#セキュリティ

インターシステムズは InterSystems IRIS® data platform のバージョン 2025.2 をリリースしました。2025.2 は Continuous Delivery(CD)リリースです。InterSystems IRIS for Health™ および HealthShare®、Health Connect™ のバージョン 2025.2 はセキュリティ・アップデートによるミラーリングの制限のため、現在提供されていません (詳細は後述)。

リリースハイライト

このリリースでは、セキュリティ、開発者エクスペリエンス、運用および相互運用性にわたってインパクトのある機能強化が導入されています。注目すべき新機能は以下のとおりです：

1.   新しい IRISSECURITY データベースによるセキュリティ強化

　　o    セキュリティー・データは新しい IRISSECURITY データベースに移されました。このデータベースは暗号化することができます。

　　o    新しいロール %SecurityAdministrator は、一元管理をサポートします。

　　o    セキュリティ関連のグローバルとテーブルへの直接アクセスは非推奨です。代わりに提供されている API を適切なパーミッションで使用してください。

InterSystems IRIS 2025.2 から、セキュリティデータが格納される IRISSECURITY データベースが導入されます。これまでセキュリティデータが格納されていた IRISSYS とは異なり、IRISSECURITY データベースは暗号化することが可能です。これにより機密データをより安全に保管することができるようになります。将来のバージョンでは、IRISSECURITYはミラーリングもサポートされる予定です。

このバージョンではあわせて、セキュリティ管理タスク用の %SecurityAdministrator ロールも導入されます。 

これは InterSystems FAQ サイトの記事です。

管理ポータルのシステム管理やシステムエクスプローラーなど最上位のメニューについては、事前定義ロールをユーザに付与することでアクセスを制限することができます。

最下位のメニュー、例えば [システム管理] > [構成] > [システム構成] > [ネームスペース] などは、事前定義ロールの %Manager を付与されたユーザであれば、全てのユーザが利用できてしまいます。

このページに対して、「%Manager ロールを持っているが、あるユーザは使用でき あるユーザは使用できない」のようにユーザ毎のアクセス制限を追加したい場合は、カスタムリソースを作成し再下位メニューに対して作成したカスタムリソースを付与することで制限を追加することができます。

手順は以下の通りです。

1. カスタムリソースを任意名で作成する。この時パブリック許可は設定しない。
2. 管理ポータルの任意の再下位メニューに 1 で作成したカスタムリソースを設定する。
3. 新規でロールを作成し、1で作成したカスタムリソースに対する USE 許可を設定する。
4. メニューを利用できるユーザを 3 で作成したロールのメンバーに設定する。

具体的な設定の流れは以下の通りです。

1. カスタムリソースを任意名で作成する。この時パブリック許可は設定しない。

これは InterSystems FAQ サイトの記事です。

InterSystems 製品インストール時に用意されている事前定義ロールを利用して、ログインユーザ毎に管理ポータルメニュー（システム管理／システムエクスプローラー／システムオペレーション　など）のアクセスを制限することができます。

管理ポータルメニューに対するアクセス制限を行うためには、管理ポータルへの「認証なし（UnknownUser）」アクセス（※1）を使用しない環境が必要です。

管理ポータル上部の「ログアウト」をクリックしてログイン画面が表示されない場合は、関連記事「管理ポータル／スタジオ／ターミナルにパスワード認証を設定するにはどうしたらいいですか？」をご覧いただき必要な設定を行ってください。

以下、インストールデフォルトで管理ポータルへのフルアクセスが許可されている事前定義ユーザ（※2）： SuperUser や _SYSTEM アカウントを使用して管理ポータルにログインした状態の設定例でご説明します。

これらユーザのパスワードはインストール時に設定しています（インストール時の「初期セキュリティ」を「最小」でインストールした環境では、パスワードは大文字の SYS が設定されています）。

概要

上記にリストされたInterSystems製品において、以下の機能のいずれかを使用している環境で、ネームスペースを切り替えたりグローバル変数にアクセスしたりする際、予期しない <PROTECT> エラーが発生する可能性があります。

