HP-UX 11i システムセキュリティ

by user

on 28 марта 2017

Category: Documents

>> Downloads: 4

views

Report

Comments

Description

Download HP-UX 11i システムセキュリティ

Transcript

HP-UX 11i システムセキュリティ

HP-UX 11i システムセキュリティ
White paper
目次
本書の概要 .............................................................................................................................................. 3
本書の構成...............................................................................................................................................................3
2. 一般的な UNIX OS セキュリティ概念......................................................................................................... 4
2.1 識別と認証 .........................................................................................................................................................4
2.2 認可 ..................................................................................................................................................................4
2.3 アクセス制御 .......................................................................................................................................................4
2.4 監査/アカウンタビリティ ........................................................................................................................................5
2.5 オブジェクトの再使用 ............................................................................................................................................5
2.6 侵入阻止 ............................................................................................................................................................5
2.7 侵入検知 ............................................................................................................................................................5
2.8 システムの強化 ...................................................................................................................................................6
2.9 セキュリティレベルの認定.....................................................................................................................................6
2.9.1 CCITSE .......................................................................................................................................................6
2.9.2 CCITSE の適用範囲 ......................................................................................................................................6
3. HP-UX 11.x オペレーティングシステムのセキュリティ機能............................................................................ 7
3.1 HP-UX の 2 つのセキュリティモード.........................................................................................................................7
3.2 標準 HP-UX セキュリティ ........................................................................................................................................7
3.2.1 識別と認証 ..................................................................................................................................................7
3.2.2 PAM (Pluggable Authentication Module：プラグ型認証モジュール) ....................................................................8
3.2.3 認可 ...........................................................................................................................................................8
3.2.4 アクセス制御................................................................................................................................................8
3.2.5 監査/アカウンタビリティ .................................................................................................................................8
3.2.6 強力な乱数生成機能.....................................................................................................................................8
3.2.7 オブジェクトの再使用.....................................................................................................................................9
3.2.8 侵入阻止.....................................................................................................................................................9
3.2.9 侵入検知.....................................................................................................................................................9
3.2.10 保証 .........................................................................................................................................................9
3.2.11 セキュリティ基準への準拠 ............................................................................................................................9
1
3.3 標準 UNIX を上回る高信頼性モード (C2) のセキュリティ拡張機能 .............................................................................10
3.3.1 システムブート認証 ....................................................................................................................................10
3.3.2 識別と認証 ................................................................................................................................................10
3.3.2.1 暗号化パスワード保護 (別名：シャドウパスワード) ···················································································10
3.3.2.2 長いパスワード ···································································································································11
3.3.2.3 パスワードの複雑さチェック ···················································································································11
3.3.2.4 パスワードの再使用チェック (パスワード履歴) ··························································································11
3.3.2.5 パスワード有効期限の管理 ···················································································································11
3.3.3 ログイン制御 ..............................................................................................................................................11
3.3.4 監査/アカウンタビリティ ...............................................................................................................................11
3.3.5 認証 (標準に準拠することの正式認証) ...........................................................................................................12
3.3.6 別のアプリケーションとの高信頼性モードの相互運用性 ....................................................................................12
3.4 HP-UX 11i v2 Security Containment .....................................................................................................................12
3.4.1 コンパートメント機構 ....................................................................................................................................12
3.4.2 詳細レベルの特権 ......................................................................................................................................12
3.4.3 ロールベースのアクセス制御 (HP-UX Role-Based Access Control) ....................................................................12
3.4.4 標準モード機能拡張 ....................................................................................................................................12
4. HP-UX セキュリティの管理性 .................................................................................................................. 13
