Google
オフコン練習帳内を検索
インターネット全体を検索

NECオフコン関連
オフコン一般
情報
トップ  >  OCF機能

5.OCFを使ったセキュリティの実際

(8)ステーション初期プログラム

・初期プログラムを使ったセキュリティ

1章でも簡単に説明しましたが、初期プログラムを利用することで簡単にセキュリティを強化することができます。

条件は、各オペレータによって行う業務が明確に決められていて、それらは定型業務である、ということです。手打ちでユーティリティを起動してパラメータを入力するような作業が無い場合です。
オペレータやファイルの機密コードを検討したりする必要がなく、オペレータ毎にメニューを作ってあげるだけなので、お手軽に実現できます。

Aさんは「A1業務」と「A2業務」だけをさせて、「B業務」をさせたくないとします。Aさん用に「A1業務」と「A2業務」だけを登録したメニューを作り、そのメニューをAさんの初期プログラムにします。このようにすると、Aさんはメニューに登録された業務だけしか行うことができません。
使用するユーティリティは全てJS化し、オペレータが直接パラメータを入力できないようにします。そしてそれらのJSを全てメニューに登録します。

Aさんが端末の電源を付けると(操作開始コマンドを実行して)画面には初期プログラムのメニューが表示されます。Aさんが「A1業務」を選択して実行し、その業務アプリケーションが終了すると、またメニュー画面に戻ります。Aさんが画面切離コマンドや優先処理コマンドを実行しても、また初期プログラムのメニュー画面が表示されます。
メニューにはユーティリティ類が登録されていないので、#DUMPや#FLCNVなどのシステムユーティリティを使ってファイルを勝手に読むこともできなくなります。
このように常に指定のメニュー画面が表示されるので、Aさんが指定された業務以外のことはできなくなります。
同様にBさん用に「B業務」だけのメニューを作ってあげれば、BさんはAさんの業務はできず、A1、A2業務用のファイルにもアクセスすることができなくなります。

・初期プログラムの設定方法

OCF機能なしの場合とOCF機能ありの場合で、初期プログラムの設定方法が異なります。

 OCF機能なしの場合の設定方法

システム生成で設定することになります。

端末ごとに初期プログラムを指定できます。例えば総務部門に置いてある端末は総務部門用のメニュー画面、営業部門に置いてある端末は営業部門用のメニュー画面を設定できます。

システム生成内に初期プログラムの定義という項目があるので、そこで設定したいステーション(端末)番号を指定して、初期プログラムにしたいプログラム名を入力します。

 OCF機能ありの場合の設定方法

システム生成とオペレータコントロールファイル保守ユーティリティ(#OCFM)で設定することになります。

システム生成で、設定したいステーション番号を指定して、その端末を使用できるオペレータ(とカンパニ)を入力します。システム生成では初期プログラム名は入力しません。

オペレータコントロールファイル保守ユーティリティで、オペレータとカンパニを指定して、そのオペレータとカンパニ用の初期プログラムを指定します。

・メニューに関して

NEC標準のメニューは、普通に作るとコマンド入力できるようになっています。このままでは、(機密コードをプログラムやファイルに割当てていないと)誰でもコマンド入力で自由にユーティリティやアプリケーションを実行できてしまい、ファイルを書き換えるプログラムなどを実行されてしまいます。

メニューのLM化を行うと、コマンド実行を防止できるようになり、かつメニューを勝手に書き換えることもできなくなります。

メニューのLM化は、メニュー保守ユーティリティ(#MENUM)を使います。
パラメータの「ACTION」に「CONVERT」、「DIRECT INPUT OF JOB NAME」に「INHIBIT」を選択します。

NEC提供のメニューは、あらかじめユーティリティが登録してあったり、RUNコマンドに抜ける手段(RUNコマンドに抜けることができれば、どんなユーティリティも実行可能)が用意されています。
確実にユーティリティを実行させないようにするには、メニューを自作するしかありません。(2010.10訂正:メニュー保守ユーティリティを使って、メニューを「メニューにないジョブの直接起動を許すか」のパラメータを「許さない」にしてロードモジュール化すれば良い。)
一方、管理者のオペレータ用のメニューは、RUNコマンドに抜けられるようにしておかないと、管理業務ができなくなります。
例えば#FLCNVでファイルコピーする作業があるならば、その作業をJS化する。もし手打ちで#FLCNVのパラメータを入力しているとしたら、オペレータが勝手に別のファイルをコピーしてしまうことも可能。JS化されていれば固定の業務しかできないので、勝手に別のファイルをコピーすることはできない。
JSを勝手に書き換えられないように、#TEDITも使えないようにしておく必要がある。(あるいは、これもバッチ化しておく)
総務部門用の端末で営業部員が操作していたら、何かあやしいということになるので、最低限のセキュリティにはなりそうかもしれません。
でも1台しか総務部門に端末がない場合は、もしその1台が故障したら総務部門は業務できなくなるので(この設定にしたら他部門の端末では総務部門用のメニューが起動できない)、1部門に複数台端末があるか、他端末でもできるような何か緊急回避手段を用意しておく必要はある。