サーバアクセス制御機能を設定する作業の流れを説明します。
サーバ資産に対する操作を制御する作業の流れを説明します。
セキュリティ管理者/監査者については、“セキュリティ管理者/監査者”を参照してください。 |
監査ログの出力設定については、“監査ログの出力設定”を参照してください。 |
スタンダードモードについては、“アクセス制御”を参照してください。 |
事前に、“監査ログ管理の設定例”の“運用管理サーバ側の設定”を参照し、格納ディレクトリの設定を行ってください。また、必要に応じて“収集対象のサーバを限定する”に記述されている設定を実施してください。(注) |
6.監査ログの正規化/集計を自動化する |
7.ログ集計表を適用・カスタマイズする |
カスタムモードについては、“アクセス制御”を参照してください。 |
注)
すでに監査ログ管理を使用している場合、設定は不要です。
“監査ログ管理の設定例”に記述されている運用管理サーバ以外のサーバ種別の設定は不要です。
セキュリティ管理者/監査者
各管理者/監査者の設定については、“セキュリティ管理者/監査者を設定する”を参照してください。
運用管理サーバのセキュリティ管理者の設定
Systemwalker Centric Managerをインストールした直後には、運用管理サーバのセキュリティ管理者は設定されていません。セキュリティポリシーを作成する場合、セキュリティ管理者の設定が必要です。
設定は、運用管理クライアントのSystemwalkerコンソールを使用し、サーバアクセス制御のポリシーを作成する前に行ってください。
登録されたセキュリティ管理者は、以下の設定を行うことができます。
運用管理サーバのセキュリティ監査者の設定
管理対象サーバのセキュリティ管理者/セキュリティ監査者の設定
アクセス監査ログ出力およびアクセス制御の設定
セキュリティポリシーの作成/編集/削除
監査ログ管理の設定
監査ログ出力の設定
セキュリティを維持したままシステム保守を行う場合の承認
運用管理サーバのセキュリティ監査者の設定
Systemwalker Centric Managerをインストールした直後には、運用管理サーバのセキュリティ監査者は設定されていません。
設定は、運用管理サーバのセキュリティ管理者が、運用管理クライアントでSystemwalkerコンソールからセキュリティ監査者を設定します。
登録されたセキュリティ監査者は、運用管理サーバでセキュリティポリシー設定内容の参照ができます。また、アクセス監査ログの監査を行うことができます。
管理対象サーバのセキュリティ管理者の設定
運用管理サーバのセキュリティ管理者が、運用管理クライアントでSystemwalkerコンソールから管理対象サーバのセキュリティ管理者を設定します。設定は、システム管理者が当該設定をポリシーとして配付/適用することで有効になります。
登録されたセキュリティ管理者は、当該の管理対象サーバで以下のシステム保守コマンドを実行できます。
システム保守承認コマンド
システム保守終了コマンド
システム保守承認状況表示コマンド
管理対象サーバのセキュリティ監査者の設定
運用管理サーバのセキュリティ管理者が、運用管理クライアントでSystemwalkerコンソールから管理対象サーバのセキュリティ監査者を設定します。設定は、システム管理者が当該設定をポリシーとして配付/適用することで有効になります。
登録されたセキュリティ監査者は、当該の管理対象サーバで、録画した操作の再生コマンドを実行できます。
監査ログの出力設定
アクセス監査ログ
監査ログの出力先
監査ログの保存日数
操作の録画データ
サーバアクセス制御機能の[録画設定]画面の設定【Linux版】
Systemwalkerコンソール監査ログ
監査ログの出力先
監査ログの保存日数
アクセス制御
サーバアクセス制御では、以下の2種類の設定方法があります。
スタンダードモードは配付先のサーバ(ノード)を設定するだけで運用できるモードです。
カスタムモードは、監査の対象やアクセス制御の対象がプロセスや、ポートなどの単位で詳細に把握できている場合に使用します。
スタンダードモード
ファイル
suコマンドの実行【Linux版】
レジストリ【Windows版】
ネットワーク接続【Linux版】(注)
コンソールログイン
ネットワークログイン
カスタムモード
ファイル
プロセス
レジストリ【Windows版】(注)
ネットワーク接続【Linux版】
コンソールログイン
ネットワークログイン
運用管理サーバにおいて、Systemwalker Centric Manager V15.0.1以前のサーバに対するセキュリティポリシーの設定・配付のみ可能です。
一般ルール・優先ルール
サーバアクセス制御では、以下の2種類のルールがあります。
一般ルール
アクセスの許可/拒否を設定する場合、以下を検討し決定したことを一般ルールと呼びます。
アクセスの許可を基本とする
アクセスの拒否を基本とする
優先ルール
一般ルールに対して、例外の制御(許可/拒否)の設定を行います。これを優先ルールと呼びます。
なお、優先ルールは、一般ルールで制御対象とした動作のみ設定できます。
一般ルール・優先ルールの設定
一般ルール | 優先ルール | 説明 | |
|---|---|---|---|
