データベース連携機能を利用して、ブラウザからデータベース連携業務を行う場合の利用形態および留意事項について説明します。
WebScriptは、簡易にデータベースの情報公開を可能にしますが、これらのセキュリティ対策を検討することなく、業務を運用すべきではありません。ブラウザによるデータベースアクセス業務には、以下があります。利用形態に応じて、適切なセキュリティ対策が必要となります。
データベース連携機能はブラウザ-サーバ間や各サーバ間での暗号化通信をサポートしていません。このため、データベース連携機能を利用する場合は、ブラウザとの通信路や各サーバはインターネットから切り離したネットワーク上に構築してください。
情報共有のためにイントラネットのファイアウォール内で利用する場合、利用者の数は業務により変わります。インターネットによる利用に比べ、利用者にある程度のモラルが期待できるため、インターネットほど高度なセキュリティは必要ありません。
情報の共有範囲が狭く、ローカルな(外部からのアクセス不能な)ネットワーク内での限られた利用者により利用する形態があります。一般に、少人数による利用と考えられるため、インターネットおよびイントラネットによる利用に比べ、セキュリティを強化する必要はありません。
イントラネット内の利用者の特長は、以下のとおりです。
利用者は特定されるが、利用者数は業務により異なる
ネットワークおよび業務に対してアカウントをもつ
利用者は、ある程度のモラルをもって、アクセスを守ることが期待できる(パスワードの保護は必要であるが、ネットワークの送信内容盗聴レベルの保護は必要ない場合が多い)
Webセキュリティは、Webサイトのドキュメント機密性の内容に応じた設定が必要です。利用者の管理には、一般的なWebレベルの、WebサーバのアクセスコントロールによるWebドキュメント保護が必要です。
この利用形態では、Webサーバ内のドキュメントアクセス管理の対策が必要です。ただし、情報の内容によって、このような管理は必要ない場合もあります。
このような利用形態の場合、WebScriptのページは公開せず、業務ごとに利用者保護を行ってください。Webセキュリティの認証が正しい場合だけ、WebScriptセションを利用可能となるように運用してください。以下にこのイメージを示します。
ローカルな環境での利用者の特長は、以下のとおりです。
情報利用の関連者に特定される
対象ネットワークおよびWebサーバ環境にアカウントをもつ場合がある
利用者は特定され、ネットワークの送信内容盗聴レベルの保護は不要になる
このような利用形態の場合、利用者がユーザIDとパスワードをブラウザから動的に指定するWebScriptの運用も考えられます。以下にこのイメージを示します。
