ここでは，「4.7　想定される脅威の分析」で想定した脅威に対して実施する，対策の内容について説明します。

このシステムで想定される脅威と，それぞれの脅威に対する対策を，対策を実施する対象者ごとに次の表に示します。それぞれの脅威の詳細については，「4.7　想定される脅威の分析」を参照してください。

表4-3　想定される脅威と実施する対策

対策の対象者	脅威	対策
システム管理者	不正なシステム管理者によるシステム構築	OSのユーザ識別・認証
システム運用者	不正なシステム運用者によるシステム運用	OSのユーザ識別・認証 システム運用者のユーザ識別・認証
	手順書に従わないシステム運用者によるシステム運用	システムの監査ログ出力 J2EEアプリケーションの監査ログ出力
エンドユーザ	不正なユーザによるサービスの利用	J2EEアプリケーションの監査ログ出力 J2EEアプリケーションのユーザ識別・認証
	手順書に従わないユーザによるサービスの利用	J2EEアプリケーションの監査ログ出力 J2EEアプリケーションのアクセス制御

それぞれの対策の概要を次に示します。

システム管理者を対象にした対策

• OSのユーザ識別・認証
  システム管理者だけがシステムを管理するように，システムが動作するOSのユーザ識別・認証を設定して，コマンドの実行権限を制御します。
  

システム運用者を対象にした対策

• OSのユーザ識別・認証
  システム運用者がシステムを運用するように，システムが動作するOSのユーザ識別・認証を設定して，コマンドの実行権限を制御します。
  
• システム運用者のユーザ識別・認証
  システム運用者がシステムを運用するように，システムでユーザ識別・認証をします。
  
• システムの監査ログ出力
  手順書に従った方法でシステムを運用したかどうかを監査するために，システムで監査ログを出力するようにします。
  
• J2EEアプリケーションの監査ログ出力
  手順書に従った方法でエンドユーザを管理したかどうかを監査するために，アプリケーションサーバが提供する監査ログ出力用のAPIを使用してJ2EEアプリケーションを実装して，J2EEアプリケーションの監査ログを出力するようにします。監査ログ出力用のAPIを使用したJ2EEアプリケーションの実装方法については，マニュアル「アプリケーションサーバ 機能解説 運用／監視／連携編」の「6.8　アプリケーションの監査ログを出力するための実装」を参照してください。
  

エンドユーザを対象にした対策

• J2EEアプリケーションの監査ログ出力
  正当なエンドユーザが手順書に従った方法でサービスを利用したかどうかを監査するために，アプリケーションサーバが提供する監査ログ出力用のAPIを使用してJ2EEアプリケーションを実装して，J2EEアプリケーションの監査ログを出力するようにします。監査ログ出力用のAPIを使用したJ2EEアプリケーションの実装方法については，マニュアル「アプリケーションサーバ 機能解説 運用／監視／連携編」の「6.8　アプリケーションの監査ログを出力するための実装」を参照してください。
  
• J2EEアプリケーションのユーザ識別・認証
  正当なエンドユーザだけがサービスを利用するように，J2EEアプリケーションにユーザ識別・認証機能を実装します。
  
• J2EEアプリケーションのアクセス制御
  アクセス権限を持っているエンドユーザだけが保護するべきデータにアクセスできるように，J2EEアプリケーションにアクセス制御機能を実装します。