ページの先頭です。
サイト内の現在位置を表示しています。
  1. ホーム
  2. 製品
  3. サーバ・ストレージ
  4. ACOSシリーズ
  5. ACOS-2
  6. プログラムプロダクツ
  7. PWSS/SC
  8. 特長・機能
  9. 強化内容
ここから本文です。

強化内容

MP R6.1  ファイルアクセスログの機能を実装

強化機能イメージ

業務APでのアクセスログ採取のためのAPI提供

PWSS/SCの強化として、業務アプリケーションのファイルアクセスに関する履歴を採取する機能を新たに提供します。本機能では業務アプリケーションからファイルアクセスを行った場合、ファイルアクセスを行った日時、端末、PWSSユーザ名等ファイルアクセス事象を特定する項目をアクセスログ情報として、PWSS/SCが提供するログファイルに格納することができます。

業務アプリケーションでファイルアクセスログを採取するためには、業務アプリケーションプログラムの改造を含め、以下の作業が必要となります。

  • ログファイルの作成(ログファイル作成用システム機能部品を使用して作成)
  • 業務アプリケーション起動JCLにログファイルのアサイン文(\ASSIGN文)を追加
  • ログ情報をログファイルへ出力するための業務アプリケーション改造
    • ログ情報デザインのデータ定義のためにCOPY文を追加
    • ログファイルへ出力するデータのセット
    • ログ情報をログファイルへ出力するためのログ出力ルーチンのCALL文を追加

以上実施後に再コンパイル,再リンクを行い業務アプリケーションを実行することで、ファイルアクセスログ情報を採取することが可能となります。

また採取されたログ情報を、ログ情報編集出力システム機能部品を使用して編集・出力する機能も提供します。

本機能は、お客様の業務アプリケーションにPWSS/SCが提供するファイルアクセスログのためのAPIを組み込むことで機能実装します。機能実装のために以下のものが提供されます。

  • COPY原文 :ログ情報のデザイン(固定)にあわせデータ定義されたCOPY原文
  • ログ出力ルーチンCU :ログ情報のファイルへの出力を行うCU
  • ログファイル作成用システム機能部品:ログファイルの作成を行うシステム機能部品
  • ログ情報編集出力システム機能部品:ログファイル内のログ情報を編集・出力するシステム機能部品

ファイルアクセスログ機能

強化機能概要

機能概要は以下のとおりです。

業務アプリケーションからのファイルアクセス採取

アクセスログはシステムで固定的に採取する情報に加えて、業務アプリケーション毎に任意の情報も採取可能です。1レコード全体で120バイト(内システムで34バイト利用)となっています)。なお、システムで採取できる情報はプログラム種別毎に以下のような違いがあります。

  • 業務アプリケーションがオンラインプログラムの場合
    • 日時
    • 内部ターミナル名
    • 外部ターミナル名
    • MFD名(VISアプリケーションの場合のみ)
  • 業務アプリケーションがバッチプログラムの場合
    • 日時
    • PWSSユーザ名
    • 起動JCLマクロ名

ログ情報編集/出力

ログ情報は編集/出力にあたっては以下の条件指定による抽出出力が可能です。

  • 出力開始/終了時間の指定
  • キー指定

また、条件指定は複数組み合わせて指定が可能です。

強化機能特長

基幹業務データへのアクセス履歴としての活用可能

基幹業務データ不正等問題発生時、いつ誰がどのようにデータアクセスを行ったか確認可能

ログデータ編集結果はACOS-2のレポートファイル形式で出力

Printivew for ACOS-2やETOS等の帳票出力機能を利用し、Windows (CSV)形式にすることでEXCEL等で二次活用可能

お客様のセキュリティニーズに応じた、ログ情報を採取可能

ログ情報の採取機能APIの組み込みはファイル出力に限定していないため、ログ出力の場面に応じたセキュリティ機能の構築に対応

強化機能導入効果

本強化機能を利用することで得られる効果を以下に記載します。

セキュリティを確保した基幹業務システムの構築

ファイルアクセスに関する事象を常に監視することが可能になるので、通常起動されない時間帯で特定業務が起動されているといった事象や、そうした不正に起動された業務で誰がいつ、どのファイルをアクセスしたかがログを確認することで判断することができ、データ不正等の問題の原因究明を迅速に行うことができます。

お客様の社会的信用の確保

情報漏えいの嫌疑がかけられた場合等、ログ情報を開示することで速やかな解決をはかることができます。また、強固なセキュリティ機能を実装することにより、社会的な信用を確保継続することができ、企業経営をスムーズに進めることが可能です。

