Comments
Description
Transcript
HP-UX 11i セキュリティ: リスクおよびコンプライアンス コストの軽減
HP-UX 11i セキュリティ: リスクおよびコンプライアンス コストの軽減 White paper 目次 はじめに ............................................................................................................................................. 2 プラットフォーム セキュリティの基本......................................................................................................... 2 Security Containment ........................................................................................................................... 2 ミッションクリティカルな仮想化環境.......................................................................................................... 3 ID 管理とアカウンタビリティ .................................................................................................................... 3 Common Criteria Certification............................................................................................................... 3 HP-UX 11i v3 での機能拡張によるセキュリティの強化とコンプライアンスの 単純化 ........................................ 4 まとめ................................................................................................................................................. 4 詳細情報 ............................................................................................................................................ 4 はじめに IT セキュリティの話題は常に、大多数の業界で取り上げられています。企業イントラネット上のストレージ デバ イスには重要な情報が含まれており、ユーザは世界中のありとあらゆる場所から、複数のデバイスを通してア クセスできることを要求しています。一方、法律や業界規制の遵守が重要になったことで、アプリケーションか らホスト ハードウェア、オペレーティング システムのプラットフォームに至るまで、ソリューション全体のセキュリ ティを厳しく検証することが求められています。グローバルなビジネスや社会がソフトウェアに依存すればする ほど、ソフトウェアのセキュリティはより重要です。 HP はこの状況を把握しており、過去 20 年間にわたって、抜群の信頼性と安全性を誇る UNIX® オペレーティ ング システムを構築してきました。HP-UX 11i オペレーティング システムは、内外の脅威に対して最大限のセ キュリティを発揮するように設計されており、リスクやコンプライアンスにかかるコストを事前に軽減することを 目的とした、包括的かつ統合性の高いセキュリティ機能を備えています。 より少ない労力で高い成果を生み出し、日々変化するビジネス要件に対応しなければならない企業顧客に対 し、HP-UX 11i オペレーティング システムが提供するセキュリティ ソリューションは、階層化したセキュリティ機 能の導入を容易にするとともに、より堅牢なセキュリティを保証します。これらの高い統合性を誇るセキュリティ 機能を利用することにより、ビジネス アジリティ (俊敏性) が向上し、セキュリティに関するコンプライアンス要件 を容易にクリアできるだけでなく、強固なセキュリティや TCO (総所有コスト) の削減、導入時間の短縮などを 実現できます。HP-UX 11i のセキュリティ ソリューションは、HP-UX オペレーティング環境の一部として無償で 提供されます。基本的な HP-UX インフラストラクチャの保護から高度な ID 管理やデータ保護に至るまで、HPUX 11i オペレーティング環境には、総合的なエンタープライズ セキュリティ ソリューションとして設計された、 多階層のセキュリティ機能が数多く備わっています。 プラットフォーム セキュリティの基本 オペレーティング システムのセキュリティにおいて最も基本となる目標は、攻撃にさらされても整合性を保持す ることにあります。HP-UX 11i オペレーティング システムは、管理者がプラットフォームをロックダウンする際に 役立つ数多くの機能を備えています。 • HP-UX Bastille には、システム内のポートやファイル、その他のコンポーネントのロックダウンなど、システム に対する攻撃をブロックする方法を管理者に示すグラフィカル インタフェースがあります。 • Host IDS はカーネル レベルのシステム監査情報を使用し、継続的に複数のシステムを監視して警告を生成 し、オプションとしてリアルタイムな対応を行います。 • IPFilter には、プラットフォームの「攻撃対象 (Attack Surface)」を制限するステートフル コネクション フィルタ リングや DOS (Denial-of-Service: サービス停止) 攻撃の影響を制限するコネクション スロットリングを含む、 システム ファイアウォール機能があります。 • Install-Time Security によって、オペレーティング システムのインストール作業中にセキュリティ プロファイル のメニューが表示されるので、デフォルトのロックダウンを簡単に設定できます。 • Security Patch Check は、定期的に HP のサイトに接続してセキュリティ関連パッチのインストールを促し、 最新のセキュリティ パッチが適用されるようにします。 • Execute-Protected Stack (スタックの実行保護機能) は、プラットフォームが危険にさらされる主な要因である 一般的なバッファ オーバーフロー攻撃を回避します。 Security Containment HP-UX 11i Security Containment は、システムが危険にさらされる可能性を大幅に減少させるためのセキュリ ティ技術スイートです。HP はますます増大する複雑な脅威にも対応できるよう、これらの拡張セキュリティ機能 を HP-UX 11i オペレーティング システム本体に組み込みました。HP-UX 11i Security Containment はアプリ ケーションの変更を必要とせず、危険にさらされたアプリケーションを隔離し、そのアプリケーションがシステム 上にある他のアプリケーションやファイルに不正にアクセスしないようにします。 HP-UX 11i Security Containment は、それぞれが連携して高度に安全なオペレーティング環境を実現する、次 の 3 つのコア テクノロジで構成されています。 • Compartments (コンパートメント) には、コンパートメントの外部にあるアプリケーションやシステム リソース へのアクセスを隔離、制限する機能があり、コンパートメントの 1 つが侵入を受けても壊滅的な被害を回避 できます。HP-UX Security Containment は、異なるコンパートメント内のプロセス間の情報フローを制御する ことで、この機能を実現しています。たとえば、コンパートメントの外部では、ユーザが提示したデータを受け 2 取って処理し、また、そのデータを規則に従って非公開のアクセスと処理を介してコンパートメントの内部に 安全に転送できます。 • Fine-Grained Privileges (FGP: 細分化権限) では、特定のタスクに必要な権限のみを付与します。また、オ プションでタスクの実行に必要な時間枠のみに制限した権限を付与します。「権限認識」アプリケーションで は、動作中に権限レベルを上げておき、動作終了後にレベルを戻すことができます。 • Role-Based Access Control (RBAC: 権限ごとのアクセス制御) は、非 root ユーザによる管理タスクの実行を 許可する機能を備えており、root 権限を管理しやすい役割別に分割します。out-of-the-box (すぐに使用でき る) 構成では、多くの一般的な HP-UX 11i コマンドをサポートしており、さらに HP OpenView Select Access と組み合わせることで、マルチ システムのアクセス管理もサポートできます。 「顧客は常に、管理、統合、相互運用性が重要な問題であると言います。IT は、ますます複雑になる数多くの技術ソ リューションを導入し、運用、管理していかなければなりません。限られた予算をめぐり、セキュリティ関連の製品や機器、 技術がしのぎを削っています。組織が本当に必要としているのは、種類の異なるソリューションをどのような方法で、い つ使用すればよいのかを明確にしてくれる構造的アプローチなのです。」 (Burton Group. 『VantagePoint:2006- 2007: Information Security Trends』(英語)、Dan Blum、2006 年 4 月 26 日、 Copyright ©2006 Burton Group) ミッションクリティカルな仮想化環境 HP VSE (Virtual Server Environment) により、企業はコンソリデーションや仮想化の技術を利用してサーバの 使用率を向上できるだけでなく、オペレーティング システムの管理コストの削減やセキュリティ レベルの向上も 実現できます。HP VSE は、複数のアプリケーションを単一のオペレーティング システム イメージ内に統合する メカニズムを備えています。 Secure Resource Partitions (SRP) は、 リソ ース割り当てを行う HP Process Resource Manager とセキュリティ隔離を行う HP Security Containment の利点を組み合わせることにより、 VSE インフラストラクチャ内の小規模な仮想化を実現する安全なソリューションを提供します。 ID 管理とアカウンタビリティ • Standard Mode Security Extensions は、アカウントとパスワードに関する詳細なポリシーをシステム全体ま たはユーザ単位で提供します。これには、ユーザ アカウンタビリティの詳細なシステム監査情報の生成機能 も含まれています。 • HP-UX LDAP-UX クライアント サービスは、システムの認証とネーミング サービスで、新規または既存の LDAP ディレクトリを活用し、ID 管理を簡素化しています。 • Kerberos サーバ/クライアントは、Windows® ADS との拡張された相互運用性だけでなく、全社規模での Single Sign On (SSO: シングル サイン オン) サービスを提供します。 • HP-UX AAA サーバ (RADIUS) は、ネットワーク デバイスを認証し、アクセスを制御します。 • Red Hat Directory Server for HP-UX は、デジタル ID 情報を格納するための業界標準の集中管理ディレク トリ サービスです。 Common Criteria Certification HP 9000/HP Integrity プラットフォームで動作する HP-UX 11i v2 オペレーティング システムは、ALC_FLR.3 ( 欠 陥 修 正 ) の シ ステム で補 強さ れ、 Controlled Access (CAPP) と Role-Based Access Control (RBAC) Protection Profiles を使用する EAL4 Common Criteria (ISO 15408) の保証レベルの要件の評価を取得して います。追加保証には、省略形として EAL4+ が使用される場合があります。評価および評価用の構成の詳細 は、次のドキュメントを参照してください。 