システムセキュリティ

BioStar Xサーバーのセキュリティを強化した後、次のステップはBioStar Xアプリケーション自体のセキュリティ設定です。 既定の管理者アカウント、弱いパスワード、暗号化されていないデバイス通信は、インフラレベルのセキュリティを回避し、システムへ直接侵入する経路になります。 このドキュメントでは、BioStar Xの認証、役割管理、デバイス暗号化、バックアップ戦略を通じて、アプリケーション層のセキュリティ基準を確立する方法を案内します。

既定の管理者IDとパスワードの変更

インストール直後に、既定のAdministratorアカウントのログインID(admin)を変更し、強力で固有のパスワードに更新してください。

既定のクレデンシャルは、攻撃者が侵入する最も一般的な経路の1つです。 すべてのBioStar Xインストールには、事前定義されたAdministratorアカウント（UID: 1）が含まれます。変更しない場合、システムは予測しやすくなり、ブルートフォース攻撃や辞書攻撃に非常に脆弱になります。

1. 既定の管理者(admin)アカウントでログインします。

2. ユーザーに移動します。

3. ユーザー一覧でAdministratorアカウントをダブルクリックします。

   ユーザー名: Administrator, UID: 1

4. ユーザー編集ページの許可セクションで、以下の項目を変更します。

   • ﾛｸﾞｲﾝ ID: adminを固有で推測しにくいユーザーIDに変更します。 root、system、または会社名は使用しないでください。

   • ﾊﾟｽﾜｰﾄﾞ: 安全なパスワードに変更します。 BioStar Xは既定で中強度のパスワードを使用します。 パスワードは8~32文字で、大文字、小文字、数字をすべて含める必要があります。

5. 画面右上の 保存 ボタンをクリックします。

6. ログアウト後、新しいIDとパスワードで再度ログインします。

ベストプラクティス

• 個人名や単純なパターン（admin1、company2025）は使用しないでください。

• 新しいIDとパスワードは、安全なパスワードマネージャーまたは企業向けパスワード保管庫に保存してください。

• 緊急時用の補助管理者アカウントを作成します。

• 管理者ログイン試行に対する監査ログを定期的に確認します。

アクセス権の分離

BioStar X内で、フル管理者、オペレーター、監査者アカウントに明確に定義された権限を付与し、役割分離を厳格に適用します。

すべての作業を1つの最高管理者アカウントで処理すると、不要なリスクが発生します。 役割を分離すると、次の効果があります。

• 誤った設定によるミスの発生可能性を低減

• 1人のユーザーに無制限の権限を持たせないことで、内部者による脅威を防止

• 役割ごとの責任範囲を明確にし、監査可能性とコンプライアンスを向上

この方法は、ISO 27001、NIST、その他のフレームワークの中核原則である最小権限と職務分離に通じます。

インストール後の推奨対応

1. 既定の管理者(admin)名の変更とセキュリティ設定

   既定の管理者(admin)アカウントは緊急時専用アカウントとして管理します。 詳細については、#changeDefaultAdminをご参照ください。

2. 名前付き役割アカウントの作成

   • フル管理者(Admin)役割: システム構成と役割管理専用で、信頼できる1~2人に限定します。

   • オペレーター(Operator)役割: ユーザーの追加と削除、出入り口/デバイス制御などの日常運用を担当します。 システムのセキュリティ設定や監査ログへのアクセスはありません。

