不要な機能を無効にすることで、エンタープライズ サーバー リージョンのセキュリティを大幅に強化できます。Enterprise Server の最近のリリースでは、リモート サービス ディプロイなど、一部の機能はデフォルトで無効になりますが、お客様の要件に応じてさらに多くの対策を実施できます。
デフォルトで有効になっている機能の無効化
Enterprise Server が最初にインストールされた場合、および新しいエンタープライズ サーバー リージョンが作成された場合は、デフォルト構成 (既定の構成とも呼ばれます) が使用されます。この構成では、利便性と下位互換性のために、すべてのお客様に必要とは限らない多くの機能が有効になります。したがって、必要のない機能を無効にすることをお勧めします。
検討の余地がある機能は次のとおりです。
不要になったオプション機能の無効化
Enterprise Server のインストール環境では、古い製品リリースであるか、古い製品リリースからアップグレードされたために、またはインストール後に有効化されたために、デフォルトでは有効化されない機能が有効になっている場合があります。詳細については、「 エンタープライズ サーバー インスタンスの強化」を参照してください。次のいずれかが有効になっている場合は、その機能について確認して、必要なければ無効にする必要があります。
- MFDS の場合。
- 外部ネットワーク インターフェイスに対するアクセス。これは、リモート システムから MFDS にクライアントが接続できるようにする MFDS 構成オプションです。Enterprise Server Common Web Administration (ESCWA) を使用している場合、MFDS は定義されているエンタープライズ サーバー リージョンと同じシステムで実行されるため、外部クライアントが MFDS への TCP 接続を行う必要はありません (cassub コマンドの -l オプションを使用するなど)。したがって、MFDS をループバック接続のみに制限する方が安全です。
- エンタープライズ サーバー リージョンの場合。
- エンタープライズ サーバー リージョンの [Configuration Information] フィールドに [ES-Environment] セクションが含まれている場合は、不要なエントリを削除します。OS または COBOL RTS にとって重要な環境設定 (PATH や COBPATH など) に注意し、それらの値が安全であることを確認してください。たとえば、権限のないユーザーが書き込める可能性のあるディレクトリを含めるべきではありません。
- 不要になったトレースは、攻撃者に有用な情報を与える可能性があるため、無効にします。
- 可能であればダイナミック デバッグのサポートを無効にします。本番環境のエンタープライズ サーバー リージョンでは特に、無効にすることをお勧めします。
- MSS エンタープライズ サーバー リージョンの場合。
- CICS トランザクション、マップ、およびファイル パスから不要なディレクトリを削除します。
- EZ Socket のサポートが必要ない場合は無効にします。
- JES プログラム パスから不要なディレクトリを削除します。
- 未使用の JES プリンター定義を削除します。
- IMS TM MFS およびアプリケーション パスから不要なディレクトリを削除します。
- PL/I のサポートが必要ない場合は無効にします。
- リージョンで使用される CICS リソース定義で、不要な定義を無効にするか削除します。リソース グループをインストールしたり、その他の管理アクションを実行したりする権限をユーザーが持っている場合、定義の無効化を回避できる可能性があることに注意してください。そのため、本番環境のエンタープライズ サーバー リージョンでは、本番アプリケーションに必要な定義のみを含む CICS リソース定義ファイルを使用するのが最も安全な方法です。
- リージョンが JES に使用されている場合は、カタログから不要なエントリを削除します。
- エンタープライズ サーバー リージョンによって使用される IMS 構成では (存在する場合)、必要な定義のみが存在するようにしてください。