Skip to content
インタ―システムズ製品やソリューション、キャリアの機会などについて、検索してご覧ください。

InterSystems IRIS 2025.2 で導入される IRISSECURITY データベースについての勧告

InterSystems IRIS 2025.2 から、セキュリティデータが格納されるIRISSECURITY データベースが導入されます。これまでセキュリティデータが格納されていた IRISSYS とは異なりIRISSECURITY データベースは暗号化することが可能です。これにより機密データをより安全に保管することができるようになります。将来のバージョンでは IRISSECURITY はミラーリングもサポートされる予定です。

このバージョンではあわせて、セキュリティ管理タスク用の %SecurityAdministrator ロールも導入されます。

お伝えする変更は、継続的デリバリー(CD) および 拡張メンテナンス(EM)の両方に導入されます。つまり、バージョン 2025.2 (CD版、2025年7月23日リリース)および 2026.1 (EM版) 以降、InterSystems IRIS に IRISSECURITY データベースが含まれるようになります。そして該当バージョンにアップグレード時に全セキュリティデータが IRISSYS からIRISSECURITY に自動的に移動します。

InterSystems IRIS 2025.2 は 2025年7月23日リリースされました。ただし、InterSystems IRIS for Health および Health Connect 2025.2 についてはOAuth 設定データに影響を与えるミラーリングの問題の修正が完了するまで公開を延期します。

[アップグレード前に]

新しく導入される IRISSECURITY によって、セキュリティデータを直接参照しているユーザが影響を受ける可能性があります。

  • ユーザはセキュリティグローバルに直接アクセスできなくなります。代わりに、セキュリティクラスが提供するAPIを利用する必要があります。
  • OAuth2グローバルを別のデータベースにマッピングできなくなります。
  • SQLセキュリティが無効化されている場合でも、ユーザはセキュリティテーブルに対するSQLクエリを実行出来なくなります。
  • システムデータベースは、事前定義されたシステムリソースを使用するようになります。 (事前定義されたシステムリソースはユーザ変更不可)
    Unix では、以前のバージョンで新しいリソースを作成してシステムデータベースに割り当てていた場合、アップグレード後、それらリソースは事前定義されたシステムリソースに置き換わります。(ただし、デフォルトでないリソースを参照しているロールがある場合は、データベースへのアクセスを維持するために、デフォルトのリソースを使用するように手動で変更する必要があります)
    Windows ではリソースをデフォルトに戻す必要があります。データベースにデフォルト以外のリソースがある状態で Windows 上でアップグレードを試みると、アップグレードが停止し (インスタンスは変更されません) 「Database must have a resource label of ...」というエラーメッセージが表示されます。

デフォルトのリソースについて
https://docs.intersystems.com/iris20251/csp/docbookj/DocBook.UI.Page.cls

?KEY=GSA_using_resources#GSA_using_resources_about

以下のセクションでは、これら変更点の詳細と、過去バージョンから移行後の代替策をお伝えします。アップグレード前に、ユーザアプリケーションやマクロを確認してテストいただくことを強くお勧めします。
基本的に、以下2つの注意点になっていることをご確認ください。

  • (直接グローバルにアクセスせず)提供されるセキュリティAPI経由でセキュリティデータを管理すること
  • これら API を利用する必要な権限 (%DB_IRISSYS:R およびAdmin_Secure:U)を持っていること

[グローバルアクセス]

以前は、IRISSYSデータベースにセキュリティグローバルが格納されており、ユーザは以下の権限があればセキュリティデータにアクセスできました。

  • %DB_IRISSYS:R: 直接またはセキュリティAPI経由で、セキュリティグローバルを読み取り可能
  • %DB_IRISSYS:RW: セキュリティグローバルを読み書き可能
  • %DB_IRISSYS:RW および Admin_Secure:U: セキュリティAPI経由で、セキュリティを管理可能

InterSystems IRIS 2025.2 では以下のようになります。

  • ユーザはセキュリティグローバルに直接アクセスできなくなります。
  • %DB_IRISSYS:R%Admin_Secure:U の両方とも、(提供されたセキュリティAPIを経由して) セキュリティデータにアクセスするため、かつ、セキュリティクラスを通してセキュリティを管理するための、必要最小限の権限になります。
  • 一般的なセキュリティ管理には、新しい %SecurityAdministrator ロールをご利用いただけます。
  • セキュリティデータへの読み取り専用アクセス (これまでは %DB_IRISSYS:R が相当) が削除されました。

