1    システム・セキュリティ

オペレーティング・システムのセキュリティ対策が効果的であれば,不正アクセス,コンピュータ時間の盗用,および各種の機密情報 (マーケティング計画,製法,自社開発ソフトウェアなど) の盗難を防ぐのに役立ちます。これらの対策によって,装置,ソフトウェア,およびファイルを改ざんによる損害から守ることもできます。

この章では,オペレーティング・システムに用意されているセキュリティ対策の概要をセキュリティ管理者に示します。Part 3 では,サイトのセキュリティ・ポリシー,セキュリティ管理者の作業,およびサイトのコンピュータ・システムや資源を保護する方法について,さらに詳しい情報を示します。

1.1    コンピュータ・セキュリティ問題のタイプ

どのようなシステムにも,権限を持つユーザと権限のないユーザの,2 種類のユーザが存在します。コンピュータ・システムの使用を許可された人は,サイトのセキュリティ管理者が設定した登録基準に従ってシステムとシステム内の資源を利用する権限を持っています。使用基準には,使用できる時間帯,ログインのタイプ,使用できる資源の種類 (プリンタやターミナルなど),その他が含まれます。権限のないユーザは,システムを使用する権限をまったく持たないか,指定された時間帯しか使用できないか,または特定のシステム資源を使用する権限を持っていません。

通常,コンピュータ・システムのセキュリティ侵害は,以下の 4 種類の行為の結果として生まれます。

これらの問題を回避する方法について,以下の章で説明します。

1.2    セキュリティ要件のレベル

各サイトには,それぞれ固有のセキュリティ要件があります。中には,ほとんど悪影響を及ぼさない形態の不正アクセスが許容されるために,ごく限られた対策しか必要としないサイトもあります。その対極にあるのは,戦略的軍事防衛センターのように,ほんの些細な詮索行為でも見逃すことができないサイトです。銀行など,商用サイトの多くは,これらの中間になります。

セキュリティ条件を決定するにはさまざまな考慮事項がありますが,表 1-1 の質問はその出発点になります。これらの質問に対する回答が,セキュリティ条件のレベルを決定するのに役立ちます。サイトのセキュリティ要件のより具体的な例については,6.2 節も参照してください。

表 1-1:  セキュリティ要件の基準となるイベント許容度

質問 : 以下のイベントを許容できますか。 許容度の回答に基づくセキュリティ要件のレベル    
 

ユーザがシステム上で実行されるイメージを知っている

Y Y N

ユーザが他のユーザのファイル名を知っている

Y Y N

ユーザがグループ内の別のユーザのファイルにアクセスする

Y Y N

部外者がダイアルアップしたばかりのシステムの名前を知っている

Y Y N

ユーザが他のユーザのファイルをコピーする

Y N N

ユーザが他のユーザの電子メールを読む

Y N N

ユーザが他のユーザのファイルにデータを書き込む

Y N N

ユーザが他のユーザのファイルを削除する

Y N N

ユーザが,各種の古いファイルが格納されているかもしれないディスクのセクションを読み込める

Y N N

ユーザが (ゲームをする場合を含めて) 関係ない作業や許可されていない作業を実行するためにマシン時間と資源を消費する

Y N N

表に挙げた大部分のイベントを許容できる場合は,セキュリティ要件がかなり低いと言えます。許容できるものとできないものが混在する場合は,セキュリティ要件が中〜高の範囲にあります。表に挙げた大部分のイベントを許容できないサイトのセキュリティ要件は,一般に非常に高いレベルにあります。

サイトのセキュリティ条件を調べるときは,サイトの運用や回復手順における弱点をセキュリティ問題と混同しないでください。システムのセキュリティ要件を評価する前に,運用ポリシーが有効で一貫していることを確認してください。

1.3    安全なシステム環境の構築

オペレーティング・システムの外部に存在するセキュリティ問題の原因として,従業員の不注意と施設の防備の脆弱性の 2 つがあります。従業員に不注意や悪意があったり,施設が無防備だったりすれば,このガイドで説明するどのセキュリティ手段を使ってもセキュリティ侵害からシステムを保護することはできません。

システム侵入のほとんどは,このような環境上の弱点を突いて行われます。アクセス保護コードを突破したり,ファイルの保護を変更したりするより,小さなリールから物理的にテープを取り外す方がはるかに簡単です。

サイトのセキュリティを見直すときは,オペレーティング・システムの保護だけでなく,環境上の問題にも重点を置くことを強くおすすめします。

本書では,オペレーティング・システムのセキュリティ手段について説明します。実装する手段を決定するときは,サイトのセキュリティ条件を現実的に把握することが重要です。サイトに十分なセキュリティを導入することは大切ですが,実際のニーズを超えたセキュリティを導入するのはコストと時間の無駄です。

システムに適用するセキュリティ手段を決定するときは,以下の点に留意してください。

オペレーティング・システムには,システムやデータへのアクセスを制御する基本的なメカニズムが備わっています。また,権限を持つユーザにのみアクセスが限定されていることを確認するための監視ツールも用意されています。しかし,コンピュータ犯罪の多くは,権限を持つユーザがオペレーティング・システムのセキュリティ制御を侵害せずに起こしています。

したがって,業務のセキュリティは,これらのセキュリティ機能をどのように適用し,従業員とサイトをどのように管理するかにかかっています。あらかじめアプリケーションに適切な監視制御機能を組み込み,不正使用の可能性を最小限に抑えるという目標に合わせてアプリケーションを設計することで,オペレーティング・システムとサイトのセキュリティ機能を実装し,弱点の少ない環境を構築することができます。組織のセキュリティ計画の例については,第 6 章を参照してください。