これは InterSystems FAQ サイトの記事です。

InterSystems 製品では、ユーザが持つロールによって「InterSystems 製品内で何ができるのか」が決まります。

では、ロールには何が含まれているのでしょうか。

ロールには、複数の特権を含めることができます。特権とは、リソース（保護対象）に対する許可の設定を指しています。

本記事では、IRIS の開発者である山田さん(Yamada) を例に、以下の内容をご説明します。

1) ロールから付与される特権（＝リソースに対する許可）について具体例を利用した確認方法

2) ロールを利用したセキュリティ設定について

《ご参考》

ビデオでの解説もあります。ラーニングパスの「InterSystems IRIS 管理の基本」の「4. セキュリティの構成と管理」をご参照ください。

ラーニングパスには、管理者ではないけれど管理概要も知っておきたい方向けの「開発者向け InterSystems IRIS の管理概要」もあります。ぜひご参照ください。

1) ロールから付与される特権（＝リソースに対する許可）について具体例を利用した確認方法

説明

これは、ネイティブウェブアプリケーションとして IRIS にデプロイできる Django アプリケーションのテンプレートです。

インストール

1. リポジトリをクローンする
2. 仮想環境を作成する
3. 要件をインストールする
4. docker-compose ファイルを実行する

git clone
cd iris-django-template
python3 -m venv .venv
source .venv/bin/activate
pip install -r requirements.txt
docker-compose up

使用法

ベース URL は http://localhost:53795/django/ です。

エンドポイント

• /iris - IRISAPP ネームスペースに存在する上位 10 個のクラスを持つ JSON オブジェクトを返します。
• /interop - IRIS の相互運用性フレームワークをテストするための ping エンドポイント。
• /api/posts - Post オブジェクトの単純な CRUD エンドポイント。
• ``/api/comments` - Comment オブジェクトの単純な CRUD エンドポイント。

このテンプレートからの開発方法

WSGI 導入記事をご覧ください: wsgi-introduction。

これは、InterSystems FAQ サイトの記事です。
 

InterSystems製品は、二要素認証をサポートしています。
下記ドキュメントページに詳細について記載がありますので、ご参照ください。
２要素認証

以下、例として、スマートフォン用認証アプリを用いて、IRIS上のCSPアプリケーションの2要素認証を行うための設定方法を解説します。

開発者の皆さん、こんにちは。

先日、EM リリース新バージョン 2025.1 がリリースされました。

コンテナ版以外ですが、新規インストール時に指定する初期セキュリティオプションのデフォルトが「ロックダウン（Locked Down）」に変更となりましたので、今までとの違いについて以下ご説明します。

• ドキュメント（Windows）：[Windows Development Installation] > [Step 3: Choose Initial Security]
• ドキュメント（UNIX、Linux、Mac）：[UNIX®, Linux, and macOS Development Installation] > [Step 1: Choose Security Settings]

以前のバージョンのデフォルトは、IRIS：「最小（Minimal）」、IRIS for Health：「通常（Normal）」です。

ロックダウンオプションは、初期セキュリティの中で一番厳しいセキュリティ設定を行うオプションで、例えば、オブジェクト／SQL のアクセスが行えない、VSCode から IRIS にアクセスできない状況からスタートします。

そのため、使用したいアクセスに対してアクセス許可追加していく必要のあるセキュリティオプションです。

説明

これは、ネイティブウェブアプリケーションとして IRIS にデプロイできる FastAPI アプリケーションのテンプレートです。

インストール

1. リポジトリをクローンする
2. 仮想環境を作成する
3. 要件をインストールする
4. docker-compose ファイルを実行する

git clone
cd iris-fastapi-template
python3 -m venv .venv
source .venv/bin/activate
pip install -r requirements.txt
docker-compose up

使用法

ベース URL は http://localhost:53795/fastapi/ です。

エンドポイント

• /iris - IRISAPP ネームスペースに存在する上位 10 個のクラスを持つ JSON オブジェクトを返します。
• /interop - IRIS の相互運用性フレームワークをテストするための ping エンドポイント。
• /posts - Post オブジェクトの単純な CRUD エンドポイント。
• /comments - Comment オブジェクトの単純な CRUD エンドポイント。

このテンプレートからの開発方法

WSGI 導入記事をご覧ください: wsgiサポートの概要。

これは、InterSystems FAQサイトの記事です。
 

クライアントーサーバ接続を担当するスーパーサーバで、SSLバージョン3とTLSバージョン1での通信が可能です。
このオプションを利用することで、通信上のデータを暗号化できます。