   • 監査者(Auditor)役割: ログ、レポート、設定への読み取り専用アクセス権のみを付与します。 システムの主要設定を変更できません。

3. 多要素認証(MFA)の有効化

   すべての役割アカウントにMFAを適用します。 詳細については、#setMfaをご参照ください。

4. カスタム権限アカウントの使用（必要な場合）

   • 設定 → アカウントに移動し、ｶｽﾀﾑﾚﾍﾞﾙ追加ボタンをクリックします。

   • ユーザーグループ、デバイスグループ、出入口グループ、エレベーターグループ、アクセスグループにまたがる詳細なアクセス権を設定します。

   • 管理者ﾒﾆｭｰ設定で、各メニュー項目に対して編集/読込または表示のみ権限を選択します。

カスタム監査者(Auditor)役割の作成例

1. 設定 → アカウントに移動します。

2. ｶｽﾀﾑﾚﾍﾞﾙ追加 をクリックします。

3. カスタム権限の名称にAuditorを入力し、説明を追加します。

4. 同期モードで、次のように権限を設定します。

   • ﾕｰｻﾞｰ: 表示のみ

   • ﾓﾆﾀﾘﾝｸﾞ: 表示のみ

   • ﾃﾞｰﾀ: 表示のみ

   • ﾀﾞｯｼｭﾎﾞｰﾄﾞ: 表示のみ

   • 設定: 選択しない

5. 指定した監査者アカウントに役割を割り当てるには、画面下部の適用ボタンをクリックします。

ベストプラクティス

• 個人ごとに固有のアカウントを割り当て、ログイン情報を共有しないでください。

• 四半期ごとにアカウントの役割を確認し、使用していないアカウントを削除します。

• 名前を変更した既定の管理者アカウントは、緊急時のみ使用します。

強力なパスワードポリシーの適用

すべてのユーザーアカウントに強力なパスワードポリシーを適用するようにBioStar Xを設定します。

パスワードポリシーオプション

• ﾊﾟｽﾜｰﾄﾞ ﾚﾍﾞﾙ

  • 低：最大32文字まで入力できます。

  • 中: パスワードを設定する際は、8~32文字の英字（大文字または小文字）と数字を組み合わせる必要があります。

  • 高: パスワードを設定する際は、10~32文字の英字（大文字と小文字、少なくとも1文字の大文字を含む）と数字、特殊記号を組み合わせる必要があります。

• ﾊﾟｽﾜｰﾄﾞ有効期間: 1日から180日まで設定できます。

• ﾛｸﾞｲﾝ試行回数: 設定した回数を超えてパスワードを誤入力すると、制限時間中はログインできません。 既定値は10分間に100回ですが、15分間に5~10回に減らすことを推奨します。

• ﾊﾟｽﾜｰﾄﾞ変更回数: ユーザーが1日にパスワードを変更できる回数を制限できます。

パスワードポリシーの強化

1. 設定 → システム → ｾｷｭﾘﾃｨに移動します。

2. ﾛｸﾞｲﾝ ﾊﾟｽﾜｰﾄﾞで、次のように設定します。

   • ﾊﾟｽﾜｰﾄﾞ ﾚﾍﾞﾙ: 高

   • ﾊﾟｽﾜｰﾄﾞ有効期間: 有効化後、90日に設定します。

   • ﾛｸﾞｲﾝ試行回数: 有効化後、15分間に5回に設定します。

   • ﾊﾟｽﾜｰﾄﾞ変更回数: 有効化後、最大5回に設定します。

3. 画面右下の適用をクリックします。

すべてのユーザーに新しいパスワードポリシーを通知します。

セッションセキュリティ

メニュー経路: 設定 → システム → ｾｷｭﾘﾃｨ → ｾｯｼｮﾝｾｷｭﾘﾃｨ

各アカウントを一度に1つのアクティブセッションでのみ使用できるようにするには、同時接続を無効にします。

• 有効: 同じクレデンシャルで複数のユーザーが同時にログインできます。

• 無効: 1アカウントにつき1回のログインのみ許可します。 新しいログインが発生すると、以前のセッションは自動的にログアウトされます。

注意

• アカウント共有を検知できないと、誰がどの作業を実行したか分かりません。

• 盗まれたクレデンシャルを入手した攻撃者は、正規ユーザーが活動中でも目立たずにログインできます。

• 監査ログは特定ユーザーの作業を追跡できないため、その価値が下がります。

多要素認証 (MFA)