4.1 SAM ................................................................................................................................................................13
4.2 HP Systems Insight Manager...............................................................................................................................13
4.3 システムの強化 .................................................................................................................................................13
4.3.1 Bastille ......................................................................................................................................................13
4.3.2 Install-Time Security ...................................................................................................................................13
4.3.3 Security Patch Check (セキュリティパッチチェック) ........................................................................................14
4.3.4 HP IPFilter..................................................................................................................................................14
4.4 OpenView の統合と構成 ....................................................................................................................................14
4.5 NIS..................................................................................................................................................................14
4.6 NIS+................................................................................................................................................................14
4.7 LDAP................................................................................................................................................................14
4.8 Kerberos ..........................................................................................................................................................14
4.9 暗号 API ...........................................................................................................................................................15
4.9.1 GSS-API ....................................................................................................................................................15
5. HP-UX セキュリティ機能の要約............................................................................................................... 16
5.1. HP-UX リリースごとの機能比較 ............................................................................................................................17
6. 参考情報............................................................................................................................................ 18
HP-UX の一般 Web サイト .........................................................................................................................................18
HP-UX のインターネット、セキュリティ、管理情報 ............................................................................................................18
セキュリティに関する問題点について...........................................................................................................................18
HP-UX と HP-UX セキュリティに関する技術文書 .............................................................................................................18
無料または有料の HP-UX セキュリティ機能とその他の機能のダウンロード ........................................................................18
HP-UX セキュリティの内容が公表されている社外 Web サイト ..........................................................................................18
HP Electronic Support Center ....................................................................................................................................19
追加技術文書 .........................................................................................................................................................19
セキュリティツールボックス .......................................................................................................................................19
第三者によるセキュリティ評価....................................................................................................................................19
関連書籍： ..............................................................................................................................................................19
HP Press から ......................................................................................................................................................19
7. まとめ ................................................................................................................................................ 20
付録 A — HP-UX システムに対するウィルスリスクの理解 .............................................................................. 21
付録 B — セキュリティ評価の概要.............................................................................................................. 22
HP-UX 11i のリリース名とリリース識別子 .....................................................................................................................23
2
本書の概要
本書では、HP-UX アドオンセキュリティアプリケーションをはじめとし、HP-UX コアオペレーティングシステム (OS) のセキュリティ関
連機能と利点について説明します。本書で扱うリリースは、HP-UX 11.0、HP-UX 11i v1 (11.11)、HP-UX 11i v1.6 (11.22)、およ
び最新製品である HP-UX 11i v2 (11.23) です。これらの HP-UX バージョンではほとんどすべてのセキュリティ機能がサポートされ
ています。特に注釈のない限り、各バージョンがサポートしているハードウェアプラットフォームでセキュリティ機能を利用できます。
本書は、コア HP-UX オペレーティングシステムに直接関係があるセキュリティプログラムに焦点を当てます。HP-UX プラットフォーム
のネットワークセキュリティ機能の詳細は、ホワイトペーパー『Network Security Features of HP-UX 11i』に記載されています。こ
のホワイトペーパーは、docs.hp.com/hpux/internet/index.html から入手できます。
本書の構成
本書の構成は、次のとおりです。
セクション 1：本書の全般的な目的と構成
セクション 2： HP-UX のセキュリティ機能と範囲の説明において、本書全体で使われる一般的な OS セキュリティの概念と定義
セクション 3： 2 種類のモード（標準と高信頼性) で利用可能な HP-UX のセキュリティ機能
セクション 4： HP Systems Insight Manager、SAM、NIS+、およびシステム強化ツールによるセキュリティの管理方法
セクション 5：リリース (11.0/11iv1…) ごとに利用可能なセキュリティ機能の要約
セクション 6：詳細な研究のための追加参考情報
セクション 7：まとめ
付録 A： HP-UX システムに対するウィルスのリスク。
付録 B：セキュリティ評価仕様と認証レベルの定義
各種の HP-UX セキュリティ機能は HP-UX アプリケーション CD に格納されています。
また、www.hp.com/go/softwaredepot からダウンロードすることもできます。
本書作成時における、これらの HP-UX アプリケーションは次のとおりです。
IPSec (製品番号： J4255AA/J4256AA)
Kerberos Server (T1417AA)
LDAP-UX Integration (J4269AA)
CIFS/9000 (B8725AA)
Host Intrusion Detection System (J5083AA)
Netscape Directory Server 6.02 (J4258CA)
PAM Kerberos (J5849AA)
IPFilter (B9901AA)
AAA Server (T1428AA)
Mobile AAA Server (T1428BA)
Secure Shell (T1471AA)
Security Patch Check for HP-UX (B6834AA)
Bastille (B6849AA)
3
2. 一般的な UNIX OS セキュリティ概念
あらゆる技術分野で、それぞれ独自の用語と基礎概念が使われています。このセクションでは、本書全体で使われる用語を定義しま
す。これらの概念、用語、および定義はできるだけ、信頼の置ける参考情報を基準にしています。HP-UX のセキュリティ機能について
の説明を読む前に、これらの用語と概念を理解しておく必要があります。これらのセキュリティ概念が HP-UX でどのように具体化され
ているかについては、セクション 3 で説明します。
2.1 識別と認証
識別とは、システム上で各ユーザーの名前を特定することです。システムの安全性にとっては、各ユーザーが一意の識別子を持つこと
が必要です。UNIX では、この識別子は最大 8 文字のユーザー名とそれに対応するユーザーID (数値) です。
認証とは、ユーザーの身元を証明することです。認証は通常、ユーザーだけが知っているパスワードを使って行われますが、その他に
も 2 因子認証のように強力な機構も存在します。2 因子認証では、PIN とトークン (スマートカード) が使われます。スマートカード認証
では、システムにアクセスするためにユーザーはスマートカードを所持し、PIN を知っていなければなりません。
認証システムの強度は、高信頼性システムでよく問題になります。パスワードの長さと複雑さは、クラッカに解読されにくいパスワードの
性能係数です。パスワード有効期限制御などの機能があれば、ユーザーはパスワードを定期的に変更しなければならなくなります。パ