その他、Kerberosを使うことで通信上の暗号化も可能です。

説明

これは、ネイティブウェブアプリケーションとして IRIS にデプロイできる Flask アプリケーションのテンプレートです。

インストール

1. リポジトリをクローンする
2. 仮想環境を作成する
3. 要件をインストールする
4. docker-compose ファイルを実行する

git clone
cd iris-flask-template
python3 -m venv .venv
source .venv/bin/activate
pip install -r requirements.txt
docker-compose up

使用法

ベース URL は http://localhost:53795/flask/ です。

エンドポイント

• /iris - IRISAPP ネームスペースに存在する上位 10 個のクラスを持つ JSON オブジェクトを返します。
• /interop - IRIS の相互運用性フレームワークをテストするための ping エンドポイント。
• /posts - Post オブジェクトの単純な CRUD エンドポイント。
• /comments - Comment オブジェクトの単純な CRUD エンドポイント。

このテンプレートからの開発方法

WSGI 導入記事をご覧ください: wsgi-introduction。

こちらの記事では、既存のユーザ設定をプログラムで変更する方法をご紹介します。

ユーザロールを追加/削除したい、有効期限設定を変更したい、等の場合にお役立てください。

なお、ユーザ設定をプログラムで新規作成する方法は こちら の記事で紹介しております。
 

１．ある特定ユーザの設定を参照＋変更する方法

２．既存の全てのユーザの設定を参照する方法

３．おまけ（Webアプリケーション情報の参照＋変更）

１．ある特定ユーザの設定を参照＋変更する方法

最近はパブリッククラウド環境でIRISを使ってアプリケーションを構築されるお客様が多数で、IRISのセキュリティ機能についてご質問を受ける機会が増えました。実際の運用で始めてセキュアなIRISを操作するよりも経験した方が良いかもと考え、その第一歩としてインストール時の初期セキュリティ設定には普段からロックダウンを指定するのはいかがでしょうか。通常セキュリティ設定の違いおよび注意点をマニュアルを参照しながらリストアップしました。

1. 初期のユーザセキュリティ設定

パスワードの最小文字数が8文字になります。またSQLのルートユーザとして作成される_SYSTEMユーザは運用開始前の無効化を推奨しているように、高いセキュリティレベルが必要な環境では不要あるいは一時的に同等の権限を付与したユーザを作成して対応可能ではないでしょうか。

2. サービスプロパティ

Use許可のPublicが不可、とはIRISにアクセスする手段を明示的に許可しないと使えないことを意図しています。予期せぬユーザーがODBCでアクセスしたり、管理コンソールを使用したりと言った事故を防ぐ有効な手段です。

また初期状態で有効化されているサービス、WebGatewayに加えてWindowsの場合Console、非WindowsではTerminalと必要最小限になっています。

これは InterSystems FAQ サイトの記事です。
 

404エラーが返される場合に、以下の対応でエラーが解消されることがわかっています。

(1) binの接続を許可

/cspの構成エディタ＞セクションで以下選択

  system.webServer > security > requestFiltering

  > hiddenSegmets 選択 ＞ (コレクション)の右欄(Count=xx)の右端 [...] クリック

  > segment欄に binの行があったので、選択して削除

  > 画面戻って、右上の [適用] クリック  

または、IISの構成ファイルを直接編集することでも対応可能です。

C:\Windows\System32\inetsrv\config\applicationHost.config

そのファイルから以下のような記述部分を探し、<add segment="bin" />の行を削除し、保存します。

インターシステムズは、非常にまれな状況下で、マルチボリュームデータベースでデータベース破損または <DISKHARD> エラーが発生する可能性がある不具合を修正しました。危険性があるのは、未使用領域削除（Truncate）を行ったマルチボリュームデータベースのみです。

この問題は、以下の製品およびそれらベースとしたその他のインターシステムズ製品に存在します：

  InterSystems IRIS                       2024.1, 2024.1.1, 2024.2
  InterSystems IRIS for Health    2024.1, 2024.1.1, 2024.2
  HealthShare Health Connect    2024.1, 2024.1.1, 2024.2

