データベースの脆弱性および不正アクセスの可能性が最小限となるように、システム構築の初期段階で以下のセキュリティ対策を実施します。また、データベースサーバでは、主として、データベースシステムのみを稼働させるような構成とします。
データベースサーバへの侵入や破壊などを防ぎ、セキュアなサーバでシステムが稼働されるようにOSやネットワークを設定します。
使用するOSにおいて、不要な機能やサービスを削除する
必要なプロトコルのみを有効にし、不要なプロトコルは無効にする
ファイル共有、FTPなどセキュリティのレベルが比較的低いとされるサービス、プロトコル、デーモンにセキュリテイ機能を実装する
最新のセキュリティ対策を反映するため、常に最新のパッチを入手し、適用します。
システムの不正利用を防ぐため、インストール時に、必要な機能のみを導入します。
また、使用しない機能やサービスは、削除または無効にします。
システムの不正利用を防ぐため、インストール時に作成されるデフォルトのポートを変更します。
ポイント
ポートは、FUJITSU Enterprise Postgresのセットアップで指定します。詳細は、“FUJITSU Enterprise Postgres 導入ガイド(サーバ編)”を参照してください。
通信機能を利用したシステムの不正利用を防ぐため、通信機能のアクセス制限を実施します。
データベース破壊を防ぐため、以下の対策を実施します。
データベース構成ファイルへのアクセス許可者を制限し、定期的に権限見直しを実施する
表や定義スクリプトに対しては、管理者だけがアクセス可能とする
データベースの不正利用や操作ミスを防止するため、データベースをアクセスするためのアプリケーションの配布範囲は、アクセス許可者が使用する機器のみに限定します。
アプリケーションのプログラムソースコードの改ざんなど、バックドアによるシステムへの不正侵入を防ぐため、稼働するプログラムは作成者を明文化し、改ざんなどがされないように、チェックおよびテストを実施します。また、安全なコーディング手法を採用し、一般的なコーディングの脆弱性の問題に対応できるようにしておくことも必要です。
システムのセキュリティ設定において、セキュリティに影響を与えることが明らかである場合、セキュリティパラメータを適切に設定するなどして、初期設定の段階で、確実にセキュリティ設定を実施します。