スワードが漏れるとシステムへのアクセスが可能になるため、多くの場合、パスワードとユーザーアカウントの管理がセキュリティ管理
者にとって最も重要な仕事になります。
2.2 認可
システム内の認可機構によって、個々のユーザーに特権が認められます。UNIX オペレーティングシステムでは、認可は 2 つのユー
ザー・クラスに分けられています。一方は root ユーザー (スーパーユーザーとも呼びます) であり、セキュリティ制御を無視することなど、
システムに対してほとんどすべての操作を実行できる権限を持っています。他方は通常のユーザーであり、プログラムとデータへの通
常アクセス以外の特権は制限されています。root ユーザーには、システムの管理、バックアップの実行、およびセキュリティ制御の無
視が認められています。
権限の分配が可能な認可では、個々のユーザーに対して、root ユーザーの任意の権限を割り当てることができます。この認可を実施
するために、次のような有用な方法が採用されています。
• RBAC (Role-based Access Control ：ロールベースのアクセス制御) ：ユーザーをロール (役割) に関連付け、ロールに機能を
割り当てます。HP-UXでは、rootとして既存のコマンドを実行するために呼び出すことができるラッパープログラムとしてRBACが初め
て実装されます (構成ファイルで制限されているため)。
• コマンド認可：コマンドを実行するユーザーのロールに応じてコマンドが異なる動作をするように、既存のコマンドの実装にロール概念
を拡張します。
• MAC (Mandatory Access Control ：強制アクセス制御) ：あるエリアにおける不正な行為が別のエリアに影響を与えることを
防止するために、ファイルアクセスとプロセス間通信にアクセス制限を設けます。
• 詳細レベルの特権：従来の UNIX システムのカーネル内部では、アクセスチェックは root と一般ユーザーの 2 種類しか区別できま
せんでした。現在の HP-UX の新しいリリースでは、アクセスチェックは個々の要素に分割され、ユーザー/プロセスに関連付けられた
特権ベクトルに対してそれぞれの要素をチェックすることができます。
• 特権ブラケッティング：必要な特権が有効である期間を制限する (つまり、危険にさらされる期間を制限する) ように、既存のコマンド
を拡張します。
一般に従来の UNIX システムでは、ソフトウェアツールを追加しなければこれらの種類の認可モデルに対応できません。
2.3 アクセス制御
システムのアクセス制御機構は、システムリソース (ファイル、プリンタ、プログラムなど) へのユーザーアクセスを仲介します。従来の
UNIX アクセス制御は、標準 UNIX ファイルパーミッション (ユーザーやグループなどに認められる読み取り、書き込み、実行) と ACL
(access control lists：アクセス制御リスト) の 2 つの機構から構成されています。
ACL はファイルに固有であり (つまり、各ファイルに 1 つの ACL があり)、そのファイルへのアクセスを仲介します。ACL は、標準
UNIX パーミッションビットよりも細かく規定されています。ACL では、指定されたユーザーリストに対して読み取り、書き込み、または
実行の各パーミッションが認められます。また、ACL では、ファイルへのアクセス権を持たないユーザーグループを指定することもでき
ます。
4
2.4 監査/アカウンタビリティ
root ユーザーと通常のユーザーがシステムに対して実行したシステムコールイベントを記録するように、監査システムを構成できます。
極端な場合、セキュリティに関するイベントがすべて記録されます。このような極端な監査を実行するとパフォーマンスコストが非常に
高くつくため、通常は、サーバのアプリケーションやユーザーのビジネス環境に特に関連するイベントのみ記録します。
高信頼性モードでの特定ユーザーの活動を記録するように、監査サブシステムを構成できます。このため、C2 監査では、ロギング/ロ
グアウトの時間とセッションにおけるユーザー活動の履歴に関する各種情報を得ることができます。管理者は監査コマンド
audusr(1M) を使って、ユーザーの選択と選択解除ができます。また、HP-UX 11i v2 Security Containment では標準モード機能拡
張により標準モードでも高信頼性モードと同様の監査サブシステムを構成できます。(3.4 HP-UX 11i v2 Security Containment を参照)
2.5 オブジェクトの再使用
システムの安全性を確保するには、新たに作成されたオブジェクト (メモリバッファ、ファイルなど) に、最後の使用時から「残ったまま
の」情報が含まれていないことを保証する必要があります。システムの安全性のための「オブジェクトの再使用」という要件は、ユーザ
ーがアクセス可能なリソースをすべて最初に消去するか、消去しない場合は、残ったままの情報をリソースから抽出できないように初
期化するということを意味しているにすぎません。
2.6 侵入阻止
最高のセキュリティ機能をすべて備えているオペレーティングシステムであっても、侵入を阻止するように設計/実装する必要がありま
す。オペレーティングシステムに組み込まれた実際のセキュリティ機構の外部の欠陥や弱点から侵入が行われるため、侵入を阻止す
ることは、オペレーティングシステム開発において最も重大なセキュリティ上の課題になります。長年にわたって指摘されてきた UNIX
システムに固有の弱点には、次のようなものがあります。
• 特権アプリケーションコードでのプログラミング実績が乏しいため、バッファオーバーフローまたは競合状態という弱点が生じる。
• パスワードが解読されたり、パスワード暗号化が弱い。
• システム構成が貧弱であるか、安全でない。
このような弱点は、レガシーUNIX 設計を考慮するとさらに複雑になります。UNIX は元々、情報を広く共有することを望む大学、研究
者、および政府機関向けに設計されたオペレーティングシステムです。したがって、当初はセキュリティを確保するようには設計されて
いませんでした。しかし現在では、セキュリティが不可欠なミッションクリティカルシステムで利用されているため、これまでセキュリティ
が確保されていなかった環境にも、セキュリティに対する特別な配慮が必要になっています。
2.7 侵入検知
侵入検知は、簡単に要約できます。つまり、侵入検知システムは、有刺鉄線を設置した後に閉回路テレビカメラを追加して、警備員が
攻撃の検知/予測のために施設を監視できるようにすることと似ています。
侵入検知は、未認可の外部者や認可された従業員によるコンピューティングリソースの不法/不適切な使用を、大きな損害が出る前
に検知する技術です。重要なシステムとデータを連続監視することで、検知が行われます。
IDS (intrusion detection system：侵入検知システム) がユーザーとシステムのアクティビティを監視して、セキュリティ違反に該当す
る悪用のパターンを検知します。
監視は、IDS が配備されているすべてのシステムに対して自動的に連続して行われます。通常、監視によってシステムとネットワーク
にかかるオーバーヘッドは低いため、ビジネス活動に支障は出ません。また、IDS センサでサーバマシン、ネットワーク全体、またはア
プリケーションさえも (データベースや Web サーバなど) 監視できます。
システムを攻撃する前に、攻撃者は、システムのセキュリティの破壊に利用できる弱点を特定する必要があります。システムの弱点と
は、未認可ユーザー (または認可ユーザー) による破壊を招きやすい、コンピュータシステムやネットワークの設計、実装、または動作
の側面です。利用できる弱点を特定した後、攻撃者は攻撃スクリプトを作成します。多くの場合、攻撃スクリプトは、弱点を利用するた
めに一連の決まった手順を実行するシェルスクリプトまたは単純なプログラムにすぎません。攻撃者が必要とするスクリプトが Web
ページに書き込まれていて入手可能であることが多く、このような場合、攻撃者の仕事ははるかに簡単になります。
多数の攻撃がすでに知られ、報告されているにもかかわらず、そのほとんどが 1 つのテーマの変種にすぎないということを知ると驚か
れるでしょう。1 人の攻撃者が弱点を特定し、攻撃スクリプトを公開すると、他の多数の攻撃者が刺激を受けて、別のソフトウェアの類
似の弱点を見つけ出します。このようにして、共通のパターンを示し、類似の手順に従う攻撃が洪水のように広がっていきます。
5
2.8 システムの強化
多くの場合、オペレーティングシステムは、最終的な運用環境では必要ないサービスと機能が使用可能な状態で出荷されています。
システムの強化とは、このような不要なサービスを使用不能にし、コア機能に必要な最低限の機能、ユーザー、およびアプリケーション
でオペレーティングシステムを構成することです。システムを強化する作業は、特定のネットワークサービス用のポートを使用不能に
すること、システムに不可欠なセキュリティ関連のパッチをすべてインストールすること、限られたサービスでデーモンを構成すること、
ロックアウトと監視のためにシステムファイアウォールを使用可能にすることなどです。必要なレベルの強化を実行するために UNIX
サーバ管理者が利用できるガイドラインとツールが多数、公開されています。
2.9 セキュリティレベルの認定
これまで説明してきた概念は、オペレーティングシステムの機能です。しかし、システムのセキュリティを判断するには、機能だけでは
不十分です。システムのセキュリティ機能がきちんと効果を発揮することが、一部のアプリケーションで求められます (特に、軍隊と政
府機関での展開する場合)。認定の基本的なものとして、ベンダーの自己サポート (ベンダー自身の設計、開発、および検査プロセスを
通じた) と独立した第三者評価の 2 つです。これまで最も広く利用されてきた第三者評価は、米国政府の TCSEC (Trusted
Computer System Evaluation Criteria ：高信頼性コンピュータシステム評価基準) とヨーロッパの ITSEC (Information
Technology Security Evaluation Criteria：情報技術セキュリティ評価基準) です。多くの場合、これらの評価プロセスは長く、完了
するまで数年もかかるものです。
すでに進行中であったのですが、最近のテロ事件によって、共通の国際セキュリティ基準に関する国際協定と承認がさらに促進されて
います。これは、CCITSE (Common Criteria for Information Technology Security Evaluation：情報技術セキュリティ評価の
ための共通基準) (または ISO15408) として知られている、プロテクションプロファイルに基づいた第三者評価方法です。現在
CCITSE は、これまで利用されていた TCSEC と ITSEC プロセスの両方に取って代わっています。
2.9.1 CCITSE
CCITSE は国際基準であり、ある国の評価当局が CCITSE に基づいて発表した評価結果は国際的に承認されます。CCITSE では、
製品 (オペレーティングシステムなど) のクラスが、セキュリティ機能要件を規定したプロテクションプロファイルの要件に従って評価さ
れます。プロテクションプロファイルは、セキュリティ要件を満たすことを求められるオペレーティングシステム、ファイアウォール、スマ
ートカード、その他の製品に適用するように作成できます。 CCITSE では、評価対象製品に対して一連の EAL (Evaluation
Assurance Levels：評価保証レベル) が規定されています。EAL が高いほど、製品のセキュリティ機能が正しく効果的に実行される
信頼性のレベルが高くなります。CCITSE の公式 Web サイトは www.commoncriteriapotal.org です。
2.9.2 CCITSE の適用範囲
CCITSE システム評価では特定の製品リリースに焦点が当てられますが、評価されるプロセス分野には、基本的なオペレーティング
システム機能を大きく超える適用範囲が含まれます。製品リリースにつながるプロセスのほとんどすべてが評価されます。たとえば、企
業と従業員のセキュリティ、開発手順 (文書管理、構成管理、作成/ビルド、セキュリティ実践のテストなど)、独立したプラットフォーム構
成要素と独立していないプラットフォーム構成要素との区別などが評価されます。障害管理、パッチ開発、製品の安全な配布など、配
布と更新の実践が審査されます。構成制御を確認するために製品リリースのスナップショットが撮影され、テスト結果の再現性を保証
するために製品が再テストされます。製品のセキュリティ機能が正しく働くことを確認するために、それぞれの保証カテゴリがテストされ
ます。このような評価実践が、多数のソフトウェアベンダー組織内部に深い反省と変化をもたらし、セキュリティの面を見直すことが求
められます。
6
3. HP-UX 11.x オペレーティングシステムのセキュリティ機能
このセクションでは、PA と Intel® Itanium®プロセッサファミリの両プラットフォーム上での汎用/商用 HP-UX リリース 11.x オペレー
ティングシステムのセキュリティ機能について説明します。ただし、ここでは基本的なオペレーティングシステムセキュリティ機能に限
定します。つまり、カーネル、UNIX コマンド、およびホストのセキュリティ確保に役立つアドオンソフトウェアについて説明します。次の
システムは、ここでは扱いません。
• X-Window と共通デスクトップ環境
• 分散コンピューティング環境
• 本書の冒頭で示したセキュアネットワーク機能
• サードパーティが提供する公開鍵インフラストラクチャの構成要素と製品
• ハードウェア暗号アクセラレータカード
• OpenView 管理エージェント
3.1 HP-UXの2つのセキュリティモード
HP-UX は、標準モードと高信頼性モードという 2 つのセキュリティモードのいずれかで動作するように構成できます。標準モードが、
HP-UX のデフォルト設定です。オプションの高信頼性モードの HP-UX は C2 高信頼性システムに準拠しており、現在では CCITSE
CAPP にも準拠しています (セキュリティ評価の詳細は、付録 B を参照)。
高信頼性モードで動作するように HP-UX をいつでも切り替えられます。高信頼性モード機能は、HP-UX に標準的に装備されており、
追加料金は必要ありません。
これらのモードは、セキュリティに関する市場の 2 つの主要要件 (レガシー/標準ベースの UNIX システムと高度 C2 レベル高信頼性
システム) を満たします。これらの 2 つの要件は両立しません。つまり、業界標準のレガシーUNIX は、C2 高信頼性システムの要件
を満たすにはセキュリティが不十分です。高信頼性モードでの HP-UX では、レガシーUNIX との互換性をなるべく維持しながら C2 要
件を満たすように、標準 UNIX セキュリティモデルが拡張されています。
これまで高信頼性モードでのみ利用可能であった機能の一部が、HP-UX の標準モード機能セットにも装備されていることに注意してく
ださい。HP-UX 11i v2 Security Containment では標準モードの機能拡張により、高信頼性モードでのみ利用可能であった機能の大
部分が標準モード機能セットに装備されました。これらの機能は独立して構成/利用することができるため、管理者は完全に C2 に変
換されたシステムを管理しなくても済みます。HP-UX の新しいリリースでは、高信頼性モードの機能を選んで標準モードの UNIX に移
行することが段階的に可能になります。以降のセクションでは、標準モードの HP-UX で現在利用可能な機能を、それが最初に導入さ
れた HP-UX のリリースとともに示します。
3.2 標準HP-UXセキュリティ
標準 HP-UX セキュリティは、UNIX95 などのオープングループ業界標準に準拠しています。標準モードの HP-UX には、次の機能が