上記以外の HealthShare 製品はこの問題の影響を受けません。

インターシステムズは、この不具合に関するお客様からの報告を受けていませんが、この問題を回避するために、以下の一時的な緩和策を推奨します：

これは InterSystems FAQ サイトの記事です。

管理ポータル > [システム管理] > [セキュリティ] 以下の設定は、%SYSネームスペースにあるSecurityパッケージ以下クラスが提供するメソッドを利用することでプログラムから作成することができます。

以下シナリオに合わせたセキュリティ設定例をご紹介します。

シナリオ：RESTアプリケーション用設定を作成する

事前準備

シナリオの中で使用するソースを2種類インポートします。

アプリケーション用RESTディスパッチクラスをインポートします。

これは InterSystems FAQ サイトの記事です。

管理ポータル > [システム管理] > [セキュリティ] 以下の設定は、%SYSネームスペースにあるSecurityパッケージ以下クラスが提供するメソッドを利用することでプログラムから作成することができます。

ユーザ設定については、Security.UsersクラスのCreate()メソッドを使えば作成できますが、ユーザを作成するだけでは適切な権限が付与されずに目的のデータにアクセスできない状況もあります。

例）testAユーザ作成

%SYS>set st=##class(Security.Users).Create("testA",,"testA","これはテストユーザです","USER")

%SYS>write st
1

上記メソッドで作成した結果は以下の通りです。（ロール付与無し、テーブルに対する権限の割り当てもなしの状態）

以降の解説では、以下のシナリオをもとにした設定を行っていきます。

シナリオ：アプリケーション開発者用ロールとユーザを作成する

1) アプリケーション開発者のtestAは、USERネームスペースにログインするアプリケーション開発者です（＝%DevelopmentリソースのUse許可を与えます）。

SSL/TLS を使用するように InterSystems IRIS スーパーサーバを構成した際に、「管理ポータルに接続できなくなった」というお問い合わせを時々いただきます。
こちらの記事では、その際の対処法をご案内します。

スーパーサーバを SSL/TLS 化するために、以下のドキュメントにある方法を設定されると思います。
TLS を使用するための InterSystems IRIS スーパーサーバの構成

その際に、SSL/TLSサポートレベル  を 「必須」にしてしまうと、管理ポータルに接続できなくなる場合があります。

   　
※管理ポータル：
     IRIS2024.1 ～ [システム管理] > [セキュリティ] > [スーパーサーバ]
     ～IRIS2023.1  [システム管理] > [セキュリティ] > [システム・セキュリティ] > [システムワイドセキュリティパラメータ]

「必須」に設定する場合、すべてのクライアントからの接続を SSL/TLS 化する必要があります。
これは、WebゲートウェイからIRISへの接続にもあてはまるため、「Webゲートウェイ <==> IRIS」間を SSL/TLS 設定していない場合は、管理ポータル（REST/CSPを含む）に接続ができなくなってしまいます。

こちら の記事では、LinuxでJDBC接続を行う方法  をご紹介しました。

今回は、SSL/TLS を使用するように InterSystems IRIS スーパーサーバを構成 した IRIS に対して、JDBCで SSL/TLS 接続をする方法をご紹介します。

LinuxでJDBC接続を行う方法 の記事で紹介している手順で、SSL/TLS なしでJDBC接続できる環境を用意していることを前提にご説明します。

手順は以下のようになります。手順の詳細は、この後で説明します。

１．CA証明書を用意します

２．Java キーストアに証明書をインポートします

３．Java ファイルを含むディレクトリに、SSLConfig.properties という名前の構成ファイルを作成ます

４．Java のコードに SSL/TLS の使用を指定する設定を追加します

１．CA証明書を用意します

最初に、CA証明書を用意します。証明書に問題がないか証明書情報を確認します。
※ ***.***.***.*** ：接続先IRISサーバのIPアドレス

「30 秒も経ってるのにサービスを受けられないなんて、 あり得ない！ もう結構！」

「大変申し訳ございません。 次回からはご予約なさってはいかがでしょうか。」

お気に入りのレストランでこんなコメントを聞いたら、そんな発言はばかばかしいと思うのではないでしょうか。 でも、API のコンテキストでは、まったく合理的な意見です。 お気に入りのレストランと同じように、API にも常連客がいます。よく訪問するユーザーのことです。 同じように繰り返し予約が可能であればよいと思いませんか？

