バッチシステム利用時の、セキュリティに関する注意事項について説明します。
以下にバッチシステムを運用/利用する人を示します。
責任者
システムやサービスを提供する組織の全責任者。
管理者
提供するシステムのOS、製品などの管理や、バッチ業務などの運用を管理する。
製品やシステムの構築、設定、運用の管理を行う。
運用者(オペレーター)
製品あるいはシステムが提供するバッチ業務を運用するための操作を行います。
バッチ業務の遂行を目的に必要なジョブを投入できます。
開発者
業務で使用する業務アプリケーションやバッチジョブ定義の開発を行います。
その他
上記以外の者。(第三者)
バッチシステム利用時のセキュリティに関する注意事項を、以下の環境ごとにわけて説明します。
本番環境での注意事項
テスト環境での注意事項
開発環境での注意事項
運用形態についての注意事項
本番環境のバッチシステムの構築を行うのは、管理者です。
管理者は、以下の対策を実施してシステムを構築する必要があります。
責任者は、対策を実施させる義務と責任があります。
運用形態の遵守 | |
|---|---|
概要 | “2.2.3 運用形態”で説明している内容は、バッチシステムでのセキュリティ確保の基本対策であり、必ず従ってください。 |
対策を実施しない場合の危険性 | “2.2.3 運用形態”に従わない環境でバッチ実行基盤を運用した場合、ネットワーク経由のセキュリティ侵害や、物理的な資源破壊など発生する可能性があります。 |
危険性の具体例 |
|
対策 | “2.2.3 運用形態”に従って、本番環境を構築してください。 |
バッチジョブ定義の登録についての注意事項
本番環境のバッチジョブ定義データベースにバッチジョブ定義の登録を行うのは、管理者です。
管理者は、以下の対策を実施してバッチジョブ定義を登録する必要があります。
責任者は、対策を実施させる義務と責任があります。
バッチジョブ定義の正当性の確認 | |
|---|---|
概要 | 本番環境とテスト環境は別になります。バッチジョブ定義を本番環境のバッチジョブ定義データベースに登録する場合、登録操作前のバッチジョブ定義のすり替えや改ざんを防止する必要があります。 |
対策を実施しない場合の危険性 | 誤ったバッチジョブ定義が本番環境に登録された場合、不正な業務処理が実行される可能性があります。 |
危険性の具体例 | バッチジョブ定義には、業務アプリケーションの連携方式などが定義されています。これが改ざんされて登録されることにより、不正なアプリケーションの業務への組込みなどが発生する可能性があります。 |
対策 |
|
退避についての注意事項
バッチ実行基盤の退避を行うのは、管理者です。
管理者は、以下の対策を実施して、バッチ実行基盤の退避を行う必要があります。
責任者は、対策を実施させる義務、責任があります。
定期的な退避の推奨 | |
|---|---|
概要 | 業務用サーバは、定期的に退避することを推奨します。退避することで、サーバに異常が発生した場合でも退避時点の状態に復元できます。 |
対策を実施しない場合の危険性 | 何らかの原因でデータの破壊/改ざんが発生した場合、退避を実施していないとデータを復元できなくなります。 |
危険性の具体例 | 悪意のある者による攻撃以外にも、機器の故障や天災などにより、データが失われる可能性があります。このような場合には、退避として作成されたデータによる復元が必要となります。 |
対策 | [業務データ] |
ジョブの投入/操作についての注意事項
バッチ実行基盤では、ジョブの投入/操作を受け付けるのは、バッチ受付サービスです。
ジョブの投入/操作を行うのは、管理者/運用者です。
ジョブの投入/操作を許可するユーザの設定は、システム構築時に設定します。
システム構築を行うのは、管理者です。
管理者は、以下の対策を実施して、バッチ実行基盤を構築する必要があります。
責任者は、対策を実施させる義務、責任があります。
ジョブの投入/操作についての注意 | |
|---|---|
概要 | バッチシステムをセキュアな状態で運用する場合、ジョブを投入できるユーザ、ジョブを操作できるユーザを限定する必要があります。 |
対策を実施しない場合の危険性 | 第三者から重要なジョブが投入されたり、重要なジョブを操作される可能性があります。 |
危険性の具体例 | 業務用データベースを更新するような重要なジョブが、だれでも実行できる場合、業務用データベースをだれでも更新できる状態と同じになります。 |
対策 |
|
ジョブログの確認についての注意事項
バッチ実行基盤でジョブの投入を行うのは、管理者と運用者です。
ジョブの実行が完了すると、投入時に指定した場所に、ジョブの実行結果が記録されたジョブログファイルが格納されます。
ジョブログファイルの確認を行うのは、ジョブを投入した人です。
ジョブを投入した人は、以下の対策を守って、ジョブログを確認する必要があります。
責任者は、対策を守らせる義務、責任があります。
ジョブログの確認についての注意 | |
|---|---|
概要 | ジョブログには、業務に関わる重要な情報が格納されています。 |
対策を実施しない場合の危険性 | ジョブログには、ジョブの展開結果による、業務アプリケーション情報や、業務で使用するファイル情報などの、バッチシステムの内部情報が格納されます。 |
危険性の具体例 | のぞき見やカメラ撮影によって、ジョブログの内容が漏洩した場合、業務で使用するジョブの、実行する業務アプリケーション情報、ファイル資源情報の漏洩と同等の影響があります。 |
対策 |
|
テスト環境での作業者についての注意事項
