ロボットオンプレミス ロボット エージェントのセキュリティ
メモ
このトピックの情報は、オンプレミスのロボットエージェントを使用して、ACL ロボットで ACLスクリプトを実行する組織にのみ適用されます。
ACL Robotics Professional Edition を有する個人および組織にはオンプレミス ロボット エージェントがありません。HighBond ロボットとワークフロー ロボットの Python/HCL スクリプトはロボット エージェントを使用しません。
ロボット エージェントがインストールされているサーバーへのアクセスをコントロールするためには、オンプレミス ロボット エージェントのセキュリティに関する推奨事項に従い、機密データをセキュアに維持します。
クラウド ベースのロボット アプリへのユーザー アクセスの詳細については、「ロボットアプリのアクセス許可」を参照してください。
暗号化された通信
Analytics をローカルで使用して、オンプレミス ロボット エージェントに保存されている結果テーブルと作業テーブルを開くことができます。Analytics とロボット エージェントの間の通信には、パスワードで保護されたサーバー プロファイルが必要です。さらに、データ送信は、AES-256 暗号化(Analytics/エージェント v.19 以降)または Twofish-128(Analytics/エージェント v.18以前)で保護されています。
一般的なユーザーのアクセス権
一般的なガイドラインとして、必要最低限の権限とアクセス許可を内容とするロボット エージェントへのアクセス権を、必要最小限のアカウントに付与する必要があります。
サーバー管理
ご利用のロボット エージェント サーバーを可能な限りセキュアに維持するには、すべての Windows オペレーティング システムのアップグレードとセキュリティ パッチを速やかに適用してください。
機密性の高いインストール情報
ロボット エージェントのインストールに関連する機密情報をすべて保護します。インストールの処理中に、アカウント資格情報や構成設定などの機密情報が含まれるファイルを 1 つでも作成した場合は、そのファイルを安全な場所に保管する必要があります。
許可リストの URL
ロボット エージェントと Diligent One プラットフォームの間の通信を有効にするには、特定のプラットフォーム URL を組織のネットワーク許可リストに追加する必要があります。
Diligent Oneプラットフォームオンプレミス ロボット エージェントを使用するすべての組織は、自社のリージョンの一般的な Diligent One プラットフォーム URLを許可する必要があります。
HighBond API組織が ACL ロボットを使用して HighBond API と対話する場合は、リージョンの HighBond API URL を許可する必要があります。
Diligent One アカウントのリージョンを確認するには、プラットフォーム ホームを開き、[プラットフォームの設定]>[組織]を選択します。[リージョン名]の下にリージョンが表示されます。
メモ
Diligent One プラットフォームは現在デュアル ドメインの期間であり、diligentoneplatform.com ドメインと highbond.com ドメインの両方がサポートされています。highbond.com ドメインは 2026 年 7 月 31 日に廃止される予定です。現時点で両方のドメインで URL を許可リストに登録すれば、将来の混乱を避けることができます。詳細については、「サポートされているドメインに関する FAQ」を参照してください。
Diligent One プラットフォーム URL を許可リストに登録する
ポート 443 アウトバウンドに指定された Diligent One プラットフォーム URL を許可リストに登録します。Diligent One アカウントがあるリージョンの URL のみの許可リスト。
注意
アウトバウンド トラフィックのみに対してポート 443 を設定します。インバウンド トラフィックは許可しないでください。
| Diligent One のリージョン | Diligent One プラットフォーム URL |
|---|---|
北米 (米国) AWS 名:米国東部(バージニア州北部) |
|
アフリカ (南アフリカ) AWS 名:アフリカ(ケープタウン) |
|
アジア太平洋 (オーストラリア) AWS 名:オーストラリア(シドニー) |
|
アジア太平洋(日本) AWS 名:アジア太平洋(東京) |
|
アジア太平洋 (シンガポール) AWS 名:アジア太平洋 (シンガポール) |
|
ヨーロッパ (ドイツ) AWS 名:ヨーロッパ(フランクフルト) |
|
ヨーロッパ(ロンドン) AWS 名:ヨーロッパ(ロンドン) |
|
北米 (カナダ) AWS 名:カナダ(中央) |
|
南米 (ブラジル) AWS 名:南米(サンパウロ) |
|
HighBond API URL を許可リストに登録する
組織が ACLScript コマンドを使用して、プロジェクト アプリまたはリザルト アプリと ACL ロボットの間でデータを送信する場合は、HighBond API URL を許可リストに登録します。いずれかのアプリと ACL ロボット間でデータを送信する必要がない場合は、この要件を無視することができます。
Diligent One アカウントがあるリージョンの URL のみの許可リスト。
HighBond API の詳細については、HighBond API リファレンスを参照してください。
| Diligent One のリージョン | HighBond API URL |
|---|---|
北米 (米国) AWS 名:米国東部(バージニア州北部) |
メモ ドメインごとに、両方の URL を許可リストに登録します。 |
アフリカ (南アフリカ) AWS 名:アフリカ(ケープタウン) |
|
アジア太平洋 (オーストラリア) AWS 名:オーストラリア(シドニー) |
|
アジア太平洋(日本) AWS 名:アジア太平洋(東京) |
|
アジア太平洋 (シンガポール) AWS 名:アジア太平洋 (シンガポール) |
|
