アカウントの管理では、以下を実施します。
なりすましなどのアカウントの不正利用を防ぐため、アカウントの作成時に、以下の対策を実施します。
必要なアカウントを選定する
利用者の権限を規定する
データベース管理者アカウントと一般アカウントは、それぞれの権限に応じて、別々に作成する
ポイント
アカウントは、CREATE ROLE文で作成します。詳細は、“PostgreSQL Documentation”の“CREATE ROLE”を参照してください。
「未使用のアカウント」や「製品インストール時にデフォルトで作成される業務で不要なアカウント」など、日常的に使用されないアカウントを削除します。
ポイント
アカウントは、DROP ROLE文で削除します。詳細は、“PostgreSQL Documentation”の“DROP ROLE”を参照してください。
定期的にアカウントの使用頻度をチェックし、長期間使用されないアカウントがある場合は、アカウントをロックします。また、ログインの失敗回数の許容回数を設定し、この回数を超えてログインに失敗した場合は、アカウントをロックします。また、アカウントがロックされた場合に、アカウントが再有効化されるまでの期間を設定します。
ポイント
LDAP認証を使用することで、アカウントのロックアウトを設定することができます。詳細は、“PostgreSQL Documentation”の“LDAP Authentication”を参照してください。
責任者が策定したアカウント管理ポリシーに従い、データベース管理者アカウントを管理します。
開発環境で利用したアカウントの不正利用を防ぐため、運用環境での運用が開始される前に、開発環境で使用したアカウントを削除します。やむを得ず、開発環境で利用したアカウントを運用環境で利用する場合は、それぞれの環境において異なるパスワードを使用します。
一時的な利用者がシステムを利用する場合、共有アカウントに対し、利用ごとに一時的なパスワードを与えるか、または、一時的なアカウントを作成します。
