で運用した場合、サーバへのリモート攻撃により、業務の停止、不正業務処理の実行、情報の盗難／消失などが発生する可能性があります。

• イントラネット(業務サーバセグメント／社内ネットワーク)の物理的な保護
  イントラネットのうち、本番環境の業務用のサーバが設置されるゾーンを業務サーバセグメントと呼びます。
  また、開発環境およびテスト環境用のサーバが設置されるゾーンを社内ネットワークと呼びます。
  業務サーバセグメントや社内ネットワークが敷設されている領域内には、不特定の第三者や、悪意をもった人物が物理的に侵入できないように保護する必要があります。

  

  注意

  この運用条件に違反し、悪意をもった人物がシステムに物理的に接触可能な環境で運用した場合、サーバやネットワークなどの物理的破壊、業務の停止、不正業務処理の実行、情報の盗難／消失などが発生する可能性があります。

• 管理者の設定、運用者の設定

  バッチシステムの管理は、バッチサーバのOSやデータベースの管理者の権限を用いて行います。
  OSやデータベースの管理者ユーザ／パスワードを知っている人物を少数に限定することによって、常に管理者を把握できるようにしておき、パスワードなどの漏洩を予防する必要があります。
  また、管理者ユーザ／パスワードが漏洩した場合の影響を軽減するため、定期的なパスワードの変更を推奨します。
  さらに、バッチ実行基盤ではジョブを投入できるユーザとして運用者(オペレーター)を限定しています。
  したがって、ジョブを投入可能な運用者に関しても、上記同様にユーザ／パスワードなどの漏洩を予防する必要があります。

  

  注意

  システムに接触可能な人物に管理者のパスワードが漏洩すると、さまざまなセキュリティ侵害行為が行われる可能性が生じます。
  「管理者の明確化」に加え、「イントラネット内での運用」、「イントラネット(業務サーバセグメント)の物理的な保護」を適切に実施することで、システムに接触可能な人物を限定することが重要です。

• システムログからの情報漏洩防止対策

  バッチ実行基盤はジョブの異常やシステムの異常などを、管理者に通知するために多くのメッセージにジョブ名、ジョブ番号、ジョブステップ名などの情報を付加して、システムログに出力しています。
  したがって、システムログを管理者以外の人が参照できる場合には、情報の漏洩を防止するために、システムログの出力先や出力メッセージのレベルなどを変更して、管理者以外のユーザが参照できるメッセージを限定してください。

• イベントログからの情報漏洩防止対策

  バッチ実行基盤はジョブの異常やシステムの異常などを、管理者に通知するために多くのメッセージにジョブ名、ジョブ番号、ジョブステップ名などの情報を付加して、イベントログに出力しています。
  イベントログはバッチサーバにログイン可能なすべてのユーザにより参照可能なため、バッチサーバにログインできるユーザを限定してください。

• ウイルス感染防止対策

  バッチシステムを構築する開発環境、テスト環境、および本番環境に対して、最新のセキュリティパッチを適用してください。
  セキュリティパッチは必ずテスト環境から適用してください。
  セキュリティパッチを適用したテスト環境にて、バッチ業務の十分なテストを行ってください。
  パッチ適用によるバッチ業務への影響がないことを確認後、本番環境へセキュリティパッチを適用してください。
  さらに、必要に応じてアンチウイルスソフトの導入を行ってください。
  開発環境からテスト環境へ、テスト環境から本番環境へと、別環境にバッチジョブ定義や業務アプリケーションなどの資材を移行する場合は、必ず移行する資材がウイルスに感染していないことを確認してください。

• ファイルシステムの設定

  バッチ実行環境は、OSが提供しているユーザ・グループごとのアクセス権限の管理によりセキュアに運用することが可能ですが、OSが提供しているユーザ・グループごとのアクセス権限の管理は、FATファイルシステムには対応していません。
  バッチ実行環境を構築するサーバでは、必ずファイルシステムとしてNTFSを利用してください。

バッチシステムをセキュアに運用するためには、以下の条件を満たすネットワーク構成が必要になります。

• インターネットから隔離されたイントラネットの構成

  インターネットの領域では、バッチシステムの安全を確保できません。
  ファイアーウォールやDMZによってインターネットから隔離されているイントラネットを構成し、必ずイントラネット内にバッチシステムを構築してください。
  また、イントラネット外部からのアクセスを許可するサーバには、IPアドレスのアクセス制限を設定し、予期しないコンピュータからのアクセスを受けないようにしてください。

• イントラネットの外部から操作されないネットワーク構成

  ファイアーウォールの設定で、DMZからイントラネットへのIIOPによる通信を許可している場合、DMZ上のサーバからイントラネット内の各種資源を操作される可能性があります。
  この場合、イントラネットの入口にあたるサーバにはLANカードを2枚装着し、DMZにつながるネットワークとイントラネット内につながるネットワークを分離してください。

  
  ※上図は、バッチサーバを業務運用単位に複数設置した場合の構成です。

  また、バッチ実行基盤で実行する業務アプリケーション自身が、外部と通信せず、かつバッチサーバも外部と通信しない構成にすることで、外部からの攻撃を受ける可能性は小さくなります。

  イントラネットと外部ネットワークの接点は、イントラネット内でも比較的危険度の高い部分であり、ファイアーウォールの設定が不適切な場合などには、攻撃を受ける可能性もあります。
  したがって、イントラネットと外部ネットワークの接点には、限られたサーバだけが配置されるようにネットワークを構成してください。
  また、イントラネットと外部ネットワークの接点のサーバには、バッチシステムの構築、および業務データを保存する資源を配置しないでください。
  基幹業務システムであるバッチシステムは、イントラネット内でも特に安全な領域に配置し、可能な限り危険な領域に配置されたサーバとの直接通信は行わないことを推奨します。

  イントラネット内でも、業務サーバセグメントと社内ネットワークとを隔離して、テストが完了した開発物を本番環境へ移設する場合は、記憶媒体を介して移設するようにします。