2.7 JP1/AJS3のセキュリティについて検討する
JP1/AJS3を安全に運用するためのセキュリティ対策について説明します。
不正なユーザーからのアクセスや,意図しないホストでのジョブ実行などを防ぐために,ファイアウォールやJP1/AJS3の機能を利用して対策を実施します。
不正なユーザーからのアクセスへの対策を実施した例を次の図に示します。
|
|
![[図データ]](GRAPHICS/ZH020480.GIF)
この図の,セキュリティ対策の例を次に示します。項番は,図中の番号に対応しています。
|
項番 |
不正なユーザーからの操作 |
対策 |
|---|---|---|
|
1 |
社外の不正なユーザーからのアクセス |
ファイアウォールの設置※1 |
|
2 |
JP1/AJS3 - ViewとJP1/AJS3 - Manager間の通信データの盗聴 |
通信経路の暗号化 |
|
3 |
社内の不正なユーザーからのログイン |
|
|
4 |
JP1/AJS3 - Viewのログイン履歴の不正利用 |
ログイン履歴の非表示※6 |
- 注※1
-
ファイアウォールの詳細については,「2.3.2 ファイアウォール透過」を参照してください。
- 注※2
-
管理者権限を持たない一般ユーザーがマネージャーホストにログインできないようにOSユーザーを管理することを推奨します。また,ジョブ実行時のOSユーザーに必要以上に高い権限を与えないようにしてください。
- 注※3
-
JP1ユーザー「jp1admin」の初期パスワードは変更してください。用途に応じてJP1ユーザーを追加で登録し,JP1ユーザーごとに適切な権限を設定してください。
- 注※4
-
JP1/AJS3の機能で,マネージャーホストまたはエージェントホストに接続できるホストを制限できます。詳細については,「2.3.8 JP1/AJS3への接続を制限する」を参照してください。
- 注※5
-
組み込みDB管理者のパスワードを変更できます。組み込みDBのパスワードの変更方法については,マニュアル「JP1/Automatic Job Management System 3 コマンドリファレンス1 付録B 組み込みDBの操作コマンド使用時の注意事項」を参照してください。
- 注※6
-
JP1/AJS3の機能で,前回ログインしたJP1ユーザー名や過去に接続したホスト名をJP1/AJS3 - Viewの[ログイン]画面に表示しないようにできます。過去にログインした内容の表示を抑止することで,不正なユーザーが正規のJP1ユーザー名を使用してログインするのを防ぐことができます。詳細については,マニュアル「JP1/Automatic Job Management System 3 操作ガイド 11.2.6 [ログイン]画面で前回ログインユーザー名および接続ホスト名の履歴表示を抑止する」を参照してください。
また,IMEなどの文字入力ソフトウェアの予測変換機能を無効にすることを推奨します。予測変換機能が有効になっていると,過去にログインした内容の表示を抑止していても,[ユーザー名],[パスワード],または[接続ホスト名]の入力時に入力候補が表示されることがあります。