これには、IRIS の基本機能がいくつか関わってきます。 まず、%SYSTEM.License インターフェースを理解する必要があります。 これは、IRIS インスタンスのライセンス使用状況に関する情報を取得するために提供されているインターフェースです。 次に、%CSP.SessionEvents クラスについて学ぶ必要があります。 このクラスを使うと、CSP セッションのライフサイクル全体で呼び出される様々なメソッドをオーバーライドできます。

インターシステムズがこの機能を導入したのは何年も前のことであり、公開鍵インフラストラクチャの利用がまだ広まっていなかった時代でした。
現在では、公開鍵インフラストラクチャを使用するための資料を作成することが広く利用できるようになり、インターシステムズ PKI の使用が減少しています。さらにインターシステムズ PKIを安全に使用するためには投資が必要となります。

IRIS PKI のドキュメントには以前より以下を記載しております。
　InterSystems PKI はテスト目的のみで本番環境では使用しないで下さい。　

2024 年 3 月 26 日をもって、InterSystems PKI は非推奨としました。
製品ドキュメントは更新され、以下のように記載されます。
　InterSystems PKI の実装は非推奨です。将来のバージョンの InterSystems 製品から
    この機能は削除される可能性があります。
    このドキュメントは、 既存のユーザのための参考資料としてのみ提供されます。
    インターシステムズは、ユーザが PKI 機能の使用を中止することを推奨します。

これは InterSystems FAQ サイトの記事です。

InterSystems IRIS との通信に SSL/TLS を使用する際のクライアントの構成は、使用する技術によって変わってきます。

1. ODBCクライアント、IRISクライアントから接続の場合（IRISスタジオやターミナルなど）
2. .NET クライアントから接続の場合（SSLDefs.iniは要りません）

★１．ODBCクライアント、IRISクライアントから接続の場合（IRISスタジオやターミナルなど）

ODBCやIRISクライアントから接続する場合は、以下の記事にある設定が必要となります。
具体的には、SSLDefs.iniという設定ファイルを作成し、決められた場所に配置します。
 

【ご参考】
スーパーサーバやTelnetポートでSSLを有効にする際のクライアントの設定

注意：
設定ファイル (SSLDefs.ini) の使用には、以下の制限が適用されます。

これは InterSystems FAQ サイトの記事です。
 

インストール時に選択できる初期セキュリティ設定のレベルには以下の３つがあります。
※バージョンにより、表記(日本語/英語)が違う場合があります。

• 最小 (Minimal)
• 通常 (Normal)
• ロック・ダウン (Locked Down)

各レベルの違いの詳細は以下の資料をご確認ください。

セキュリティの説明資料

SFTPサーバ側で公開鍵と秘密鍵を作成し、それをIRISサーバにコピーして、%Net.SSH.Session() の AuthenticateWithKeyPair() を使用してSFTP接続する一連の手順（サンプル）をご紹介します。

【環境】

SFTPサーバ：CentOS8
SFTPクライアント：Windows10 ＆ IRIS2023.1.2
SFTP接続用ユーザ：mysftpuser

【手順】

(1) CentOSでSSHの公開鍵と秘密鍵を作成します (今回は、RSA方式、4096bit)

ssh mysftpuser@172.18.xx.xx でログインし、以下 mysftpuser として作業します。

インターシステムズは、接続性に関する 2 つの問題を修正しました。これらの不具合とその修正はそれぞれ独立しています。

この警告は、2つの問題の修正を含む ポイントリリース があるため、両方に対処する内容になります。

どちらの問題も、以下の製品のバージョン2019.1.4と2020.1.4のみに影響します：

• InterSystems IRIS®
• InterSystems IRIS for Health™
• HealthShare® Health Connect

HealthShare Unified Care Record®、Information Exchange、Health Insight、Patient Index、Provider Directory、Care Community、Personal Community、またはHealthcare Action Engine については、いずれのリリースバージョンにも影響はありません。

1つ目の問題は、ログインに失敗した際に復帰するまでに60秒間ハングするという問題です。今回の修正で、ハングする時間が2秒に短縮され、通知メッセージも改善されました。この修正は DP-421918 です。

インターシステムズは、いくつかの問題を修正するためにリリースを再作成する必要がある場合があります。このプロセスにより、「ポイントリリース」と呼ばれる新しいキットが生成されます。

