セキュリティ確保に対する以下の機能の設計方法、注意事項について説明します。
サーバアクセス制御機能を使用するために必要な、運用の見直し項目について説明します。
設計時の前提条件
環境
他のアクセス制御製品との共存はできません。
ファイルシステム
ファイルアクセス制御機能を利用する場合に、アクセス制御設定が行えるファイルシステムは以下のファイルシステムタイプです。
Windowsの場合
FATファイルシステム、FAT32ファイルシステム、NTFS(Windows標準ファイルシステム)、ReFS
Linuxの場合
ext3ファイルシステム (Linux標準ファイルシステム)
PRIMECLUSTER GFSファイルシステム (PRIMECLUSTER用高性能ファイルシステム)
nfsファイルシステム (ネットワークファイルシステム)
iso9660ファイルシステム (CD-ROMなどで利用されているファイルシステム)
sysfsファイルシステム (/sysディレクトリなどで利用されるファイルシステム)
tmpfsファイルシステム (/dev/shmなどで利用されているファイルシステム)
devptsファイルシステム (/dev/ptsなどで利用されているファイルシステム)
procファイルシステム (/procなどで利用されているファイルシステム)
binfmt_miscファイルシステム (/proc/sys/fs/binfmt_miscなどで利用されているファイルシステム)
利用者権限の見直し
システムのセキュリティを向上するには、監査ログ/アクセス制御設定を検討する前に、システムの利用者に関する各種権限を見直してください。以下では、サーバアクセス制御機能を利用する際の一般的な利用者権限について説明します。
利用者のアクセス権限を検討する
サーバアクセス制御機能を使用する利用者のアクセス権限について説明します。
なお、以下の各利用者は、サーバアクセス制御機能を運用する上で異なる役割を持っています。各利用者は、機能を利用する上で兼任をすることが可能ですが、セキュリティを強化し、内部統制を確実なものにするためには、利用者ごとに異なるユーザを割り当てることを推奨します。
運用時の各利用者の役割については、“サーバアクセス制御を利用する場合の運用”を参照してください。
システムが機能的に正しく動作しているかを監視、管理する利用者です。サーバ上のハードウェアやソフトウェア(OSやミドルウェア、業務アプリケーションなど)に異常が発生した場合、その修復や調査を取り仕切るユーザです。このユーザは、通常はOSの管理アカウント(Linuxシステムでは一般的にroot、WindowsではAdministratorsグループに所属するユーザ)を持つ場合が多く、システムの修復や保守作業にはこれらの管理アカウントを利用して作業が行われています。
また、システムの規模や提供する機能により、システム管理者をより細分化し、データベース管理者、Web管理者などに役割を分割している場合があります。本書では、これらの管理者を区別する必要がない場合には、総称し、「システム管理者」として記載します。
なお、システム管理者は、運用管理サーバまたは運用管理クライアントにおいて、Systemwalker Centric ManagerのDmAdminのロールに所属させます。
システムがセキュリティ上正しく運用されるように設定を行う利用者です。セキュリティを考える際、必要以上の権限がシステム管理者や一般の利用者に与えないことを職務とします。システム管理者やセキュリティ監査者からの報告に基づき、安全な運用を行うように検討/設定をします。このためセキュリティ管理者自身の権限は、システム管理者やセキュリティ監査者とは分けておく必要があります。また、セキュリティ管理者自身の行動を統制するために、セキュリティ管理者を複数名任命する、またはシステム管理者、セキュリティ監査者との相互牽制を行う体制をとるなど、セキュリティ管理者自身の抑制を考えた組織作りが必要です。
なお、セキュリティ管理者は、運用管理サーバまたは運用管理クライアントにおいて、Systemwalker Centric ManagerのDmAdmin、DmOperation、またはDmReferenceのロールに所属させます。ただし、利用者ごとに異なる権限で運用する場合は、DmOperation、またはDmReferenceのロールに所属させます。
セキュリティ管理者が実施した設定に対して、悪意ある操作や攻撃、および誤操作が行われていないかを監査する利用者です。一般的に、コンピュータシステムのセキュリティを監査する場合は、アクセス監査ログへのアクセス、集計したレポートへのアクセス、検索画面によるレコード検索、システム保守承認状況の確認、運用管理サーバ上の録画データの再生を行い、問題がないかを確認します。アクセス監査ログに必要十分な情報が出力されているか調査も行います。