ヨーロッパ (ドイツ) AWS 名:ヨーロッパ(フランクフルト) |
|
ヨーロッパ(ロンドン) AWS 名:ヨーロッパ(ロンドン) |
|
北米 (カナダ) AWS 名:カナダ(中央) |
|
南米 (ブラジル) AWS 名:南米(サンパウロ) |
|
| AWS GovCloud(米国連邦) |
|
| AWS GovCloud(米国の州、地方、教育機関) |
|
アカウントにログインする権限とアクセス許可
2 種類のアカウントには、ロボット エージェントがインストールされているサーバー上に Windows のログイン権限とアクセス許可が必要になります。
- サービス アカウント2 つのロボット エージェントの Windows サービスの実行に使用される
- 個々のユーザー アカウントロボットのタスクによって Analytics テーブルの出力にアクセスするために使用されます
Analytics がデスクトップ上にインストールされた個々のユーザーは、このアプリケーションをデスクトップ クライアントとして使用し、ロボット エージェント サーバー上に格納された出力テーブルに接続することができます。
アカウントごとに必要な具体的なログインの権限とアクセス許可は以下に概説されています。
アカウントのログオン権限
以下のテーブルは、ロボット エージェント サーバーへのアクセスを必要とするアカウントに必要なログオン権限について概説したものです。以下に規定されている内容以上のログオン権限をアカウントに付与しないでください。ログオン権限は、Windows セキュリティ ポリシーの[ユーザー権利の割り当て]領域に規定されています。
ログオン権限を制限することで、誰かがロボット エージェント サーバーに不正アクセスを行うリスクが軽減されます。
| アカウント | ローカル ログオンを許可する | ローカルでログオンを拒否する | サービスとしてログオン |
|---|---|---|---|
| ロボット エージェント サービス アカウント | いいえ | はい | はい |
| ロボットデータサービスアカウント | いいえ | はい | はい |
ユーザー アカウント (Analytics ユーザー) | はい | いいえ | いいえ |
アカウントのアクセス許可
サービス アカウントのアクセス許可
| Windows サービス名 | ポート | サービスを実行するアカウント | サービス アカウントに必要なアクセス許可 |
|---|---|---|---|
ロボット エージェント (スケジュールされたタスクと臨時ロボットのタスクを実行) | 443 アウトバウンドのみ | 次のいずれかを使用します。
使用してはならないもの:
メモ 指定するアカウントが、期限が切れるパスワードを使用する場合は、パスワードを常に更新する処理を構築しておく必要があります。 |
|
ロボットデータサービス (ユーザーが Analytics でエージェント テーブルを開ける接続性を提供します ) | 10000 (デフォルト) 0 ~ 65536 で利用できるポートを指定できます | ローカル システム |
|
ユーザー アカウントのアクセス許可
ロボットのタスクによって出力される Analytics テーブルは、ロボット エージェントがインストールされるサーバーに格納されます。ユーザーは、以下に概説されたアクセス許可を持っている場合は、これらのテーブルに接続し、ローカルにインストールされた Analytics のコピーにこれらを開くことができます。(詳細については、「ACL ロボットのテーブル、ファイル、ログの表示参照してください。)
ロボット エージェント サーバーへのユーザーのアクセス権の制限
貴社が、ユーザーにロボット エージェント サーバーにアクセスを望まない場合は、異なるアプローチをとることができます。ロボットのタスクのアナリティクス スクリプトを、Excel または区切りなどのファイルタイプに出力結果を書き込むことができます。ユーザーは、ロボット エージェント サーバーへのアクセス権を持つ要件なしに、クラウド ベースのロボット アプリから直接これらのファイル タイプをダウンロードできます。
組み合わせたアプローチ
また、タスクの出力結果へのアクセスを提供するために、複合的なアプローチを取ることもできます。
- 一般ユーザークラウドベースのロボットアプリから、Excel や区切りファイルでの結果ダウンロードを一般ユーザーに要求します。
- 開発者・アーキテクト分析開発者やデータアーキテクトが、ロボットエージェントサーバー上の分析結果テーブルにアクセスできるようにします。
Analytics ユーザーへのアクセス許可
一部の Analytics ユーザーまたはすべての Analytics ユーザーにロボット エージェント サーバー上での Analytics テーブルへのアクセス権を付与する場合は、以下に概説されたアクセス許可を指定します。
注意
ロボット エージェント サーバー上の C:\acl ディレクトリ全体に、または以下の指定外のフォルダーに対し、個別のユーザーアクセス許可を付与しないでください。
フォルダーのアクセス許可を、必要なアカウントと必要なフォルダーのみに制限することで、ユーザーがロボット エージェント サーバーに不正アクセスを行うリスクが軽減されます。また、Analytics スクリプトが、該当するフォルダーの外部のファイルをアクセスしたり変更したりできないようにします。
| アイテム | 必要なユーザー アカウントのアクセス許可 |
|---|---|
ロボット データ サービスのインストール フォルダー |
|
ロボット データ サービスの実行可能ファイル (aclse.exe) |
|
ロボット エージェントのデータ フォルダー (ロボットのタスクによって出力された Analytics 結果テーブルを格納) |
メモ このアクセス許可は \data フォルダー全体に付与したり、次の方法で制限したりすることができます。
|
ロボット データ サービス プレフィックスのフォルダー (ロボット エージェント サーバーに接続された場合に直接動作する Analytics は、 Analytics からサーバーに保存された Analytics 出力テーブルとインデックス ファイルを格納します) |
|
