| Systemwalker Centric Manager 使用手引書 セキュリティ編 - UNIX/Windows(R)共通 - |
|
目次
索引
|
| 第2部 セキュリティを強化するにはどのような運用をしたらよいか | > 第5章 サーバとクライアントのセキュリティを強化するには | > 5.3 セキュリティの構成を設計する |
サーバアクセス制御機能を使用するために必要な、運用の見直し項目について説明します。
他のアクセス制御製品との共存はできません。
ファイルアクセス制御機能を利用する場合に、アクセス制御設定が行えるファイルシステムは以下のファイルシステムタイプです。
システムのセキュリティを向上するには、監査ログ/アクセス制御設定を検討する前に、システムの利用者に関する各種権限を見直してください。以下では、サーバアクセス制御機能を利用する際の一般的な利用者権限について説明します。
サーバアクセス制御機能を使用する利用者のアクセス権限について説明します。
なお、以下の各利用者は、サーバアクセス制御機能を運用する上で異なる役割を持っています。各利用者は、機能を利用する上で兼任をすることが可能ですが、セキュリティを強化し、内部統制を確実なものにするためには、利用者ごとに異なるユーザを割り当てることを推奨します。
運用時の各利用者の役割については、“サーバへのアクセスを制御する場合の運用”を参照してください。
システムが機能的に正しく動作しているかを監視、管理する利用者です。サーバ上のハードウェアやソフトウェア(OSやミドルウェア、業務アプリケーションなど)に異常が発生した場合、その修復や調査を取り仕切るユーザです。このユーザは、通常はOSの管理アカウント(UNIX / Linuxシステムでは一般的にroot、WindowsではAdministratorsグループに所属するユーザ)を持つ場合が多く、システムの修復や保守作業にはこれらの管理アカウントを利用して作業が行われています。
また、システムの規模や提供する機能により、システム管理者をより細分化し、データベース管理者、WEB管理者などに役割を分割している場合があります。本書では、これらの管理者を区別する必要がない場合には、総称し、「システム管理者」として記載します。
なお、システム管理者は、運用管理サーバまたは運用管理クライアントにおいて、Systemwalker Centric ManagerのDmAdminのロールに所属させます。
システムがセキュリティ上正しく運用されるように設定を行う利用者です。セキュリティを考える際、必要以上の権限がシステム管理者や一般の利用者に与えないことを職務とします。システム管理者やセキュリティ監査者からの報告に基づき、安全な運用を行うように検討/設定をします。このためセキュリティ管理者自身の権限は、システム管理者やセキュリティ監査者とは分けておく必要があります。また、セキュリティ管理者自身の行動を統制するために、セキュリティ管理者を複数名任命する、またはシステム管理者、セキュリティ監査者との相互牽制を行う体制をとるなど、セキュリティ管理者自身の抑制を考えた組織作りが必要です。
なお、セキュリティ管理者は、運用管理サーバまたは運用管理クライアントにおいて、Systemwalker Centric ManagerのDmAdmin、DmOperation、またはDmReferenceのロールに所属させます。ただし、利用者ごとに異なる権限で運用する場合は、DmOperation、またはDmReferenceのロールに所属させます。
セキュリティ管理者が実施した設定に対して、悪意ある操作や攻撃および誤操作が行われていないかを監査する利用者です。一般的に、コンピュータシステムのセキュリティを監査する場合は、アクセス監査ログを中心に問題がないかを確認します。アクセス監査ログに必要十分な情報が出力されているか調査も行います。
なお、セキュリティ監査者は、運用管理サーバまたは運用管理クライアントにおいて、Systemwalker Centric ManagerのDmAdmin、DmOperation、またはDmReferenceのロールに所属させます。ただし、利用者ごとに異なる権限で運用する場合には、DmOperation、またはDmReferenceのロールに所属させます。また、管理対象のサーバで録画データを確認する場合は、Systemwalker Centric ManagerのSecurityAuditorのロールに所属させます。
