インターネットに代表されるコンピュータネットワークの発達により、企業内はもちろん、さまざまな場所から企業内ネットワークにアクセスが可能となっています。利便性が向上した反面、不正アクセスや情報漏洩といったセキュリティ上の問題も深刻になってきました。
セキュリティとは「安全」や「危険、危害といった安全を脅かすもの(脅威)に対する防衛」の意味です。セキュリティの脅威は、大きく以下のように分類されます。
分類 | 脅威の具体例 | |
|---|---|---|
偶発的脅威 | 天災 | 地震、落雷、火事など |
故障 | ハードウェア障害、ソフトウェア障害など | |
誤操作 | 運用ミス、接続間違いなど | |
意図的脅威 | 第三者の悪意ある行為 | 不正アクセス、なりすましなど |
関係者の悪意ある行為 | パスワードの漏洩、顧客情報の暴露など | |
セキュリティを確保するための要件として以下の3つがあります。
機密性
アクセス許可されている情報以外は絶対に見えないようにすること。
完全性
情報が常に完全な形で保たれており、意図的、または偶発的な不正によって改ざんされないこと。
可用性
システムの資源や保存されている情報がいつでも利用できること。
これらの要件が満たされなくなることにより、脅威が発生します。
要件の喪失 | 具体的脅威 |
|---|---|
機密性の喪失 | 管理者権限が必要な操作が管理者権限を持たない担当者によって利用される、など。 |
完全性の喪失 | 管理用の定義データが何者かによって不正に改ざんされる、など。 |
可用性の喪失 | システム異常により大量の監視イベントが発生し、ディスク資源やネットワーク資源が枯渇する、など。 |
セキュリティの要件が満たされなくなることによって脅威が発生します。したがって、セキュリティを確保するためには、セキュリティの要件を満たすような対策を講じる必要があります。
アクセス制御(機密性を満たすための対策)
アクセス制御では、利用者(ユーザ)の管理、利用者(ユーザ)の権限の管理が必要です。
Systemwalker管理者アカウントについて(UNIX)
Systemwalker管理者アカウントをインストール前にあらかじめ作成する必要があります。Systemwalker管理者アカウント作成の際には破られにくいパスワードの設定を行ってください。また、漏洩しないようにパスワードの管理を厳重に行ってください。
Systemwalker Centric Managerの利用者とロールについて
Systemwalker Centric Managerの利用者は運用管理者です。運用管理者は、システム管理者(UNIXではroot、WindowsではAdministratorsグループに所属するユーザ)とシステムの異常を監視する監視担当者、プログラムやデータなどのシステム資源の配付を行う配付担当者に分類されます。
Systemwalker Centric Managerは、ロールという単位で各機能の利用権限を定義しています。ロールとは、共通の役割(権限)を持つ利用者から構成するグループのことです。Systemwalker Centric Managerをインストールすると、以下のロールが登録されます。
ロール名 | 説明 | 使用機能 |
|---|---|---|
DmAdmin | 監視機能の管理系ロール | Systemwalkerコンソール リモート操作(注) |
DmOperation | 監視機能の操作系ロール | |
DmReference | 監視機能の参照系ロール | |
DistributionAdmin | 資源配付の管理系ロール | 資源配付 |
DistributionOperation | 資源配付の操作系ロール | |
DistributionReference | 資源配付の参照系ロール | |
OrmOperation | 返答機能の操作系ロール | 返答操作のコマンド |
SecurityAdmin | セキュリティの管理者 | Systemwalkerコンソール 監査ログ管理 サーバアクセス制御 |
SecurityAuditor | セキュリティの監査者 | Systemwalkerコンソール 監査ログ管理 サーバアクセス制御 監査ログ分析 |
AssetAdmin | システム全体の資産管理者 | 資産管理 |
AssetSectionAdmin | 部門配下の資産管理者 |
「クライアント」以外のインストール種別でインストールした場合にロール設定が必要です。
Systemwalker Centric Managerの利用者(運用管理者)とロールの関係を以下に示します。
所属させるロールの種類により、ユーザが使用できる機能と利用権限が決まります。
システム管理者は、運用管理者を上記のロールに適宜所属させてください。
また、監視担当の管理者(DmAdmin)は監視用のロールと返答機能の操作系ロールに利用者を登録することができます。
配付担当の管理者(DistributionAdmin)は配付用のロールに利用者を登録することができます。
セキュリティ担当の管理者(SecurityAdmin)はセキュリティ用のロールに利用者を登録することができます。
Systemwalker Centric Managerのディレクトリ、ファイルのアクセス権について
【Windows版】
Systemwalker Centric Managerに関係するディレクトリ、ファイルへのアクセス権を各ロールに対して与えています。システム管理者、監視担当の管理者、配付担当の管理者はSystemwalker Centric Managerを利用するユーザすべてを、適切なロールに登録してください。
【UNIX版】
Systemwalker Centric Managerに関係するディレクトリ、ファイルへのアクセス権をオーナーとswadminグループに所属しているユーザに限定しています。
インストール時にswadminグループが作成されますので、システム管理者はSystemwalker Centric Managerを利用するユーザすべてをswadminグループに登録してください。
アクセスできる資源の制限について
Systemwalkerコンソールでは、ノード管理ツリーや業務管理ツリーを利用することで、利用者が監視/操作できる資源を制限することができます。
ノード管理ツリーや業務管理ツリーについては、“Systemwalker Centric Manager 使用手引書 監視機能編”を参照してください。
物理的保護、ネットワーク環境の保護 (完全性を満たすための対策)
Systemwalker Centric Managerの利用者は運用管理者であり、一般の利用者とは異なります。Systemwalker Centric Managerに関連する機器、記録媒体などを物理的に保護することは、非常に有効な対策です。
具体的な例としては、以下などがあげられます。
運用管理者だけが入退室可能な鍵のかかる部屋に機器を設置する。
入退室の記録を取り不審者のチェックを行う。(建物単位での入出管理も同様)
耐震設備のある施設に機器を設置し、災害による影響から保護する。
また、ネットワーク上を流れるデータの保護も重要です。Systemwalker Centric Managerでは一部データの暗号化機能をサポートしていますが、運用管理用の専用LANを用意し、ネットワーク環境として安全性を保護する方法も非常に有効な対策です。
運用設計について (可用性を満たすための対策)
Systemwalker Centric Managerでは、大量メッセージ発生時に一定数以上のメッセージを棄却し、ディスク資源やネットワーク資源といった利用資源の枯渇を防ぐ機能を持っていますが、運用で適切なパラメタを設定する必要があります。運用設計時に資源の見積もりを十分に行い、円滑に運用が行えるように設計を行ってください。
また、運用時に利用者(運用管理者)が操作ミスや不正な操作を試みないように、利用者(運用管理者)に対する教育も適宜行うような組織のセキュリティポリシーを策定することも重要な対策となります。