強化機能適用リリース

ACOS-2/MP R6.1以降で利用可能

強化機能適用例

今回の強化内容、業務アプリケーションからのアクセスログ出力機能を適用した場合の例を以下に示します。

毎日10:00に基幹業務ファイルXをアクセスするオンライン業務Aに、アクセスログ出力機能を組み込みます。アクセスログ出力機能ではオンライン業務の場合、日時、内部ターミナル名、外部ターミナル名、VIS-APであればMFD名までデフォルトでロギングできます。また、業務AP起動時の認証等で、社員番号等個人を特定できるようなデータを入力させているようなシステムであれば、それらデータをシステムのデフォルトのロギング情報に加えてロギングするよう設定することが可能です。

このようにPWSS/SCで提供する今回の強化内容である業務アプリケーションからのアクセスログ出力の機能を実装しログ情報を確認することで、不正な業務アプリケーションの起動、また不正に起動されたと思われるその際の日時、時間、端末等を特定することが可能です。

下記図においては、2003年11月xx日22:00に業務Aが端末xxxより、通常起動されることのない条件で起動されていることを確認することができることを示しています。

顧客データを扱っているような場合には、そのデータを扱う業務に本機能を適用することで顧客から個人データの扱いの確実性を証明してほしい旨の依頼がきた場合でも、ログ情報を開示することで対応することが可能です。

ファイルアクセスログ機能強化導入事例

MP R8.1  ログ情報採取範囲の拡大

強化機能イメージ

ユーザ認証(セッション開設/閉鎖)ログ採取対象の拡大

PWSS/SCの強化として、PWSSにおけるユーザ認証のチェック結果がロギングされる対象を拡大します。

従来は、ETOSJX,VIS/VEなどの端末エミュレータを利用しACOS-2を使用する際の、ユーザ認証(セッションの開設とセッションの閉鎖)結果がロギングされていました。今回、オープン連携製品を利用しACOS-2を使用する際のユーザ認証結果についてもロギングされるようになります。

  • ファイル転送
    • UXNET/FTPIII
    • UXNET/FTP-VIEWER
  • データベースアクセス
    • RIQSIIサーバ(TCP/IP版)
    • RIQSIIサーバ/AF
  • ファイル変換
    • FileConverter for ACOS-2/iStorage
  • ファイル操作支援
    • ACOSファイルナビゲータ
  • ファイルアクセス
    • OLF/FL-RS
  • 導入/運用支援
    • OLF/AD-SG(TCP/IP)
  • 拡張プログラム間通信
    • COM-XE

認証結果のロギング先は、FileConverterに関してはWindowsイベントログであり、それ以外はACOS-2 PWSS/SCのログファイルとなります。

ユーザ認証(セッション開設/閉鎖)ログ採取対象の拡大機能強化機能イメージ

強化機能概要

機能概要は以下のとおりです。

オープン連携製品でのPWSSユーザ認証ログの採取

PWSS利用時のユーザ認証ログでは、以下の情報が採取されています。

  • 日時
  • PWSSワークステーション番号と外部ターミナル名
  • ユーザ名
  • ログ情報内容

今回の強化では、オープン連携製品利用時のユーザ認証ログとして、以下の情報を採取します。

  • 日時
  • IPアドレスまたはクライアントを特定可能な情報
  • ユーザ名
  • ログ情報内容とプロダクト識別情報

ログ情報編集/出力

ログ情報は編集/出力にあたって今回の強化にて採取される以下の条件指定による抽出出力を可能としています。

  • IPアドレスまたはクライアントを特定可能な情報
  • プロダクト識別情報

また、条件指定は複数組み合わせて指定が可能です。

強化機能特長

基幹業務データへのアクセス履歴の一括管理

PWSS利用時の認証ログとオープン連携製品利用時の認証ログが 同じログファイルに格納されることにより、一括管理/参照が可能

利用クライアントの特定が容易

ログ情報としてACOS-2にアクセスしたクライアントのIPアドレスが採取され、ログ情報から利用したクライアントの特定が可能

強化機能導入効果

本強化機能を利用することで得られる効果を以下に記載します。

セキュリティ要件を満たすシステムの構築

ファイル連携製品を利用した基幹業務データへのアクセスの際、ユーザ認証のログを採取することが可能となり、「個人情報の保護に関する法律」が求める要件の「情報システムへのアクセスの成功と失敗の記録」を満たすことが可能となります。

セキュリティ対策コストの削減

PWSS利用時の認証ログに加え、オープン連携製品の認証ログを一括して管理/確認を行うことができることにより、以下の作業にかかるコストを削減することができます。

  • 不正なアクセスの有無の確認
  • 不正アクセス発覚時のクライアント,利用プロダクトの特定
  • ログ情報の退避/復帰

強化機能適用リリース

ACOS-2/MP R8.1以降で利用可能

強化機能適用例

今回の強化内容、ユーザ認証ログ採取対象の拡大を適用した場合の例を以下に示します。

通常、ACOS-2上の業務アプリケーションからアクセスする業務データに対して、異なる手段(例えばFTPなど)により不正にアクセスを試みようとした場合、今回の機能を適用することによりPWSS/SCのログファイルを参照することで以下のことが確認できます。

