一.概要
FineReportは製品セキュリティにさらに力を入れ、軍事レベルのセキュリティ、HAクラスター(High Availability Cluster)、スマート運用保守等の機能をリリースしました。
二.軍事レベルのセキュリティ
1.アプリケーションセキュリティ
より安全なRSA+SHA256暗号化方式を使用
Cookieの代わりにTokenを使用し、ユーザーの状態を維持
常見の安全脅威に対応するため、旧バージョン(8.0)のセキュリティホールを100%修復
Cookie強化、ファイルアップロードチェック、HTTP Security Headers追加、スクリプト数式利用制限等のセキュリティ対策機能を追加。詳細はセキュリティ保護を参照してください。
2.アカウントセキュリティ
FineReport帳票システムアカウントのセキュリティ強化機能を提供。例えば、二重ログイン防止、前回ログイン情報(IP、時間、位置)ヒント、パスワード強度強化、ログインタイムアウト、アクセス頻度制限、総当たり攻撃(Brute force-attack)防止(ログインロック)等。
より詳細なシステムログを提供。各アカウントのすべてのソースアクセス情報(モジュール、設定項目、操作IP、操作時間、操作タイプ等)を記録する。詳細はプラットフォームログを参照してください。
3.データセキュリティ
より完備な権限管理モジュールを提供。複数の権限認証方法をサポート。管理ポータル又はURLを通してソースにアクセスする際、ユーザーは権限のないソースにアクセスすることはない。アクセス制御の不備(Broken Access Control)の可能性を完全に断ち切る。詳細はテンプレート管理紹介を参照してください。
リクエスト内の非暗号化パスワード出現を徹底的に防止、全てのパスワードに暗号化処理を行う。
テンプレートカスタムな透かし追加をサポート。情報漏洩のリスクを下げる。詳細はテンプレート透かしを参照してください。
4.運用保守セキュリティ
サイバー攻撃に影響したシステムを確実に復元できるように、定期的なシステムバックアップ機能をサポート。
管理者アカウントでシステムユーザーに対していかなる操作を実行したり、システム設定を変更したりすると、保存するログが生成される。それに基づいて、システム管理員はシステムセキュリティ分析、リソース変更の追跡、およびコンプライアンス監査を行うことが可能。
悪意のある変更後にシステムを確実に復元できるように、定期的なシステムバックアップを提供します。 同時に、管理者アカウントがユーザーに対して操作を実行したり、システム設定を変更したりすると、保存するログが作成されます。 お客様は、セキュリティ分析、リソース変更の追跡、およびコンプライアンス監査を実装できます。詳細はプラットフォームログを参照してください。
三.HAクラスター
クラスタは「ホストレスモード」を採用しており、仮にノードがダウンしても、システムを正常に使用可能。
各ノードのロードバランシングをさらに最適化、ノードがサポートできる同時アクセス数は直線的に増加。
簡単な操作、高度な一貫性、設定とソース変更は随時に同期できる。
メモリ監視、ノード追加に対する動的感知をサポート、様々なネット環境、システム、Webサーバーに対応できる。
四.スマート運用保守
システムチェック機能で不適切な設定項目を検出、システムの安定稼働を保証。
ダウンタイム対処機能でダウンタイム状態を迅速に復元、不具合情報を自動的にエクスポートが可能。再発防止策の策定を支援。
注意:ダウンタイム対処機能はビルドインされていない、ご入用の際は技術者にお問い合わせください。
五.セキュリティ設定入門
1.セキュリティ設定第一歩
1.既定では、[セキュリティ保護]‐[ファイルupload check]と[Security Headers]が有効になっています。企業がセキュリティ保護の要求レベルが比較的に高い場合、[Cookie強化]と[HSTS設定]を有効に設定することが推奨されます。
2.クローズドメインIFRAMEで帳票を開きたい場合、[Security Headers]の[詳細設定]をクリックし、[クリックジャック攻撃保護]を無効に設定する必要があります。
3.既定では、[アクセス頻度制限]が有効になっていますが、実際状況に応じて、変更してください。同時実行数、同時オンラインユーザ数が多い場合、アクセス頻度をより大きい数値に設定することが推奨されます。
4.[SQLアンチインジェクション]には、既定のSQLアンチインジェクションの可能性のあるキーワイドリストあります。[編集]をクリックして、キーワイドを追加することができます。
2.テンプレート認証を設定
1.この機能を有効にすると、システムにログインせずにURLで帳票にアクセスすることができなくなります。越権アクセスが発生する可能性が0になります。
注意:既定では、この機能は無効です。セキュリティ保護のために、有効に設定することが推奨されます。
2.社外に表示したいテンプレートがある場合、これらのテンプレートにテンプレート認証を追加すると、社外の方は帳票にアクセスする際に、認証が要求されます。この場合、認証が必要なテンプレートのみ選択することも可能です。
3.帳票内容に機密情報がない場合、[認証方法]を[パスワード認証のみ]に設定することが推奨されます。URLで帳票をアクセスすることが可能です。
帳票に機密情報が含まれている場合は、[認証方法]を[役割毎の権限認証]に設定することが推奨されます。部署や役割に基づいて、単独に帳票の権限を付与することができます。URLで帳票をアクセスすることができなくなります。帳票にアクセスするには管理ポータルにログインする必要があります。
[デジタル署名]はデジタル署名の必要がある企業、システムに対応する認証方法です。
3.ログインに関するセキュリティ設定
1.ログインの認証コードメールを受信できるように、最初にシステムメールアドレスを設定することが推奨されます。
2.一般では、セキュリティ保護から考えると、[二重ログイン防止]を有効に設定すことが推奨されます。アカウント共有等の問題を防ぐことができます。[後者優先]と[前者優先]という二つのストラテジがあります。必要に応じて設定してください。
注意:同じアカウントがモバイル端末とPC端末での同時ログインは二重ログインではありません。
3.パスワードの強度及び提示変更が要求される場合、[パスワードポリシー]を設定することができます。下図のように、[パスワード定時変更]、[パスワード強度制限]、[履歴パスワード無効]、[初期強制変更]などを設定できます。実際のセキュリティ保護要求に応じて設定してください。