MP R6.1　　ファイルアクセスログの機能を実装

強化機能イメージ

業務APでのアクセスログ採取のためのAPI提供

PWSS/SCの強化として、業務アプリケーションのファイルアクセスに関する履歴を採取する機能を新たに提供します。本機能では業務アプリケーションからファイルアクセスを行った場合、ファイルアクセスを行った日時、端末、PWSSユーザ名等ファイルアクセス事象を特定する項目をアクセスログ情報として、PWSS/SCが提供するログファイルに格納することができます。

業務アプリケーションでファイルアクセスログを採取するためには、業務アプリケーションプログラムの改造を含め、以下の作業が必要となります。

以上実施後に再コンパイル，再リンクを行い業務アプリケーションを実行することで、ファイルアクセスログ情報を採取することが可能となります。

また採取されたログ情報を、ログ情報編集出力システム機能部品を使用して編集・出力する機能も提供します。

本機能は、お客様の業務アプリケーションにPWSS/SCが提供するファイルアクセスログのためのAPIを組み込むことで機能実装します。機能実装のために以下のものが提供されます。

強化機能概要

機能概要は以下のとおりです。

業務アプリケーションからのファイルアクセス採取

アクセスログはシステムで固定的に採取する情報に加えて、業務アプリケーション毎に任意の情報も採取可能です。1レコード全体で120バイト(内システムで34バイト利用)となっています。なお、システムで採取できる情報はプログラム種別毎に以下のような違いがあります。

ログ情報編集/出力

ログ情報は編集/出力にあたって以下の条件指定による抽出出力が可能です。

また、条件指定は複数組み合わせて指定が可能です。

強化機能特長

基幹業務データへのアクセス履歴としての活用可能

基幹業務データ不正等問題発生時、いつ誰がどのようにデータアクセスを行ったか確認可能です。

ログデータ編集結果はACOS-2のレポートファイル形式で出力

Printivew for ACOS-2やETOS等の帳票出力機能を利用し、Windows (CSV)形式にすることでEXCEL等で二次活用可能です。

お客様のセキュリティニーズに応じた、ログ情報を採取可能

ログ情報の採取機能APIの組み込みはファイル出力に限定していないため、ログ出力の場面に応じたセキュリティ機能の構築に対応します。

強化機能導入効果

本強化機能を利用することで得られる効果を以下に記載します。

セキュリティを確保した基幹業務システムの構築

ファイルアクセスに関する事象を常に監視することが可能になるので、通常起動されない時間帯で特定業務が起動されているといった事象や、そうした不正に起動された業務で誰がいつ、どのファイルをアクセスしたかがログを確認することで判断することができ、データ不正等の問題の原因究明を迅速に行うことができます。

お客様の社会的信用の確保

情報漏えいの嫌疑がかけられた場合等、ログ情報を開示することで速やかな解決をはかることができます。また、強固なセキュリティ機能を実装することにより、社会的な信用を確保継続することができ、企業経営をスムーズに進めることが可能です。

強化機能適用リリース

ACOS-2/MP R6.1以降で利用可能

強化機能適用例

今回の強化内容、業務アプリケーションからのアクセスログ出力機能を適用した場合の例を以下に示します。

毎日10:00に基幹業務ファイルXをアクセスするオンライン業務Ａに、アクセスログ出力機能を組み込みます。アクセスログ出力機能ではオンライン業務の場合、日時、内部ターミナル名、外部ターミナル名、VIS-APであればMFD名までデフォルトでロギングできます。また、業務AP起動時の認証等で、社員番号等個人を特定できるようなデータを入力させているようなシステムであれば、それらデータをシステムのデフォルトのロギング情報に加えてロギングするよう設定することが可能です。

このようにPWSS/SCで提供する今回の強化内容である業務アプリケーションからのアクセスログ出力の機能を実装しログ情報を確認することで、不正な業務アプリケーションの起動、また不正に起動されたと思われるその際の日時、時間、端末等を特定することが可能です。

下記図においては、2003年11月xx日22:00に業務Aが端末xxxより、通常起動されることのない条件で起動されていることを確認することができることを示しています。

顧客データを扱っているような場合には、そのデータを扱う業務に本機能を適用することで顧客から個人データの扱いの確実性を証明してほしい旨の依頼がきた場合でも、ログ情報を開示することで対応することが可能です。

MP R8.1　　ログ情報採取範囲の拡大

強化機能イメージ

ユーザ認証（セッション開設/閉鎖）ログ採取対象の拡大

PWSS/SCの強化として、PWSSにおけるユーザ認証のチェック結果がロギングされる対象を拡大します。

従来は、ETOSJX,VIS/VEなどの端末エミュレータを利用しACOS-2を使用する際の、ユーザ認証(セッションの開設とセッションの閉鎖)結果がロギングされていました。今回、オープン連携製品を利用しACOS-2を使用する際のユーザ認証結果についてもロギングされるようになります。

認証結果のロギング先は、FileConverterに関してはWindowsイベントログであり、それ以外はACOS-2 PWSS/SCのログファイルとなります。

強化機能概要

機能概要は以下のとおりです。

オープン連携製品でのPWSSユーザ認証ログの採取

PWSS利用時のユーザ認証ログでは、以下の情報が採取されています。

今回の強化では、オープン連携製品利用時のユーザ認証ログとして、以下の情報を採取します。

ログ情報編集/出力

ログ情報は編集/出力にあたって今回の強化にて採取される以下の条件指定による抽出出力を可能としています。

また、条件指定は複数組み合わせて指定が可能です。

強化機能特長

基幹業務データへのアクセス履歴の一括管理

PWSS利用時の認証ログとオープン連携製品利用時の認証ログが同じログファイルに格納されることにより、一括管理/参照が可能です。

利用クライアントの特定が容易

ログ情報としてACOS-2にアクセスしたクライアントのIPアドレスが採取され、ログ情報から利用したクライアントの特定が可能です。

強化機能導入効果

本強化機能を利用することで得られる効果を以下に記載します。

セキュリティ要件を満たすシステムの構築

ファイル連携製品を利用した基幹業務データへのアクセスの際、ユーザ認証のログを採取することが可能となり、「個人情報の保護に関する法律」が求める要件の「情報システムへのアクセスの成功と失敗の記録」を満たすことが可能となります。

