AX サーバーセキュリティ

AX サーバーセキュリティの推奨事項に従い、Analytics Exchange へのアクセスを統制し、機密性の高い監査データを安全に保持してください。

一般的なユーザーのアクセス権

一般的なガイドラインとして、必要最低限の権限とアクセス許可を内容とする AX サーバーへのアクセス権を、必要最小限のアカウントに付与する必要があります。

Windows ユーザーアカウントのセキュリティ

Analytics Exchange サービスを実行するために使用する Windows ユーザーアカウント

"AX Service" アカウントの実行専用のドメインユーザーアカウントを使用する。以下のアカウントタイプはいっさい使用しないでください。

AX Engine Node を実行するために使用する Windows ユーザーアカウント

Analytics Exchange の実行に使用するのと同じドメインユーザーアカウントを使用する。

AX Engine Node と Analytics Exchange サービスの実行に必要なアクセス許可は同じです。どちらを実行するのにも同じアカウントを使用するということは、1 つのアカウントのみを追跡すればよいということです。

個別の Windows ユーザーアカウント

まず各ユーザーアカウントを Windows ユーザーグループに追加して、AX サーバーでユーザーの権限とアクセス許可を管理する。AX サーバーで各ユーザーアカウントに権限とアクセス許可を付与する場合、ユーザーグループには次の 2 種類の選択肢があります。

両種類のグループのログオン権限およびフォルダーのアクセス許可については、後続のセクションで規定します。

ログイン試行

ユーザーや AX Server 管理者のログイン試行の制限を無効にしないでください。ブルートフォースによるパスワード破りのリスクを軽減するため、Analytics Exchange ではデフォルトでログイン制限が有効になっています。

機密性の高いインストール情報

AX サーバーのインストールに関連する機密性の高い情報をすべて保護します。インストール処理中に、アカウント資格情報や構成設定などの機密性の高い情報が含まれるファイルを 1 つでも作成した場合は、そのファイルを安全な場所に保管する必要があります。

サーバー構成 IP への制限

サーバーの構成に関する次のページにアクセスするには、管理者ユーザー名とパスワードによる認証が必要です。

/manager
/aclconfig

これらのページのセキュリティを向上させる別の方法として、一連の IP アドレスでのみページにアクセスできるようにすることもできます。

メモ

アクセスを localhost に制限するには、構成ページにアクセスする際に、ブラウザーのアドレスバーに「127.0.0.1」と入力する必要があります。

これらのページへのアクセスを制限するには、次のファイルを ACL\App\Tomcat\conf\Catalina\localhost ディレクトリに追加し、許可する要求 IP アドレスをカンマ区切り一覧に入れて指定します。

manager.xml: /manager ページへのアクセスを制限します:

 <Context path="/manager" debug="0" privileged="true"> <!-- localhost にアクセスを制限します。--> <!-- 許可するサーバーをカンマ区切り一覧として追加します --> <Valve className="org.apache.catalina.valves.RemoteAddrValve" allow="127.0.0.1"/> </Context>

aclconfig.xml: /aclconfig ページへのアクセスを制限します:

 <Context path="/aclconfig" debug="0" privileged="true"> <!-- localhost にアクセスを制限します。--> <!-- 許可するサーバーをカンマ区切り一覧として追加します --> <Valve className="org.apache.catalina.valves.RemoteAddrValve" allow="127.0.0.1"/> </Context>

メモ

この変更を取り消し、IP 制限を解除するには、ACL\App\Tomcat\webapps\manager ディレクトリをバックアップし、Tomcat サービスを停止して、ACL\App\Tomcat\conf\Catalina\localhost に追加したファイルを削除します。これらの手順を完了したら、バックアップで manager フォルダーを上書きし、サービスを再起動します。

アカウントのログオン権限

AX サーバーへのアクセスを必要とするアカウントに必須のログオン権限について、次のテーブルに示します。以下に規定されている内容以上のログオン権限をアカウントに付与しないでください。ログオン権限は、Windows セキュリティポリシーの［ユーザー権利の割り当て］領域に規定されています。

ログオン権限を制限することで、ユーザーが AX サーバーに不正アクセスを行うリスクが軽減されます。

アカウントのログオン権限

ログオン権限	AX サービスアカウント（すべてのエンジンノードを含む）	PostgreSQL アカウント（データベースサーバーが Oracle の場合は非該当）	AX ユーザーグループアカウント（AX Client、AX Web Client、および AX Add-Ins のユーザー用の Windows ユーザーグループ）	AX Connector アカウント（ACL Analytics ユーザー）
ローカルログオンを許可する	いいえ	いいえ	いいえ	はい（手動で割り当てる必要あり）
ローカルでログオンを拒否する	はい（手動で割り当てる必要あり）	はい（手動で割り当てる必要あり）	はい（手動で割り当てる必要あり）	いいえ
サービスとしてログオン	はい（AX インストーラーによって自動的に割り当てられる）	はい（AX インストーラーによって自動的に割り当てられる）	いいえ	いいえ

