セキュリティー設計の全体的な推奨事項
セキュリティーの設計をできるだけ単純にすると、セキュリティーの管理と監査を 一層容易にすることができます。 また、これによってアプリケーション・パフォーマンスと バックアップ・パフォーマンスを向上させることもできます。
以下は、セキュリティー設計の一般的な推奨事項リストです。
- 情報を保護するために、ユーザー・プロファイル内の機能を限定することや、
特定のメニューに対してユーザーに制限を課すことなどの利用可能な方法に
加えて資源保護を使用します。
重要: IBM® i Access などの製品を使用している場合や、 システムに通信回線が接続されている場合は、ユーザー・プロファイルおよびメニュー・アクセス・コントロールの機能を限定することだけに依存しないようにしてください。 これらのインターフェースを介してアクセス可能にすることが望ましくないオブジェクトを保護するには、資源保護を使用しなければなりません。
- セキュリティーを本当に必要としているオブジェクトのみを保護します。ライブラリーを分析して、データ・ファイルのような機密のオブジェクトを 決定し、それらのオブジェクトを保護します。データ域やメッセージ待ち行列のような他のオブジェクトに対しては、 共通権限を使用してください。
- 汎用権限から特定権限に移行してください。
- ライブラリーとディレクトリーのセキュリティーを計画してください。必要な場合のみ個々のオブジェクトを扱ってください。
- 共通権限を最初に計画し、それからグループ権限と個別権限を 計画してください。
- ライブラリー内の新しいオブジェクトの共通権限を 作成する際 (CRTAUT パラメーター) には、ライブラリー内の 主要な既存オブジェクトの共通権限と同じにしてください。
- 監査をより容易にし、権限検査のパフォーマンスを向上させるには、 オブジェクトの共通権限よりも低い専用権限の定義を避けてください。
- 同じセキュリティー要件を持つグループ・オブジェクトに対して、権限リストを使用してください。 権限リストは個別権限よりも管理が容易で、セキュリティー情報を回復するのに 役立ちます。