2.7 JP1/AJS3のセキュリティについて検討する
JP1/AJS3を安全に運用するためのセキュリティ対策について説明します。
不正なユーザーからのアクセスや,意図しないホストでのジョブ実行などを防ぐために,ファイアウォールやJP1/AJS3の機能を利用して対策を実施します。
不正なユーザーからのアクセスへの対策を実施した例を,次の図と表に示します。図中の番号は,表の項番に対応しています。
項番 |
不正なユーザーからの操作 |
対策 |
説明 |
---|---|---|---|
1 |
社外の不正なユーザーからのアクセス |
ファイアウォールの設置 |
ファイアウォールを設置することで,不正なユーザーからのアクセスを防ぎます。 ファイアウォールの詳細については,「2.3.2 ファイアウォールと通信に関する基礎知識」を参照してください。 |
2 |
DMZの設置 |
Web ConsoleサーバをDMZに設置することで,社外LANからでも安全にJP1/AJS3システムに接続できます。 |
|
3 |
通信データの盗聴 |
通信電文の暗号化 |
VPNやSSLなどを利用して,通信電文を暗号化します。Web GUIはHTTPS通信にも対応しています。 SSLによる通信の暗号化については,「2.3.6 SSLによるJP1/AJS3の通信の暗号化」を参照してください。 |
4 |
社内の不正なユーザーからのログイン |
マシンへの物理的なアクセス制限 |
マシンの設置場所を検討し,物理的なアクセス方法を制限します。 |
5 |
OSユーザーの適切な管理 |
管理者権限を持たない一般ユーザーがマネージャーホストにログインできないように,OSユーザーのアカウントを適切に管理します。 また,ジョブ実行時のOSユーザーに必要以上に高い権限を与えないようにしてください。 |
|
6 |
JP1ユーザーの適切な管理 |
JP1ユーザーのアカウントを適切に管理します。 特に,JP1ユーザー「jp1admin」の初期パスワードは変更してください。また,用途に応じてJP1ユーザーを追加で登録し,JP1ユーザーごとに適切な権限を設定してください。 |
|
7 |
JP1/AJS3の接続元制限 |
JP1/AJS3の機能で,マネージャーホストまたはエージェントホストに接続できるホストを制限します。詳細については,「2.3.9 JP1/AJS3へ接続するホストの制限」を参照してください。 |
|
8 |
組み込みDB管理者の適切な管理 |
組み込みDB管理者のアカウントを適切に管理し,パスワードを変更します。組み込みDBのパスワードの変更方法については,マニュアル「JP1/Automatic Job Management System 3 コマンドリファレンス 付録B 組み込みDBの操作コマンド使用時の注意事項」を参照してください。 |
|
9 |
JP1/AJS3 - Viewのログイン履歴の不正利用 |
ログイン履歴の非表示 |
JP1/AJS3の機能で,前回ログインしたJP1ユーザー名や過去に接続したホスト名をJP1/AJS3 - Viewの[ログイン]画面に表示しないようにします。過去にログインした内容の表示を抑止することで,不正なユーザーが正規のJP1ユーザー名を使用してログインするのを防ぐことができます。詳細については,マニュアル「JP1/Automatic Job Management System 3 操作ガイド 11.2.6 [ログイン]画面で前回ログインユーザー名および接続ホスト名の履歴表示を抑止する」を参照してください。 また,IMEなどの文字入力ソフトウェアの予測変換機能を無効にすることを推奨します。予測変換機能が有効になっていると,ログイン履歴の非表示機能を使用していても,[ユーザー名],[パスワード],または[接続ホスト名]の入力時に入力候補が表示されることがあります。 |