装備されています。
3.2.1 識別と認証
ユーザーは、最大 8 文字のユーザー名で識別されます。各ユーザー名は、/etc/passwd ファイル (またはその他のバックエンドリポ
ジトリ) 内でユーザーID (数値) に対応付けられます。パスワードは、認証に利用されます。パスワードは標準モードで最大 8 つの有意
文字に制限されており、暗号化されて/etc/passwd ファイルに格納されます。標準モードの HP-UX では、パスワードエージングが
サポートされています。1 パスワードの有効期限が切れると、ユーザーは次回のログイン時にパスワードを変更しなければなりません。
ユーザーに 1 つ以上のグループのメンバーシップを割り当てる必要があります。グループは、/etc/group ファイルで定義されます。
かつては高信頼性モードでのみ利用可能であったシャドウパスワードが、標準モードの HP-UX 11i v1.6 と HP-UX 11i v2 でも利
用できるようになりました。この機能はデフォルトで Itanium プロセッサファミリプラットフォームでサポートされていますが、PA プラッ
トフォームの場合は、Web サイト(www.hp.com/go/softwaredepot) からソフトウェアを取得する必要があります。
シャドウパスワードは、システムのセキュリティにとって重要です。標準 HP-UX 製品では、現在/etc/passwd ファイルに格納されて
いる、ユーザーの暗号化パスワードを隠す必要があります。コンピュータの処理能力が向上しているため、隠されていないパスワード
は辞書攻撃を受けやすくなっています。シャドウパスワードは事実上の標準 (Solaris、Linux など) であるため、シャドウパスワードを
利用してもマルチベンダー構成を簡単に管理できます。隠されたパスワードはプレーンテキストでは表示されません。パスワードは、だ
れでも読み取ることができる/etc/passwd ファイルから、特権ユーザーだけがアクセスできる/etc/shadow ファイルに移されます。
HP-UX 11i v1.6 の場合、シャドウパスワードを NIS (Network Information Service：ネットワーク情報サービス)、NIS+、または
LDAP とともに利用することはできません。HP-UX 11i v2 リリースでは、シャドウパスワードを LDAP とともに利用できます。
1
ただし、週単位です。
7
3.2.2 PAM (Pluggable Authentication Module：プラグ型認証モジュール)
HP は、HP-UX リリース 11.0 で PAM を導入しました。この機構によって、複数の交換可能な認証方法をシステムで利用できるよう
になります。たとえば、中央の認証サーバ (Kerberos、LDAP、Windows 2000 ドメインコントローラなど) によって一部のユーザー
を認証できるにもかかわらず、別のユーザーは/etc/passwd ファイルにローカルに格納されたパスワードで認証しなければならない
ような場合があります。PAM フレームワークを利用すれば、このような場合にも柔軟に対応できます。
HP-UX に装備された PAM は、ファイル (/etc/passwd)、NIS、および NIS+からの認証をサポートします。また、HP は、HP-UX
11.x にインストール可能な代替認証機構を備える、次の 3 つの製品を取り揃えています。
• Microsoft® Windows NT® 4.0 ドメインコントローラからの認証をサポートする PAM NTLM
• Microsoft Windows 2000 または MIT Kerberos v.5 KDC を介した認証をサポートする PAM Kerberos
• LDAP v3 ディレクトリに格納された POSIX アカウントの認証をサポートする PAM LDAP
複数の PAM モジュールを「重ねて」、1 つのシステムで複数の認証機構を利用できます。
3.2.3 認可
root ユーザーは、構成されたセキュリティを変更または無効にする権限を含め、システムを管理する完全な権限を持っています。
特権のないユーザーに代わって特定の特権機能を実行するために、実効ユーザーID を root に変更する権限が、一部の HP-UX コマ
ンドにあります。このようなコマンドの例が、ユーザーのパスワードを変更する passwd コマンドです。これらのコマンドは setuid と
setgid (suid、sgid コマンド) と呼ばれ、root の権限をユーザーに与えることなく、一般のユーザーが一部のルーチンの特権機能を実
行できるようにします。HP は、Restricted (制限付き) SAM、 Systems Insight Manager、HP-UX Role-Based Access Control、フリ
ーウェアツールなどの追加管理認可ツールを取り揃えています。これらのツールを利用すれば、ロールベースのシステム管理を行う
root 権限の一部を委譲できます。
HP-UX Role-Based Access Control の詳細については、docs.hp.com/en/6105/RBAC-White-Paper.pdf (技術文書) を参照し
てください。
認可の最後の構成要素は、カーネルプロセスとユーザープロセスの間で特権を分離することです。ユーザープロセス相互のアクセス
は許されていませんが、カーネルには任意のシステムリソースにアクセスする特権があります。
3.2.4 アクセス制御
標準 UNIX ファイルアクセス制御は、UNIX パーミッションビットによって実現されます。パーミッションの種類は読み取り、書き込み、
および実行であり、所有者、グループ、またはその他のユーザーに対してパーミッションを認めることができます。所有者は、各自が所
有しているファイルに対するパーミッションをいつでも変更できます。システム管理者 (root ユーザー) は、システム内の任意のファイル
に対するパーミッションを変更できます。
オプションとして、上記の読み取り、書き込み、および実行の各パーミッションを任意の数のユーザーに割り当てることができる ACL が
HP-UX HFS (High Performance File Systems) に備わっています。HP-UX 11i v1 から、ACL を JFS (Journaled File System：
ジャーナルファイルシステム) とともに利用できるようになりました。これらの ACL は HFS ACL とは異なるため、交換することはでき
ません。ACL は下位のファイルシステム (HFS、VxFS) の一部であり、これらのファイルシステムでサポートされているため、HP-UX
の高信頼性モードとそれ以外のモードの両方で機能します。ACL が使用中の場合、ファイルまたはディレクトリのセットに対して ll コマ
ンドを実行すれば、“+”文字が表示されます。
ACL の使い方の詳細は、www.docs.hp.com/en/5990-8172/index.html の『Managing Systems and Workgroups Guide
for HP-UX Administrators』を参照してください。
上記のような所有者が任意に設定した UNIX パーミッションビットによって実現されるアクセス制御 (任意アクセス制御) とは別に、あら
かじめ設定しておいたセキュリティポリシーに従ってすべてのファイルやプロセスに対するアクセス制限を設定できるアクセス制御 (強
制アクセス制御) を適用することができます。この強制アクセス制御は HP-UX 11i v2 Security Containment のコンパートメント機構に
より実現できます。(3.4 HP-UX 11i v2 Security Containment を参照)
3.2.5 監査/アカウンタビリティ
業界互換性がある UNIX には、システムアクティビティを記録するシステムログが複数装備されています。主要なセキュリティログは
syslog、sulog、プロセスアカウンティングログ、および wtmp です。syslog には、基本的なシステム動作が記録されます。どのよう
なアプリケーションプログラムでも、syslog にロギングメッセージを書き込むことができます。sulog には、su コマンドの使用状況が記
録されます。
HP-UX では、この他に、SAM (System Administration Manager：システム管理マネージャ) ツールを使って実行されたアクション
を記録する samlog と、Systems Insight Manager を使った管理者のアクションを記録する mx.log が追加されています。
3.2.6 強力な乱数生成機能
Itanium プロセッサファミリベースシステム用の HP-UX11i v2 から、追加のコアオペレーティングシステム機能として強力な乱数
生成機能が利用可能になりました。
8
この乱数生成機能を DLKM (dynamic loadable kernel module：ダイナミックロード可能カーネルモジュール) として構成すれ
ば、/dev/[u]random として利用できます。このように利用する理由は、/dev/[u]random read() インタフェースが、Linux 上で開
発されたアプリケーションに対する透過的なバイナリ互換性を備えているからです。この機能は、情報エントロピを抽出するための外部
割り込み処理変更に依存します。
この乱数生成機能は、暗号鍵の生成などに関する厳しいセキュリティ要件があるアプリケーション用の安全で複製不可能な真の乱数
を生成できます。非ランダムソースから暗号鍵を生成すると、セキュリティリスクが生じます。この製品でそのリスクを取り除くことがで
きます。これらの特別なファイルを使うようにアプリケーションを構成すれば、暗号計算を実行するための安全な環境を確保できます。
/dev/random 機能は、PA ベースシステム版が Web 経由で提供されており、HP-UX 11i v1 でも利用できます。
3.2.7 オブジェクトの再使用
HP-UX は、標準モードでも高信頼性モードでもシステムの安全性に関するオブジェクト再使用要件を満たしています。以前のユーザー
のデータが漏れることを防止するために、ユーザーに対する割り当ての前に、メモリバッファが既知の値に初期化されます。
3.2.8 侵入阻止
HP-UX 11i では、新しいスタック実行保護機能によってバッファオーバーフローという弱点が大幅に改善されています。この機能は、
入力バッファをオーバーフローさせて実行可能コード (特定の状況で実行できる) をシステムスタックに配置するという、特権プログラ
ムに対して広く利用されている攻撃を防止します。一度実行されると、このコードが侵入者に root シェルを提供することがあります。ス
タックからコードが実行されることを防止すれば、この弱点が解消されます。まれに実行コードをスタックに配置する必要がある正当な
アプリケーションがありますが、システム管理者はアプリケーションごとにスタック実行保護を無効にでき、その他のアプリケーションを
保護された実行環境のままにできます。HP-UX のスタックオーバーフロー保護機能には、正当なアプリケーションが問題なく動作でき
るようにバイナリごとに無効にできるという利点があります。
スタックバッファオーバーフロー保護機能の詳細な技術情報については、属性変更 (chatr) コマンドの man ページとホワイトペーパ
ーdocs.hp.com/hpux/onlinedocs/os/11i/59807127en.pdf を参照してください。
3.2.9 侵入検知
HP-UX Host IDS (Intrusion Detection System：侵入検知システム) は、HP サーバ用のホストベース HP-UX セキュリティ製品です。
この製品を利用すれば、セキュリティ管理者はネットワーク内の攻撃を前もって監視/検知し、攻撃に対応できます。HP-UX Host IDS
は、UNIX システムのセキュリティにおける HP のリーダーシップを支える重要な独自のシステムです。
ネットワークベースの検知システムをかいくぐることができる攻撃が各種存在しています。この事態に対応するために、 HP-UX Host
IDS は既存のネットワークベースのセキュリティ機構を補完して、エンタープライズのセキュリティを強化します。
HP は、侵入検知に新しいアプローチを採用しています。市場で一般的な侵入検知システムでは、新しい攻撃シナリオが開発されるた
びに絶えず保守しなければならない攻撃シグニチャが使われています (現在のシグニチャ数は 300 にも及んでいます)。そのため、シ
グニチャを最新に保つための負担が多くなります。また、認知のために攻撃シグニチャのカタログを作成してシグニチャファイルに配置
する前に、新しい攻撃によって損害が出る可能性もあります。これに対して HP-UX Host IDS では、ホストシステムを保護するために
必要なのは検知テンプレートと呼ばれる少数の (10+) パターンだけであり、攻撃を受けやすい部分に集中すれば、既存の攻撃シナリ
オと未知のシナリオの両方から保護できます。HP-UX Host IDS は、システムコール監査レコードとシステムログファイルからシステ
ムアクティビティに関する情報を調べて、セキュリティの侵害または悪用を示唆するパターンを探し出します。
カーネルアクティビティの監視は、11i カーネルに組み込まれた (および 11.0 カーネルへのパッチとして利用可能な) 侵入検知デー
タコレクタが行います。このコレクタは idds と呼ばれ、高信頼性モードの監査機能から独立しています。このコレクタは、リアルタイム
侵入検知センサにる即時処理のための高速な収集機構として設計され、組み込まれています。
3.2.10 保証
ユーザーは、開発から配布まで安全であり、動作中のセキュリティ面の弱点を最小限に抑える機能を備えた製品を HP が一貫して提
供するという保証を求めています。このような品質保証は、製品配布実践を絶えず見直し、向上することによって実現されます。また、
ユーザーは、システムのセキュリティ機能が広告どおりであることを求めています。政府向け製品アプリケーションの中には、さらに厳
しい要件が課されるものもあります。
HP は、ユーザーに出荷する製品のリリース前に製品の品質、信頼性、および標準適合の各要件に関する高い社内基準を満たしてい
るかどうか HP-UX を徹底的にテストしています。HP は、CERT や FIRST などの主要なコンピュータセキュリティセンターからのセキュ
リティ報告を検討し、必要に応じて対処しています。HP は常に、製品の品質の自己評価に力を注いでいます。また、HP は製品を第三
者評価に委ね、重要な政府要件を製品が満たしていることを確認しています。
3.2.11 セキュリティ基準への準拠
標準 HP-UX は、米国またはヨーロッパの C2 セキュリティ要件を満たしていません。これらの要件を満たすためには、システムを高信
頼性モードで使用する必要があります。高信頼性モードでの動作については、セクション 3.3 で説明します。
高信頼性モードの HP-UX 11i は、CCITSE EAL4-CAPP 認証を受けました (準拠証明書が 2003 年 3 月に授与)。これは、IT シス
テムの調達に関して多数の政府から求められる証明書です。米国における取得 policy は、すべての商用製品は CCITSE、NSA、ま
たは NIST によって評価されてきた商品に限られるというものです。
9
この証明書は、HP-UX 11i のセキュリティ機能が強力であることを実証しています。具体的に言えば、特定のパッチを備えた HP-UX
11i (11.11) は、1 台の HP 9000 プラットフォーム上で実行される場合や別の HP 9000 サーバに接続してローカル分散システム
を形成する場合に、EAL の CCITSE Part 3 適合要件を満たします。
CCITSE 組織は、評価/認証済みの製品のリストを Web サイトで公開しています。このサイトから HP-UX 11i certification を見る
