Systemwalker Centric Manager ソリューションガイド セキュリティ編 - UNIX/Windows(R)共通 -
目次 索引 前ページ次ページ
第2部 セキュリティを強化するにはどのような運用をしたらよいか> 第3章 セキュリティを強化するには> 3.3 サーバとクライアントのセキュリティを強化するには

3.3.1 サーバに対する不正操作を防ぐ

システム上に存在する各種サーバのセキュリティを強化するためには、ネットワークに設置したファイアウォールなどにより、遠隔地からの操作を防御するのと同時に、実際にサーバの前で行う操作をどのようにして防ぐか、また、発生した問題をどのようにして検知し、今後のサーバ運用に生かすかを検討する必要があります。

一般にセキュリティに対する脅威は常に増大していくことから、セキュリティに対する対策を検討する際は、PDCA(Plan-Do-Check-Act)をどのように効率的に回していくかを念頭に置いた対策を検討してください。

以下では、UNIXサーバとWindowsサーバそれぞれの方法について、Systemwalkerが提供するセキュリティ対策を説明します。

■UNIXサーバの場合

◆UNIXサーバを利用する際の問題点

UNIXサーバでは、一般的な操作のほとんどがOSに標準添付されるシェルからコマンドを入力して行われます。特に、UNIXサーバやOS、およびSystemwalkerを含むミドルウェアのインストールや設定変更などの操作には、システム管理者権限であるrootユーザの特権を利用したコマンド実行が必要不可欠です。

このような環境において、OSやミドルウェア、アプリケーションの種類ごとに、それぞれに精通した複数の管理者が存在する場合、それぞれの管理者はみな同じシステム管理者(root)のアカウントパスワードを知っている必要があります。

このような運用方法は、非常に危険な状態であることを認識しなければなりません。

◆Systemwalker Centric Managerが提供するソリューション

Systemwalker Centric Managerでは、UNIXサーバを利用する際の重大な問題を解決するために、「サーバ操作制御」機能を提供しています。

サーバ操作制御機能を使用すると、運用管理サーバ(または運用管理クライアント)で作成するポリシーにおいて、各管理者がroot権限を使用して実行する必要があるコマンドを限定できるため、わざわざrootのパスワードを複数の管理者で共有する必要がなくなります。これにより、従来どおり複数の管理者により、UNIXサーバの管理が安全に行えるようになります。サーバ操作制御を使用してシステム全体を管理すると、以下のような運用イメージになります。

サーバ操作制御機能の詳細については、“Systemwalker Centric Manager 使用手引書 監視機能編”の“サーバでの操作を制御する”を参照してください。

◆サーバ操作制御を利用する場合の注意点

サーバ操作制御機能を利用する際に、最低限守らなければいけないルールがあります。

  1. rootアカウントのパスワードは、少人数で安全に管理すること

    サーバ操作制御を利用する際に必要となる最も重要なルールです。必ず守ってください。

  2. rootを含め、同一のアカウントを共有しないこと

    rootだけでなく、通常のアカウントも共有しないようにしてください。また、パスワードの管理を徹底してください。

  3. セキュリティに対する責任を持つ管理者(セキュリティ管理者、システム管理者と兼任でもよい)によりポリシーを管理すること

    セキュリティ管理者とシステム管理者が別に存在する場合は、セキュリティ管理者は、“DmAdmin”および“SecurityAdmin”の両方のロールに所属させてください。また、システム管理者は、“DmAdmin”のロールに所属させてください。ロールに所属させる時は、rootのパスワードは必要ありません。

  4. サーバ操作制御機能を利用した場合のログの監査を行い、システムの操作を振り返ること

    サーバ操作制御機能では、ポリシーの作成、配付や、実際にUNIXサーバ上で行われた操作を監査ログとして常に記録しています。問題が発生しなくても、監査ログにより過去の操作履歴を振り返ることにより、思わぬ問題や改善点を見つけることができます。
    監査ログの利用方法や収集方法については、“システムのセキュリティを監査するには”を参照してください。

以上のルールを理解した上でサーバ操作制御機能を利用することで、UNIXサーバのセキュリティが飛躍的に向上します。

■Windowsサーバの場合

Windowsサーバの場合でも、UNIXサーバと同じように、複数の管理者によりOSだけでなくさまざまなミドルウェアや業務アプリケーションの管理が行われることが一般的です。Systemwalkerファミリでは、Windowsのサーバやクライアントでの操作を抑止したり、ファイルの持ち出しを禁止するために、Systemwalker Desktop Keeperを提供しています。

Systemwalker Centric Managerでは、Systemwalker Desktop Keeperと連携して、Windowsサーバの操作違反の監視や、操作履歴を監査ログとして収集するための機能を提供しています。

Systemwalker Desktop Keeperとの連携方法については、Systemwalker技術情報ホームページの“Systemwalker Centric Manager Desktop連携ガイド”を参照してください。

目次 索引 前ページ次ページ
All Rights Reserved, Copyright(C) 富士通株式会社 1995-2007