• [アーティクル]

プログラム ファイル、共通コンポーネント、およびデータ ファイルのセキュリティ保護

セットアップ プログラムを実行すると、MicrosoftSQL ServerAnalysis Services のインスタンスごとに、Analysis Services のプログラム ファイルとデータ ファイルが別々のフォルダ構造にインストールされます。フォルダ構造は次のとおりです。

  • Analysis Services ファイルの既定の場所は、\Program Files\Microsoft SQL Server\MSAS10.#\OLAP です。ここで、# は、インスタンス番号を表す数値です。このフォルダ構造には、Backup、Bin、Data、および Log という 4 つのサブフォルダが含まれています。これらのフォルダには、バックアップ情報、Analysis Services サービス自体の重要なファイル、ディメンションとキューブの実際のデータ、およびログ情報が格納されます。これらの情報は安全に保管する必要があります。セットアップ プログラムでは、このフォルダ構造に含まれているすべてのファイルへのアクセスが、Administrators ローカル グループと Analysis Services ログオン アカウントに制限されます。ユーザーは、これらのフォルダ内のファイルにアクセスする必要がありません。

    重要な注意事項重要

    Analysis Services のインストールやすべての Analysis Services データの保存は、NTFS ファイル システムを使用してフォーマットされているハード ディスクのみを対象としてしてください。

  • すべての Analysis Services インスタンスの共通コンポーネントは、既定で \Program Files\Microsoft SQL Server\100\Shared に配置されます。セットアップ プログラムでは、このフォルダ構造に格納されているファイルに対する読み取りアクセス権がユーザーに与えられ、ユーザーは承認されたタスクを実行したり、許可されたデータにアクセスしたりできます。これらの権限を変更する必要はありません。

Analysis Services データのセキュリティ保護

セットアップ プログラムでは、Backup フォルダ、Data フォルダ、および Log フォルダへのアクセスが Administrators ローカル グループと Analysis Services ログオン アカウントのメンバに制限されますが、このデータが損なわれないように、その安全を確保する必要があります。

  • Backup フォルダへのアクセスは制限されていますが、Analysis Services データベースをバックアップするときにこのフォルダを使用する必要はありません。別のフォルダを使用してデータベースをバックアップする場合は、そのフォルダ構造も同様にセキュリティで保護する必要があります。

  • Data フォルダへのアクセスが制限されているだけでなく、Data フォルダ内のファイルはバイナリ形式で格納されています。つまり、フォルダ内のファイルは、テキスト エディタを使用して読み取ることはできません。ただし、Analysis Services の別のインスタンスがこのフォルダ内のファイルに対するアクセス権を持っている場合、このインスタンスはこれらのファイルを読み取ることができます。このようなセキュリティ上のリスクを抑えるため、信頼できるユーザーのみを Administrators ローカル グループのメンバに設定し、そのようなユーザーのみに Analysis Services ログオン アカウントのパスワードを知らせる必要があります。

  • インストール後に Data フォルダを別の場所 (RAID アレイや SAN など) に移動する場合は、移動先の Data フォルダに対するアクセス権を Administrators ローカル グループのメンバと Analysis Services ログオン アカウントにのみ与える必要があります。

  • 1 つまたは複数のメジャー グループに対して複数のパーティションを構成し、これらのパーティションを別のフォルダ構造に格納する場合は、これらのパーティションの Analysis Services データが権限のないユーザーによってアクセスされないように、このフォルダ構造へのアクセス権を Administrators ローカル グループのメンバと Analysis Services ログオン アカウントにのみ与える必要があります。

  • Log フォルダ以外の場所に実行トレースを記録する場合、実行トレースに機密情報がキャプチャされる可能性があるので、これらのトレースに対するアクセスも同様に制限する必要があります。