[グローバルデータのロケーション]

InterSystems IRIS 2025.2 では、以下のセキュリティグローバルデータが、IRISSYS から、IRISSECURITY に格納される ^SECURITY グローバルに移動されました。

[OAuth2 グローバルマッピング]

これまでは OAuth2 グローバルを別のデータベースにマッピングし、OAuth2設定をミラーリングすることが出来ました。InterSystems IRIS 2025.2 では、OAuth2 グローバルをマッピングできなくなりました。また IRISSECURITY はミラーリングできません。そのため現在 OAuth2情報をミラーリングされている場合、以下のいずれかの回避策をご利用ください。

  • プライマリとフェイルオーバの両方で手動で変更する
  • プライマリから設定をエクスポートし、フェイルオーバ側にインポートする

OAuth2 構成データのエクスポート手順
> set items = $name(^|"^^:ds:IRISSECURITY"|SECURITY("OAuth2"))_".gbl"
> set filename = "/home/oauth2data.gbl"
> do $SYSTEM.OBJ.Export(items,filename)

OAuth2 構成データのインポート手順
> do $SYSTEM.OBJ.Import(filename)

[SQL Security]

これまでは、SQL セキュリティは CPF パラメータ DBMSSecurity によって制御されていました。もし DBMSSecurity が無効であれば、SQL権限のあるユーザはデータベース内のすべてのセキュリティテーブルに任意のクエリを実行できました。
InterSystems IRIS 2025.2 では以下のようになります。

  • CPF パラメータ DBMSSecurity は、以下のシステムワイドの SQL セキュリティプロパティに置き換わりました。

    管理ポータルで設定する手順
    システム管理 > セキュリティ > システム・セキュリティ> システムワイドセキュリティパラメータ > Enable SQL security

    SetOption で設定する手順
    do ##class(%SYSTEM.SQL.Util).SetOption("SQLSecurity", 1)

  • セキュリティ・テーブルは、詳細および一覧を取得する API を通じてのみアクセス可能となります。APIを利用するには、SQLセキュリティが無効になっている場合でも %DB_IRISSYS:R と %Admin_Secure:U の両方の権限が必要となります。

たとえば、ロールの一覧を取得するには、Security.Roles テーブルに直接クエリを実行できなくなります。代わりに、Security.Roles_List() クエリを使用してください。
> SELECT Name, Description FROM Security.Roles_List()

Roles_List() クエリについて
https://docs.intersystems.com/irislatest/csp/documatic/%25CSP.Documatic

.cls?LIBRARY=%25SYS&CLASSNAME=Security.Roles#List

[IRISSECURITY の暗号化]

IRISSECURITY を暗号化する手順は以下のとおりです。

(1) 暗号化キーを作成します。
管理ポータル > システム管理 > 暗号化 > 新しい暗号化キーファイルを作成

  • キーファイル - 暗号化キーファイル名
  • 管理者名 - 管理者の名前
  • パスワード - キーファイルのパスワード

(2) 暗号化キーをアクティベートします。
管理ポータル > システム管理 > 暗号化 > データベース暗号化 > キー有効
上記で作成した キーファイル、管理者名、パスワード を指定します。

(3) 管理ポータル > システム管理 > 暗号化 > データベース暗号化 > 起動設定構成

(4) 起動時にキー有効化 ドロップダウンメニューから、キー有効化メソッドを選択します。「インタラクティブ」キー有効を強くお勧めします。

(5) IRISSECURITY データベース暗号 ドロップダウンから 「はい」を選択します。

(6) 暗号化を有効にするため、システムを再起動します。

[%クラスへのアクセスルール]

InterSystems IRIS の以前のバージョンでは、ウェブ・アプリケーション用の%クラスにアクセスするには、セキュリティグローバルに値をセットする必要がありました。InterSystems IRIS 2025.2 では、管理ポータルまたは ^SECURITYルーチンを利用して、この設定を行うことができます。
管理ポータルで %クラスへのアクセスルールを設定する手順は以下のとおりです。