BioStar Xのすべての高権限アカウント（管理者、オペレーター）に指紋認証を追加して、多要素認証を有効にできます。

BioStar Xでの動作

• Suprema BioMiniやBioMini Plus 2などの指紋スキャナーを使用してMFAを実装します。

• ユーザーがログインIDとパスワードを入力すると、システムが指紋スキャンを要求します。

注意

• 管理者アカウントでMFAが有効な場合、指紋認証に失敗するとアカウントがロックされることがあります。

• クラウドインターフェース経由のログインではMFAはサポートされません。

• Active Directory、またはサポートされていないサービスを通じて認証されたアカウントには、MFAを有効にできません。

手順

1. BioStar XサーバーまたはクライアントPCに指紋スキャナーを接続してインストールします。

2. BioStar Xでユーザーに移動します。

3. ユーザープロファイルを開き、指紋を登録します。

4. 許可セクションで、ログインのための多要素認証項目を使用するに設定します。

5. 変更を適用するには、画面右上の保存ボタンをクリックします。

ログアウト後、有効なクレデンシャルを入力し、指紋をスキャンしてログインします。

ベストプラクティスと安全対策

• スキャナーエラーに備えて、別の指で代替指紋を登録します。

• 生体認証デバイスのエラーに備えて復旧できるよう、既定の管理者アカウント（「緊急用」アカウント）をバックアップアカウントとして設定しておきます。

• 多要素認証(MFA)が有効なアカウントを文書化し、復旧メカニズムを維持管理します。

デバイスとの安全な通信

デジタル証明書（TLS/SSL方式）を使用して、BioStar Xと接続されたデバイス間のトラフィックを暗号化するには、端末の暗号化通信を有効にします。

オプションA: サーバー生成証明書（既定値）

BioStar Xで証明書を生成し、デバイスに自動的にプロビジョニングします。

注意

この機能を無効にしてから再度有効にすると、新しい証明書が生成されるため、デバイスを手動で再設定する必要があります。

オプションB: 外部証明書（エンタープライズ利用を推奨）

• 組織の証明書チェーンと秘密鍵をアップロードできます。

• エンタープライズPKIとの連携が容易です。

手順

1. 管理者アカウントでBioStar Xにログインします。

2. 設定 → システム → ｾｷｭﾘﾃｨ → 詳細なｾｷｭﾘﾃｨ設定に移動します。

3. 端末の暗号化通信を使用するに設定します。

4. 外部CA証明書を使用する場合は、外部証明書を使用するを使用するに設定します。

   • ルートCA、公開証明書、秘密鍵をアップロードします。

5. 適用し、デバイスが安全なチャネルで接続されることを確認します。

ベストプラクティス

• 必ず強力な暗号鍵（RSA 2048以上、または同等のECC）を使用します。

• デバイス接続方式（ホスト名またはIPアドレス）と一致する適切なCN/SAN値を持つ証明書を使用します。

• 有効期限前に証明書を交換し、更新スケジュールを管理します。

ログアップロードの注意

ﾛｸﾞのｱｯﾌﾟﾛｰﾄﾞが手動に設定されている場合、イベント可視性の遅延または監査追跡の欠落のリスクがあります。 可能であれば、ﾛｸﾞのｱｯﾌﾟﾛｰﾄﾞは自動のままにします。

デバイスハッシュキーの手動管理

BioStar Xとデバイス間で使用される暗号化キーを手動で制御するには、端末ﾊｯｼｭｷｰ管理を有効にする必要があります。 この機能はタンパー防御機能を有効にします。 物理的な改ざんを検知すると、デバイスは重要データを自動的に削除します。