システム管理者などの管理者からの依頼により、実際にシステムの設定を変更するオペレータ、また、WEBなどのシステム上で動作するサービスを利用して間接的にシステム上の情報を参照/操作するユーザなど、システムを利用する管理者以外のユーザすべてを指します。必要な権限以上の操作が行われていないかなど、セキュリティ管理者、セキュリティ監査者により常に管理/監査されるユーザです。
既存のシステム運用で利用しているOS上のユーザを整理する必要があります。具体的には以下のユーザ設定に注意してください。
管理者アカウント(rootユーザ、Administratorsグループに所属するユーザ)でサーバの操作を制御することが可能ですが、アクセス制御の設定によっては強力な権限をもつユーザです。このため、管理者アカウントのパスワードについては、少数のシステム管理者にのみ利用可能とすることや、定期的にパスワード変更を行うなどの施策を徹底してください。
管理者アカウントに昇格して実施していた作業は、サーバアクセス制御機能の導入後、セキュリティ管理者に承認を受けて実施します。セキュリティ管理者から承認を受けた後、作業者は管理者権限が必要な作業を実施してください。
一般ユーザのアカウントは、誰が操作を行っているかを一意に判別する重要な情報です。複数人で同一のアカウントを利用している場合は、操作者を特定しにくくなります。安全な運用を行うためには、利用者一人ひとりに一意となるアカウントを割り振りしてください。
サーバアクセス制御を利用する上で必要となる保護資産と脅威の基本的な考え方について説明します。
スタンダードモードでファイルアクセスを検討する場合、またはカスタムモードを利用する場合は、保護すべき対象(保護資産)を決定し、誰(何)から、どのような脅威に対して保護を行うかを決定してください。
以下に、保護資産に対する代表的な脅威の例、および防御手段を説明します。
|
保護資産 |
代表的な脅威と発生原因の例 |
防御手段 |
|
|
ファイル/ディレクトリ |
情報漏えい |
必要以外の利用者がファイルを参照することにより発生する |
読み込みの制御 |
|
証拠隠滅 |
システムやアクセスログを削除することにより発生 |
書き込み、削除、作成、変名、属性変更の制御 |
|
|
改竄 |
対象のファイルの内容が書き換えられることにより発生 |
書き込み、削除、作成、変名の制御 |
|
|
プロセス |
システム停止 |
システムやサービスの停止コマンドを起動することにより発生 |
起動の制御 |
|
システム停止 |
動作中のプロセスを強制終了することにより発生 |
強制終了の制御 |
|
|
ネットワーク |
不正侵入 |
許可された以外のネットワークからの進入などにより発生 |
ネットワーク接続の制御 |
以下に、保護資産、および発生しうる脅威について、それぞれ説明をします。
保護すべき資産を決定します。
すでにセキュリティ製品を導入している場合は、既存の設定と照らし合わせて検討してください。セキュリティ製品を導入していない場合、上記を明確にできない場合でも、サーバへのアクセス状況を把握することが可能です。
保護すべき資産がある程度明確にすることができた場合は、次に、どのような脅威から守りたいかを具体的にします。保護資産が抱える脅威と合わせて明確にすることをお勧めします。以下に、一般的な脅威について説明します。
情報漏えいの中心となるのがこのファイルやディレクトリとなります。特に顧客 情報や従業員情報などを含む場合は、参照できるユーザを限定することが重要となります。
改竄を契機としたシステムトラブルには、プログラムの動作をつかさどる定義ファイルなどが改竄された場合に発生しうるシステム停止や、顧客情報などが改竄されることによる社会的トラブルなど、多くのトラブルの原因となります。これらの脅威は、対象となるファイルの書き込みや削除を抑止することで無効化することが可能です。
ファイル改竄などによるシステム停止よりもより直接的な手法、すなわちシステム停止コマンドを実行するなどにより発生する脅威です。この脅威は、悪意ある利用者以外にも、正規の利用者による作業ミスによっても発生する問題です。システムやサービスの停止コマンドを実行抑止することで未然に防ぐことが可能です。
