Skip to main content

This is documentation for Caché & Ensemble. See the InterSystems IRIS version of this content.Opens in a new tab

For information on migrating to InterSystems IRISOpens in a new tab, see Why Migrate to InterSystems IRIS?

Caché、Ensemble、およびオペレーティング・システムのリソースの保護

はじめに

本書の目的は、Caché または Ensemble のインスタンスが実行されているオペレーティング・システムのセキュリティを強化して、侵入者の攻撃対象となり得る領域を減らすことを必要としている顧客を支援することです。 Caché インスタンスで必要なオペレーティング・システム・サービスについて説明します。 各種の Caché プロセスの一覧を示して、これらのプロセスの役割を説明します。 実行中インスタンス内の Caché プロセスの機能を特定する方法を説明します。 必須ではないオプションの Caché プロセスを削除または無効化する手順を示します。 外部プロセスのうち、cache 以外のプログラムを UNIX® 上で実行しているか cache.exe 以外のプログラムを Windows および OpenVMS 上で実行しており、かつ実行中の Caché インスタンスで必要なプロセスについて説明します。 Caché の内部プロセスと外部プロセスで使用される TCP ポートと UDP ポートを列挙して、これらのポートの役割を説明します。

Caché プロセス

Caché インスタンスが含まれているほとんどのプロセスは、cache 実行可能ファイルを UNIX® 上で実行し、cache.exe 実行可能ファイルを Windows および OpenVMS 上で実行します。これらの実行可能ファイルは、インストール・ディレクトリ下の bin ディレクトリにあります。 実行中のインスタンスはいくつかのシステム・プロセスを使用して、カスタマ・コードを実行しているプロセスを調整およびサポートします。 Caché プロセスを調べるには、管理ポータルで [システム処理]→[プロセス] を使用するとできます。

コア・プロセス

コア・システム・プロセスは、インスタンス初期化の早期段階で開始され、User 列に値を持っていません。 これらのプロセスは Routine 列の値によって識別できます。システム・プロセスの場合は、この列には、Caché ルーチンの名前が常に含まれているわけではありません。 以下のコア・システム・プロセスは、Routine 列に表示される名前に基づいて一覧表示しています。

  • CONTROL – 共有メモリを作成および初期化して、各種の制御関数を提供します。

  • WRTDMN – ライト・デーモンは、データベースと WIJ に対するすべての書き込みを実行します。

  • GARCOL – サイズの大きいキルをガーベッジ・コレクションします。

  • JRNDMN – ジャーナル書き込みを実行します。

  • EXPDMN – データベース拡張を実行します。

  • SWRTDMN – ライト・デーモンの 2 次ワーカ。

  • MONITOR – アラートをアラート・ファイルに書き込んで、電子メール・アラートを送信します。

  • CLNDMN – 停止しているプロセスを検知して、立ち往生しているリソースをクリーンアップします。

  • RECEIVE – ECP ワーカ・プロセスを管理します。

  • ECPWork – ECP ワーカ・プロセス。

  • %SYS.SERVER – この SuperServer プロセスは、TCP 要求を受け付けて、これらの要求を処理するワーカを配信します。

  • %CSP.Daemon – CSP セッションの期限切れを管理します。

  • LMFMON – Caché ライセンスを監視して、使用状況データを UDP 経由でライセンス・サーバに送信します。

  • %SYS.Monitor.xxx – 各種のシステム・モニタ・ワーカ。

  • SYS.Monitor.xxx – アラートをアラート・ファイルに書き込んで、電子メール・アラートを送信します (バージョン 2015.2)。

コア・システム・プロセスを停止しないでください。 これらのプロセスを停止すると、Caché インスタンスは正常に動作できなくなります。 ECP が使用されていない場合は、構成ファイルで適切な値を設定することで、ECPWork プロセスが開始されることを防止できます。 管理ポータルから、[システム管理]→[構成]→[接続性]→[ECP設定] を選択して、アプリケーション・サーバとデータ・サーバの最大数をゼロに設定します。 次に、ECP サービスを無効にします。