重要

#secureCommは転送中のデータを保護しますが、端末ﾊｯｼｭｷｰ管理は次の追加機能を提供します。

• データ暗号化キーは自動生成されず、管理者が管理します。

• タンパー防御機能を有効にします。 デバイスが不正アクセスまたは改ざんを検知すると、保存されたユーザー情報、ログ、暗号化キーを削除します。

注意

• 管理者アカウント以外のユーザーがログインパスワードまたはPINを持っている場合、手動キー管理は適用できません。

• 有効化する前に、そのログイン情報を削除します。

手順

1. 管理者アカウントでBioStar Xにログインします。

2. 設定 → システム → ｾｷｭﾘﾃｨ → 詳細なｾｷｭﾘﾃｨ設定に移動します。

3. 端末ﾊｯｼｭｷｰ管理を使用に設定します。

4. 警告ポップアップを読み、確認します。

5. 適用する前に、デバイスから管理者以外のユーザーのパスワード/PINログインをすべて削除します。

6. メッセージが表示されたら、暗号化キーと管理者パスワードを変更します。

7. デバイスが引き続きユーザー、ログ、イベントを同期できることを確認します。

8. キーの変更内容を文書化します（日時、担当管理者、次回変更予定日）。

ベストプラクティス

• デバイスハッシュキーを毎年、または6か月ごとに定期的に変更します。

• すべての変更を記録し、安全な保管場所に保存します。

• 検証用または一時的なデバイスでタンパーイベントをテストします。

• 多層防御（Defense in Depth）のために、#secureCommと併用します。

システムバックアップ

システムバックアップ機能を使用して、BioStar Xのデータベース、システム設定、キー値を定期的にバックアップします。

注意

• BioStar XとMSSQLが別々のサーバーにインストールされている場合、システムバックアップ/復元機能は使用できません。

• BioStar Xのバックアップ機能（手動または予約）は暗号化されません。

• BioStar Xの復元機能は、暗号化されたバックアップをサポートしません。

手動バックアップの設定

メニュー経路: 設定 → システム → ｼｽﾃﾑ ﾊﾞｯｸｱｯﾌﾟ

• ﾊﾞｯｸｱｯﾌﾟ ﾌｧｲﾙ ﾊﾟｽ: ディレクトリを指定します。 パスは存在している必要があり、適切な書き込み権限が必要です。

• ﾊﾞｯｸｱｯﾌﾟﾌｧｲﾙ 保存数: 1~100個まで設定でき、日次予約では少なくとも7~10個の循環バックアップを保持することを推奨します。

• 今すぐに ﾊﾞｯｸｱｯﾌﾟ: 必要に応じてすぐにバックアップを実行します。 アップグレードまたは大きな変更の前に有用です。

システム自動バックアップ

• 周期: 日ごと / 週ごと / 月ごと

• 時刻: 時刻を指定します。 BioStar Xのサーバータイムゾーンに合わせて予約が実行されます。

ベストプラクティス

運用環境では、利用者の少ない時間帯に毎日バックアップすることを推奨します。

例: 現地時間 午前2時

自動バックアップの設定

1. 設定 → システム → ｼｽﾃﾑ ﾊﾞｯｸｱｯﾌﾟに移動します。

2. 自動 ｼｽﾃﾑ ﾊﾞｯｸｱｯﾌﾟを設定します。

   • 周期: 日ごと

   • 時刻: 02:00（または利用者が少ない別の時間帯）

   • ﾊﾞｯｸｱｯﾌﾟﾌｧｲﾙ 保存数: 30

3. 適用 をクリックして設定を保存します。

4. 対象ディレクトリにバックアップファイルが作成されたことを確認します。

5. ステージング環境で復元手順を定期的にテストします。

注意

サーバーがUPSで保護されていることを確認します。 「進行中」状態が表示されている間は、作業を中断しないでください。 バックアップまたは復元を中断すると、データベースが破損することがあります。

ディレクトリ連携

ディレクトリ連携により、BioStar Xは**Entra ID（Azure AD）やMicrosoft Active Directory（AD）**などのエンタープライズIDシステムと接続できます。

• 強化されたセキュリティ: パスワード規則、多要素認証(MFA)、条件付きアクセスに対するエンタープライズポリシーをBioStar Xに自動適用できます。

• 集中管理: ユーザーライフサイクルがEntra ID/ADで管理されるため、アカウント失効のリスクが下がります。

• 監査とコンプライアンス: すべてのユーザー操作が会社アカウントに関連付けられます。

情報

ディレクトリ連携にはアドバンス(Advanced)ライセンスが必要です。

ベストプラクティス

• 権限を制限した専用のEntra ID/ADサービスアカウントを使用します。

• 同期を関連グループのみに制限します。

• Active Directory接続には常にLDAPSを使用します。

• 同期済みアカウントを定期的に確認し、古い項目がないか点検します。

Microsoft Entra IDの手順案内

1. 管理者アカウントでBioStar Xにログインします。

2. 設定 → ディレクトリ統合に移動します。

3. ディレクトリサービスで、Microsoft Entra IDを選択します。

4. ｱｸﾃｨﾌﾞﾃﾞｨﾚｸﾄﾘｻｰﾊﾞｰを設定します。

   • クライアント ID：Entra ID で登録したアプリケーションの クライアント ID（Client ID）を入力します。

   • クライアントシークレット：Entra ID で登録したアプリケーションの 証明書とシークレット（Certificates & secrets）に追加した クライアント シークレット（Client secrets）を入力します。

