リリース 10.0 より前の Visual COBOL および Enterprise Server 製品ではアプリケーション セキュリティがサポートされていましたが、ほとんどのセキュリティ機能はデフォルトで有効になっていませんでした。特に、ユーザーは ESCWA などの Enterprise Server コンポーネントに対して認証を受ける必要はなく、さまざまな製品機能を使用するために承認を受ける必要もありませんでした。
情報技術業界では、ソフトウェア セキュリティはデフォルトで有効にすべきだという意見が広まりつつあります。十分なセキュリティ メカニズムなしでソフトウェア システムをディプロイすることは危険であるとさらに証明されつつあります。政府の規制当局および業界標準化団体は、ソフトウェアの開発とディプロイの両方に対して、より多くのセキュリティ要件を課しています。
セキュリティは、多くの場合リモートでカスタム プログラムを作成および実行できるようにするために存在する ESCWA のようなソフトウェア システムにとって特に差し迫った懸念事項です。侵害されたエンタープライズ サーバー インスタンスは、多くの場合、オペレーティング システムによって許可されているあらゆる操作を実行するために使用される可能性があります。Enterprise Server には多くの機能があり、攻撃対象領域も広くなります。
プロダクション システムが保護されている限り、開発者システムの保護はそれほど重要ではないと考える人もいるかもしれません。残念ながら、開発者システムは攻撃者にとって非常に狙いやすいターゲットです。開発者は組織の内部または顧客が使用するソフトウェアを作成するため、攻撃者は侵害された開発者システムを使用して、社内や顧客にマルウェアを拡散させる可能性があります。開発者システムには、「Living Off The Land (LotL;環境寄生型)」攻撃などの高度な攻撃に役立つツールがあります。LotL は、攻撃者がマルウェア ファイルをインストールする必要がないため検出が困難であり、他のシステムにバックドアを作成して組織のシステムに永続的にアクセスできるようにします。開発者は高度な権限で作業することが多く、攻撃者にさらなる影響力を与え、CI/CD システムなどの他の重要なターゲットにアクセスできるようになります。
これらの理由から、Micro Focus は、製品のインストール時に Enterprise Server の基本的なセキュリティ構成を有効にすることにしました。これにより、インストール後すぐにセキュリティが確保されます。もちろん、このセキュリティ構成は削除または置き換えることができますが、Micro Focus では、開発環境と本番環境の両方で製品のセキュリティ機能を使用することを強くお勧めしています。