概要
Cognos BIでのセキュリティ対策について質問を受ける事があります。
例えば、以下のような攻撃に対する対策はCognosではどうなっているか、という質問です。
・クロスサイトスクリプティング対策
・SQLインジェクション対策
・OSコマンドインジェクション対策
・パラメータ改ざん(fuzzing)対策
・バックドアとデバッグオプション対策
以下のTechnoteが一番詳しいと思いますので、紹介しておきます。
情報リンク
Cognos BIのセキュリティ対策について
http://www-01.ibm.com/support/docview.wss?uid=swg21902910
抜粋
クロスサイトスクリプティング対策を実施していますか?
=> はい。Cognos Application Firewall (CAF) によりクロスサイトスクリプティング対策を行っています。
SQLインジェクション対策を実施していますか?
=> CAFはSQLインジェクションを防ぐため規則を設けています。
OSコマンドインジェクション対策を実施していますか?
=> CAFはインプット検証を行っています。
パラメータ改ざん(fuzzing)対策を実施していますか?
=> ファジング (攻撃 - 脆弱性を発見するための対策) はCAFにより検証されております。
バックドアとデバッグオプション対策を実施していますか?
=> ソフトウェアをスキャン(IBM AppScan)にかけて実施しています