   • プライマリドメイン：Entra ID で組織を作成するときに入力した既定のドメイン名を入力します。

5. BioStar Xにユーザーグループ情報を取り込むには、接続ボタンをクリックします。

6. BioStar X Entra ID を使用したログインを有効にします。

7. リダイレクトURIをコピーし、Entra IDポータルのSSOリダイレクト設定に貼り付けます。

8. 同期モードで、希望する同期方式を選択します。

9. 設定を保存するには、適用 をクリックします。

ユーザー一覧を確認し、同期が完了したことを点検します。

情報

• Entra ID でアプリケーションを登録する方法は 以下のリンク を参照してください。

• Entra ID で 証明書とシークレット を設定する方法は 以下のリンク を参照してください。

• テナント ID は Entra ID で登録したアプリケーションの 概要（Overview）で確認できます。

• プライマリドメイン の情報は Entra ID の 概要 (Overview) で確認できます。

  

Microsoft Active Directoryの手順案内

1. 管理者アカウントでBioStar Xにログインします。

2. 設定 → ディレクトリ統合に移動します。

3. ディレクトリサービスで、Microsoft Active Directoryを選択します。

4. ｱｸﾃｨﾌﾞﾃﾞｨﾚｸﾄﾘｻｰﾊﾞｰを設定します。

   • ｻｰﾊﾞｰ ｱﾄﾞﾚｽ: ADサーバーのIPアドレスまたはホスト名です。

   • ﾕｰｻﾞｰ名称 / ﾊﾟｽﾜｰﾄﾞ: ADサービスアカウントのクレデンシャルです。

   • ﾕｰｻﾞｰﾍﾞｰｽ DN: ADドメインの固有名です。

5. 暗号化接続(LDAPS)を使用するには、暗号化通信を有効にします。

   • ADサーバーにAD証明書サービスをインストールします。

   • ルート証明書をエクスポートし、.jksファイルに変換して、BioStar Xのインストールパスに配置します。

   • BioStar Xでｷｰｽﾄｱﾊﾟｽﾜｰﾄﾞを入力します。

6. BioStar Xにユーザーグループ情報を取り込むには、接続ボタンをクリックします。

7. ﾕｰｻﾞｰｸﾞﾙｰﾌﾟで、不要なグループの選択を解除します。

8. BioStar X Active Directory を使用したログインを有効にします。

9. 同期モードで、希望する同期方式を選択します。

10. 設定を保存するには、適用 をクリックします。

ユーザー一覧を確認し、同期が完了したことを点検します。

システムログ設定

メニュー経路: 設定 → サーバー → ｻｰﾊﾞｰ

監査と問題解決に必要な十分なデータを保持するように、BioStar Xのログ設定を構成します。

システムログ保存期間

• ﾛｸﾞのｱｯﾌﾟﾛｰﾄﾞ: イベントログのアップロード方法を選択します。

  • 自動(既定値): 保存期間が過ぎるとログを自動削除します。

  • 手動: ログを手動で削除する必要があります。

• ｼｽﾃﾑﾛｸﾞの保存期間: 1~120日（既定値: 60日）

ベストプラクティス

コンプライアンスが重要な環境では、保存期間を90~120日に設定し、ログをSIEMに送信します。

システムログレベルの設定

サブシステム別: デバッグ、ネットワーク、SQL、システム、Web、WebSocket

レベル	説明
トレース	すべての項目をキャプチャ（非常に詳細）
デバッグ	開発者レベルの詳細ログ
インフォメーション	運用イベント、接続成功（多くは既定値）
ワーニング	潜在的な問題
エラー	失敗のみ

注意

運用環境でトレースまたはデバッグモードを実行すると、過剰なログが生成され、性能低下やディスク容量不足が発生することがあります。 短期的な問題解決にのみ使用します。

BioStar X既定のログレベル

• デバッグ、SQL、WebSocket: 無効

• ネットワーク、システム、Web: インフォメーション

サーバーポートの構成

BioStar Xのポートを明示的に設定し、可能なら安全なチャネルを優先します。 システムアクセスには既定のHTTPSポート(443)を使用し、デバイス通信ポートは信頼できるネットワークにのみ制限します。

HTTPSポートの変更

1. BioStar X Service Manager(http:/127.0.0.1:28088/)を実行します。

2. 左側のサイドメニューでSERVICE SETTINGSをクリックします。

3. Unified Gateway ServiceのHTTPS Port（既定値: 443）フィールドに移動します。

4. ポート番号を希望の値に変更します。

   例: 8443

5. Applyボタンをクリックし、必要に応じてサービスを再起動します。

6. 変更したポートに合わせて、ファイアウォールルールとクライアント接続を更新します。