テスト環境のバッチシステムの構築を行うのは、管理者です。
管理者は、以下の対策を実施して、テスト環境を構築する必要があります。
責任者は、対策を実施させる義務、責任があります。
テスト環境全般の注意事項 | |
|---|---|
概要 | 本番環境と同等のテスト環境を構築してテストを実施する場合、テスト環境には本番環境で実際に利用されるアプリケーションやバッチジョブ定義が配置されることになります。テストの際には、これらの資産が盗難されないよう、本番環境と同等のセキュリティ対策を実施してください。 |
対策を実施しない場合の危険性 | テスト環境のセキュリティ対策が不十分な場合、アプリケーション、バッチジョブ定義が盗難される可能性があります。これらが盗難されても、実際の本番環境のバッチシステムが攻撃されるわけではありませんが、本番環境の内部構造が漏洩することになるため、攻撃の可能性が高まります。 |
危険性の具体例 |
|
対策 | バッチシステムを運用する本番環境と同等のテスト環境を構築してテストを実施する場合は、セキュリティ対策についても“2.2.4.1 本番環境での注意事項”と同等になるようにしてください。 |
テスト環境でのデータベース利用についての注意事項
管理者は、テスト環境で使用するデータベースを構築するときに、以下の対策を実施する必要があります。
責任者は、対策を実施させる義務、責任があります。
テスト環境でのデータベース利用の制限 | |
|---|---|
概要 | 一般に、テスト環境には特定しにくい多数の人間が接するため、テスト環境から本番環境で使用するデータベースを直接接続することは避けてください。本番環境のデータベースのセキュリティが脅かされる可能性があります。テスト環境と直接接続するデータベースは、開発用/テスト用のデータベースだけとしてください。 |
対策を実施しない場合の危険性 | テスト環境から、本番環境のデータベースに接続する場合、テスト環境でデータベースのパスワードを扱う機会が生じることになります。テスト環境のセキュリティ対策が不十分な場合、データベースのパスワードが漏洩する可能性が高まります。 |
危険性の具体例 | テスト時などに、テスト環境から本番環境のデータベースに直接接続し、テスト環境でデータベースのパスワードをずさんに管理した場合、実運用時に本番環境のデータベースに不正にアクセスされ、バッチジョブ定義や業務データなどを盗難される可能性があります。 |
対策 |
|
開発環境での作業者についての注意事項
バッチ実行基盤で使用する、バッチジョブ定義や業務アプリケーションの開発を行う開発環境の構築を行うのは、開発者です。
開発者は、以下の対策を実施して、開発環境を構築する必要があります。
責任者は、対策を実施させる義務、責任があります。
開発環境へ出入りする作業者の制限 | |
|---|---|
概要 | 開発環境へ出入りする作業者が制限されていない場合、悪意のある者が開発環境へ出入りする可能性があります。 |
対策を実施しない場合の危険性 | 悪意のある者が開発環境に侵入した場合、開発用端末/回線などの物理的破壊や、開発資産の盗難の可能性があります。 |
危険性の具体例 | 悪意のある者が開発環境に侵入でき、かつ開発用端末のセキュリティ対策が不十分な場合、開発用端末から業務アプリケーションのソースやバッチジョブ定義など、開発資産を盗難される可能性があります。 |
対策 | 開発環境への出入り可能な作業者を制限するようにしてください。 |
開発用クライアント端末についての注意事項
バッチ実行基盤では、バッチジョブ定義を開発するための開発用クライアントとしてInterstage Studioがあります。
開発用クライアント端末を使用するのは、開発者です。
開発者は、以下の対策を実施する必要があります。
責任者は、対策を実施させる義務と責任があります。
作業中の画面ののぞき見防止 | |
|---|---|
概要 | 本製品は、一般に漏洩の危険度が高いとされるパスワードを画面非表示とし、画面ののぞき見による漏洩を防御しています。しかし、長時間作業画面をのぞき見された場合、アプリケーションのソースや業務に関するログなど、作業中に画面表示される可能性がある各種の情報が漏洩する可能性があります。 |
対策を実施しない場合の危険性 | テスト環境で扱うアプリケーションのソースやバッチジョブ定義などの内容が漏洩する可能性があります。 |
危険性の具体例 | のぞき見やカメラ撮影により、開発中のバッチジョブ定義が漏洩した場合、バッチジョブ定義ファイルが盗難されたのと同じ影響があります |
対策 |
|
バッチジョブ定義の登録についての注意事項
テスト環境のバッチジョブ定義データベースにバッチジョブ定義の登録を行うのは、管理者です。
管理者は、以下の対策を実施してバッチジョブ定義を登録する必要があります。
責任者は、対策を実施させる義務と責任があります。
バッチジョブ定義の正当性の確認 | |
|---|---|
概要 | 開発環境で開発したバッチジョブ定義を、テスト環境のバッチジョブ定義データベースに登録する場合、登録操作前のバッチジョブ定義のすり替えや改ざんを防止する必要があります。 |
対策を実施しない場合の危険性 | 誤ったバッチジョブ定義がテスト環境に登録された場合、不正な業務処理が実行される可能性があります。 |
危険性の具体例 | バッチジョブ定義には、業務アプリケーションの連携方式などが定義されています。これが改ざんされて登録されることにより、不正なアプリケーションのテスト環境への組込みなどが発生する可能性があります。 |
対策 |
|