停止コマンドを実行しなくても、対象となるサービスを構成するプロセスを強制終了させることで、簡単にWebサービスなどを停止させることができます。守りたいプロセスが明確になっていれば、強制終了に対する防御を行うことが可能です。
サーバへの進入経路のうち、最も一般的であり注意する必要のあるものとしてネットワークからの侵入が考えられます。不要なアクセスを拒否することにより、脅威を低減することが可能です。
以下では、それぞれの保護資産に対して、以下の設定を行うことで、脅威から保護資産を守ります。それぞれの防御手段が持つ特徴を理解することで、より強固なシステムを構築できます。
なお、それぞれの設定において、監査ログを取得するための設定に、アクセス制御のための設定を追加する場合は、設定変更に際して「試行モード」を利用してください。
主に情報漏えいを防ぐ中心的な設定です。特定のファイルへの読み込みを防御することで、ファイルやディレクトリに格納されている情報が漏洩することを防ぐことができるようになります。ただし、プログラムなどの定義ファイルへ読み込みの防御設定を行う場合、プログラムが動作しないなどの問題が発生する場合があります。
主にファイルの改竄を防ぐ中心的な設定です。特定のファイルへの書き込みを防御することで、ファイルやディレクトリに格納されている情報が改竄されることを防ぐことができます。システムなどのログファイル(シスログなど)へ書き込みの防御を行うと、ログが残らなくなるなどの問題が発生するため、注意が必要です。
なお、ファイルの改竄などを防御するために、書き込みの防御を設定する場合は、合わせて削除/作成/変名などの設定も検討してください。
システム上重要な定義ファイルなどが削除されることを防ぎます。これにより、システムやサービスの停止といった脅威に対抗できます。また、ファイルの改竄などが行われる手段としても、ファイル削除を利用することが可能な場合があります。改竄を抑止したい場合は、書き込みの防御と合わせて削除も防御設定に追加してください。
悪意ある操作者によるファイルの改竄などは、単にもともとあるファイルを書き換える(書き込み)だけでなく、もともとあるファイルを削除した後、事前に用意したファイルなどをコピーするなどして新たに作成することでも行うことが可能です。書き込みや削除の禁止を行う際は、作成の禁止を行って問題ないと判断できる場合は、作成の禁止も設定してください。
削除/作成と同じく、ファイルの操作により書き込みと同じような操作を行うことが可能となります。
所有者やファイルのパーミッション(アクセス権)を変更する操作を抑止できます。サーバアクセス制御を利用している限り、属性変更などによる脅威は大幅に削減することが可能ですが、書き込み、削除などの抑止を行う際には合わせて設定しておくとよりセキュリティ強度を高くすることが可能です。
システム停止コマンドなど、通常は起動してはならないコマンドに対して設定することが可能です。設定は、コマンドが格納されているディレクトリを含むフルパスで指定します。なお、シンボリックリンクが作成されたコマンドの場合は、シンボリックリンクの先にあるファイルに対して制御設定を行ってください。
すでに動作済みのプロセスに対して、強制終了(KILLシグナル)の送信を防御します。これにより不用意なプロセスの終了を防ぐことが可能です。
本来アクセスが不要な、またはアクセスされるべきではないネットワーク(IPアドレス)からの接続を監査/防御するための設定です。たとえば社外からのネットワークを遮断し、特定のネットワークセグメント(サブネット)からのみ、telnet接続を許可するなどの設定が可能です。
サーバアクセス制御の設定には、2つのモードがあります。モードを決定し、セキュリティを強化する場合の設計方針を決定します。
一般的なサーバへのアクセス経路を監査することが可能です。多くの設定を必要とせずに監査運用を開始することができます。また、スタンダードモードで設定できる監査項目は、そのままアクセス制御設定へ移行することも可能です。
なお、スタンダードモードでも、最も利用頻度の高いファイルアクセス監査/制御の設定だけはカスタムモードと同じ設定が可能です。