他のいくつかの Caché システム・プロセスがコア・システム・プロセスの後に開始されます。 これらの多くは動的に開始されます。 これらのプロセスについては、User 列に値が表示されます。 これらのプロセスの多くは必須ではないため、必要な場合や構成されている場合を除いて開始されません。 これらのプロセスは通常、プロセス表示の RoutineUser、および Client EXE の各列の値によって識別できます。

インスタンス開始時に、タスク・マネージャ・プロセス (TASKMGR) が作成されます。 このプロセスは、各種のスケジュールされたシステム定義タスクとユーザ定義タスクを開始して、次の設定に基づいて実行されます。

  • ユーザ名 = TASKMGR

  • ルーチン = %SYS.TaskSuper.1

  • オペレーティング・システム・ユーザ名 = TASKMGR

ECP サーバ・プロセス

動的に開始される ECP サーバ・プロセスは、“ECP” で始まるルーチン名を持ちます。 ユーザ名またはオペレーティング・システム・ユーザ名は通常は Daemon または %System ですが、Windows 上のインスタンス・サービス・ユーザの名前である場合もあります。 以下にプロセス名の例を示します。

  • ECPCliR – ECP クライアント・リーダ

  • ECPCliW – ECP クライアント・ライター

  • ECPSrvR – ECP サーバ・リーダ

  • ECPSrvW – ECP サーバ・ライター

シャドウイング・プロセス

ソース・データベースから Caché シャドウ・サーバ上のターゲット・データベースへのデータのシャドウイングは、各システム上のいくつかのプロセスによって実行されます。 これらのプロセスは、シャドウイングが構成されてアクティブになると開始されます。 以下に、シャドウイングをサポートするプロセスを示します。これらのプロセスは、プロセス表示の Routine 列またはコンテンツによって識別されます。

  • SHDWSBLK – リモート・シャドウ・サーバ上でシャドウイングされるデータのソースであるインスタンス上で実行されます。 ユーザ名は %System であり、デバイスは SuperServer ポートを持つ TCP デバイスです。

  • SHDWCBLK – シャドウ・サーバがソース・データを受信して複製する場所であるインスタンス上で実行されます。 ユーザ名は Daemon であり、プライマリ・シャドウ・サーバ・プロセスのデバイスは |TCP|Port です。ここで、ポートはデータ・ソース・インスタンスの SuperServer ポートです。 他のシャドウ・サーバ・プロセスのデバイスは、オペレーティング・システムに固有の NULL デバイス名になります。

CSP サーバ・プロセス

CSP サーバ・プロセスは動的に開始されます。 これらのプロセスは、アイドル状態でタスクを待っているときは、User 列に CSPSystem と表示されます。 これらのプロセスがアクティブのときは、CSP セッションの Caché ユーザと現在のルーチン名が表示されます。 OS Username 列には CSP Gateway (Caché バージョン 2015.2 以降の場合) または CSPSystem (それより前のバージョンの場合) と表示されます。

  • %SYS.cspServer – CSP サーバ・プロセス

  • %SYS.cspServer2 – 2 つ目の CSP サーバ・プロセス

これらのサーバそれぞれの実行可能ファイルは、Windows では CSPAP.dll であり、UNIX® では CSPap.so です。オペレーティング・システム・ユーザ名は CSP Gateway です。プログラム名は、プロセスでタスクが変更されるたびに変化する可能性があります。

ミラー・システム・プロセス

ミラー・システム・プロセスが開始されるのは、ミラーリングが構成されている場合です。 これらのプロセスは、ミラーリングに関するさまざまな機能を実行します。

  • MIRRORMGR – ミラー・マスター。 ユーザ名は、実行されるミラー機能を表します (Mirror MasterMirror PrimaryMirror DejournalMirror Prefetch、または Mirror JrnRead)。 オペレーティング・システム・ユーザ名は Daemonです。 TCP ポートは開かれません。デバイスはオペレーティング・システムの NULL デバイスです。

