HiRDBサーバの設置場所のセキュリティが強化されていても,HiRDBサーバのデータベースを利用するHiRDBクライアントの設置場所の管理が不適切であると,第三者による成り済ましなどによって,データが持ち出されたり,改ざんされたりするおそれがあります。このため,セキュアなシステムを構築する場合には,HiRDBクライアントの環境構築と運用にも注意する必要があります。HiRDBクライアントが次に示す環境で使用されるように管理してください。
- HiRDBクライアントは,ネットワークの管理者が管理しているローカルエリアネットワーク環境下に設置します。
- HiRDBクライアント用のマシンにはスクリーンセーバーにパスワード保護を掛けて,第三者に使用されないようにします。
- HiRDBクライアントには,不要なソフトウェアをインストールしないようにしてください。具体的には,次の対策を徹底してください。
- ネットワーク盗聴ソフトのインストール防止
- バイナリエディタ,デバッガなどの,UAPを改ざんする可能性があるツールのインストール禁止
- HiRDBクライアントでは,UAPとHiRDB SQL ExecuterからHiRDBサーバに電文を送信できるようにしてください。
- HiRDBクライアントでは,設定済みのクライアント環境定義の内容をむやみに変更することを禁止します。なお,クライアント環境定義のPDUSERについては,HiRDBクライアントからUAPを実行するたびに認可識別子とパスワードを設定してください。さらに,UAPの実行が完了したら,PDUSERの認可識別子とパスワードを削除してください。
- HiRDB/Developer's KitまたはHiRDB/Run Timeに含まれるランタイムを経由しない電文をHiRDBサーバに送信するUAPや,マニュアルに記載されていない機能を使用したUAPの開発と使用を禁止します。
- クライアント環境定義PDNAMEPORTには,システム定義のpd_name_portオペランドの値を設定し,変更しないように維持してください。また,クライアント環境定義HiRDB_PDNAMEPORTについても,同様にpd_name_portオペランドの値を設定し,変更しないように維持してください。
- マルチフロントエンドサーバ構成で高速接続機能を使用する場合,クライアント環境定義PDSERVICEPORTには,システム定義のpd_service_portオペランドの値を設定し,変更しないように維持してください。なお,高速接続機能を使用しない場合は,クライアント環境定義PDSERVICEPORTには値を設定しないでください。
- HiRDBクライアントのOSアカウントは,データベース利用者以外には与えないでください。具体的には,次の対策を徹底してください。
- UAP開発用のHiRDBクライアントのOSアカウントは,管理下にあるUAP開発者だけに付与する。
- 監査用のHiRDBクライアントのOSアカウントは,監査人だけに付与する。
- 各アカウントには業務に必要な権限だけを付与する。
All Rights Reserved. Copyright (C) 2012, Hitachi, Ltd.
![[目次]](FIGURE/CONTENT.GIF)
![[索引]](FIGURE/INDEX.GIF)
![[前へ]](FIGURE/FRONT.GIF)
![[次へ]](FIGURE/AFTER.GIF)