ことができます。
3.3 標準UNIXを上回る高信頼性モード (C2) のセキュリティ拡張機能
高信頼性モードで、管理者またはセキュリティ担当者は、標準 UNIX では利用できない次の機能とオプションを利用できます。システ
ム管理者が SAM を介して高信頼性モード変換を実行すると、システムによって“TCB” (Trusted Computing Base：高信頼性コン
ピューティング基盤) が作成されます。TCB は、C2 セキュリティに完全準拠するように HP-UX のセキュリティ機能を拡張する機構とア
ーキテクチャを備えています。TCB への変換には、保護されたパスワードデータベース、システムデフォルトファイル、端末デフォルト
ファイル、デバイス割り当てファイル、および変更された crontab エントリが含まれます。
TCB によって、次の機能が有効になります。
• システムブート認証
• root ユーザー以外による暗号化パスワードアクセスの拒否
• パスワードの最大長を 9 文字以上に拡張
• パスワードに最低限の複雑さ要件を適用するように強制
• 有効期限が切れたパスワードの再使用禁止
• パスワードの最小/最大長要件の設定
• あらゆるユーザーに対する一意の監査 ID の作成
• ユーザーアカウントの自動的有効期限切れ
• アカウントログイン制限 (時刻、曜日)
• ログイン試行が多数失敗した後のアカウントの使用不能化
• ログインデバイス制限 (tty セッションによる)
高信頼性モードには、C2 準拠の監査システムもあります。このシステムは、アプリケーションレベルだけでなく「システムコール」レベ
ルでのシステムアクティビティも監査します。管理者が監査システムのパフォーマンスコストとユーザーアカウンタビリティの必要性と
のバランスをとることができるように、監査サブシステムを構成できます。高信頼性アプリケーションプログラムで監査システムを利用
して、独自の監査レコードを書き込むこともできます。
以降のセクションで上記のすべての機能について詳しく説明します。システム管理者向けのさらに詳しい情報については、
http://docs.hp.com/en/B2355-90672/ の『HP-UX Systems Administration Tasks』を参照してください。また、 HP-UX
ITSEC C2 認証システムの設定と管理に固有の情報については、docs.hp.com/hpux/onlinedocs/B2355-90121/B235590121.html (一般情報) の『HP Document Server Administering Your HP-UX Trusted System』と
www.docs.hp.com/en/5990-8172/index.html (11i に固有の情報) の『Managing Systems and Workgroups』を参照してく
ださい。
3.3.1 システムブート認証
ブート認証では、認証/認可されたユーザーだけが保守「シングルユーザー」モードでシステムにアクセスできるようになります。この認
証は、システムのブート方法 (電源投入または HP-UX コマンド行から) にかかわらず利用されます。ブート認証によって、最も弱い状
態 (起動、初期化、保守) で未認可ユーザーがマシンにアクセスできないようになります。ブート認証の構成は、システムが高信頼性モ
ードにある状態で SAM ユーティリティによって制御します。
11i v2 より前には、この機能は高信頼性モードでのみ利用可能でしたが、11i v2 リリースで標準モードに移植されました。この機能
の構成は、標準モードと高信頼性モードで異なります。標準モードでは、セキュリティパラメータ BOOT_AUTH と BOOT_USERS を
使って構成します。詳細は、 man ページ security(4) を参照してください。高信頼性モードでは、 SAM でのみ構成可能であり、
BOOT_AUTH と BOOT_USERS では制御できません。
3.3.2 識別と認証
高信頼性モードでは、標準モードを上回る拡張機能を数多く利用できます。これらの機能によって、システム管理者がシステムへのユ
ーザーアクセスをより細かく制御できるだけでなく、ユーザーアカウント情報自体のセキュリティも向上します。
3.3.2.1 暗号化パスワード保護 (別名：シャドウパスワード)
高信頼性モードの拡張機能は、UNIX パスワードを保護するための C2 標準に準拠しています。特に、暗号化パスワードが、だれでも
読み取ることができる/etc/passwd ファイルには格納されず、root だけが読み取り可能な保護されたパスワードデータベースに格納
されます。これにより、辞書攻撃を実行するために暗号化パスワードの/etc/passwd ファイルを収集するハッカー/クラッカが、暗号
化パスワードを入手できなくなります。
10
3.3.2.2 長いパスワード
9 文字以上の長いパスワードをシステムで使うことを許可すると、パスワードのセキュリティがさらに強化されます。複雑さを増した長い
パスワードは、短いパスワードに比べて解読が困難です。
3.3.2.3 パスワードの複雑さチェック
パスワードの複雑さを強制する要件によって、パスワード解読がさらに困難になります。次のようなパスワードの選択と生成を可能にで
きます。
• ユーザーによる各自のパスワードの生成を許可します。オプションのパスワードスクリーニング機能によって、辞書にあるパスワー
ド、ログイン名と同じパスワード、同じ文字が繰り返されているパスワード、または推測/解読しやすいパスワードを検知し、拒否でき
ます。
• 文字だけを組み合わせたパスワードの生成をシステムに強制します。
• 文字、数字、および句読文字から構成されるパスワードの生成をシステムに強制します。
• 発音できるフレーズ (英語) の生成をシステムに強制します。
パスワードセキュリティ機能をシステム全体またはユーザーごとに有効にできます。また、11i v2 から、パスワードセキュリティ機能
が標準モードで利用できるようになりました。パッチを適用することにより、11i v1 でも利用可能です。
3.3.2.4 パスワードの再使用チェック (パスワード履歴)
パスワードの再使用チェックによって、ユーザーによる古いパスワードの再使用が拒否されます。この機能は、少数のパスワードを交
互に使用するのではなく、根本的に変えることをユーザーに強制します。
3.3.2.5 パスワード有効期限の管理
パスワードには有効期限 (始まり、使用中、終わり) があります。高信頼性モードの HP-UX は、次の期間を設定することで各段階を管
理します。
• 変更可能になるまでパスワードを使わなければならない最低期間。
• 経過するとユーザーがパスワードを変更しなければならない期間 (変更しないとアカウントがロックされる) 。root (スーパーユーザ
ー) だけがアカウントのロックを解除可能。
• 有効期限切れに先立ってユーザーにパスワードの変更を求める警告期間。
3.3.3 ログイン制御
システム管理者は、ユーザーがシステムにアクセスできる時間をユーザーごとに制御できます。これは 2 種類のアクセス制御 (時間ベ
ースとデバイスベース) に分けられます。
• 時間ベースのアクセス制御：ユーザーのアクセスが時刻と曜日によって規制されます。
• デバイスベースのアクセス制御：システム管理者がユーザー用の特定の MUX または DTC を指定できます。未認可ポートを介し
てログインを試みたユーザーは、システムへのアクセスを拒否されます。
• ログイン試行が連続して失敗した後のアカウントロック。ハッカーがアカウントへのログインを試み、一定の回数 (設定可能) 連続し
て失敗すると、アカウントがロックされます。これにより、有効なパスワードを持っていないハッカーがアカウントに侵入することを防止
できます。
3.3.4 監査/アカウンタビリティ
高信頼性モードでは、低レベルのシステムコール監査機能で標準 UNIX システムロギングが強化されます。ユーザーを一意に識別
する高信頼性モードの監査 ID 拡張機能を利用すれば、ユーザーごとに 100 を超えるセキュリティ関連のシステムコール監査するよ
うに監査システムを構成できます。
システムコール監査は最も安全な種類のアカウンタビリティですが、最もリソースを多用する監査でもあり、CPU 実行時間とディスク
スペースが消費されます。システム管理者は、監査するシステムコールを慎重に選ぶことで最適な量の監査データを収集し、収集の
ためのシステムパフォーマンスコストとのバランスをとることができます。HP は、SAM を介して監査レコードを表示できるツールを提
供しています。システム管理者にとって興味のない監査レコードをフィルタ処理するように、このツールを構成できます。
HP-UX がリリースごとに成長するとともに、セキュリティ関連の監査可能なシステムコールの数も増えます。システム管理者は、シス
テムがアップグレードされるたびに、監査対象のシステムコールをチェックし、管理者のセキュリティ目的に合っていることを確かめる
必要があります。
監査機能の紹介 man ページは、 audit(5) です。監査の詳細は、 man ページ audit(4) 、 audsys(1M) 、 audevent(1M) 、
audisp(1M)、audomon(1M)、および audwrite(2) を参照してください。
11
3.3.5 認証 (標準に準拠することの正式認証)
HP-UX 11.x のリリースはすべて、TCSEC と ITSEC C2 に準拠しています。高信頼性モードの HP-UX 10.10 と 10.20 は、
ITSEC 機能クラス C2、保証クラス C3 に準拠することが正式に評価/認証されています。正式に認証されたこれらのオペレーティング
システムは、基本的なカーネルとコマンドだけの限定された構成で認証されています。ネットワーキング、X11 ウィンドウシステム、お
よび SAM は、正式に認証されたシステム構成には含まれません。しかし、これらのオペレーティングシステム構成要素は、高信頼性
モードと相互運用可能です (これらの構成要素は、正式に評価されたシステムの一部でなかっただけです)。
この製品は、(TCSEC) クラス C2 機能要件を超えるように設計されており、ACL ((TCSEC) クラス B3 機能) とブート認証という際立
った拡張機能を備えています。ネットワーキング、X11 ウィンドウシステム、および SAM は、この評価に含まれています。(TCSEC)
クラス C2 要件は、CAPP (Controlled Access Protection Profile：制御アクセスプロテクションプロファイル) では (CC) と記述さ
れています。
HP は、2003 年 3 月に HP-UX 11i v1 について EAL4 CAPP 認証を受けました。
3.3.6 別のアプリケーションとの高信頼性モードの相互運用性
それほど安定していない業界標準の UNIX 定義に対して、HP は高信頼性モードで独自の定義を追加しているため、標準 UNIX セキ
ュリティ API またはデータ構造 (特に getpw*インタフェースと passwd 構造) と直接対話するアプリケーションが、高信頼性モードの
HP-UX では動作しないことがあります。高信頼性モード API を利用したアプリケーションまたは開発ツールであれば、変更することなく
相互運用できます。ユーザーアカウントやパスワードに対するアクセスや管理を行わないアプリケーションも、変更することなく相互運
用できます。
3.4 HP-UX 11i v2 Security Containment
HP-UX 11i v2 の新しいリリースでは Security Containment 機能を標準モードに構成することができます。Security Containment は、コ
ンパートメント機構、詳細レベルの特権、ロールベースのアクセス制御という 3 つの中核テクノロジで構成されます。これらの新しいテ
クノロジに加えて、高信頼性モードでのみ使用可能であったいくつかの機能を標準モードでも使用できる拡張もされています。これらの
機能を利用することで、既存のアプリケーションを変更せずに非常に安全なオペレーティング環境を構築することができます。
3.4.1 コンパートメント機構
コンパートメント (区画) 機構は、潜水艦の構造と良く似ています。互いに関連のないリソース同士を隔離することで、あるコンパートメン
トが侵害を受けても、それがシステム全体に影響を及ぼすことを防ぐことができます。コンパートメントを設定すると、(プロセス、バイナ
リ、データファイル、通信チャネルを使用する) それぞれのアプリケーションは、自身のコンパートメント外のリソースへのアクセスが制
限されます。この制限は HP-UX 11i v2 のカーネルによって実行される強制アクセス制御で、基本的に他から上書きされることはあり
ません。ただし、制御ルールを記述することでコンパートメント間のアクセスを許可する設定も可能です。アプリケーションは、他のアプ
リケーションやシステムリソースから隔離されるため、たとえあるアプリケーションに危険が及んだとしても、システムの他の部分に障
害を及ぼすことはありません。
3.4.2 詳細レベルの特権
従来の UNIX オペレーティングシステムは、実行中のプロセスに付随する UID に応じて、「オールオアナッシング」の設定でした。つ
まり、管理者用の特権をすべて与えるか、それとも、まったく与えないかの 2 つに 1 つの設定でした。(UID の番号が 0 のプロセスに
は、全権限が与えられていました。) 詳細レベルの特権をサポートするシステムでは、タスクに必要な特権だけをプロセスに与えること
やタスクの完了に必要な時だけ特権を与えることができます。また、処理中、必要なレベルへ特権を上げたり、処理の完了後、元に戻
したりすることが可能な「特権認識型アプリケーション」を構成することができます。
3.4.3 ロールベースのアクセス制御 (HP-UX Role-Based Access Control)
UNIX システムで管理者用のコマンドを実行するには、一般に「スーパーユーザー」 (root ユーザー) のアクセス権が必要となります。カ
ーネルレベルでのシステムコールにアクセスするのと同様、この場合のアクセス権も、通常はユーザーに与えられた UID に応じて
「オールオアナッシング」でした。RBAC は、共通したタスクや関連するタスクをグループ化して作成することができます。たとえば、「ユ
ーザーおよびグループ管理」といった 1 つのロールを作成することができます。ロール作成後は、ユーザーにそれを割り当てることが
でき (1 人のユーザーに複数のロールを割り当てることも可能)、そのロールで定義されている (許可されている) コマンドが実行可能に
なります。RBAC を使えば、root 以外のユーザーでも、これまで root の特権が必要だったタスクを実行できるようになり、このユーザー
に root の全権限を与える必要がなくなるため、安全性を高めることができます。
3.4.4 標準モード機能拡張
この機能拡張によって、高信頼性モードでしか利用できなかったセキュリティポリシーやパスワードポリシーの設定及び C2 準拠の監
査システムを標準モードで利用できます。また、高信頼性モードのようなユーザーデータベースを構成して、システム全体で設定された
セキュリティポリシーやパスワードポリシーをユーザーごとに設定することができます。
12
4. HP-UX セキュリティの管理性
オペレーティングシステムのセキュリティでは必然的に、1 つのホストシステムの保護に向う傾向があります。しかし、管理者は同時
に多くのシステムを管理しなければならないため、各システムを個別に管理することが困難になります。このような場合、システムのセ
キュリティ構成のネットワークを設定/構成/変更する際に役立つ管理ツールがあります。これらのツールの中で NIS (以前は Yellow
Pages と呼ばれていました)、NIS+、および SAM は、標準 HP-UX 製品の一部として利用できます。これらのツールと次に説明する
