資源破壊を防ぐための基本ルール
Interstage資源ファイルが外部ネットワークからの侵入者によって破壊(資源ファイルの書替え・削除など)されて、システムが運用不能になることを防ぐために、以下の基本ルールに沿ってシステムを運用する必要があります。
システム運用中のアプリケーション動作権限を「特定ユーザ」に固定すること。
システム運用中に生成される資源が「特定ユーザ」以外のユーザによって書き替えられないよう、資源ファイルの権限属性が限定されていること。
セキュリティの強化 
一般ユーザによる資源の改ざんなどを防ぐために、Interstageのインストールフォルダ配下のフォルダおよびファイルに対し、「Everyone(フルコントロール)」などの不特定のユーザからのアクセスを許すアクセス権を付けないことをお勧めします。
issetfoldersecurityコマンドを使用することで、インストールフォルダ配下のフォルダおよびファイルに対して、不特定のユーザからのアクセスを防ぐ権限に変更することができます。issetfoldersecurityコマンドについては、「リファレンスマニュアル(コマンド編)」を参照してください。
セキュリティの強化 
本製品インストール時にセキュリティモードを選択します。強化セキュリティモード(デフォルト)を選択した場合、セキュリティを強化した状態でインストールします。これにより、Interstage関連のプログラムの実行権限やファイルのアクセス権限レベルが強化セキュリティモードで指定したグループになります。セキュリティモードとして互換セキュリティモードを選択した場合、旧版の製品と同レベルのアクセス権限でインストールします。
なお、インストール後も、issetsecuritymodeコマンドを使用することで、強化セキュリティモードもしくは互換セキュリティモードに設定することができます。issetsecuritymodeコマンドについては、「リファレンスマニュアル(コマンド編)」を参照してください。
強化セキュリティモードにすることによって、一部のコマンドは一般ユーザの利用権限から、強化セキュリティモード設定で指定したグループの利用権限に変更されます。強化セキュリティモードでroot以外のユーザがこれらのコマンドを実行する場合、ユーザの実効グループを強化セキュリティモードで指定したグループにしてください。
例
新規ユーザ作成時に実効グループを指定する場合
useraddコマンドを使用し、強化セキュリティモードで指定したグループを所属グループとして指定します。
既存のユーザに実効グループを設定する場合
newgrpコマンドを使用し、実効グループを強化セキュリティモードで指定したグループに変更します。
実効グループの変更および確認方法はOSのドキュメントを参照してください。
注意
システムから強化セキュリティモードで指定したグループを削除する場合は、事前に強化セキュリティモードのグループを別のグループに変更してください。
変更を行っていない場合、コマンド実行時に予期せぬエラーが発生するおそれがあります。
外部アクセスの遮断
ファイアウォール、およびルータなどを適切に設定し、外部から不正パケットの侵入、および指定したポート以外へのアクセスを抑止します。
サービスの抑止
Interstageが動作するノードに対して、リモートでアクセス可能なサービス(telnetおよびftpなど)を抑止することにより、不正なアクセスを防ぎます。この方法は、ネットワークを介した不正アクセスに対して効果を発揮します。
リモートでアクセス可能なサービスの抑止方法については、各プラットフォームのマニュアルを参照してください。