http://www.commoncriteriaportal.org/public/files/epfiles/CRP225.pdf (英語) http://www.commoncriteriaportal.org/public/files/epfiles/hp-ux11iv2.pdf (英語) 3 HP-UX 11i v3 での機能拡張によるセキュリティの強化とコンプライアンスの 単純化 HP は、内蔵セキュリティ機能に対する継続的な拡張を含む、HP-UX 11i オペレーティング システムの長期的 なロードマップの作成に取り組んでいます。HP-UX 11i の最新版である HP-UX 11i v3 では、リスクやコンプラ イアンスのコストを事前に軽減する新機能を導入しています。 • Select Access 用 HP-UX Identity Management Integration は HP OpenView Select のツールであり、無償 の製品として HP-UX オペレーティング システムに含まれています。このツールは改良されたプロビジョニン グ機能と管理性を備えており、ユーザ管理を簡素化しています。このツールでは、セキュリティ ポリシーを アップデートする際、各マシンに個別にアクセスするのではなく、HP-UX 11i サーバを 1 対多数ベースで管 理でき、ユーザの権限を定義してアクセス権を管理するポリシーとルールを追加します。このツールを使用 すれば、1 回クリックするだけで、組織内の特定の役割に高度なセキュリティ ポリシーを定義および適用で きます。たとえば、このツールは、新しいスタッフが運用チームに加わると、そのスタッフにシステムのバック アップと復元の権限を自動的に割り当てます。また、この要員がチームから外れると権限を無効にします。 • Encrypted Volume and File System (EVFS) は、「一時保管中のデータ (data-at-rest)」が紛失または盗難に あった場合でも、不正に公開されないように透過的に保護します。また、「免責 (safe harbor)」機能も用意さ れているため、一部の州法で規定されている違法行為の開示を行う必要もありません。 • Trusted Computing Services (TCS) は、特定の HP Integrity サーバに内蔵されているセキュリティ ハード ウェアをソフトウェアでサポートし、拡張されたキー保護や EVFS の自動ブートを行います。 • HP Protected Systems は、HP-UX 11i サーバに組み込まれている保護機能を利用して、自動的により安全 なシステムを構成し配備する機能を備えているため、IT 担当者がプロセスやリソースを隔離する Security Containment のような機能を構成する際の所要時間や、セキュリティに関する知識が少なくて済みます。 • HP-UX Bastille はドリフト レポート機能を備えており、システムの強化構成情報と以前に適用されていた強 化ポリシーとの整合性をチェックし、システムの変更によるリスクを回避します。このデータにより、システム がマルウェアにさらされる危険性を低下させ、コンプライアンスの維持を単純化し、未実装の強化機能を表 示できるため、予期しないシステム破壊のリスクを回避しながら計画どおりの対応が実施できます。 • HP-UX AAA Server は、集中型の RADIUS ベースのユーザ認証とネットワーク アクセス ロギングの機能を 組み合わせて、エンタープライズ データベースとのより柔軟な統合を実現し、監査とコンプライアンスを単純 化します。 まとめ HP-UX 11i オペレーティング環境は、セキュリティ プロセスを自動化する包括的な数多くの機能を備えており、 リスクやコンプライアンスのコストを軽減します。HP はオープンソースや他社パートナーとの共同プロジェクトを 通じてだけでなく、対象を絞った開発によって、これらの機能を厳密に計画、設計、検証しています。HP-UX 11i オペレーティング システムと完全に統合すれば、HP-UX ユーザはこの継続的なセキュリティ拡張機能を無償で 利用できます。 詳細情報 • HP-UX 11i のセキュリティ ソリューションについて http://www.hp.com/go/hpux11isecurity (英語) http://www.jpn.hp.com/products/software/oe/hpux/component/security/ (日本語) • HP Software Depot から、無償のセキュリティ/管理ソフトウェアをダウンロードできます http://software.hp.com (英語) • Demo in a box — Managing Security on HP-UX with Identity Management Systems (オンライン デモ — ID 管理システムによる HP-UX のセキュリティ管理) http://www.hp.com/aquarius/HPUX/IdMIDemoInABox2.html (英語) 4 お問い合わせはカスタマ インフォメーション センタへ 03-6416-6660 月~金9:00~19:00 土10:00~18:00 (日、祝祭日、年末年始および5/1を除く) HP-UX 製品に関する情報は http://www.hp.com/jp/hpux HP-UX に関する技術情報は http://www.hp.com/jp/developer Microsoft、WindowsおよびWindows NTは、米国におけるMicrosoft Corporationの登録商標です。 記載されている会社名および商品名は、各社の商標または登録商標です。 記載事項は2008年1月現在のものです。 本書に記載された内容は、予告なく変更されることがあります。 本書中の技術的あるいは校正上の誤り、省略に対して、 いかなる責任も負いかねますのでご了承ください。 本書は、『HP-UX 11i security: mitigating risk and reducing the cost of compliance』 (英語) をもとに加筆・修正して 日本語で提供するものです。 © Copyright 2008 Hewlett-Packard Development Company,L.P. 日本ヒューレット・パッカード株式会社 〒102-0076 東京都千代田区五番町七番地 PDFHS08003-01