セキュリティ対策コストの削減

PWSS利用時の認証ログに加え、オープン連携製品の認証ログを一括して管理/確認を行うことができることにより、以下の作業にかかるコストを削減することができます。

強化機能適用リリース

ACOS-2/MP R8.1以降で利用可能

強化機能適用例

今回の強化内容、ユーザ認証ログ採取対象の拡大を適用した場合の例を以下に示します。

通常、ACOS-2上の業務アプリケーションからアクセスする業務データに対して、異なる手段(例えばFTPなど)により不正にアクセスを試みようとした場合、今回の機能を適用することによりPWSS/SCのログファイルを参照することで以下のことが確認できます。

このように、今までは製品ごとに存在するログ情報やメッセージなど複数の情報を全て確認しなければならなかった作業について、まずはPWSS/SCのログファイルを確認することで満たすことが可能となります。さらに異常を発見した際に、以下の情報を容易に入手することが可能となります。

また、万が一不正にアクセスされてしまった場合においても、PWSS/SCのログファイルから入手した上記情報をもとに、ピンポイントで製品ごとのログ情報やメッセージを確認することができるため、すばやく不正アクセスの状況を把握することが可能となります。

MP R10.1　　パスワード情報の変更機能

強化機能イメージ

パスワード情報の変更機能を提供

本強化機能は、「PWSSユーザパスワード変更機能」としてシステム機能部品“SPWPASCG”にて提供します。本機能部品を実行すると下図の画面が表示されますので、「現在のパスワード」にはパスワード変更機能を起動したユーザの現在のパスワード情報を、「新しいパスワード」と「新しいパスワードの確認入力」には変更後のパスワード情報を入力し、実行キーを押下することにより、本機能部品を実行したユーザのパスワード情報を変更することができます。

本機能部品を端末操作者が利用するスケルトンに定義していただくことで、端末操作者が、任意のタイミングで自身が使用するPWSSユーザのパスワード情報を変更できます。本機能部品は、PWSS/SCを導入しているシステムであれば、セキュリティレベルに関係なく利用できます。システムで求められるセキュリティ要件に沿って、「PWSSユーザパスワード変更機能」をご利用ください。

強化機能概要

機能概要は以下のとおりです。

PWSSユーザのパスワード情報の変更機能

強化機能特長

今回の強化機能の特長は以下のとおりです。

端末操作者が、自身が利用しているPWSSユーザのパスワード情報を任意のタイミングで変更可能

PWSS/SCを導入しているシステムでは、端末操作者が、自身が利用しているPWSSユーザのパスワード情報を、任意のタイミングで簡単に変更できるようになります。

強化機能導入効果

本強化機能を利用することで得られる効果を以下に記載します。

セキュリティの向上

PWSS/SCを導入しているシステムにおいて、パスワード入力を第三者に見られた等でパスワード情報が漏洩した可能性がある場合、即座にパスワード情報の変更が可能になります。また、パスワード情報をシステム管理者にも連絡する必要がなくなるため、セキュリティが向上します。

システム管理者の工数削減

PWSS/SCを導入しているシステムにおいて、システム管理者が端末操作者のパスワード情報を管理する必要がなくなります。また、端末操作者のパスワード情報の変更をシステム管理者が実施する必要がなくなり、システム管理者の工数を削減することができます。

強化機能適用リリース

ACOS-2/MP R10.1以降で利用可能

強化機能適用例

下の図は、「PWSSユーザパスワード変更機能(SPWPASCG)」を利用して、PWSS端末の利用者に任意のタイミングでPWSSのパスワード変更を実施させる運用を行う場合の適用例です。

従来、PWSS端末の利用者に任意のタイミングでパスワードを変更させる運用を行う場合、「ユーザプロフィールの保守機能(USPRFGEN)」をメニューに組み入れておき、PWSS端末利用者に実行してもらう方法がありました。

しかし、この方法では、USPRFGENでPWSSのパスワード情報以外のPWSS情報についても変更が可能なため、セキュアなシステム運用を考えた場合には問題となります。特に初期スケルトンの情報を変更可能なため、メニュー体系を実行を許可する機能へのリンクを含まないユーザスケルトンに限定した構成にしたとしても、システムスケルトンに変更できてしまい期待しているPWSS端末利用者に対する実行制御を正しく行うことができません。

この問題については、パスワードを変更させるための機能として、USPRFGENの代わりに、今回新たに機能提供した「PWSSユーザパスワード変更機能(SPWPASCG)」を利用することで解決することができます。

「PWSSユーザパスワード変更機能(SPWPASCG)」では、パスワード情報のみPWSS端末の利用者に変更させることが可能です。初期スケルトン名などのパスワード以外のPWSSプロフィール情報は変更できません。そのため、「PWSSユーザパスワード変更機能(SPWPASCG)」を利用することで、実行できるメニューに対する制限を維持しつつ、 PWSS端末の利用者による任意のタイミングでのPWSSパスワード変更の運用を実現することができます。

お問い合わせ