1 | アクセスを許可することを基本とした場合 | アクセスを拒否するユーザ/グループ/端末を設定 | 業務処理への影響を軽減できますが、セキュリティ強度は、「アクセスを拒否することを基本とした場合」よりも低くなります。 社外からのアクセスのみを拒否したり、特定の利用者のみアクセスを拒否するといった、一部のユーザ/グループ/端末に対して、利用を限定する場合などに使用します。 試行モードを利用して業務への影響がないことを確認した後にアクセス制御を行ってください。 |
2 | アクセスを拒否することを基本とした場合 | アクセスを許可するユーザ/グループ/端末を設定 | セキュリティ強度を高くできますが、業務処理への悪影響が考えられます。 試行モードを利用して業務への影響がないことを確認した後にアクセス制御を行ってください。 |
優先ルールの推奨設定
優先ルールを設定する場合、rootやAdministratorなど明にユーザ名を指定したい場合を除き、グループ名を指定してください。グループ名を指定してアクセス制御を行う場合、OSユーザの追加/削除に伴うアクセス制御ポリシーの更新・再配付が不要となります。
注意
ルールは1つのポリシーに対して、2000個まで作成できます。
優先ルールにおいて、同じルール内容にユーザ/グループを複数指定した場合、1つのユーザ/グループごとに1つのルールとカウントします。
保護対象種別が「ネットワーク接続」(カスタムモード)の一般ルールにおいて、ポート番号の範囲指定を使用して複数ポート番号を指定した場合、1つのポート番号ごとに1つのルールとカウントします。
上記以外の優先ルールおよび一般ルールは、1つごとに1つのルールとカウントします。
スタンダードモード・カスタムモード、優先ルール・一般ルールの関係
以下にアクセス制御の設定について、スタンダードモード・カスタムモードのポリシーと、優先ルール・一般ルールの関係を示します。
アクセス制御の設定
モード | 保護対象 | ルール |
|---|---|---|
スタンダードモード | ファイル | 一般ルール、優先ルールの順に設定します。 |
レジストリ【Windows版】(注1) | ||
コンソールログイン | 優先ルールのみ設定します。 優先ルールの設定のみを行えば、自動的に一般ルールの設定が行われます。(注2) | |
ネットワーク接続【Linux版】(注1) | ||
suコマンドの実行【Linux版】 | ||
ネットワークログイン | ||
カスタムモード | ファイル | 一般ルール、優先ルールの順に設定します。 |
プロセス | ||
レジストリ【Windows版】(注1) | ||
ネットワーク接続【Linux版】(注1) | ||
コンソールログイン | ||
ネットワークログイン |
運用管理サーバにおいて、Systemwalker Centric Manager V15.0.1以前のサーバに対するセキュリティポリシーの設定・配付のみ可能です。
例)
ユーザAにコンソールログインの「許可」設定(優先ルール)を設定した場合、ユーザA以外にはコンソールログインの「拒否」設定(一般ルール)が自動的に適用されます。
アクセス制御の対象となる操作の一覧は以下のとおりです。
モード | 保護対象種別 | OS | |
|---|---|---|---|
Linuxの場合 | Windowsの場合 | ||
スタンダードモード | コンソールログイン/ログオン |
|
|
suコマンドの実行 | suコマンドの実行 | - | |
ネットワーク接続 | telnet、ssh、ftp接続 | × | |
ネットワークログイン | telnet、ssh、ftpによるログイン(注1) | リモートデスクトップ接続によるログオン | |
カスタムモード | プロセス起動 | コマンド、スクリプトの実行 | exeファイルの実行 |
プロセス終了 | kill(コマンド/API)によるプロセスの強制停止(SIGKILL送信) | タスクマネージャ等によるプロセスの強制停止 | |
コンソールログイン/ログオン |
|
| |
ネットワークログイン | telnet、ssh、ftpによるログイン(注1) | リモートデスクトップ接続によるログオン | |
ファイル読み込み | ファイルの場合: 読み込み操作 ディレクトリ場合: ファイル一覧取得操作 | ||
ファイル書き込み | ファイルの場合: 書き込み操作 ディレクトリの場合: 配下のファイル作成操作 | ||
ファイル作成 | ファイル/ディレクトリの作成処理 | ||
ファイル削除 | ファイル/ディレクトリの削除処理 | ||
ファイル変名 | ファイル/ディレクトリの変名処理。 ただし、別のディスク(ドライブ)への変名処理の場合、変名元の「ファイル削除」と変名先の「ファイル作成」処理として扱う。 | ||
ファイル属性変更 | ファイル/ディレクトリの属性変更(所有権、パーミッション) | ファイル/ディレクトリの属性変更(アクセス許可(ACL)、読み取り専用、隠しファイル、アーカイブ属性、インデックス属性、圧縮属性、暗号化属性) | |
ネットワーク | IPアドレス、ポート指定のTCP/UDP接続 | × | |
レジストリ読み込み | - |
| |
レジストリ書き込み | - |
| |
レジストリ作成 | - |
| |