ツールを利用して、HP-UX のセキュリティを管理できます。
4.1 SAM
SAM は、1 つの HP-UX システムを構成するための基本管理ツールです。SAM を利用して、管理者はシステムを高信頼性モードに
変換し、システムのすべてのユーザー構成と監査構成を管理します。
認可ユーザーが実行できることを制限するように SAM を構成できます。Restricted SAM と呼ばれるこの機能によって、root 管理者
は root の全権限ではなく限定された権限を別のユーザーに委任できます。たとえば、Restricted SAM によってユーザーアカウント
管理者ロールを実行できます。Restricted SAM では、1 人の管理者は限定された権限しか持たないため、最小限の特権という原則
でセキュリティリスクが低減されます。
4.2 HP Systems Insight Manager
HP Systems Insight Manager は、ロールベースの認可モデルで多数のサーバの管理を一度に事前編成する制御の中心になりま
す。HP Systems Insight Manager を利用すれば、システム管理者は、複数の HP サーバに対するシステム管理作業を同時に実行
できます。
HP Systems Insight Manager のロールベースの認可によって、特定のユーザーが特定のノードだけに対する操作を許されます。こ
の方法では、管理者は、認可されたロールによって認可され、そのメンバーシップを持っているノードに対してのみ、認可された操作だ
けを実行できます。このため、セキュリティが向上し、誤りが生じにくくなります。
HP Systems Insight Manager の詳細は、
docs.hp.com/hpux/netsys/index.html (技術文書) と
http://h18004.www1.hp.com/products/servers/management/hpsim/ (一般情報) を参照してください。
4.3 システムの強化
システムのロックダウン要件を簡単に実現するために、HP-UX でいくつかのオープンソースツールを利用できるようになりました。
4.3.1 Bastille
ユーザーが求めるセキュリティ強化要件はそれぞれ異なっています。実際、各システムの強化要件は千差万別です。そこで、Bastille
が重要な役割を果たします。このツールを利用すれば、使用状況に応じてシステムごとに独自の強化を実施できます。
Bastille は、HP-UX OE (Operating Environment：オペレーティング環境) のセキュリティを強化するために使用できる、Perl ベー
スのセキュリティ強化/ロックダウンツールです。このツールは、要塞ホスト (Bastion Host) ホワイトペーパーやその他の強化/ロック
ダウンチェックリストに似た機能をエンコードします (これまで、別のすべてのツールは「チェックリスト」でした。Bastille は、「プログラム
的に」これを行う最初のツールです)。
Bastille は、デーモン、システム設定、およびファイアウォールを構成することでホストのセキュリティを強化し、不要なサービスを執行
停止し、さらに安全になるようにクライアントソフトウェアを構成します。
このツールは、対話的にも非対話的にも使用できます。対話的に使用する場合、インタフェースがユーザーにセキュリティの問題を示し、
ツールによる問題処理方法をユーザーが決めることができます。非対話的に使用する場合、ユーザーインタフェースの助けを借りない
でツールを使用します。この方法は、セキュリティ構成を複数のマシンに複製する場合に役立ちます。また、「戻る (revert)」機能によっ
て、システムを Bastille を実行する前の状態に戻すこともできます。
Bastille は、オープンソースソフトウェアです。このツールについては、www.bastille-linux.org で調べることができます。HP は、
HP-UX のポートを提供することでこのプロジェクトに貢献する予定です。Bastille の HP-UX 実装の詳細は、
h20293.www2.hp.com/portal/swdepot/displayProductInfo.do?productNumber=B6849AA を参照してください。
4.3.2 Install-Time Security
Install-time Security では、セキュリティ強化なしのレベルから DMZ レベルまでの定義済みの 4 つの設定の中から 1 つを選んで、最初
の起動よりも前に Bastille セキュリティロックダウンエンジンを設定します。この機能により、HP-UX インストール時に必要に応じたセキ
ュリティレベルのシステムを容易に構成することができます。以下のセキュリティレベルを選択することができます。
13
• Sec00Tools
セキュリティインフラをインストールするが適用はしない
• Sec10Host
ホストベースのロックダウンはするが、IPFilter の設定はしない
• Sec20MngDMZ
• Sec30DMZ
ロックダウンと IPFilter ファイアウォールによるほとんどの入力トラフィックをブロック
DMZ に適した、ホストベースおよび IPFilter によるネットワークのロックダウン
Install-Time Security は、HP-UX 11i v2 でのみ利用可能です。
4.3.3 Security Patch Check (セキュリティパッチチェック)
セキュリティパッチチェックは、システムへのセキュリティパッチの適用状況を分析するツールです。このチェックでは、システムで現
在別のパッチによって解決されていないセキュリティ上の弱点をカバーするパッチが推奨されます。セキュリティパッチチェックソフト
ウェアツールを利用すれば、システムのセキュリティを効率的に向上できますが、システムのセキュリティが保証されるわけではありま
せん。セキュリティパッチチェックは、ファイアウォールを越えて機能し、HP Security Bulletins に基づいてパッチを推奨できる非常に
強力なツールです。このソフトウェアの詳細は、docs.hp.com/en/1353/faq.html のセキュリティパッチチェック FAQ を参照してくだ
さい。
セキュリティパッチチェックは HP Systems Insight Manager と互換性があり、Bastille ユーティリティに統合されています。セキュリ
ティパッチチェックは、HP-UX 11.0、11i v1、11i v1.6、および 11i v2 をサポートしています。
4.3.4 HP IPFilter
HP-UX IPFilter は、IP パケットをフィルタ処理してマシンへの/からのパケットの流れを制御するステートフルシステムファイアウォー
ルです。IPFilter は、マシン上の露出ポイントの数を減らすことで、セキュリティ防御機能を果たします。HP-UX IPFilter は、パブリック
ドメインの ipfilter v3.5 alpha 5 を基にしたファイアウォールです。IPFilter は、DLKM としても静的リンクモジュールとしても HP-UX
11.0、11i v1、11i v1.6、および 11i v2 上で実行できます。
4.4 OpenViewの統合と構成
セクション 3.2.9 で説明した Host IDS 製品が HP OpenView Operations 製品と統合されています。SPI (Smart Plug-in) を
openview.hp.com/products/spi/index.html から無料でダウンロードできます。この SPI には、侵入検知関連のアラートを管理する基
本的機能が備わっています。SPI を OpenView Operations 展開に拡張し適合させれば、監視対象の HP-UX ベースシステムによ
り報告されるセキュリティイベントの管理が容易になります。
4.5 NIS
NIS は、UNIX システムグループを集中構成/管理する方法として Sun Microsystems が開発したサービスです。1 台の NIS マス
ターサーバで、ネットワーク内の NIS クライアントのドメイン全体のユーザーアカウントと標準セキュリティ構成をすべて管理できます。
標準モード HP-UX セキュリティを NIS で管理できますが、高信頼性モードのセキュリティ (拡張されたパスワード、監査など) は NIS
ドメイン内でサポートできません。
4.6 NIS+
NIS+は第 2 世代の NIS であり、拡張されたセキュリティ属性をサポートします。NIS+が導入された HP-UX 11.x では、高信頼性モード
のセキュリティをサポートし、HP-UX NIS+マスターを介して集中管理できます。このマスターは、標準モード HP-UX、高信頼性モード HPUX、および他社ベンダーの NIS+クライアントのセキュリティ属性を集中管理できます。
4.7 LDAP
LDAP (Lightweight Directory Access Protocol：軽量ディレクトリアクセスプロトコル) に適合したディレクトリには、ユーザーID や
アカウント情報を含む標準 POSIX (RFC 2307 で定義) アカウントを格納できます。これらのディレクトリに格納されたアカウント情報
を基にユーザーを認証できます。PAM モジュール PAM-LDAP によって、LDAP v3 ディレクトリに POSIX アカウントが格納されてい
るユーザーからの HP-UX ログインが許可されます。
LDAP 認証は、“LDAP/UX Integration”製品パッケージ (pam_ldap を含む) (製品番号 J4269AA) に添付されています。
LDAP ディレクトリに関する移行とセキュリティの問題を扱ったホワイトペーパー『 Preparing Your LDAP Directory for HP-UX
Integration』と『Integrating HP-UX Account Management and Authentication with LDAP』を HP documentation Web
サイト docs.hp.com/hpux/interne t から入手できます。
4.8 Kerberos
Kerberos バージョン 5 プロトコルを実装した HP-UX オペレーティングシステムには、企業規模の強力なユーザー認証機能が備わっ
ています。ユーザーパスワードの妥当性が中央の Kerberos サーバによって検査されますが、パスワード自体はネットワーク上で転
14
送されません。また、Kerberos では、アプリケーションクライアントとサーバの間で安全に鍵を交換できます。GSS-API (11i v1 以降
に含まれる) を利用すれば、アプリケーションプログラムでこの機能を活用できます。
MIT Kerberos サーバや Microsoft Windows 2000 ドメインコントローラなどの任意の Kerberos KDC (Key Distribution
Center：鍵配布センター) または HP 独自の Kerberos サーバを HP-UX ログインで使用できます。これにより、別の UNIX ホストや
Windows 2000 ワークステーションが含まれる異機種イントラネットでシングルサインオン機能が可能になります。さらに、
Kerberos を実装した HP-UX は、パスワード変更を自動的に伝播するパスワード変更プロトコルをサポートします。これらの 2 つの機
能によって、異機種環境でのユーザー管理が大幅に簡単になります。
HP-UX は、HP-UX 11.0 と 11i v1、v2 用のソフトウェアパッケージで Kerberos クライアントをサポートします。これらのパッケージ
は、PAM Kerberos、KRB5 Client Software、GSS API (Generic Security Service Application Programming Interface：
汎用セキュリティサービスアプリケーションプログラミングインタフェース) です。
HP-UX Kerberos 製品はすべて、Kerberos バージョン 5 の IETF 仕様に適合し、IETF RFC 1510 に準拠しています。
Kerberos および利用可能な HP-UX 認証オプションの詳細は、docs.hp.com/hpux/internet/index.html#Kerberos のホワイト
ペーパー『Network Security Features of HP-UX 11i 』または HP-UX Kerberos マニュアルを参照してください。
4.9 暗号API
4.9.1 GSS-API
GSS-API は、HP-UX 11i 用に新たに導入された製品です。この製品には、RFC 2743 に従ってすべての GSS-API が含まれており、
RFC 2744“Generic Security Service API: C-bindings”で定義されているように C プログラミング言語インタフェースとして実装
されます。GSS-API は、基礎にある各種のセキュリティ機構に関係なく、アプリケーションにセキュリティサービスを提供します。また、
GSS-API は通信プロトコルにも依存しません。GSS-API は、個別の共有ライブラリとして利用できます。アプリケーションで利用可能
なセキュリティサービスには、認証、完全性、および機密保護が含まれます。
上記の暗号モジュールはすべて、HP ソフトウェア Web サイト www.hp.com/go/softwaredepot から無料で入手できます。
15
5. HP-UX セキュリティ機能の要約
HP-UX には、これまで説明したような機能が備わっているため、システム管理者とエンドユーザーは、データとマシンリソースを確実
に保護するために必要なコアセキュリティを確保できます。HP-UX 11i のコアセキュリティ機能と利点を次の表にまとめました。
機能
モード
利点
S = 標準モード
T = 高信頼性モード
業界標準の UNIX セキュリティ
S
複数の UNIX プラットフォーム間で簡単に管理できる、周知の標準セキュリティ機能。
HFS アクセス制御リスト
S、T
読み取り、書き込み、実行の各アクセスパーミッションを任意のユーザーグループに委任できます。
JFS アクセス制御リスト
S、T
JFS に対する細かいアクセス制御が可能になります。
スタック実行保護
S、T
バッファオーバーフロー攻撃を防止できます。
Restricted SAM
S、T
root 以外のユーザーが、限定された管理特権を持つことができます。
HP Systems Insight Manager ロ
S、T
管理が容易なロールベースの認可モデルを使って、ユーザー (root または root 以外) が指定のノードセット
に対する限定された管理特権を持つことができます。
NIS の管理性
S
マルチベンダーUNIX システムのネットワークの標準 UNIX セキュリティを集中管理できます。
Windows 2000 認証
(CIFS/9000)
N/A
Windows 2000 ユーザーが、Windows のユーザー名とパスワードで HP-UX マシンにログオンできます。
LDAP v3 認証
S、T
POSIX アカウントで表すことができ、複数の異機種マシンで共有されるユーザーを集中管理できます。
Kerberos v5/Windows 2000
S
ネットワーク上でパスワードをプレーンテキストで転送することを防止する安全な認証プロトコル。Windows
2000 アカウントを HP-UX ユーザーアカウントとして使用できます。
S、T
複数の認証機構
ール
認証
PAM
パスワードを超える強力な認証
新しい認証スキームのフレームワーク
システムブート認証
T、S
認証/認可されたユーザーだけがシングルユーザーモードでシステムにアクセスできます。標準モードのサ
ポートは 11i v2 から開始されます。
暗号化パスワード保護
T
パスワードクラッカから暗号化パスワードを隠します。