なお、セキュリティ監査者は、運用管理サーバまたは運用管理クライアントにおいて、Systemwalker Centric ManagerのDmAdmin、DmOperation、またはDmReferenceのロールに所属させます。ただし、利用者ごとに異なる権限で運用する場合には、DmOperation、またはDmReferenceのロールに所属させます。
システム管理者などの管理者からの依頼により、実際にシステムの設定を変更するオペレータ、また、Webなどのシステム上で動作するサービスを利用して間接的にシステム上の情報を参照/操作するユーザなど、システムを利用する管理者以外のユーザすべてを指します。必要な権限以上の操作が行われていないかなど、セキュリティ管理者、セキュリティ監査者により常に管理/監査されるユーザです。
OS上のユーザを整理する
既存のシステム運用で利用しているOS上のユーザを整理する必要があります。具体的には以下のユーザ設定に注意してください。
管理者アカウント(rootユーザ、Administratorsグループに所属するユーザ)でサーバの操作を制御することが可能ですが、アクセス制御の設定によっては強力な権限を持つユーザです。このため、管理者アカウントのパスワードについては、少数のシステム管理者にのみ利用可能とすることや、定期的にパスワード変更を行うなどの施策を徹底してください。
管理者アカウントに昇格して実施していた作業は、サーバアクセス制御機能の導入後、セキュリティ管理者に承認を受けて実施します。セキュリティ管理者から承認を受けた後、作業者は管理者権限が必要な作業を実施してください。
一般ユーザのアカウントは、誰が操作を行っているかを一意に判別する重要な情報です。複数人で同一のユーザIDを利用している場合は、操作者を特定しにくくなります。安全な運用を行うためには、利用者一人ひとりに一意となるユーザIDを割り振りしてください。
保護資産の見直し
サーバアクセス制御を利用する上で必要となる保護資産と脅威の基本的な考え方について説明します。
保護資産と脅威の概要
スタンダードモードでファイルアクセスを検討する場合、またはカスタムモードを利用する場合は、保護すべき対象(保護資産)を決定し、誰(何)から、どのような脅威に対して保護を行うかを決定してください。
以下に、保護資産に対する代表的な脅威の例、および防御手段を説明します。
保護資産 | 代表的な脅威と発生原因の例 | 防御手段 | |
|---|---|---|---|
ファイル/ | 情報漏洩 | 必要以外の利用者がファイルを参照することにより発生する。 | 読み込みの制御 |
証拠隠滅 | システムやアクセスログを削除することにより発生する。 | 書き込み、削除、作成、変名、属性変更の制御 | |
改ざん | 対象のファイルの内容が書き換えられることにより発生する。 | 書き込み、削除、作成、変名の制御 | |
プロセス | システム停止 | システムやサービスの停止コマンドを起動することにより発生する。 | 起動の制御 |
システム停止 | 動作中のプロセスを強制終了することにより発生する。 | 強制終了の制御 | |
ネットワーク | 不正侵入 | 許可された以外のネットワークからの進入などにより発生する。 | ネットワーク接続の制御 |
以下に、保護資産、および発生しうる脅威について、それぞれ説明をします。
保護する資産を検討する
保護すべき資産を決定します。
監査、およびアクセス制御すべきファイル/ディレクトリはあるか?
監査、およびアクセス制御すべきアクション(プロセス)はあるか?(コンソールからのログイン/権限昇格/その他)
監査、およびアクセス制御すべきネットワーク接続はあるか?(ネットワーク経由のログイン/ネットワークファイル転送/その他)
すでにセキュリティ製品を導入している場合は、既存の設定と照らし合わせて検討してください。セキュリティ製品を導入していない場合、上記を明確にできない場合でも、サーバへのアクセス状況を把握することが可能です。
保護資産に対する脅威を想定する
保護すべき資産がある程度明確にすることができた場合は、次に、どのような脅威から守りたいかを具体的にします。保護資産が抱える脅威と合わせて明確にすることをお勧めします。以下に、一般的な脅威について説明します。
保護資産がファイルやディレクトリである場合の脅威の例
情報漏洩
情報漏洩の中心となるのがこのファイルやディレクトリとなります。特に顧客 情報や従業員情報などを含む場合は、参照できるユーザを限定することが重要となります。
改ざん
改ざんを契機としたシステムトラブルには、プログラムの動作をつかさどる定義ファイルなどが改ざんされた場合に発生しうるシステム停止や、顧客情報などが改ざんされることによる社会的トラブルなど、多くのトラブルの原因となります。これらの脅威は、対象となるファイルの書き込みや削除を抑止することで無効化することが可能です。
保護資産がプロセスである場合の脅威の例