  • MIRRORCOMM – ミラー通信プロセス。ユーザ名は Mirror ArbiterMirror Backup、または Mirror Svr:RdDmn です。オペレーティング・システム・ユーザ名は Daemon です。デバイスは |TCP|XXXです。TCP ポートは、デバイス名またはミラー構成から確認できます。

IP プロトコル

TCP

Caché インスタンスは、構成オプションで指定されている TCP/IP ポート上の接続を受け付けます。 ポートの使用に関するオペレーティング・システム側の制約事項 (ファイアウォールに関するものなど) がある場合は、Cache/Ensemble 向けに構成されているポートと一貫したポート設定によって着信アクセスを許可する必要があります。 ファイアウォールで実行可能ファイルのルールが設定されている場合は (Windows 上のファイアウォールでルールが設定されているのと同様に)、必要に応じてプログラムにも許可を付与してください。例えば、cache.exe、clmanager.exe、ISCAgent.exe、および httpd.exe の実行可能ファイルはこのような許可を必要とします。

Caché で使用される TCP/IP ポートは、インスタンス構成によって設定されています。 構成されているポートは、インストール・ディレクトリ内の cache.cpf ファイルで調べることができます。 [Startup] セクションでは、DefaultPortDefaultPortBindAddress、および WebServerPort を構成します。 DefaultPort では、SuperServer が接続を受け付けるポートを指定します。既定値は 1972 です。 DefaultPortBindAddress では、必要に応じて SuperServer のバインド先であるインタフェース・アドレスを指定します。 WebServerPort では、プライベート Web サーバが接続を受け付けるポートを指定します。既定値は 57772 です。

プライベート Web サーバはほとんどの場合は開発環境で使用されるため、運用環境で使用することは推奨されません。

[SQL] セクションにある JDBCGatewayPort では、Java Database Connectivity (JDBC) ゲートウェイ・ポート番号を定義します。 既定値は 62972 です。

[Telnet] セクションにある Port 値では、Caché telnet サービス (ctelnetd.exe) が Windows 上の Caché への telnet 接続を受け付けるポートを指定します。Zen レポート機能によって、長時間実行される HotJVM Java プロセスが作成される可能性があり、このプロセスは、管理ポータルの [システム管理]→[構成]→[Zen レポート]→[設定] で構成されたポート上で要求を受け付けます。 レンダリング・サーバ、印刷サーバ、および Excel サーバは、管理ポータルの [システム管理]→[構成]→[Zen レポート]→[設定] で指定されたポート上でリッスンするように構成することもできます。

UDP

Caché とライセンス・サーバ (clmanager または clmanager.exe) は、主に UDP プロトコルを使用して通信します。 Caché は、メッセージを UDP パケットとしてライセンス・サーバのポートに送信します。 このポートは既定では 4001 であり、管理ポータルの [システム管理]→[ライセンス]→[ライセンスサーバ] で設定します。 ライセンス・サーバが Caché に応答するために使用するポートは、Caché が元のメッセージを送信するために使用したポートです (ライセンス・サーバはパケット・ヘッダで該当ポートを確認します)。 TCP は、クエリ要求時に Caché とライセンス・サーバの間でのみ使用されます。 Caché は、受け付け/リッスンのために TCP ポートをオープンして、このポート番号をクエリ要求に格納して送信します。 ライセンス・サーバはそのポートに接続して、結果を TCP 接続を介して送信します。 ポート番号はランダムであり、クエリ要求の送信時にのみオープンされます。

