攻撃対象領域の縮小

不要な機能を無効にすることで、エンタープライズ サーバー リージョンのセキュリティを大幅に強化できます。Enterprise Server の最近のリリースでは、リモート サービス ディプロイなど、一部の機能はデフォルトで無効になりますが、お客様の要件に応じてさらに多くの対策を実施できます。

デフォルトで有効になっている機能の無効化

Enterprise Server が最初にインストールされた場合、および新しいエンタープライズ サーバー リージョンが作成された場合は、デフォルト構成 (既定の構成とも呼ばれます) が使用されます。この構成では、利便性と下位互換性のために、すべてのお客様に必要とは限らない多くの機能が有効になります。したがって、必要のない機能を無効にすることをお勧めします。

検討の余地がある機能は次のとおりです。

  • Windows では、Enterprise Server インストーラーによって追加および開始されるオプションのコンポーネントおよびサービスとして、次のものがあります。
    • Enterprise Analyzer 向けの Micro Focus EA サービス統合ホスト。
    • Enterprise Server for .NET 向けの次のサービス。
      • Micro Focus Event Monitor Service Shutdown Coordinator
      • Micro Focus SEE Administration Server
      • Micro Focus SEE Listener
      • Micro Focus SEE Monitor
      • Micro Focus SEE Service Bus Logon
    • XDB データベース向けの Micro Focus XDB サーバー。

    これらの検討の余地がある機能については、使用していない場合は、サービスを停止して無効にする必要があります。

  • MFDS の場合。
    • MFDS Web 管理インターフェイス (「Enterprise Server Administration」)。Enterprise Server Common Web Administration (ESCWA) を代わりに使用できます。詳細については、「Enterprise Server Common Web Administration」の「セキュリティ」の章を参照してください。
    • [UDP broadcast] オプション ([Configure > Options > General])。この機能は、MFDS で、Micro Focus CCI サービス (Fileshare など) のアドレスを解決する必要がある際に、要求されたサービス名を認識できない場合に使用されます。このオプションが有効になっている場合、MFDS はそのサービスについて UDP ブロードキャスト検索要求をローカル サブネットに送信して、サブネット上の MFDS インスタンスにそのサービスに関する情報があるかどうかを確認します(UDP ブロードキャストがルーターを経由して他のネットワークに到達することはありません)。多くのエンタープライズ サーバー インスタンスのインストール環境では、この機能は必要ありません。
  • リージョンの場合。
    • 不要なリスナーを無効にするか削除します。新しく作成されたエンタープライズ サーバー リージョンには、通常はすでに無効になっている「Web」リスナーが含まれます。これは、COBOL Web サービスおよび EJB のディプロイに使用されます。本番環境ではこのリスナーを削除することをお勧めします。新しく作成された MSS エンタープライズ サーバー リージョンにも、「TN3270」リスナーが含まれることがありますが、不要な場合は無効にするか削除する必要があります。
  • MSS エンタープライズ サーバー リージョンの場合。
    • デフォルトの CICS リソース定義ファイルには、デモンストレーション用のグループが多数含まれています。本番環境のエンタープライズ サーバー リージョンでは特に、これらを削除することをお勧めします。必要のないその他の定義も削除するか無効にします。

不要になったオプション機能の無効化

Enterprise Server のインストール環境では、古い製品リリースであるか、古い製品リリースからアップグレードされたために、またはインストール後に有効化されたために、デフォルトでは有効化されない機能が有効になっている場合があります。詳細については、「 エンタープライズ サーバー インスタンスの強化」を参照してください。次のいずれかが有効になっている場合は、その機能について確認して、必要なければ無効にする必要があります。

  • MFDS の場合。
    • 外部ネットワーク インターフェイスに対するアクセス。これは、リモート システムから MFDS にクライアントが接続できるようにする MFDS 構成オプションです。Enterprise Server Common Web Administration (ESCWA) を使用している場合、MFDS は定義されているエンタープライズ サーバー リージョンと同じシステムで実行されるため、外部クライアントが MFDS への TCP 接続を行う必要はありません (cassub コマンドの -l オプションを使用するなど)。したがって、MFDS をループバック接続のみに制限する方が安全です。
  • エンタープライズ サーバー リージョンの場合。
    • エンタープライズ サーバー リージョンの [Configuration Information] フィールドに [ES-Environment] セクションが含まれている場合は、不要なエントリを削除します。OS または COBOL RTS にとって重要な環境設定 (PATH や COBPATH など) に注意し、それらの値が安全であることを確認してください。たとえば、権限のないユーザーが書き込める可能性のあるディレクトリを含めるべきではありません。
    • 不要になったトレースは、攻撃者に有用な情報を与える可能性があるため、無効にします。
    • 可能であればダイナミック デバッグのサポートを無効にします。本番環境のエンタープライズ サーバー リージョンでは特に、無効にすることをお勧めします。
  • MSS エンタープライズ サーバー リージョンの場合。
    • CICS トランザクション、マップ、およびファイル パスから不要なディレクトリを削除します。
    • EZ Socket のサポートが必要ない場合は無効にします。
    • JES プログラム パスから不要なディレクトリを削除します。
    • 未使用の JES プリンター定義を削除します。
    • IMS TM MFS およびアプリケーション パスから不要なディレクトリを削除します。
    • PL/I のサポートが必要ない場合は無効にします。
    • リージョンで使用される CICS リソース定義で、不要な定義を無効にするか削除します。リソース グループをインストールしたり、その他の管理アクションを実行したりする権限をユーザーが持っている場合、定義の無効化を回避できる可能性があることに注意してください。そのため、本番環境のエンタープライズ サーバー リージョンでは、本番アプリケーションに必要な定義のみを含む CICS リソース定義ファイルを使用するのが最も安全な方法です。
    • リージョンが JES に使用されている場合は、カタログから不要なエントリを削除します。
    • エンタープライズ サーバー リージョンによって使用される IMS 構成では (存在する場合)、必要な定義のみが存在するようにしてください。
上位ヘルプ: エンタープライズ サーバー リージョンの強化