ポイントリリースは、メンテナンスリリースやメジャーリリースとは異なります。 これは緊急の問題に対して、迅速かつ的確に対応するために行われます。

ポイントリリースの確認方法

InterSystems Data Platform 製品は以下のリリース規則に従います：

<インターシステムズ製品>  <年>.<メジャー>.<メンテナンス>.<ビルド#>.<ポイント>

例：InterSystems IRIS 2022.1.4.204.1

ポイントリリースの確認方法は簡単で、製品キットの下1桁が0でなければ、ポイントリリースを使用していることになります。
 

現在使用中のソフトウェアを入れ替えるべきかの判断は？

インターシステムズでは、ポイントリリースがアナウンスされるたびに、そのリリースをお客様にお知らせし、そのリリー スで解決される問題を説明します。 アナウンスは、開発者コミュニティ (https://jp.community.intersystems.com/tags/intersystems-official) や製品アラートを通じて行われます。

これは InterSystems FAQ サイトの記事です。

オペレーティング・システム・ベースの認証(OS認証)では、OSのユーザ ID を使用して、IRISを使用するユーザを識別します。

インストール時に選択する初期セキュリティ設定＝最小の場合は、予め、OSログインユーザと同一名のユーザをInterSystems IRIS に作成する必要があります。（パスワードは異なっていても構いません。）
初期セキュリティ設定＝通常以上の場合は、インストールユーザ名(OSログインユーザ名)で、ユーザが作成されていますので、このユーザを使用することができます。別のログインユーザで実行したい場合は、同様にIRISユーザを同名で作成してください。

​​ [インストール時の初期セキュリティ設定画面]

​​OS認証は、以下の3つのサービスに使用できます。

・コールイン (%Service_Callin)
・コンソール (%Service_Console)  ※Windowsのローカル接続
・ターミナル (%Service_Terminal)  ※Linux／Unixのローカル接続

※iris run(runw)/ccontrol run(runw) ではパスワード認証は使用できませんが、OS認証を使用してシステムにログインすることが可能となります。

OS認証を行うための設定手順は以下の通りです。

これは InterSystems FAQ サイトの記事です。

InterSystems IRIS では、柔軟でユーザ拡張可能な監視ツールである「システムモニタ」をお使いいただくことが可能です。

システムモニタには、以下の3つのインスタンス監視ツールがあります。

• システムモニタ：システムの状態およびリソースを監視・固定パラメータに基づいて通知 (アラートおよび警告) を生成
• ヘルスモニタ：主要なシステムメトリックおよびユーザ定義メトリックをサンプリング＆ユーザ変更可能パラメータおよび規定の通常値と比較し、該当しきい値を超えた場合に通知を生成
  ※ヘルスモニタは既定では無効となっています。
  　起動するには、^%SYSMONMGR を使用してヘルスモニタを有効にする必要があります。
  　ただし、システムモニタのサブスクライバクラスは、ヘルスモニタが有効でなくても動作します。
• アプリケーションモニタ：重要なシステムメトリックをサンプリング＆ユーザが作成したアラート定義を使用して評価

messages.logに、以下のようなログが記録される場合があります。

[SYSTEM MONITOR] DBLatency(c:\xxx\) Warning: DBLatency = 1510 ( Warnvalue is 1000).
※このメッセージの意味については こちらの記事 をご覧ください。

インターシステムズは、IBM POWER8 以降の POWER プロセッサを搭載した AIX システムで、データベースおよびジャーナルファイルが破損する可能性がある問題を修正しました。
この問題は、データベースまたはジャーナルの暗号化が使用されている場合にのみ発生する可能性があります。

対象バージョン：
 InterSystems IRIS                      - 2022.1.3、2023.1 を除く全てのバージョン
 InterSystems IRIS for Health   - 2022.1.3、2023.1 を除く全てのバージョン
 HealthShare Health Connect   - 2022.1.3、2023.1 を除く全てのバージョン
 HealthShare ソリューション   - すべてのバージョン

 ※HealthShareソリューションはデータ要素の暗号化機能を使用していない為、
     本不具合が直接影響することはありません。ただし、HealthShare環境にて
     上記のようなデータ要素の暗号化機能を使用するカスタマイズがある場合は
     本アラートに記載されている回避方法に従う必要があります。

 InterSystems Cache および Ensemble - 2015.1 以降の全てのバージョン