SNMP

%System_Monitor サービスを使用すると、Caché (または Ensemble) は管理対象システム上の SNMP エージェントに対するサブエージェントとして機能します。このサービスは、Cache/Ensemble の管理とデータの監視 (提供されている MIB で定義) のための SNMP 要求 (GET または GETNEXT) と、SNMP トラップ (Cache/Ensemble によって送信される非同期通知) の両方をサポートしています。%System_Monitor サービスを無効にすると、ローカル・システム上の SNMP エージェントと Cache/Ensemble の間のすべての通信が無効になり、その結果としてすべてのリモート SNMP マネージャ・アプリケーションとの通信も無効になります。

HTTP

HTTP 要求を処理するために Caché で使用される CSP ゲートウェイのコンポーネントに関する説明を参照してください。このためには、[ドキュメント]→[Caché Web 開発]→[CSP ゲートウェイ構成ガイド]→[CSP ゲートウェイの概要] を選択してオンライン・ドキュメントにアクセスします。 プライベート Web サーバは、インストール・ディレクトリ下の httpd\bin サブディレクトリにある httpd.exe (UNIX®上では httpd) です。 プライベート Web サーバの開始を制御するには、管理ポータルで [システム管理]→[構成]→[追加設定]→[開始] を選択して、[ウェブサーバ] を true または false に設定します。

ゲートウェイ

Cache は、外部データに対するいくつかのゲートウェイを提供しています。 これらのゲートウェイには、SQL ゲートウェイ、JDBC ゲートウェイ、オブジェクト・ゲートウェイ、および XSLT 2.0 ゲートウェイのサーバが含まれます。 使用される TCP/IP ポートを定義するには、管理ポータルで [システム管理]→[構成]→[接続性] を選択してアクセスできるゲートウェイ・セットアップ・ページを使用します。 これらのゲートウェイが依存しているオペレーティング・システムのサービスやプロセスの詳細は、各ゲートウェイのドキュメントを参照してください。

不要な Caché プロセスの削除

Caché サービス・プロセスが作成されるのは、これらのプロセスがサポートしているサービスが有効化および構成されている場合のみです。 Caché サービス・プロセスが実行されることを防止するために、追加の操作を実行する必要はありません。

外部 (非 Caché) プロセス

Caché インスタンスは、このインスタンスをサポートするいくつかの機能を実行するために、cache[.exe] 以外の実行可能ファイルを実行するプロセスを開始します。 これらの実行可能ファイルのインスタンス固有バージョンは (これらの実行可能ファイルは通常はインスタンス・バージョンごとに異なります)、インストール・ディレクトリの bin サブディレクトリにあります。 複数の Caché インスタンスによって共有される可能性のある実行可能ファイルは、共通のディレクトリに格納されています。

以下に、永続プロセスによって実行される可能性のある実行可能ファイルを示します。これらの実行可能ファイルは Windows 上の bin ディレクトリに格納されています。

  • Cache[.exe] - Caché 実行可能ファイル。

  • clmanager.exe - Caché ライセンス・サーバ。

  • cservice.exe - Caché Windows サービス。 すべての Caché インスタンス・プロセスは、インスタンス・サービスの下位要素です。

  • CStudio.exe - Caché スタジオ。

  • csystray.exe - システム・トレイ内の Caché キューブ。

  • ctelnetd.exe - Caché telnet サーバ。 telnet 接続を受け付けて、その telnet 接続を処理するための Caché サーバ・プロセスを作成します。

  • CTerm.exe – ターミナル。

  • ctrmd.exe - ローカルのターミナル接続デーモン。 ローカルのターミナル接続 (telnet ではなく) を受け付けて、その接続を処理するための Caché サーバ・プロセスを作成します。

  • cwdimj.exe - Caché の始動時とシャットダウン時に WIJ ファイルを処理します。

以下に、永続プロセスによって実行される可能性のある実行可能ファイルを示します。これらの実行可能ファイルは UNIX® 上の bin ディレクトリに格納されています。