(1) システム管理 > セキュリティ > アプリケーション > ウェブ・アプリケーション

(2) 設定したいアプリケーションを選択

(3) Percent Class Access タブから以下のオプションを設定

  • タイプ: このルールを、指定した%クラス (AllowClass) だけに対するアクセスに適用するか、指定した接頭辞を含むすべてのクラス (AllowPrefix)へのアクセスに適用するか
  • クラス名: アプリケーションにアクセスさせる %クラスまたは接頭辞
  • Allow access: 指定された %クラスまたはパッケージへのアクセスをアプリケーションに与えるかどうか
  • Add this same access to ALL applications: すべてのアプリケーションにこのルールを適用するか

^SECURITY ルールを使ってクラスへのアクセスルールを設定する手順は以下のとおりです。

(1) %SYS ネームスペースで ^SECURITY ルーチンを実行
%SYS> DO ^SECURITY

(2) オプション 5, 1, 8 を順に選択し、1 を選択して class access rule プロンプトに入る

(3) 以下のように指定

  • Application? - アプリケーション名
  • Allow type? - このルールを、特定のクラスにアクセスできるよう適用するか (AllowClass) 指定した接頭辞を含むすべてのクラスに適用するか (AllowPrefix)
  • Class or package name? - アプリケーションにアクセスさせるクラスまたは接頭辞
  • Allow access? - 指定クラスまたはパッケージへのアクセスをアプリケーションに許可するかどうか

最新のアラート&アドバイザリー

2025年 6月 11日
Advisory ID Product & Versions Affected Risk Category & Score Explicit Requirements DP-439649 Products:
2025年 4月 19日
インターシステムズは、InterSystems IRIS、InterSystems IRIS for Health、HealthShare、HealthShare HealthConnect、TrakCare、Caché、および Ensemble の OAuth2 クライアント構成を使用するアプリケーションに影響を与えるセキュリティ脆弱性に対処しました。 改善手順および追加ガイダンス文書は、インターシステムズのワールドワイド・レスポンス・センター (WRC) から入手可能です。
2025年 4月 3日
InterSystems IRIS 2024.3 で発生する2つの製品障害が確認されました。
2025年 3月 12日
インターシステムズはFHIRサーバのチェーン検索での特定のパラメータが不完全または不正な結果を返す可能性がある問題を修正しました。
2025年 3月 12日
インターシステムズは高負荷状態のFHIRサーバで複数の条件付き並列FHIR更新を行った場合に検索で既存のリソースを返さない事がある問題を修正しました。
2025年 2月 20日
インターシステムズは、SQL クエリが不正な結果を返す原因となる 2 つの問題を修正しました。さらに、日付/時刻データ型の処理における不整合を修正しました。この日付/時刻データ型の処理の修正により以前の不整合な動作に依存していた既存のアプリケーションでは、異なる予期しない(正しい)結果が返される可能性があります。
2025年 1月 16日
インターシステムズは、特定の $List シンタックスを使用することで不正なデータベースとジャーナルレコードが作成される問題を修正しました。この問題が発生する可能性は非常に低いものですが、発生した場合の影響は非常に大きなものとなります。
2024年 10月 10日
インターシステムズは、InterSystems IRIS、InterSystems IRIS for Health、HealthShare、HealthShare HealthConnect、TrakCare、Caché、および Ensemble の Web ゲートウェイ および CSP ゲートウェイ に影響を与えるセキュリティ脆弱性に対処しました。
2024年 8月 17日
インターシステムズは、非常にまれな状況下で、マルチボリュームデータベースでデータベース破損または エラーが発生する可能性がある不具合を修正しました。

今すぐ申し込む

サポートアラート、重要な問題、
修正、製品リリースに関する通知を受け取ることができます。
*必須項目
Highlighted fields are required
*必須項目
Highlighted fields are required
このフォームを送信することにより、お客様は、サポートアラート、重要な問題、重要なアップデート、修正、および製品リリースに関する通知を電子メールで受け取ることに同意するものとします。 さらに、お客様は、お客様のビジネスコンタクト情報が、米国でホストされている当社のCRMソリューションに入力されることに同意したことになります。お客様情報は、適用されるデータ保護法に従って維持されます。
**送信ボタンをクリックすることにより、お客様は、既存および将来のインターシステムズ製品、提供物、イベントに関するニュース、更新、その他のマーケティング目的のために連絡を受けることに同意します。