Systemwalker Centric Manager 使用手引書 セキュリティ編 - UNIX/Windows(R)共通 -

目次 索引

^[EE/GEE]
11.1 サーバアクセス制御機能を設定する【Linux版】

サーバアクセス制御機能を設定する手順を説明します。

■アクセス制御

サーバ資産に対する操作を制御する手順を説明します。

■セキュリティ管理者/監査者

各管理者/監査者の設定については、“セキュリティ管理者/監査者を設定する【Linux版】”を参照してください。

◆運用管理サーバのセキュリティ管理者の設定

サーバアクセス制御機能の管理者（セキュリティ管理者）として、運用管理サーバをインストール時に指定したアカウント（UNIX版の場合はSystemwalker管理者アカウント、Windows版の場合はスタートアップアカウント）が登録されます。

セキュリティ管理者とシステム管理者を別にするため、サーバアクセス制御機能の管理者（運用管理サーバのセキュリティ管理者）を変更してください。

変更は、運用管理クライアントの[Systemwalkerコンソール]を使用し、サーバアクセス制御のポリシーを作成する前に行ってください。

変更を行っていない場合、サーバアクセス制御のポリシー設定画面の起動時に、セキュリティ管理者の設定を促す警告メッセージが表示されます。

登録されたセキュリティ管理者は、以下の設定を行うことができます。

• サーバアクセス制御機能の監査者（運用管理サーバのセキュリティ監査者）の設定
• 管理対象サーバのセキュリティ管理者の設定
• アクセス監査ログ出力およびアクセス制御の設定

◆運用管理サーバのセキュリティ監査者の設定

運用管理サーバのセキュリティ管理者が、運用管理クライアントで[Systemwalkerコンソール]からセキュリティ監査者を設定します。

登録されたセキュリティ監査者は、運用管理サーバで以下の操作ができます。

• サーバアクセス制御のポリシーの参照

◆管理対象サーバのセキュリティ管理者の設定

運用管理サーバのセキュリティ管理者が、運用管理クライアントで[Systemwalkerコンソール]から管理対象サーバのセキュリティ管理者を設定します。設定は、システム管理者が当該設定をポリシーとして配付/適用することで有効になります。

登録されたセキュリティ管理者は、当該の管理対象サーバで以下のシステム保守コマンドを実行できます。

• システム保守承認コマンド
• システム保守終了コマンド
• システム保守状況確認コマンド

■監査ログの出力設定

アクセス監査ログ

• 監査ログの出力先
• 監査ログの保存日数

操作の録画データ

• サーバ操作制御機能の[配付ポリシー作成]画面の[配付ポリシー]-[録画記録]タブの設定

Systemwalkerコンソール監査ログ

• 監査ログの出力設定

■アクセス制御

スタンダードモード・カスタムモード

サーバアクセス制御では、以下の2種類の設定方法があります。

• スタンダードモード
  • コンソールログイン
  • 業務サーバへのネットワーク接続
  • 権限昇格
  • ファイルにアクセスをしたユーザ・ファイル名
• カスタムモード
  • ファイルにアクセスをしたユーザ・ファイル名
  • プロセスに対する操作
  • ネットワークの利用に対する設定
  • コンソールログイン

カスタムモードでは、監査の対象やアクセス制御の対象がプロセスや、ポートなどの単位で詳細に把握できている場合に使用します。監査の対象やアクセス制御の対象をプロセスや、ポートといった詳細なレベルで把握できている場合を除き、スタンダードモードを使用してください。

一般ルール・優先ルール

サーバアクセス制御では、以下の2種類のルールがあります。

• 一般ルール

  アクセスの許可/拒否を設定する場合、以下を検討し決定したことを一般ルールと呼びます。

  • アクセスの許可を基本とする
  • アクセスの拒否を基本とする
• 優先ルール

  一般ルールと異なる設定が必要な場合、アクセスの許可/拒否の設定を行います。これを優先ルールと呼びます。

  なお、優先ルールは、一般ルールで制御対象とした動作のみ設定できます。

• 一般ルール・優先ルールの設定

  	一般ルール	優先ルール	説明
  1	アクセスを許可することを基本とした場合	アクセスを拒否するユーザ/グループ/端末を設定	業務処理への影響を軽減できますが、セキュリティ強度は低くなります。 社外からのアクセスのみを拒否したり、特定の利用者のみアクセスを拒否するといった、一部のユーザ/グループ/端末に対して、利用を限定する場合などに使用します。
  2	アクセスを拒否することを基本とした場合	アクセスを許可するユーザ/グループ/端末を設定	セキュリティ強度を高くできますが、業務処理への悪影響が考えられます。 [試行モード]を利用して業務への影響がないことを確認したあとにアクセス制御を行ってください。

スタンダードモード・カスタムモード、優先ルール・一般ルールの関係

以下にアクセス制御の設定について、スタンダードモード・カスタムモードのポリシーと、優先ルール・一般ルールの関係を示します。

アクセス制御の設定

• スタンダードモード

  保護対象	ルール
  コンソールログイン	優先ルールのみ設定します。 優先ルールの設定のみを行えば、自動的に一般ルールの設定が行われます。(注)
  ネットワーク接続
  権限昇格
  ファイルアクセス	一般ルール、優先ルールの順に設定します。

  注)例：ユーザAにコンソールログインの「許可」設定(優先ルール)を設定した場合、ユーザA以外にはコンソールログインの「拒否」設定(一般ルール)が自動的に適用されます。

• カスタムモード

  保護対象	ルール
  ファイルアクセス	一般ルール、優先ルールの順に設定します。
  プロセス
  ネットワーク接続
  コンソールログイン

試行モード

[試行モード]は、アクセス制御の設定に基づき、サーバへのアクセスの許可・拒否の判定を実施して判定結果をアクセス監査ログに出力するモードです。

アクセス制御を[試行モード]で実行することで、アクセス制御の設定を変更したときの業務への影響を確認できます。

試行モードでは、実際にアクセス制御の設定が有効となっていません。

監視画面通知

[監視画面通知]は、不正なアクセスが発生したときに[Systemwalkerコンソール]にメッセージを通知します。監視機能と連動することで、即座に不正なアクセスを確認できます。

[Systemwalkerコンソール]に通知されるメッセージを以下に示します。

• アクセスを許可していない制御対象にアクセスした場合

  FJSVsvac: WARNING: 00001 : A control target that is not allowed to be accessed has been accessed.

  
  
• アクセスを許可している制御対象にアクセスした場合

  FJSVsvac: WARNING: 00002 : A control target has been accessed.

コマンドのエラーメッセージ

サーバアクセス制御により、強制アクセス制御を行った結果、通常正常に終了するはずのコマンドがアクセス制御機能により必要な権限を得ることができずに異常終了することがあります。このような場合は、実行したコマンドにより以下のようなエラーメッセージが表示される場合があります。

例：ls(1)コマンドによりアクセス拒否されたディレクトリを参照した場合

例：コンソールログインが拒否されている場合にX Window Systemの画面からログインを行った場合

11.1.1 セキュリティ管理者/監査者を設定する【Linux版】

11.1.2 ポリシーを作成・配付する【Linux版】

目次 索引