  • cache - Caché 実行可能ファイル。

  • clmanager - Caché ライセンス・サーバ。

  • cwdimj - Caché の始動時とシャットダウン時に WIJ ファイルを処理します。

Zen レポートは、長時間実行される可能性のある Java アプリケーションを起動します。 これらのアプリケーションは Java 仮想マシン内で実行され、Caché インストール・ディレクトリの lib サブディレクトリにある Java プログラムを実行します。アプリケーションとしては、PrintServer、RenderServer、ExcelExporter 、および QueuingRenderServerが挙げられます。 PrintServer の目的は、Windows Vista 以降で PDF の印刷をサポートすることです。 ExcelServer の目的は、Excel ZEN レポートのレンダリングを高速化することです。RenderServer の目的は、ZEN レポートの PDF のレンダリングを高速化することです。 高速化は JVM (Java 仮想マシン) をホット状態に保つことで実行されるため、JVM を再始動する必要はありません。 Cache は、TCP を介してこれらのサーバと通信します。 ポートを構成するには、管理ポータルで [システム管理]→[Zen レポート] を選択します。SMP によって PrintServer が開始されます。 他のサーバが開始されるのは、最初の Microsoft Excel レポートまたは PDF レポートがレンダリングされたときです。

bin ディレクトリ内の他のプログラムも時々使用されますが、これらのプロセスは短時間しか実行されないため、プロセスのリスト表示で長時間表示されることはあまりありません。

複数の Caché インスタンスによって共有される実行可能バイナリは、Windows 上の C:\Program Files (x86)\Common Files\InterSystems のサブディレクトリに格納されています。 これらのプロセスは、これらの実行可能バイナリを Windows 上の共通ディレクトリから実行しているものとして表示されることがあります。

  • ISCAgent.exe - ミラーのフェイルオーバーを制御します。

  • Cterm.exe – ターミナル。

共有バイナリは通常、UNIX®上の /usr/local/etc/cachesys にインストールされます。

  • ISCAgent* - ミラーのフェイルオーバーを制御します。

実行可能バイナリに加えて、いくつかの共有ライブラリ・バイナリが共通ディレクトリに格納されています。

Ensemble

アダプタ

Ensemble は、アダプタを使用して外部インタフェースとの通信を可能にします。

電子メール

Ensemble の電子メール・アダプタは Caché プロセスです。 これらのアダプタは、TCP/IP を使用して電子メール・サーバとの間で電子メールを送受信します。 発信アダプタは、SMTP サーバにメールを送信します。着信アダプタは、POP3 サーバからの該当する (フィルタ処理された) メッセージをポーリングします。 電子メール・サーバはリモート・サーバ上に配置されている可能性が高いため、ローカル・プロセスは存在しない一方で、リモート・システムにファイアウォールを介してアクセスできる必要があります。

ファイル

Ensemble のファイル入力アダプタは Caché プロセスです。 これらのアダプタは、監視対象として構成されたディレクトリを定期的に調べて、そのディレクトリにあるファイルを読み取って、サポート対象として構成されたビジネス・サービスにそれらのファイルを渡して、構成されたアーカイブ・ディレクトリにそれらのファイルを移動します。 EnsLib.File.InboundAdapterOpens in a new tab クラスは実装を提供します。 FilePathWorkPath、および ArchivePath の各プロパティは、それぞれ入力ディレクトリ、一時作業ディレクトリ、およびアーカイブ・ディレクトリを定義します。

Ensemble のファイル出力アダプタは、Ensemble ビジネス・オペレーションによってデータをファイルに書き込むために使用されます。 ファイルのパスと名前はビジネス・オペレーションによって指定され、ファイルに対する処理は、EnsLib.File.OutboundAdapterOpens in a new tab クラスのメソッドを呼び出すことで実行されます。 メッセージは通常、実際の出力処理を実行するワーカ・ジョブのキューに格納されます。 このことは、Ens.QueueOpens in a new tab プロセスの存在を暗黙的に意味します。