プロセス起動によるシステム停止
ファイル改ざんなどによるシステム停止よりもより直接的な手法、すなわちシステム停止コマンドを実行するなどにより発生する脅威です。この脅威は、悪意ある利用者以外にも、正規の利用者による作業ミスによっても発生する問題です。システムやサービスの停止コマンドを実行抑止することで未然に防ぐことが可能です。
プロセスの強制終了によるサービス停止
停止コマンドを実行しなくても、対象となるサービスを構成するプロセスを強制終了させることで、簡単にWebサービスなどを停止させることができます。守りたいプロセスが明確になっていれば、強制終了に対する防御を行うことが可能です。
保護資産がネットワークの場合の脅威の例
ネットワークからの不正侵入
サーバへの進入経路のうち、最も一般的であり注意する必要のあるものとしてネットワークからの侵入が考えられます。ネットワーク経由での不要なログインを拒否することにより、脅威を低減することが可能です。
防御手段を検討する
それぞれの保護資産に対して、以下の設定を行うことで、脅威から保護資産を守ります。それぞれの防御手段が持つ特徴を理解することで、より強固なシステムを構築できます。
ファイル/ディレクトリに対する監査/防御手段
読み込みの監査/防御
主に情報漏洩を防ぐ中心的な設定です。特定のファイルへの読み込みを防御することで、ファイルやディレクトリに格納されている情報が漏洩することを防ぐことができるようになります。ただし、プログラムなどの定義ファイルへ読み込みの防御設定を行う場合、プログラムが動作しないなどの問題が発生する場合があります。
書き込みの監査/防御
主にファイルの改ざんを防ぐ中心的な設定です。特定のファイルへの書き込みを防御することで、ファイルやディレクトリに格納されている情報が改ざんされることを防ぐことができます。システムなどのログファイル(シスログなど)へ書き込みの防御を行うと、ログが残らなくなるなどの問題が発生するため、注意が必要です。
なお、ファイルの改ざんなどを防御するために、書き込みの防御を設定する場合は、合わせて削除/作成/変名などの設定も検討してください。
削除の監査/防御
システム上重要な定義ファイルなどが削除されることを防ぎます。これにより、システムやサービスの停止といった脅威に対抗できます。また、ファイルの改ざんなどが行われる手段としても、ファイル削除を利用することが可能な場合があります。改ざんを抑止したい場合は、書き込みの防御と合わせて削除も防御設定に追加してください。
作成の監査/防御
悪意ある操作者によるファイルの改ざんなどは、単にファイルを書き換える(書き込み)だけでなく、ファイルを削除した後、新たなファイルを作成することでも可能です。書き込みや削除の防御を行う際は、作成の抑止を行って問題ないと判断できた場合のみ、作成の防御も設定してください。
変名の監査/防御
削除/作成と同じく、ファイルの操作に対し、書き込みと同じような制御を行うことが可能となります。
属性変更の監査/防御
所有者やファイルのパーミッション(アクセス権)を変更する操作を抑止できます。サーバアクセス制御を利用している限り、属性変更などによる脅威は大幅に削減することが可能ですが、書き込み、削除などの抑止を行う際には合わせて設定しておくとよりセキュリティ強度を高くすることが可能です。
プロセスに対する監査/防御手段
起動の監査/防御
システム停止コマンドなど、通常は起動してはならないコマンドに対して設定することが可能です。設定は、コマンドが格納されているディレクトリを含むフルパスで指定します。なお、シンボリックリンクが作成されたコマンドの場合は、シンボリックリンクの先にあるファイルに対して制御設定を行ってください。
強制終了の監査/防御
すでに動作済みのプロセスに対して、強制終了を防御します。これにより不用意なプロセスの終了を防ぐことが可能です。
ネットワークに対する監査/防御手段
ネットワーク接続の監査/防御
本来アクセスが不要な、またはアクセスされるべきではないネットワークからのログインを監査/防御するための設定が可能です。
アクセス制御の設定項目を検討する
設定のモードを決定する
サーバアクセス制御の設定には、2つのモードがあります。モードを決定し、セキュリティを強化する場合の設計方針を決定します。
スタンダードモード
一般的なサーバへのアクセス経路を監査することが可能です。多くの設定を必要とせずに監査運用を開始することができます。また、スタンダードモードで設定できる監査項目は、そのままカスタムモードのアクセス制御設定へ展開することも可能です。
なお、スタンダードモードでも、ファイルおよびレジストリの監査/アクセス制御設定だけはカスタムモードと同じ設定が可能です。
カスタムモード
スタンダードモードで設定可能な監査/アクセス制御設定の他、制御対象を設定して個別のプロセスの監査/アクセス制御設定を行うことができます。スタンダードモードに比べより詳細な設定を行うことが可能です。ファイルとレジストリの監査/アクセス制御設定は、スタンダードモードとカスタムモードで同じ設定となります。