ログオン権限

AX サービスアカウント

（すべてのエンジンノードを含む）

PostgreSQL アカウント

（データベースサーバーが Oracle の場合は非該当）

AX ユーザーグループアカウント

（AX Client、AX Web Client、および AX Add-Ins のユーザー用の Windows ユーザーグループ）

AX Connector アカウント

（ACL Analytics ユーザー）

ローカルログオンを許可する

いいえ

はい

（手動で割り当てる必要あり）

ローカルでログオンを拒否する

はい

（手動で割り当てる必要あり）

はい

（手動で割り当てる必要あり）

はい

（手動で割り当てる必要あり）

いいえ

サービスとしてログオン

はい

（AX インストーラーによって自動的に割り当てられる）

はい

（AX インストーラーによって自動的に割り当てられる）

いいえ

フォルダーのアクセス許可

注意

AX サーバーの "ACL" ディレクトリ全体または AX サーバーのオペレーティングシステムディレクトリへのアクセス許可を、個々のユーザーまたはユーザーグループに付与しないでください。このような設定は、セキュリティ上の大きなリスクが生じるため、お勧めできません。

AX サーバーへのアクセス権が必要なアカウントに付与する必要のあるフォルダーのアクセス許可について、次のテーブルに示します。以下に規定されている内容以上のフォルダーアクセス許可をアカウントに付与しないでください。

フォルダーのアクセス許可を必要なアカウントと必要なフォルダーのみに制限することで、ユーザーが AX サーバーに不正アクセスを行うリスクが軽減されます。また、ACL スクリプトが、該当するフォルダーの外部のファイルをアクセスしたり変更したりできないようにします。

AX サーバーフォルダーのアクセス許可

AX サーバー上のフォルダー	AX サービスアカウント（すべてのエンジンノードを含む）	PostgreSQL アカウント（データベースサーバーが Oracle の場合は非該当）	AX ユーザーグループアカウント（AX Client、AX Web Client、および AX Add-Ins のユーザー用の Windows ユーザーグループ）	AX Connector アカウント（ACL Analytics ユーザー）
ACL\App	読み取り書き込み	アクセス許可なし	アクセス許可なし	アクセス許可なし
ACL\App\analytic_engine\aclse\conf （AX コネクター構成フォルダー）	読み取り書き込み	アクセス許可なし	アクセス許可なし	読み取り
ACL\App\TomCat\conf （TomEE アプリケーションサーバー構成フォルダー）このサブフォルダーには、Analytics Exchange の機能を制御する設定ファイルが格納されます。AX サーバーをインストールすると、設定ファイルに、ハッシュされた資格情報やホスト名など機密性の高い情報が格納されることがあります。	読み取り書き込み	アクセス許可なし	アクセス許可なし	アクセス許可なし
ACL\Data	読み取り書き込み	アクセス許可なし	アクセス許可なし	アクセス許可なし
ACL\Data\aclse\<ユーザー名> （AX ユーザーにドメインユーザーグループを使用する場合）	読み取り書き込み	アクセス許可なし	アクセス許可なし	ユーザーに自身のサブフォルダーへのフルコントロールを付与
ACL\Data\aclse （AX ユーザーに AX サーバーのローカル "ユーザー" グループを使用している場合）	読み取り書き込み	アクセス許可なし	アクセス許可なし	安全でない場合はフルコントロール安全な場合はアクセス許可なし
ACL\Data\jobs	フルコントロール	アクセス許可なし	アクセス許可なし	アクセス許可なし
ACL\Data\savedfailedjobs	フルコントロール	アクセス許可なし	アクセス許可なし	アクセス許可なし
ACL\Data\repository	読み取り書き込み	アクセス許可なし	アクセス許可なし	読み取り
ACL\Data\repository\datafiles （Analytics Exchange で保管されているソースデータファイルが格納される）	読み取り書き込み	アクセス許可なし	アクセス許可なし	読み取り
ACL\Data\repository\upload	読み取り書き込み	アクセス許可なし	アクセス許可なし	読み取り
共有データファイルフォルダー（エンジンノードまたは別のデータファイルサーバーを使用している場合）	読み取り書き込み	アクセス許可なし	アクセス許可なし	読み取り
アーカイブおよび復元データディレクトリ	読み取り書き込み	アクセス許可なし	アクセス許可なし	アクセス許可なし

AX Server のセキュリティ

一般的なユーザーのアクセス権

Windows ユーザー アカウントのセキュリティ

Analytics Exchange サービスを実行するために使用する Windows ユーザー アカウント

AX Engine Node を実行するために使用する Windows ユーザー アカウント

個別の Windows ユーザー アカウント

ログイン試行

機密性の高いインストール情報

サーバー構成 IP への制限

アカウントのログオン権限

アカウントのログオン権限

フォルダーのアクセス許可

AX サーバー フォルダーのアクセス許可

Windows ユーザーアカウントのセキュリティ

Analytics Exchange サービスを実行するために使用する Windows ユーザーアカウント

AX Engine Node を実行するために使用する Windows ユーザーアカウント

個別の Windows ユーザーアカウント

AX サーバーフォルダーのアクセス許可