FTP

Cache は、%Net.FtpSessionOpens in a new tab クラスを使用したリモート FTP サーバとの FTP 通信用のクライアントとして機能します。 %Net.FtpSessionOpens in a new tab クラスは、着信接続を回避するために、データ・チャンネルに対して PASV を使用するように構成できます。 Ensemble は、FTP の着信アダプタと発信アダプタを提供します。 どちらも FTP クライアントとして機能して、ユーザによって作成されたビジネス・サービスの管理下で get (入力) または put (出力) を実行します。 FTP のサーバとポートは構成可能です。 FTP アダプタは Caché プロセスです。

HTTP

HTTP アダプタ (EnsLib.HTTP.InboundAdapterOpens in a new tab および EnsLib.HTTP.OutboundAdapterOpens in a new tab) は、プロダクションが HTTP 要求と HTTP 応答を送受信することを可能にします。 HTTP アダプタは、Caché プロセスによって実装されます。 着信 HTTP アダプタのポートとインタフェースの IP アドレスは構成可能です。 発信 HTTP アダプタの対象であるサーバとポートは、クラス設定によって指定されます。

Java ゲートウェイ

Ensemble のアダプタは、Java ゲートウェイを使用して Java 中間プロセスを介して通信します。 Java 仮想マシンの存在に依存する Java プロセスが開始されます。 Caché サーバ・プロセスは、TCP 接続を介して Java プロセスと通信します。 使用される TCP ポートは構成可能です。

LDAP

ビジネス・サービスは、EnsLib.LDAP.OutboundAdapterOpens in a new tab を他のアダプタと同じように使用して LDAP サーバに要求を送信したり応答を受信したりできます。

MQSeries

Ensemble EnsLib.MQSeries.InboundAdapterEnsLib.MQSeries.OutboundAdapterOpens in a new tab を使用すると、Ensemble プロダクションは、Ensemble IBM WebSphere MQ のメッセージ・キューとの間でメッセージを送受信できます。 動的に読み込まれる共有ライブラリ・バイナリが通信用に使用されます。

パイプ

Ensemble の EnsLib.Pipe.InboundAdapterOpens in a new tabEnsLib.Pipe.OutboundAdapterOpens in a new tab を使用すると、Ensemble プロダクションはオペレーティング・システムのコマンドやシェル・スクリプトを実行できます。 これらは、Caché の外部プロセスを作成して、パイプを介してこのプロセスと通信するため、パイプ・アダプタが外部プロセスと通信している間は外部プロセスは存続します。 このプロセスによって実行されるコマンドは、アダプタ・クラスの CommandLine プロパティに指定された値によって決まります。

SAP

Java ゲートウェイは、EnlLib.SAP.BootStrap クラスの ImportSAP メソッドを使用してインポートされたクラスを使用して SAP Java コネクタと通信するために使用されます。

SQL

Ensemble の SQL 着信アダプタおよび発信アダプタは、Ensemble プロダクションが JDBC または ODBC に準拠したデータベースと通信することを可能にします。一般に、着信 SQL アダプタ (EnsLib.SQL.InboundAdapterOpens in a new tab) はクエリを定期的に実行してから、結果セットの行を繰り返し処理して、関連付けられたビジネス・サービスに 1 行ずつ渡します。 SQL アダプタは、Caché の SQL ゲートウェイと JDBC ゲートウェイの基盤機能を使用します。

TCP

Ensemble は、入力 TCP アダプタと出力 TCP アダプタを提供します。 各 TCP 着信アダプタは、指定されたポート上でデータの有無を確認して、入力を読み取り、関連付けられたビジネス・サービスに入力をストリームとして送信します。プロダクション内では、発信 TCP アダプタは、ユーザによって作成および構成されたビジネス・オペレーションと関連付けられています。このビジネス・オペレーションは、そのプロダクション内からのメッセージを受信して、メッセージ・タイプを調べて、発信 TCP アダプタ内で適切なメソッドを実行して、TCP を介してデータを送信します。