以下に、スタンダードモードとカスタムモードの関係を示します。
運用開始時に、スタンダードモード、またはカスタムモードのどちらのモードを使用するかについては、以下の流れ図を参照して検討してください。
アクセス制御設定
各保護資産に対して「ログ出力のみ」の設定を中心にサーバアクセス制御機能を利用した結果、アクセス違反や不要と思われる操作を検出した場合、スタンダードモード、カスタムモードともにアクセス制御設定を追加していくことが可能です。アクセス制御設定は、システム管理者(rootユーザ、Administratorsグループに所属するユーザ)に対しても有効な設定を行うことが可能ですが、反面、システムへの影響がないかを、十分に検証する必要があります。
サーバアクセス制御機能では、アクセス制御機能のシステムへの影響を確認するために、「試行モード」を提供しています。
「サーバアクセス制御」画面でアクセス制御設定を追加する際、設定画面にある「試行モード」をチェックすることで、追加/変更するアクセス制御設定がどのようにシステムへ影響を与えるかを、監査ログから確認できます。アクセス制御設定を追加/変更する際は、「試行モード」を利用し、システムが正常に動作するかを確認してください。
なお、試行モードを表す監査ログの出力内容などについては、“Systemwalker Centric Managerリファレンスマニュアル”の“アクセス監査ログファイル”を参照してください。
アクセス制御設定の例
Webサーバへのアクセス制御を検討する場合の設定例を示します。
要件
一般的なWebサーバに対して、Webコンテンツ、Webサーバ(プログラムと定義ファイル)の改ざん、およびWebサーバの起動停止を監査/制御したい
Webサーバは、OS上の「httpd」ユーザにより管理されており、Webコンテンツの編集は「httpd」ユーザ以外は(システム管理者であっても)拒否したい
Webサーバ(httpdプロセス)の強制終了を防御したい
設定例)
サーバアクセス制御の設定を以下のとおり行います。
制御種別 | 保護対象 | 設定内容 | ||||||
|---|---|---|---|---|---|---|---|---|
ファイル | 対象 | 読込 | 書込 | 作成 | 削除 | 変名 | 属性 | |
Webコンテンツ格納ディレクトリ(/var/www/など) | httpd(ユーザ) | - | ○ | ○ | ○ | ○ | ○ | |
上記以外 | - | × | × | × | × | × | ||
Webサーバプログラム/定義ファイル(/etc/httpd/、/usr/sbin/httpdなど) | 全ユーザ | - | × | × | × | × | × | |
プロセス | 対象 | 起動 | 強制終了 | |||||
Webサーバプログラム(/usr/sbin/httpdなど) | 全ユーザ | - | × | |||||
注)
ファイルの変名を行う場合、変名先のファイルまたはディレクトリには、書き込み権、作成権、削除権が必要です。
アクセス制御設定時の注意事項
プロセスのアクセス制御
プロセスのアクセス制御設定が行われている場合、および保守支援機能によりシステム保守作業を行っている場合に出力されるコマンド実行のアクセス監査ログには、Shellが提供しているビルトインコマンドのログは出力されません。Shellのビルトインコマンドとは、以下のようなコマンドを指します。
cdコマンド
execコマンド
シェルスクリプト
プロセスアクセス制御をシェルスクリプトに対して行う場合は、プロセスアクセス制御対象のシェルスクリプトに読み込み権限が必要です。
ハードリンク
ファイルやディレクトリに対するハードリンクを作成することは、アクセス制御設定をかいくぐるための悪意ある操作に利用されやすいことから、読み込みや書き込みなど何らかの拒否設定が行われたファイルは、ハードリンクの作成も自動的に拒否されます。
シンボリックリンク
シンボリックリンクファイルに対しては、OSの特性上読み込みのファイルアクセス制御のみが有効となります。このため、シンボリックリンクファイルに対しては、読み込み以外のアクセス制御設定は無視されます。
このような場合は、シンボリックリンク先のファイルを確認した後、シンボリックリンク先のファイルへアクセス制御設定を追加してください。
ネットワークアクセス制御
ネットワークのアクセス制御設定で、「ログ出力のみ」または「許可」設定が行われているポートへ、同じクライアントから続けてアクセスが行われた場合、ログの冗長性を抑止するために監査ログ出力されないことがあります。ネットワークのアクセス制御で「ログ出力のみ」または「許可」設定を行った場合に出力される監査ログは、接続元の判断にだけ利用してください。
