オンプレミス ロボット エージェントのセキュリティ
ロボット エージェントがインストールされているサーバーへのアクセスをコントロールするためには、オンプレミス ロボット エージェントのセキュリティに関する推奨事項に従い、機密データをセキュアに維持します。
クラウド ベースのロボット アプリへのユーザー アクセスの詳細については、ロボット アプリのアクセス許可を参照してください。
メモ
このトピックの情報は、オンプレミスのロボットエージェントを使用して、ACL ロボットで ACLスクリプトを実行する組織にのみ適用されます。
ACL Robotics Professional Edition を有する個人および組織にはオンプレミスロボット エージェントがありません。HighBond ロボットとワークフロー ロボットの Python/HCL スクリプトはロボット エージェントを使用しません。
一般的なユーザーのアクセス権
一般的なガイドラインとして、必要最低限の権限とアクセス許可を内容とするロボット エージェントへのアクセス権を、必要最小限のアカウントに付与する必要があります。
サーバー管理
ご利用のロボット エージェント サーバーを可能な限りセキュアに維持するには、すべての Windows オペレーティング システムのアップグレードとセキュリティ パッチを速やかに適用してください。
機密性の高いインストール情報
ロボット エージェントのインストールに関連する機密情報をすべて保護します。インストールの処理中に、アカウント資格情報や構成設定などの機密情報が含まれるファイルを 1 つでも作成した場合は、そのファイルを安全な場所に保管する必要があります。
許可リストの URL
ロボットエージェントがインストールされるサーバー上の、ポート 443 アウトバウンドについて以下に指定された URLの許可リスト。Diligent One アカウントがあるリージョンの URL のみの許可リスト。
Diligent One アカウントのリージョンを確認するには、Launchpad を開き、[オプション]>[組織]を選択します。[リージョン名]の下にリージョンが表示されます。
注意
アウトバウンド トラフィックのみに対してポート 443 を設定します。インバウンドトラフィックは許可しないでください。
| Diligent One のリージョン | URL |
|---|---|
| アフリカ (南アフリカ) |
|
|
アジア太平洋 (オーストラリア) |
|
|
アジア太平洋 (シンガポール) |
|
| アジア太平洋(東京) |
|
|
ヨーロッパ (ドイツ) |
|
|
北米 (カナダ) |
|
|
北米 (米国) |
|
| 南米 (ブラジル) |
|
アカウントにログインする権限とアクセス許可
2 種類のアカウントには、ロボット エージェントがインストールされているサーバー上に Windows のログイン権限とアクセス許可が必要になります。
- 2 つのロボット エージェントの Windows サービスの実行に使用されるサービス アカウント
- ロボットのタスクによって Analytics テーブルの出力にアクセスするために使用される個々のユーザー アカウント
Analytics がデスクトップ上にインストールされた個々のユーザーは、このアプリケーションをデスクトップ クライアントとして使用し、ロボット エージェント サーバー上に格納された出力テーブルに接続することができます。
アカウントごとに必要な具体的なログインの権限とアクセス許可は以下に概説されています。
アカウントのログオン権限
以下のテーブルは、ロボット エージェント サーバーへのアクセスを必要とするアカウントに必要なログオン権限について概説したものです。以下に規定されている内容以上のログオン権限をアカウントに付与しないでください。ログオン権限は、Windows セキュリティ ポリシーの[ユーザー権利の割り当て]領域に規定されています。
ログオン権限を制限することで、誰かがロボット エージェント サーバーに不正アクセスを行うリスクが軽減されます。
| アカウント | ローカル ログオンを許可する | ローカルでログオンを拒否する | サービスとしてログオン |
|---|---|---|---|
| ロボット エージェント サービス アカウント | いいえ | はい | はい |
| ロボットデータサービスアカウント | いいえ | はい | はい |
|
ユーザー アカウント (Analytics ユーザー) |
はい | いいえ | いいえ |
アカウントのアクセス許可
サービス アカウントのアクセス許可
| Windows サービス名 | ポート | サービスを実行するアカウント | サービス アカウントに必要なアクセス許可 |
|---|---|---|---|
|
ロボット エージェント (スケジュールされたタスクと臨時ロボットのタスクを実行) |
443 アウトバウンドのみ |
次のいずれかを使用します。
使用してはならないもの:
メモ 指定するアカウントが、期限が切れるパスワードを使用する場合は、パスワードを常に更新する処理を構築しておく必要があります。 |
|
|
ロボット データ サービス (ユーザーが Analytics でエージェント テーブルを開ける接続性を提供します ) |
10000 (デフォルト) 0 ~ 65536 で利用できるポートを指定できます |
ローカル システム |
|
ユーザー アカウントのアクセス許可
ロボットのタスクによって出力される Analytics テーブルは、ロボット エージェントがインストールされるサーバーに格納されます。ユーザーは、以下に概説されたアクセス許可を持っている場合は、これらのテーブルに接続し、ローカルにインストールされた Analytics のコピーにこれらを開くことができます。(詳細については、ACL ロボットのテーブル、ファイル、ログの表示を参照してください)。
ロボット エージェント サーバーへのユーザーのアクセス権の制限
貴社が、ユーザーにロボット エージェント サーバーにアクセスを望まない場合は、異なるアプローチをとることができます。ロボットのタスクのアナリティクス スクリプトを、Excel または区切りなどのファイルタイプに出力結果を書き込むことができます。ユーザーは、ロボット エージェント サーバーへのアクセス権を持つ要件なしに、クラウド ベースのロボット アプリから直接これらのファイル タイプをダウンロードできます。
組み合わせたアプローチ
また、タスクの出力結果へのアクセスを提供するために、複合的なアプローチを取ることもできます。
- 一般ユーザー クラウドベースのロボットアプリから、Excel や区切りファイルでの結果ダウンロードを一般ユーザーに要求します。
- 開発者・アーキテクト 分析開発者やデータアーキテクトが、ロボットエージェントサーバー上の分析結果テーブルにアクセスできるようにします。
Analytics ユーザーへのアクセス許可
一部の Analytics ユーザーまたはすべての Analytics ユーザーにロボット エージェント サーバー上での Analytics テーブルへのアクセス権を付与する場合は、以下に概説されたアクセス許可を指定します。
注意
ロボット エージェント サーバー上の C:\acl ディレクトリ全体に、または以下の指定外のフォルダーに対し、個別のユーザーアクセス許可を付与しないでください。
フォルダーのアクセス許可を、必要なアカウントと必要なフォルダーのみに制限することで、ユーザーがロボット エージェント サーバーに不正アクセスを行うリスクが軽減されます。また、Analytics スクリプトが、該当するフォルダーの外部のファイルをアクセスしたり変更したりできないようにします。
| 項目 | 必要なユーザー アカウントのアクセス許可 |
|---|---|
|
ロボット データ サービスのインストール フォルダー |
|
|
ロボット データ サービスの実行可能ファイル (aclse.exe) |
|
|
ロボット エージェントのデータ フォルダー (ロボットのタスクによって出力された Analytics 結果テーブルを格納) |
メモ このアクセス許可は \data フォルダー全体に付与したり、次の方法で制限したりすることができます。
|
|
ロボット データ サービス プレフィックスのフォルダー (ロボット エージェント サーバーに接続された場合に直接動作する Analytics は、 Analytics からサーバーに保存された Analytics 出力テーブルとインデックス ファイルを格納します) |
|