Telnet

Ensemble が提供する EnsLib.Telnet.OutboundAdapterOpens in a new tab を使用すると、別のシステム上の telnet 機能への発信 telnet 接続が可能になります。 このアダプタが提供するメソッドを使用して、telnet クライアント・ソフトウェアを使用してリモート・システムに手動でログインする機能をプログラムによってエミュレートします。 Caché TCP デバイスは基盤テクノロジです。

導入環境のセキュリティを強化するためのチェックリスト

このチェックリストの目的は、環境のセキュリティ・レベルを検証するためのガイドラインを提示すること、および環境のセキュリティを強化するためのヒントを提示することです。これらのヒントは、組織のセキュリティ侵害を回避および防止するのに役立ちます。このチェックリストは “ハウツー・リスト” として使用されるべきものではなく、全網羅的なものでもありません。以下に示す項目は考慮すべき事項であり、適用すべきルールの絶対的なリストではありません。

インフラストラクチャのセキュリティについて全責任を負っている担当者として、セキュリティ強化と保護のための手法について不安がある場合、セキュリティ専門家にご相談ください。

ネットワークとファイアウォール

1.

トピック

説明

1.

ネットワーク、ハードウェア、ソフトウェア、およびポリシー

セキュリティ・ポリシー、ファイアウォール・ログ、ファイアウォールの構成とパッチ・レベル、公開されている IP アドレス、ネットワーク図、およびファイアウォール・トポロジの情報を取得してレビューします。

2.

物理的環境の監査

ファイアウォールと管理サーバが、許可された人物のみがアクセスできる物理的に安全な場所にあること、およびそれらに最新のパッチが適用されていることを確認します。

3.

変更管理プロセス、ルール・ベース変更のレビュー

変更の手順と承認プロセスをレビューします。このための自動化ツールが提供されています。

4.

脆弱性テストの実行

自動化されたツールを実行して、セキュリティが低いサービス、プロトコル、およびポートを分析して特定します。

5.

総当たり攻撃検知システムの使用

パスワードが不特定の人々に推測されることを阻止して、サーバ・ファイアウォールで不特定の人々の現在の IP アドレスをブロックすることで、サーバに接続することを防止します。

6.

継続的な監査およびリアルタイムの監視とアラート発行

ファイアウォールを継続的に監査するためのプロセスを実行します。ファイアウォールに変更が加えられたときにアラートを発行するためのリアルタイム監視を実行します。これらに関するログを定期的にレビューします。

オペレーティング・システム

ID

トピック

説明

1.

インストールの計画

サーバ・ロールを理解して、インストール手順を文書化します。詳細は、オペレーティング・システムの適切なセキュリティ強化ガイドをダウンロードして参照してください。

2.

パッチ・レベル

オペレーティング・システムに最新のパッチが適用されていることを確認します (特にセキュリティ・パッチ)。自動更新を無効にします。

3.

ウィルス対策

このソフトウェアを Windows サーバやクライアント PC などの適切な場所にインストールします。

4.

不要なソフトウェア、サービス、およびポートの無効化

不要なネットワーク・サービスを無効にします (IPv6、telnet、FTP など)。

使用されていない不要なデーモンを無効にします (DHCP、スケジューリングとキューイングのサービス、ラップトップ・サービスなど)。

使用されているサービスのセキュリティを可能な限り高めます。例えば、SSH プロトコルをバージョン 2 に限定することで SSH のセキュリティを向上させます (バージョン 1 はセキュリティが不十分です)。

5.

ログ

サーバ・ログを保持して、それらのログを別個のログ・サーバにミラーリングします。

6.

監視とアラート発行

監視とアラート発行の設定を通じて、システムに対する変更や未承認アクセスなどのイベントが通知されるようにします。

7.

物理的なセキュリティ

BIOS の構成を通じて、CD/DVD、フロッピー、および外部デバイスから起動できないようにして、これらの設定を保護するためのパスワードを設定します。

Web サーバ

ID

トピック

説明

1.

