サービスおよびアプリケーション層

サービスおよびアプリケーション層は、BioStar Xのソフトウェアコンポーネントとランタイム環境の保護に重点を置きます。

サービスへの最小権限の原則を適用

• ローカルシステムアカウントやAdministratorアカウントの代わりに、専用サービスアカウントでBioStar Xサービスを実行します。

• 必要な最小限の権限のみを付与します（サービスとしてログオン、特定ディレクトリの読み取り/書き込み）。

• 可能であれば、各BioStar Xサービスコンポーネントに個別のアカウントを使用します。

手順

1. BioStar Xサービス用の専用ローカルユーザーアカウントを作成します。

2. サービス（services.msc）を開き、BioStar Xサービスを右クリックして、プロパティ → ログオンタブを選択します。

3. 専用アカウントを割り当てます。

4. ファイルシステムアクセス制御リスト（ACL）を適用し、該当アカウントが必要なディレクトリにのみアクセスできるように設定します。

5. 該当アカウントの対話型ログオン権限を拒否します。

注意

複数のサービス間でアカウントを共有すると、侵害調査が困難になります。

セキュリティ保護されたアプリケーション構成ファイル

• シークレット情報（例: データベース接続文字列、APIキー）を含む構成ファイルへのアクセスを制限します。

• 対応している場合は、Windows Data Protection API（DPAPI）またはKey Vaultソリューションを使用します。

• シークレット情報はバイナリファイルとは別に保存し、ハードコードを避けます。

暗号化キー ファイルの保護（util/ ディレクトリ）

• BioStar Xサービスアカウントのみに読み取り権限があるように、NTFS権限を制限します。

• 一般ユーザーと対話型ログオンからのアクセスを遮断します。

• アップグレード前に、util/ ディレクトリをオフラインストレージに安全にバックアップします。

注意

暗号化キー ファイルを紛失または破損すると、データ損失や不正な復号が発生する可能性があります。

ベストプラクティス

保存済みのシークレット情報（例: データベースパスワード、APIキー）を定期的に更新します。

アプリケーションランタイムコンポーネントの維持

• BioStar Xと依存ランタイムコンポーネント（例: Visual C++ 再頒布可能パッケージ）を最新の状態に保ちます。

• パッチに関するベンダー通知を購読します。

• ダウンタイムを防ぐため、更新手順を文書化します。

アプリケーションの許可リスト

• Windows Defender Application Control（Windows Defender アプリケーション制御、WDAC）またはAppLockerを使用して、信頼できるバイナリのみを許可します。

• 一時ディレクトリ（例: %TEMP%、%APPDATA%）での実行をブロックします。

手順

1. ローカル セキュリティ ポリシーを開き、アプリケーション制御ポリシー → AppLockerに移動します。

2. 実行ファイル、スクリプト、DLLパスのルールを定義します。

3. 署名済みのBioStar Xバイナリを許可します。

4. ユーザーが書き込み権限を持つディレクトリでの実行を拒否します。

5. まず監査モードで展開し、テストしてから適用します。