スタンダードモードで設定可能な監査/アクセス制御設定のほか、個別のネットワークポートやプロセスといった制御対象を設定して監査/アクセス制御設定を行うことができます。スタンダードモードに比べより詳細な設定を行うことが可能です。
以下に、スタンダードモードとカスタムモードの関係を示します。
運用開始時に、スタンダードモードまたはカスタムモードのどちらのセキュリティモードを使用するかについては、以下の流れ図を参照して検討してください。
各保護資産に対して監査ログ設定を中心にサーバアクセス制御機能を利用した結果、アクセス違反や不要と思われる操作を検出した場合、スタンダードモード、カスタムモードともにアクセス制御設定を追加していくことが可能です。アクセス制御設定は、システム管理者(rootユーザ)に対しても有効な設定を行うことが可能ですが、反面、システムへの影響がないかを、十分に検証する必要があります。
サーバアクセス制御機能では、アクセス制御機能のシステムへの影響を確認するために、「試行モード」を提供しています。
アクセス制御設定を追加する際、設定画面にある「試行モード」をチェックすることで、追加/変更するアクセス制御設定がどのようにシステムへ影響を与えるかを、監査ログから確認できます。アクセス制御設定を追加/変更する際は、「試行モード」を利用し、システムが正常に動作するかを確認してください。
なお、試行モードを表す監査ログの出力内容などについては、“Systemwalker Centric Managerリファレンスマニュアル”の“アクセス監査ログファイル”を参照してください。
ネットワークのアクセス制御設定で、「ログ出力のみ」または「許可」設定が行われているポートへ、同じクライアントから続けてアクセスが行われた場合、ログの冗長性を抑止するために監査ログ出力されないことがあります。ネットワークのアクセス制御で「ログ出力のみ」または「許可」設定を行った場合に出力される監査ログは、接続元の判断にだけ利用してください。
プロセスのアクセス制御設定が行われている場合、および保守支援機能によりシステム保守作業を行っている場合に出力されるコマンド実行のアクセス監査ログには、Shellが提供しているビルトインコマンドのログは出力されません。Shellのビルトインコマンドとは、以下のようなコマンドをさします。
プロセスアクセス制御をシェルスクリプトに対して行う場合は、プロセスアクセス制御対象のシェルスクリプトに読み込み権限が必要です。
ファイルやディレクトリに対するハードリンクを作成することは、アクセス制御設定をかいくぐるための悪意ある操作に利用されやすいことから、読み込みや書き込みなど何らかの拒否設定が行われたファイルは、ハードリンクの作成も自動的に拒否されます。
シンボリックリンクファイルに対しては、OSの特性上読み込みのファイルアクセス制御のみが有効となります。このため、シンボリックリンクファイルに対しては、読み込み以外のアクセス制御設定は無視されます。
このような場合は、シンボリックリンク先のファイルを確認した後、リンク先のファイルへアクセス制御設定を追加してください。
Webサーバへのアクセス制御を検討する場合の設定例を示します。
サーバアクセス制御の設定を以下のとおり行います。
|
制御種別 |
保護対象 |
設定内容 |
||||||
|
ファイル |
Webコンテンツ格納ディレクトリ(/var/www/など) |
対象 |
読込 |
書込 |
作成 |
削除 |
変名 |
属性変更 |
|
httpd(ユーザ) |
- |
L |
L |
L |
L |
L |
||
|
上記以外 |
- |
× |
× |
× |
× |
× |
||
|
Webサーバプログラム/定義ファイル(/etc/httpd/、/usr/sbin/httpdなど) |
全ユーザ |
- |
× |
× |
× |
× |
× |
|
|
プロセス |
Webサーバプログラム(/usr/sbin/httpdなど) |
対象 |
起動 |
強制終了 |
|
|
|
|
|
全ユーザ |
- |
× |
|
|
|
|
||
注)ファイルの変名を行う場合、変名先のファイルまたはディレクトリには、書き込み権、作成権、削除権が必要です。
|
目次
索引
|