  • 同一クライアントから短時間に複数回の認証エラーの発生
  • 通常FTPを利用しないクライアントからの認証要求の存在
  • 通常FTPを利用しないユーザからの認証要求の存在

このように、今までは製品ごとに存在するログ情報やメッセージなど複数の情報を全て確認しなければならなかった作業について、まずはPWSS/SCのログファイルを確認することで満たすことが可能となります。さらに異常を発見した際に、以下の情報を容易に入手することが可能となります。

  • 発生日時
  • 利用されたクライアント
  • アクセスに用いられた手段

また、万が一不正にアクセスされてしまった場合においても、PWSS/SCのログファイルから入手した上記情報をもとに、ピンポイントで製品ごとのログ情報やメッセージを確認することができるため、すばやく不正アクセスの状況を把握することが可能となります。

ユーザ認証(セッション開設/閉鎖)ログ採取対象の拡大機能強化導入事例

MP R10.1  パスワード情報の変更機能

強化機能イメージ

パスワード情報の変更機能を提供

本強化機能は、「PWSSユーザパスワード変更機能」としてシステム機能部品“SPWPASCG”にて提供します。本機能部品を実行すると上記の画面が表示されますので、「現在のパスワード」にはパスワード変更機能を起動したユーザの現在のパスワード情報を、「新しいパスワード」と「新しいパスワードの確認入力」には変更後のパスワード情報を入力し、実行キーを押下することにより、本機能部品を実行したユーザのパスワード情報を変更することができます。

本機能部品を端末操作者が利用するスケルトンに定義していただくことで、端末操作者が、任意のタイミングで自身が使用するPWSSユーザのパスワード情報を変更できます。本機能部品は、PWSS/SCを導入しているシステムであれば、セキュリティレベルに関係なく利用できます。システムで求められるセキュリティ要件に沿って、「PWSSユーザパスワード変更機能」をご利用ください。

パスワード情報の変更機能を提供

強化機能概要

機能概要は以下のとおりです。

PWSSユーザのパスワード情報の変更機能

強化機能特長

今回の強化機能の特長は以下のとおりです。

端末操作者が、自身が利用しているPWSSユーザのパスワード情報を任意のタイミングで変更可能

PWSS/SCを導入しているシステムでは、端末操作者が、自身が利用しているPWSSユーザのパスワード情報を、任意のタイミングで簡単に変更できるようになります。

強化機能導入効果

本強化機能を利用することで得られる効果を以下に記載します。

セキュリティの向上

PWSS/SCを導入しているシステムにおいて、パスワード入力を第三者に見られた等でパスワード情報が漏洩した可能性がある場合、即座にパスワード情報の変更が可能になります。また、パスワード情報をシステム管理者にも連絡する必要がなくなるため、セキュリティが向上します。

システム管理者の工数削減

PWSS/SCを導入しているシステムにおいて、システム管理者が端末操作者のパスワード情報を管理する必要がなくなります。また、端末操作者のパスワード情報の変更をシステム管理者が実施する必要がなくなり、システム管理者の工数を削減することができます。

強化機能適用リリース

ACOS-2/MP R10.1以降で利用可能
(ACOS-2/MP R9.1は個別対応)

強化機能適用例

下の図は、「PWSSユーザパスワード変更機能(SPWPASCG)」を利用して、PWSS端末の利用者に任意のタイミングでPWSSのパスワード変更を実施させる運用を行う場合の適用例です。

従来、PWSS端末の利用者に任意のタイミングでパスワードを変更させる運用を行う場合、「ユーザプロフィールの保守機能(USPRFGEN)」をメニューに組み入れておき、PWSS端末利用者に実行してもらう方法がありました。

しかし、この方法では、USPRFGENでPWSSのパスワード情報以外のPWSS情報についても変更が可能なため、セキュアなシステム運用を考えた場合には問題となります。特に初期スケルトンの情報を変更可能なため、メニュー体系を実行を許可する機能へのリンクを含まないユーザスケルトンに限定した構成にしたとしても、システムスケルトンに変更できてしまい期待しているPWSS端末利用者に対する実行制御を正しく行うことができません。

この問題については、パスワードを変更させるための機能として、USPRFGENの代わりに、今回新たに機能提供した「PWSSユーザパスワード変更機能(SPWPASCG)」を利用することで解決することができます。

「PWSSユーザパスワード変更機能(SPWPASCG)」では、パスワード情報のみPWSS端末の利用者に変更させることが可能です。初期スケルトン名などのパスワード以外のPWSSプロフィール情報は変更できません。そのため、「PWSSユーザパスワード変更機能(SPWPASCG)」を利用することで、実行できるメニューに対する制限を維持しつつ、 PWSS端末の利用者による任意のタイミングでのPWSSパスワード変更の運用を実現することができます。

パスワード情報の変更機能を提供

お問い合わせ

ページの先頭へ戻る