長いパスワード
T
パスワードを 9 文字以上にして、解読しにくくします。
パスワードの複雑さチェック
S、T
辞書にない理解不能な言葉やフレーズなどを使うことを強制して、パスワードを解読しにくくします。
パスワードの再使用チェック
S、T
パスワードの有効期限が切れるたびに異なるパスワードを作成することをユーザーに強制して、パスワードを
解読しにくくします。パスワードの交互使用を禁止します。
パスワード有効期限の管理
S、T
パスワードが危険にさらされるような機会を最小限に抑えます。
ログイン制御
S、T
休憩時間や遠隔地からの疑わしいアクセスを防止します。
C2 監査
S、T
システムの悪用を特定するために使用できる、ユーザー活動の安全で詳細なレコード。
C2 セキュリティへの準拠
T
商用ホストシステムのセキュリティの基準であると広く認められている仕様に準拠しています。
NIS+の管理性
T
最近強化された NIS+フレームワークを利用して、ネットワーク上で高信頼性モードシステムのグループを集
中管理できます。
CAPP 認証
T
独立した第三者によるセキュリティの審査/調査。評価された製品へのユーザーの信頼が高まります。
シャドウパスワード
S、T
シャドウパスワードはシステムセキュリティにとって重要です。標準 HP-UX 製品では、/etc/passwd ファイ
ルに現在格納されているユーザーの暗号化パスワードを隠す必要があります。コンピュータの処理能力が向
上しているため、隠されていないパスワードが重大な弱点になっています。事実上の標準であるシャドウパス
ワードを使えば、マルチベンダー構成の管理が容易になります。HP-UX の高信頼性モードオプションにはパ
スワードを隠す機能がありますが、それには独自の管理方法が必要です。
強力な乱数生成機能
S、T
ランダムなビットシーケンスの安全で複製不可能なソースが、鍵その他の量を生成する暗号アプリケーション
の強力なセキュリティにとって必要です。この機能によって、敵の攻撃に対してユーザーのシステムが強化さ
れます。HP-UX 11i v2 から、DLKM として利用可能です。
コンパートメント機構
S、T
互いに関連のないリソース同士を隔離することで、あるコンパートメントが侵害を受けても、それがシステム全
体に影響を及ぼすことを防ぐことができます。
詳細レベルの特権
S、T
タスクに必要な特権だけをプロセスに与えることができます。プロセスに root の特権をすべて与える必要がな
くなるため、安全性を高めることができます。
ロールベースのアクセス制御
S、T
root 以外のユーザーでも、これまで root の特権が必要だったタスクを実行できるようになり、root の全権限を
与える必要がなくなるため、安全性を高めることができます。共通したタスクや関連するタスクをグループ化し
て作成することができます。
これらの機能の詳細は、HP documentation server (docs.hp.com) を参照してください。
16
5.1. HP-UXリリースごとの機能比較
標準モード HP-UX セキュリティ機能の利用可能性
10.20
11.00
11i v1
11i v2
業界標準の UNIX セキュリティ
○
○
○
○
オブジェクトの再使用
○
○
○
○
HFS アクセス制御リスト
○
○
○
○
Restricted SAM
○
○
○
○
○
○
○
HP Systems Insight Manager ロール
大きな (>60000) ユーザーID
○
○
○
○
Kerberos v5 認証
○
○
○
○
LDAP v3 認証
○
○
○
Windows 2000 認証
○
○
○
NIS の管理性
○
○
○
PAM
○
○
○
○
NIS+の管理性
○
○
○
JFS アクセス制御リスト
○
○
暗号化パスワード保護
○
○
インストール時のロックダウン
○
ブート認証
○
長いパスワード
○
○
パスワードの複雑さチェック
○
パスワードの再使用チェック
○
パスワード有効期限の管理
○
○
ログイン制御
監査
○
2
○
強力な乱数生成機能
○3
○
スタック実行保護
○
○
コンパートメント機構
○
詳細レベルの特権
○
ロールベースのアクセス制御
○
高信頼性モード HP-UX 機能の利用可能性
(特に断りのない限り、高信頼性モードにはすべての標準モード機能と次の機能が含まれます)
暗号化パスワード保護
10.20
○
11.00
○
11iv1
○
11iv2
○
ブート認証
○
○
○
○
長いパスワード
○
○
○
○
パスワードの複雑さチェック
○
○
○
○
○
1
○
○
パスワード有効期限の管理
○
○
○
○
ログイン制御
○
○
○
○
監査
○
○
○
○
C2 セキュリティへの準拠
○
○
○
○
高信頼性モードでの JFS のサポート
○
○
○
○
○
○
○
パスワードの再使用チェック
NIS+の管理性
1. パスワードの再使用チェックは、Extension Pack 9804 の一部として配布され、その後の HP-UX リリースに統合されています。
2. 侵入検知に対する idds による監査。
3. コア OS リリースの一部ではなく、Web リリースとしてのみ入手可能です。
17
6. 参考情報
本書で取り扱ったトピックに関する詳細は、下記から入手できます。
HP-UXの一般Webサイト
www.hp.com/go/unix
www.hp.com/products1/unix/operating/security/index.html
www.hp.com/products1/servers/index.html
HP-UXのインターネット、セキュリティ、管理情報
docs.hp.com/hpux/internet/
ovweb.external.hp.com/lpe/doc_serv/
h30046.www3.hp.com/solutions/hpuxmanagement.html
セキュリティに関する問題点について
セキュリティに関する問題点は、主要なセキュリティセンターFIRST、CERT、AUSCERT などと HP が協力し、セキュリティ障害とその
解決法についてコミュニケーションをします。
詳細は、次の Web サイトを参照してください。
www.cert.org
www.first.org
HP Electronic Support Center から電子メールで将来の NEW HP Security Bulletins を自動受信するように申し込むには、次の
HP Electronic Support Center ページを参照してください。
us-support.external.hp.com (米国、カナダ、アジア太平洋地域、中南米)
europe-support.external.hp.com (ヨーロッパ)
Technical Knowledge Database をクリックし、ユーザー登録を行ってください (お客様に割り当てられたユーザーID とパスワード
を必ず控えておいてください)。これで、HP Search Technical Knowledge DB ページに接続されます。このページの下方に HP
Security Bulletins アーカイブとメーリングリスト登録へのハイパーリンクがあります。このアーカイブに移動すると、現在のセキュリテ
ィパッチマトリックスへのリンクがあります。このマトリックスはプラットフォーム/OS リリースと掲示板トピックごとに分類されており、毎
日更新されます。
日本語版は、h50221.www5.hp.com/upassist/itrc_japan/assist2/secbltn/index.html#ux で参照できます。更新通知サ
ービスをご利用になりたい方は、h50221.www5.hp.com/upassist/itrc_japan/assist2/secbltn/announce.html からご登録
ください。
ただし、翻訳文書の掲載までには時間差がありますので、最新の情報をご利用になりたい場合は us-support.external.hp.com (英
語) を参照してください。ITRC へのログインにはユーザーID とパスワードが必要です。
HP-UXとHP-UXセキュリティに関する技術文書
HP-UX のリリースノートには、HP-UX の変更と機能追加に関する情報が豊富に記載されています。HP-UX 11i リリースごとに検索し
てください。
docs.hp.com/hpux/os/11i/index.html
docs.hp.com/hpux/os/man_pages.html
無料または有料のHP-UXセキュリティ機能とその他の機能のダウンロード
www.hp.com/go/softwaredepot
HP-UXセキュリティの内容が公表されている社外Webサイト
newfdog.hpwebhost.com/hpuxsecurity/
hpux.cs.utah.edu/ (hpux.connect.org.uk — ミラーサイト)
www.cisecurity.org/ — 優れた HP-UX セキュリティベンチマークペーパーとツール
www.hpworld.com (www.interex.com と提携)
searchtechtarget.techtarget.com
18
HP Electronic Support Center
us-support.external.hp.com/ (米国、カナダ、アジア太平洋地域、中南米)
europe-support.external.hp.com/ (ヨーロッパ)
forums.itrc.hp.com/
追加技術文書
• 『Trusted Mode application compatibility white paper』
社内 HP 文書であるこのホワイトペーパーには、HP 独自の高信頼性モードセキュリティ拡張機能と互換性を持たせる際にアプリケー
ション開発者が注意しなければならないことが記述されています。このホワイトペーパーは、
snsl.cup.hp.com/getfile.php?id=1621 にあります。
このホワイトペーパーのコピーをお求めのお客様は、当社の営業担当に問い合わせてください。
• 『Managing Systems and Workgroups 』
この HP 9000 マニュアルには、システム管理者向けの 11i リリースの基本情報が記載されています。11iv2 マニュアルサイト
docs.hp.com で『Managing Systems and Workgroups』というタイトルのマニュアルを検索してください。
• 『Systems Administration Tasks Manual (HP-UX 10.x)』
この HP 9000 マニュアルには、システム管理者向けのセキュリティ構成の基本概念と手順が記載されています。このマニュアルは、
docs.hp.com の HP documentation server、HP-UX documentation、HP-UX Systems Administration Tasks にあります。
セキュリティツールボックス
いくつかのインターネットサイトで、システム管理者が HP-UX サーバを保護する際に役立つ多数のツールが提供されています。
特に重要なサイトは、次のとおりです。
www.cerias.purdue.edu/infosec/hotlist — 西海岸のホットリスト
www.sans.org/top20 — 重大なインターネットセキュリティ弱点のトップ 20
www.courtesan.com/sudo/ — Sudo ユーティリティ
第三者によるセキュリティ評価
• CCITSE
CCITSE Web サイト： www.commoncriteriaportal.org
• NIAP — National Information Assurance Partnership：全米情報保証パートナーシップ
Web サイト： niap.nist.gov/
• FIPS
FIPS PUB 140-2, Security Requirements for Cyptographic Modules Web サイト：
csrc.nist.gov/publications/fips/fips140-2/fips1402.pdf
関連書籍：
HP Press から
『Halting the Hacker: A Practical Guide to Computer Security』 Don Pipkin (2002)
『Information Security: Protecting The Global Enterprise』 Don Pipkin (2000)
『HP-UX 11i Security』 Chris Wong (2001)
Security survival
管理者が UNIX システムの安全を確保する際に役立つ、オープングループが作成した書籍です。オープングループには、
www.opengroup.org から問い合わせることができます。この書籍は、 Prentice Hall から出版されています (ISBN 0-13266628-6)。
X/Open Baseline Security Specification
安全なシステムを構成する方法を示す、優れたオープングループ仕様です。この仕様の詳細は、www.opengroup.org
Practical UNIX and Internet security
Purdue 大学の Simpson Garfinkel と Gene Spafford が執筆したこの書籍は、多くのシステム管理者とセキュリティ専門家が参考
にしています。この書籍の詳細は、www.ora.com/catalog/puis/noframes.html を参照してください。
19
ご意見またはフィードバック
本書に関するお客様のご意見・ご感想は、本書作者 Stephanie Miller (UNIX セキュリティ製品担当技術者) にお寄せください。
電子メール： [email protected]
7. まとめ
HP は、HP-UX 11i OE (Operating Environment：オペレーティング環境) のセキュリティ機能を向上するために努力を続けていま
す。新しいプラットフォームすべてで、HP-UX 11i が最も安全な商用オペレーティングシステムであるという HP の確信が裏付けられ
ています。セキュリティと全体的機能の面で HP がエンタープライズ市場で No.1 であることに、アナリストも同意しています。2
本書で示したように、コア HP-UX オペレーティングシステムは現在、標準モードまたは高信頼性モードで、プラットフォームを保護する
高度なオプションを多数備えています。HP の基本的な目的は、危険を防止でき、エンタープライズ全体のセキュリティ戦略を促進する
ための基礎を提供する強力な基本オペレーティングシステムを提供することです。
新しい時代のテクノロジと電子セキュリティを実現するように設計された HP-UX 11i は、方針、認可とアクセス制御、識別と認証、監査
と監視、プライバシと完全性の各分野でセキュリティ要件を満たすことができます。
2
D.H. Brown のレポート：www.hp.com/hpinfo/newsroom/press/30may02b.htm
20
付録 A — HP-UX システムに対するウィルスリスクの理解
この付録では、HP-UX システムに対するウィルスリスクに関連する問題、ウィルスから HP-UX 配布媒体を保護する方法、最初にイン
ストールした後にウィルス攻撃から HP-UX が自己防護する方法について説明します。
HP-UX について説明する前に、多くの種類のウィルスがまたたく間に PC 世界に蔓延した理由を知ることが重要です。それは、PC オ
ペレーティングシステムがほとんど保護されていないからです。特に、一部の PC オペレーティングシステムでは、オペレーティングシ
ステムファイル、システムメモリ、ハードドライブ上のブートブロック、およびユーザーデータをどのようなユーザーでも変更できます
(場合によってはシステム BIOS も)。このような環境では、ウィルスが蔓延しても当然であり、PC に感染できるウィルスが数千種存在