インストールの計画

Web サーバのロールとコンテンツを理解して、ページが静的かどうか、および提供される Web サービスの内容を確認します。インストール手順を文書化します。適切なセキュリティ強化ガイドをダウンロードして参照します。

2.

パッチ・レベル

Web サーバが最新状態であることを確認します (特にセキュリティ・パッチのバージョン)。

3.

Web サーバのヘッダ情報

実行されている Web サーバ・ソフトウェアや、システムのタイプとバージョンに関する情報が HTTP ヘッダに含まれないようにサーバを構成します。

4.

HTTP TRACE の無効化

HTTP TRACE が有効化されているときは、HTTP TRACE 要求を使用してすべての受信情報がエコー・バックされます。

5.

エラー処理

汎用のエラー・ページとエラー処理ロジックを使用して、アプリケーションで既定のエラー・ページを強制的に回避させることで、適切なエラー処理を実現します。既定のエラー・ページは多くの場合、システムとアプリケーションに関する機密情報を漏洩させます。

6.

モジュールの無効化

使用されていないモジュールをすべて無効化することで、Web サーバの外部にさらされる領域を減らします。これらのモジュールによって多くの場合は必要以上の情報が提供されます。

Apache: autoindex、cgi、imap、info、status、userdir、actions、negotiation…

IIS: ASP、ASP.NET、WebDAV、CGI、ディレクトリ参照…

7.

ユーザとグループ

Apache: Apache を別個のユーザおよびグループとして実行することで、Apache プロセスを他のシステム・プロセスによって使用できないようにします。

IIS: 使用されていないアカウントを削除して、Guest アカウントを無効にします。

ユーザ、パスワード、グループ、所有権、および権限

ID

トピック

説明

1.

ユーザ管理

root ログインを無効にします。すべての管理者は名前を持つユーザである必要があります。使用されていないユーザ・アカウントがないこと、および既定のユーザ・アカウントとパスワードが使用されていないことを定期的に確認します。

2.

パスワード・ポリシー

大文字と小文字、数字、および特殊文字を組み合わせた非常に強力なパスワードを使用することを義務付けます。

パスワードを定期的に変更します。

ログインの失敗が一定回数を超えた場合は、そのアカウントをロックします。

3.

UNIX

インストール前にグループとユーザを作成します (cachemgr と cacheusr)。

Caché は、root としてインストールされる必要があります。Caché データベースのグループ、所有権、および権限が指定されたとおりに保持されていることを確認します。

4.

Windows

Caché は、Windows Administrator を使用してインストールされる必要があります。その後で、既定の Windows Administrator アカウントを無効にする必要があります。Guest アカウントと Help Assistant アカウントも無効にします。

暗号化 (保管中のデータと伝送中のデータ)

ID

トピック

説明

1.

保管中のデータ

ディスク上に保管されているすべての実運用データが暗号化されていることを確認します。

2.

キー管理

キー管理のポリシーと手順をレビューします。

3.

伝送中のデータ

すべての HTTP データ通信が暗号化されていることを確認します (SSL/TLS などを使用)。

SSL/TLS 設定で最新バージョンの SSL/TLS が使用されていることを確認します。

Caché セキュリティ

ID

トピック

説明

1.

インストール

常に Caché のセキュリティ・タイプがロック・ダウンの状態でインストールします。

2.

認証

ユーザとパスワードを定期的にレビューします。

3.

承認

アプリケーションの要件をレビューして、ロール、リソース、およびサービスを定義します。

4.

監査

Caché の監査が有効化されていることを確認します。ログを定期的にレビューします。

5.

サービスの無効化

ECP、シャドウイング、ミラーリングなどのサービスが使用されていない場合は、それらのサービスを有効にしないでください。

6.

使用されていないデータベースとアプリケーションの削除

SAMPLES や USER などの使用されていないデータベースを削除します。
FeedbackOpens in a new tab