4.8.3 対策を実施したセキュアなシステムの動作
ここでは,対策を実施したセキュアなシステムの動作について説明します。
対策を実施したシステムの動作の概要を次の図に示します。なお,図中に示した対策は,「4.8.2 想定した脅威に対して実施する対策」で説明した対策と対応しています。
この図で示した,対策を実施したシステムの動作の概要を,システムの使用者ごとに説明します。
(1) システム管理者・システム運用者の操作とシステムの動作
システム管理者・システム運用者の操作とシステムの動作の概要について説明します。
- システム管理者の操作
-
-
Smart Composer機能のコマンドを使用してアプリケーションサーバを構築します。ただし,J2EEアプリケーションの設定,リソースの設定などの作業は,サーバ管理コマンドを使用して実施します。
-
ユーザ識別・認証機能とアクセス制御機能,および監査ログを出力する機能を実装したアプリケーションを,デプロイ・開始します。
-
- システム運用者の操作
-
Smart Composer機能のコマンドを使用してシステムを運用します。ただし,障害発生時のログの収集は,snapshotlogコマンドを使用して実施します。
- システムの動作
-
コマンドの実行によるそれぞれの操作に対して監査ログを出力します。
- ポイント
-
一部のコマンドは監査ログを出力しないため,使用するコマンドが監査ログを出力するコマンドかどうかを確認して作業を実施してください。監査ログを出力するコマンドについては,マニュアル「アプリケーションサーバ 機能解説 運用/監視/連携編」の「6.6 監査ログを出力するコマンド・操作一覧」を参照してください。
(2) エンドユーザの操作とシステムの動作
システムが提供するサービス利用時のエンドユーザの操作とシステム(J2EEアプリケーション)の動作の概要を次に示します。
- エンドユーザの操作
-
クライアント端末のWebブラウザからHTTPリクエストをアプリケーションサーバへ送信します。
- システム(J2EEアプリケーション)の動作
-
-
HTTPリクエストに含まれているユーザ情報を識別して,ユーザ認証をします。
-
アクセス制御機能を使用して,認証されたユーザにアクセス権があるかどうかをチェックします。
-
アクセス制御機能で許可されたリクエストがJ2EEアプリケーションのサービスを実行します。
-
処理の実行時に,監査ログを出力します。
-