レジストリ削除 | - |
| |
ネットワークログインでサポートするサービスは以下です。
telnetによるログインの場合、intelnet.dサービス
sshによるログインの場合、sshdサービス
ftpによるログインの場合、vsftpdサービス
保護対象に指定したキーの末尾が「\」の場合
保護対象に指定したキーの末尾が「\」でない場合
試行モード
試行モードは、アクセス制御の設定に基づき、サーバへのアクセスの許可・拒否の判定を実施して判定結果をアクセス監査ログに出力するモードです。実際にアクセスが拒否されることはありません。
このため、アクセス制御を試行モードで実行することで、アクセス制御の設定を変更したときの業務への影響を確認できます。
監視画面通知
監視画面通知は、アクセス制御設定のルールに該当する操作が行われたときにSystemwalkerコンソールにメッセージを通知します。監視機能と連動することで、即座に不正なアクセスを確認できます。
Systemwalkerコンソールに通知されるメッセージを以下に示します。
アクセスを許可していない制御対象にアクセスした場合
FJSVsvac: WARNING: 00001 : A control target that is not allowed to be accessed has been accessed. |
アクセスを許可している制御対象にアクセスした場合
FJSVsvac: WARNING: 00002 : A control target has been accessed. |
コマンドのエラーメッセージ
サーバアクセス制御により、強制アクセス制御を行った結果、通常正常に終了するはずのコマンドがアクセス制御機能により必要な権限を得ることができずに異常終了することがあります。このような場合は、実行したコマンドにより以下のようなエラーメッセージが表示される場合があります。
例)
ls(1)コマンドによりアクセス拒否されたディレクトリを参照した場合
ls: <アクセス先ディレクトリ>: 許可がありません |
例)
コンソールログインが拒否されている場合にX Window Systemの画面からログインを行った場合
あなたのセッションは 10秒以上続きませんでした。 もしあなた自身がログアウトしていない場合、インストールに問題があるか、ディスクの空き容量が足りないかもしれません。フェイルセーフなセッションからログインし、この問題を解決できるかどうか確認してください。 |
注意
Systemwalker Centric Manager V15.1.0以降のサーバに、保護対象種別「ネットワーク接続」または「レジストリ」を含むセキュリティポリシーを配付した場合、イベントログまたはシステムログに警告メッセージが出力されます。
Windows Server 2012以降では、プロセス終了のアクセス制御/ログ出力、コンソールログイン/ネットワークログインのアクセス制御は使用できないため、プロセス終了の[許可][拒否][ログ出力のみ]設定およびコンソールログイン/ネットワークログインの[拒否]設定は無効になります。
このため、アクセス制御ポリシーにおいて、以下の条件のどれかを満たすルールをWindows Server 2012以降のWindowsサーバに配付した場合、イベントログに警告メッセージが出力されます。
スタンダードモード
保護対象種別が「コンソールログイン」で、かつ[許可]を選択した場合、[許可]に指定したユーザ以外への「拒否」設定
保護対象種別が「コンソールログイン」で、かつ[拒否]を選択した場合、指定したユーザへの「拒否」設定
保護対象種別が「ネットワークログイン」で、かつ[許可]を選択した場合、[許可]に指定したユーザ以外への「拒否」設定
保護対象種別が「ネットワークログイン」で、かつ[拒否]を選択した場合、指定したユーザへの「拒否」設定
カスタムモード
保護対象種別が「プロセス」の「一般ルール」で、かつ[終了]のチェックボックスにチェックが入っている場合
保護対象種別が「プロセス」の「優先ルール」である場合
保護対象種別が「コンソールログイン」の「一般ルール」で、かつ[拒否]を選択している場合
保護対象種別が「コンソールログイン」の「優先ルール」で、かつ[拒否]を選択している場合
保護対象種別が「ネットワークログイン」の「一般ルール」で、かつ[拒否]を選択している場合
保護対象種別が「ネットワークログイン」の「優先ルール」で、かつ[拒否]を選択している場合
以下が出力されるメッセージです。
FJSVsvac: WARNING: 01013: サポートされていない保護対象種別を含む[アクセス制御]ポリシーが配付されました。 |
Windows Server 2012以降では、安全なシステム保守支援機能が使用できないため、以下の操作は行えません。
[保守作業の承認]画面で、Windows Server 2012以降のWindowsサーバのホスト名を指定して[OK]ボタンをクリックして承認番号を発行する
Systemwalkerコンソールの[操作]-[サーバアクセス制御]-[保守承認状況の表示/回収]で表示される[サーバの選択]画面で、Windows Server 2012以降のWindowsサーバのホスト名を指定して[OK]ボタンをクリックし、保守承認状況を表示する。