米国政府によるオペレーティング・システムのセキュリティ認定レベル C2 に適合するシステムが必要な場合は,付録 Cを参照してください。

安全な OpenVMS システムのために高いレベルのコンピュータ・セキュリティが必要な場合は,SEVMS をおすすめします。SEVMS は OpenVMS のセキュリティ強化バージョンで,強制アクセス制御によってシステム全体にセキュリティ・ポリシーを適用できます。

SEVMS は,米国国防省が認定する B1 レベルのセキュリティに対応するオペレーティング・システムです。

1.4    CDSA (Common Data Security Architecture)

CDSA (Common Data Security Architecture) は,業界標準のマルチプラットフォーム・セキュリティ・インフラストラクチャです。

バージョン 7.3-1 以降の OpenVMS Alpha では,CDSA がオペレーティング・システムの一部として提供されています。CDSA は,OpenVMS Alpha バージョン 7.2-2 以降と互換性があります。

CDSA は,アプリケーションからオペレーティング・システムのセキュリティ・サービスへのアクセスを実現する,安定した標準ベースのプログラミング・インタフェースです。CDSA を使用することにより,クロスプラットフォームのセキュリティ対応アプリケーションを作成できます。セキュリティ・サービス (暗号やその他の公開鍵操作など) を,一連のプラグイン・モジュールに対する動的に拡張可能なインタフェースを介して使用します。これらのモジュールは,業務の条件や技術の進歩に応じて追加または変更できます。

CDSA は,さまざまなアプリケーションとセキュリティ・サービスに対応する柔軟な統合ソリューションを提供するセキュリティ・ミドルウェアです。CDSA によって,アプリケーションにセキュリティをどう組み込むかという問題から解放され,アプリケーションそのものに集中することができます。ユーザは,土台となるセキュリティを気にせずに済みます。

CDSA は,元々インテル・アーキテクチャ研究所で開発され,2000 年 5 月にオープンソース・コミュニティにリリースされました。HP の CDSA は,Intel V2.0 Release 3 リファレンス・プラットフォームを基に,The Open Group の Technical Standard C914 (2000 年 5 月) で定義された CDSA V2.0 (with corrigenda) を実装したものです。

CDSA の詳細については,『HP Open Source Security for OpenVMS, Volume 1: Common Data Security Architecture (CDSA)』を参照してください。

1.5    SSL (Secure Sockets Layer)

SSL (Secure Sockets Layer) は,機密情報をインターネット経由で安全に転送するための公開標準セキュリティ・プロトコルです。SSL では,暗号化によるプライバシー,サーバ認証,メッセージの完全性の 3 つが提供されます。クライアント認証は,オプション機能として用意されています。

OpenVMS Alpha バージョン 7.3-1 以降では,SSL がオペレーティング・システムの一部として提供されています。HP の SSL は,OpenVMS Alpha バージョン 7.2-2 以降および OpenVMS VAX バージョン 7.3 以降と互換性があります。

OpenVMS アプリケーションとの TCP/IP 接続による通信リンクの保護は,SSL を使用することで実現できます。OpenSSL の API は,非公開の認証済みで信頼性の高いアプリケーション間通信リンクを確立します。

SSL プロトコルは,他の複数のプロトコル上で協調して動作します。SSL はアプリケーション・レベルで動作し,その下位のメカニズムとして TCP/IP (Transmission Control Protocol/Internet Protocol) がインターネット経由のデータの転送と経路制御を担います。HTTP (HyperText Transport Protocol),LDAP (Lightweight Directory Access Protocol),IMAP (Internet Messaging Access Protocol) などのアプリケーション・プロトコルは TCP/IP 上で動作します。これらは,TCP/IP を使用して一般的なアプリケーション・タスク (Web ページの表示や電子メール・サーバの実行など) に対応します。

SSL は,インターネットなどの TCP/IP ネットワーク経由の通信に関する以下の 3 つの基本的なセキュリティ問題に対応します。

SSL の詳細については,『HP Open Source Security for OpenVMS, Volume 2: HP SSL for OpenVMS』または以下の HP SSL に関する Web サイトを参照してください。

http://h71000.www7.hp.com/openvms/products/ssl/

1.6    Kerberos

Kerberos は,秘密鍵暗号を使用してクライアント/サーバ型アプリケーションに強力な認証機能を提供するネットワーク認証プロトコルです。1980 年代中頃に Athena プロジェクトの一部として MIT (Massachusetts Institute of Technology) で開発されました。Athena プロジェクトの使命は,コンピュータの多様な利用方法を研究し,コンピュータを MIT のカリキュラムに組み入れる方法に関する長期的な戦略意思決定を行うために必要な知識ベースを構築することでした。

バージョン 7.3-1 以降の OpenVMS Alpha では,Kerberos がオペレーティング・システムの一部として提供されています。Kerberos は,OpenVMS Alpha バージョン 7.2-2 以降および OpenVMS VAX バージョン 7.3 以降と互換性があります。

Kerberos V4 までは,この技術を一般に入手できませんでした。それまでのバージョンは,Athena プロジェクトの内部だけで使用されていました。最新バージョンである Kerberos V5 が,商用に対応する初めてのリリースです。

Kerberos プロトコルには強力な暗号技術が使用されており,安全でないネットワーク接続を介してクライアントがサーバの (およびサーバがクライアントの) 身元を証明できるようになっています。Kerberos を使用して互いの身元を証明した後,クライアントとサーバはすべての通信内容を暗号化して,プライバシーとデータの一貫性を保証することができます。

Kerberos の詳細については,『HP Open Source Security for OpenVMS, Volume 3: Kerberos』または以下の OpenVMS 用 Kerberos の Web サイトを参照してください。

http://h71000.www7.hp.com/openvms/products/kerberos/