することも意外ではありません。特に PC が市場で優勢であることが、PC が攻撃を受けやすくなっている原因です。
これに対して HP-UX では、特権のないユーザーがオペレーティングシステムコード、BIOS に相当するファームウェア、またはディス
ク上のブートブロックを変更することはできません。HP-UX には、システムファイルとユーザーファイルに対する効果的なアクセス制
御機構が備わっています。また、オペレーティングシステムの変更を試みる可能性がある、特権のないユーザーアプリケーションから
保護するためにメモリ保護ハードウェアが利用されています。このような保護機能によって、ウィルスが HP-UX システムに障害を与え
ることが著しく困難になります。また HP-UX では、文書内のマクロ (悪意のある可能性が高い) や電子メールメッセージに添付された
実行可能プログラムなどに対するサポートを意図的に制限することで、保護機能を高めています。
PC と HP-UX システムのもう 1 つの違いは、PC の世界ではデータ交換にフロッピーディスクが頻繁に使われているということです。
残念なことに、フロッピーディスクは通常、PC 上の最初のブートデバイスでもあるため、感染したデータディスクから誤ってブートされ
がちです。システムのブートストラップコードはオペレーティングシステムによる制約を受けないため、ブートセクタウィルスがフロッピ
ーから PC のハードドライブに簡単に伝染してしまいます。ほとんどの HP-UX システムにはフロッピードライブがなく、通常はデフォル
トでハードドライブからブートするように構成されています。このため、HP-UX システムにはブートセクタウィルスに対してはるかに強
い耐性があります。
HP-UX 開発研究所では、正式なリリース媒体にウィルスが侵入するリスクを低減するためのプロセスを多数採用しています。まず、
HP-UX のほぼすべての構成要素が、HP-UX 開発者が管理するソースから得られています。わずかな例外 (慎重に管理されています
が) として、HP は他社が組み込んだバイナリを出荷していません。ソースが変更された場合は、コードの見直しと検査が実施されます。
この作業の主要目的はコードの欠陥を探すことですが、悪意のあるコードの追加が発見されるという効果もあります。
HP-UX リリースで出荷されるバイナリの生成に使用するマシンは、厳重に管理されています。社内のわずかな開発者だけが、特権の
ないアカウントからでもこれらのシステムにアクセスできます。ただしこの場合、誤ってウィルスが侵入することを防止する追加措置をと
ることが求められます。悪意のある変更を防止するための措置として、オペレーティングシステムソースの最も機密性の高い部分の
多くについては、プロジェクトチーム (またはそのメンバー) だけがその部分を変更できるという厳しい制限が定められています。アクセ
スパーミッションの種類に関係なく、ソース制御システムにソースへの変更内容がすべて記録されるため、どのファイルがいつ変更さ
れたかを簡単に知ることができます。
リリース媒体のマスターの作成時、その媒体上のファイルのチェックサムが生成されます。このチェックサムによって、媒体製造プロセ
ス中に、出荷されるファイルに悪意または偶然による変更が行われることを防止できます。製品媒体の最初のサンプルが、swverify
というツールによって検証されます。このツールは、ファイルのサイズ、変更回数、所有者、パーミッション、およびチェックサムが期待
値と一致するかどうかを確認します。ユーザーも swverify を使って、システムにインストールされているシステムの完全性をいつでも
確認できます。
このような予防措置をすべて講じても、リリース媒体にウィルスが存在する可能性があります。HP は UNIX ウィルスを特別にスキャン
してはいません。現時点ではスキャンする UNIX ウィルスについて情報がないからです。HP は当然、リスクの可能性を認識しており、
ウィルスが UNIX の世界で問題になった場合、特定のウィルスが出荷されることを防止する適切な処置を講じる予定です。過去 10
年以上にわたる HP-UX の実践経験で、HP-UX 開発チームは HP-UX システムにウィルスが存在したという不満の声を一度も聞いた
ことがありません。HP-UX に脅威を与えると思われる特定のウィルスに関する情報があれば、ぜひお知らせください。
ウィルスは、電子メールその他の文書に潜むプログラムを介して広がることもあります。この種の攻撃は、過去数年にわたって PC に
与えたものと同程度の影響を UNIX システムにもたらす可能性があります。これまでのところ、HP は HP-UX システムに対するこの種
の攻撃に気付いていませんが、HP とお客様はこの可能性に絶えず注意する必要があります。
最後に、信頼のないプログラムを IT スタッフメンバーが特権アカウントから実行する際にウィルスが UNIX システムに侵入する危険
性が高い、ということを認識しておくことが大切です。これを防止するために、信頼のないプログラムをなるべく使わない (特に特権ユー
ザーが) ことの重要性をすべてのスタッフメンバーに教育することをお勧めします。
21
付録 B — セキュリティ評価の概要
理解 — 仕様とレベル
米国政府 + ヨーロッパ拡張仕様
CCITSE — プロテクションプロファイルと保証レベル
制御アクセスプロテクションプロファイル (CAPP)
NCSC は、TCSEC C2 評価要件に代わる CAPP を作成しました。CAPP では、IT 製品のセキュリティ機能と保証に関する一連の要
件が規定されています。CAPP 適合製品は、個々のユーザーとデータオブジェクトに対してアクセス制限を強制できるアクセス制御機
能をサポートしています。また、CAPP 適合製品は、システム内で発生したセキュリティ関連イベントを記録する監査機能も備えていま
す。CAPP は、分散オペレーティングシステム (つまり、ネットワーク構成のオペレーティングシステム) が CAPP に準拠しているかど
うかを評価できるように記述されています。
CAPP は、www.radium.ncsc.mil/tpep/library/protection_profiles/CAPP-1.d.pdf で入手できます。
CSPP-OS - COTS セキュリティプロテクションプロファイル - オペレーティングシステムは、
csrc.nist.gov/publications/nistir/ir6462.pdf で見ることができます。
CAPP と C2 の関係
EAL1
正しい動作に対する信頼性が求められますが、セキュリティに対する脅威は重大とはみなされません。TOE がそのマニュアルの内容と矛
盾しないように機能することと、特定された脅威に対して有効な保護機能があることを証明します。
EAL2
完全な開発記録をすぐに入手できない場合、独立して保証されたセキュリティ (低位から中位レベル) をユーザーが求めます。
EAL3
独立して保証されたセキュリティのレベル (中位) と、TOE とその開発で大幅な設計変更がないことを徹底的調査をユーザーが求めます。
TOE セキュリティ機能の独立テストによってサポートされます。
EAL4
伝統的商品における、独立して保証されたセキュリティのレベル (中位から高位) をユーザーが求めます。TOE は、セキュリティ固有の設
計変更追加コストがかかります。
EAL5
予定の開発における、独立して保証されたセキュリティのレベル (高位) と、厳しい開発アプローチをユーザーが求めます。
EAL6
重大なリスクから高い価値の資産を保護するために、高級な TOE を製造することを目的とした、セキュリティ工学技術から厳しい開発環
境までの、高位レベルの保証。
CAPP は、1985 年に作成された米国国防省 (DoD) TCSEC の C2 クラス要件と、これらの要件の基になっている資料に基づいて
作成されたものです。このプロテクションプロファイルには、TCSEC で規定されているものに相当するセキュリティ機能と保証が規定さ
れており、C2 高信頼性製品評価で使われる要件に取って代わるものです。CAPP は、資産に対する中位レベルのリスクが存在する
一般的環境に関するものです。保証要件と機能強度は、中位レベルのリスクに合うように選択されています。保証レベルは EAL 3 で
あり、機能強度は SOF-中位です。
保証レベルは、www.commoncriteriaportal.org/public/files/ccpart3v2.2.pdf に記述されています。
次の表は、これらのレベルの要約です。
評価スキームの比較
評価スキームの比較
TCSec
ITSec
CCITSE
D：最小保護
E0
EAL1
C1：任意セキュリティ保護
F-C1/E1
EAL2
C2：制御アクセス保護
F-C2/E2
EAL3
B1：ラベル付きセキュリティ保護
F-B1/E3
EAL4
B2：構造化保護
F-B2/E4
EAL5
B3：セキュリティドメイン
F-B3/E5
EAL6
A1：検証済み設計
F-B3/E6
EAL7
注記： ITSec の場合、上記の保証レベルは、上記の機能レベルで使用できる最低レベルです。例 F-C2/E2 では、E2 保証レベルが、
使用できる最低レベルです。ただし、HP は HP-UX 10.20 を F-C2/E3 レベルと評価しています。また、TCSec クラス A1 の機能要
件は B3 と同じであるため、機能クラス F-A1 は存在しないことに注意してください。
TCSEC レベルに関する説明：
レベル D：最小保護 — クラス D は、評価されているが、より高い評価クラスの要件を満たすことができないシステムのために予約されています。
レベル C：任意保護
22
クラス (C1) ：任意セキュリティ保護 — クラス C1 システムの TCB は通常、ユーザーとデータを分離することで任意セキュリティ要件を満たします。TCB には、個別にアクセス制限を
強制できる、何らかの形式の信頼性のある制御機能が組み込まれています。つまり、ユーザーがプロジェクトまたは個人情報を保護し、別のユーザーによるデータの偶発的な読み取り/
破壊を防止することを可能にすることに適しているようにみえます。クラス C1 環境は、同じレベルの機密性でユーザーが共同でデータを処理するような環境であると想定されています。
クラス (C2) ：制御アクセス保護 — このクラスのシステムでは、C1 システムよりも細かい任意アクセス制御が強制され、ユーザーはログイン手順全体のアクションについて個々に説
明責任があり、セキュリティ関連のイベントとリソースアイソレーションが監視されます。
レベル B：強制的保護
クラス (B1) ：ラベル付きセキュリティ保護 — クラス B1 システムでは、クラス C2 で必要とされる機能がすべて求められます。また、セキュリティ方針モデル、データラベル付け (秘密
や所有権など)、および名前の付いた主体と対象物に対する強制的アクション制御の非公式ステートメントがなければなりません。
クラス (B2) ：構造化保護 — クラス B2 システムでは、TCB は、明確に定義され文書化された正式なセキュリティ方針モデルに基づきます。このモデルでは、クラス B1 システムの任
意および強制的アクセス制御実施を、自動データ処理システムのすべての主体と対象物に拡張することが求められます。また、秘密チャネルも扱われています。TCB を、保護に不可欠
な要素と保護に不可欠でない要素に慎重に構成する必要があります。TCB インタフェースは十分に定義されており、TCB の設計と実装によって、さらに徹底的なテストとより完全な審査
を受けることができます。認証機構が強化されており、信頼できる施設管理が、システム管理者とオペレータの任務をサポートするという形で提供されます。また、厳しい構成管理制御が
強制されます。このシステムは、侵入に対して比較的強いです。
クラス (B3) ：セキュリティドメイン — クラス B3 の TCB は、主体の対象物へのアクセスをすべて仲介し、改ざんを防止でき、分析とテストを受けることができるように十分小さい、とい
うリファレンスモニタ要件を満足しなければなりません。これを実現するために、TCB は、セキュリティ方針の実施に不可欠ではないコードを排除するように設計されており、複雑さを最
小限に抑えるために TCB の設計と実装時に重要なシステム技術が施されています。セキュリティ管理者は支援を受け、監査機構はセキュリティ関連のイベントを通知するように拡張さ
れ、システム回復手順が必要とされます。このシステムは、侵入に対して非常に強いです。
レベル A：検証済み保護
クラス (A1) ：検証済み設計 — クラス A1 のシステムは、追加アーキテクチャ機能または方針要件が追加されていないという点で、クラス B3 のシステムと同等の機能を備えていま
す。このクラスのシステムの特徴は、分析が正式な設計仕様と検証技術から引き出されるということです。その結果、TCB が現在実装されているという保証のレベルが高くなります。こ
の保証は実際には、正式なセキュリティ方針モデルと設計の FTLS (formal top-level specification：正式な最高レベル仕様) から始まって、発展段階にあります。FTLS は、理論の
仮説化と正式な証明を可能にする (システム仕様が正式な要件に適合していることを示す) ために正式な数学言語で記述された、システムの最高レベル仕様です。クラス A のシステム
に求められる TCB の広範な設計/開発分析と歩調を合わせるために、より厳しい構成管理が必要とされ、システムを現場に安全に配布するための手順が設定されています。システム
セキュリティ管理者は支援を受けます。
HP-UX 11iのリリース名とリリース識別子
HP-UX 11i で、HP は、エンドツーエンドインターネットに欠かせないコンピューティングの需要に応える、可用性が高く安全で管理可
能なオペレーティングシステムを実現しました。HP-UX 11i は、エンタープライズ環境、ミッションクリティカルな環境、および技術コン
ピューティング環境をサポートします。HP-UX 11i は、PA-RISC システムと Itanium ベースシステムの両方で利用可能です。
それぞれの HP-UX 11i リリースにはリリース名とリリース識別子が付けられています。uname (1) コマンドを-r オプションで実行すれ
ば、リリース識別子が返されます。次の表は、HP-UX 11i の入手可能なリリースを示しています。
表 1. HP-UX 11i リリース
リリース名
リリース識別子
サポートしているプロセッサアーキテクチャ
HP-UX 11i v1
B.11.11
PA-RISC
HP-UX 11i v1.6
B.11.22
Intel Itanium
HP-UX 11i v2
B.11.23
Intel Itanium、PA-RISC
お問い合わせはカスタマーインフォメーションセンターへ
03-6416-6660
月～金9:00～19:00 土10:00～18:00 (日、祝祭日、年末年始および5/1を除く)
HP-UX 製品に関する情報は
HP-UX に関する技術情報は
http://www.hp.com/jp/hpux
http://www.hp.com/jp/developer
記載されている会社名および商品名は、各社の商標または登録商標です。
記載事項は2005年7月現在のものです。
本書に記載された内容は、予告なく変更されることがあります。
本書中の技術的あるいは校正上の誤り、省略に対して、
いかなる責任も負いかねますのでご了承ください。
本書は、『HP-UX 11i system security white paper (5981-7109EN, 06/2003)』をもとに加筆・修正して日本語で提供するものです。
© Copyright 2005 Hewlett-Packard Development Company,L.P.
日本ヒューレット・パッカード株式会社
〒140-8641 東京都品川区東品川2-2-24 天王洲セントラルタワー
23
PDFHS03-010-02