4.8.2 想定した脅威に対して実施する対策
ここでは,「4.7 想定される脅威の分析」で想定した脅威に対して実施する,対策の内容について説明します。
このシステムで想定される脅威と,それぞれの脅威に対する対策を,対策を実施する対象者ごとに次の表に示します。それぞれの脅威の詳細については,「4.7 想定される脅威の分析」を参照してください。
|
対策の対象者 |
脅威 |
対策 |
|---|---|---|
|
システム管理者 |
不正なシステム管理者によるシステム構築 |
|
|
システム運用者 |
不正なシステム運用者によるシステム運用 |
|
|
手順書に従わないシステム運用者によるシステム運用 |
|
|
|
エンドユーザ |
不正なユーザによるサービスの利用 |
|
|
手順書に従わないユーザによるサービスの利用 |
|
それぞれの対策の概要を次に示します。
- システム管理者を対象にした対策
-
-
OSのユーザ識別・認証
システム管理者だけがシステムを管理するように,システムが動作するOSのユーザ識別・認証を設定して,コマンドの実行権限を制御します。
-
- システム運用者を対象にした対策
-
-
OSのユーザ識別・認証
システム運用者がシステムを運用するように,システムが動作するOSのユーザ識別・認証を設定して,コマンドの実行権限を制御します。
-
システム運用者のユーザ識別・認証
システム運用者がシステムを運用するように,システムでユーザ識別・認証をします。
-
システムの監査ログ出力
手順書に従った方法でシステムを運用したかどうかを監査するために,システムで監査ログを出力するようにします。
-
J2EEアプリケーションの監査ログ出力
手順書に従った方法でエンドユーザを管理したかどうかを監査するために,アプリケーションサーバが提供する監査ログ出力用のAPIを使用してJ2EEアプリケーションを実装して,J2EEアプリケーションの監査ログを出力するようにします。監査ログ出力用のAPIを使用したJ2EEアプリケーションの実装方法については,マニュアル「アプリケーションサーバ 機能解説 運用/監視/連携編」の「6.8 アプリケーションの監査ログを出力するための実装」を参照してください。
-
- エンドユーザを対象にした対策
-
-
J2EEアプリケーションの監査ログ出力
正当なエンドユーザが手順書に従った方法でサービスを利用したかどうかを監査するために,アプリケーションサーバが提供する監査ログ出力用のAPIを使用してJ2EEアプリケーションを実装して,J2EEアプリケーションの監査ログを出力するようにします。監査ログ出力用のAPIを使用したJ2EEアプリケーションの実装方法については,マニュアル「アプリケーションサーバ 機能解説 運用/監視/連携編」の「6.8 アプリケーションの監査ログを出力するための実装」を参照してください。
-
J2EEアプリケーションのユーザ識別・認証
正当なエンドユーザだけがサービスを利用するように,J2EEアプリケーションにユーザ識別・認証機能を実装します。
-
J2EEアプリケーションのアクセス制御
アクセス権限を持っているエンドユーザだけが保護するべきデータにアクセスできるように,J2EEアプリケーションにアクセス制御機能を実装します。
-