C    C2 環境における OpenVMS システムの運用

この付録では,C2 環境で OpenVMS オペレーティング・システムを運用する方法について説明します。C2 とは,オペレーティング・システムのセキュリティについて,米国政府が定めた格付けのことで,OpenVMS VAX および OpenVMS Alpha は,Division C のクラス 2 システムの基準を満たすオペレーティング・システムとされています (C.1.1 項参照)。この付録で使用する用語は,米国政府の評価基準で使用されている用語に由来します。

National Computer Security Center (NCSC) により評価が行われた OpenVMS のバージョンは,「Evaluated Products List」に掲載されています。このリストは以下から入手できます。

National Computer Security Center
9800 Savage Road
Fort George G. Meade
Maryland 20755-6000

同じ情報が,下記の Web サイトでも提供されています。

http://www.radium.NCSC.mil/tpep/epl/index.HTML
 

OpenVMS VAX Version 6.1 および OpenVMS AXP Version 6.1 が提供するセキュリティ保護は,National Computer Security Center (NCSC) が,「Department of Defense Trusted Computer System Evaluation Criteria 」(1985年 12月発行) に規定されている要件に照らして評価しています。OpenVMS VAX Version 6.1 および OpenVMS AXP Version 6.1 は,C2 の格付けを獲得しています。

C.1    C2 システムについて

この節では,C2 システムの要件を紹介し,この要件を満たすシステムをサポートするために OpenVMS 製品について提供しているドキュメントについて説明します。

C.1.1    C2 環境の定義

C2 環境とは,信頼できるコンピュータ・システムに関する米国国防総省の基準を満たしている環境であり,OpenVMS オペレーティング・システムについての政府の評価の対象となった TCB (トラステッド・コンピューティング・ベース) のハードウェア・コンポーネントとソフトウェア・コンポーネントのみで構成されている環境のことを指します。

C2 システムの基準は,Department of Defense Computer Security Center が発行している『Department of Defense Trusted Computer System Evaluation Criteria』(DOD 5200.28-STD) に定義されています。定義されている主な内容は次のとおりです。

C.1.1.1    ドキュメント

トラステッド・ファシリティ・マニュアルは,システム管理者を対象としています。C2 トラステッド・ファシリティ・マニュアルには次のものが含まれます。

本書の Part 1「セキュリティの概要」および Part 2「一般ユーザのためのセキュリティ」は,セキュリティ機能に関するユーザ向けの手引きとなっており,すべてのユーザが参照できるようにする必要があります。

C.2    C2 システム向けのトラステッド・コンピューティング・ベース (TCB)

米連邦政府によるコンピュータ・システムの評価は,トラステッド・コンピューティング・ベース (TCB) C.1.1 項に要約されている基準に照らして行われます。TCB は,セキュリティ・ポリシーを実施する,コンピュータ・ハードウェアとオペレーティング・システムの組み合わせのことです。

C.2.1    TCB に含まれるハードウェア

VAX プロセッサのアーキテクチャは設計上,競合するプログラム同士がお互いのデータに干渉できないようになっています。VAX ハードウェアでは,あるプログラムが別のプログラムのメモリに干渉できないようになっています。

本書に記載されているセキュリティ機能は,評価されたハードウェア構成に含まれるすべての VAX プロセッサ,およびサポートされているすべてのマス・ストレージと通信デバイスに適用されます。『Final Evaluation Report, Digital Equipment Corporation, OpenVMS VAX and SEVMS Version 6.1』には,評価済みハードウェアがすべて掲載されています。

C.2.2    TCB に含まれるソフトウェア

OpenVMS オペレーティング・システムでは,TCB は OpenVMS のほとんどを網羅しています。OpenVMS の TCB には,エグゼクティブやファイル・システムの全体,ユーザ・モードで実行されないその他すべてのシステム・コンポーネント (デバイス・ドライバ,RMS,DCL など),特権を使ってインストールされた大部分のシステム・プログラム,およびシステム管理者が TCB に関連するデータを保守するために使用するその他の各種ユーティリティが含まれます。

ユーザの便宜を図るため,OpenVMS は,オペレーティング・システム本体以外のものと一緒に出荷されます。OpenVMS ソフトウェア・パッケージには,セーブ・セットや,OpenVMS オペレーティング・システムでよく実行されるレイヤード・プロダクト向けの有用なイメージなどが含まれています。ただし,C2 システムとして評価済みなのはベースとなる OpenVMS オペレーティング・システムのみです。DECwindows ソフトウェアやDisplay PostScript® のサポートなど,レイヤード・プロダクトは C2 評価の対象外です。このため,C2 格付けの対象は,表 C-1 に示すソフトウェアを実行する OpenVMS VAX システムまでは及びません。これらのソフトウェア・コンポーネントが対象外であるいうことが,これらが安全でないということではまったくありません。単に,評価の対象となったシステムには含まれていなかったということです。このようなソフトウェアを導入した場合,ベース・システムは,その使用について認可を得る必要があります。

表 C-1:  C2 の評価済みシステムに含まれていないソフトウェア

ソフトウェア 機能 説明

DECwindows ソフトウェア

ウィンドウ化インタフェース

DECwindows は,レイヤード・プロダクトです。DECwindows は C2 要件を満たすよう設計されていますが,評価はまだ行われていません。

DECdns 分散ネーム・サービス

クライアント・サポート

DECdns ソフトウェアは,レイヤード・プロダクトであるサーバ・ソフトウェアを必要とします。クラスタは,DECdns に関係なく DECnet 接続が可能です。

HP DECamds ソフトウェア

監視および診断

HP DECamds ソフトウェアは,評価済み構成の範囲外です。

LASTport プロトコルおよび LASTport/DISK プロトコル

プロトコル・サポート

クラスタ・システムのシステム安全性の範囲外にある HP の Infoserver プロダクトは,これらのプロトコルに依存します。

LAT プロトコル

プロトコル・サポート

LAT プロトコルは,評価済みの構成の範囲外にある,DECserver ターミナル・サーバへの接続に使用されます。

DECnet/OSI フルネーム

プロトコル・サポート

OpenVMS オペレーティング・システム内の DECnet/OSI (Phase V) ノード名の使用をサポートします。この機能の使用は,C2 評価済み構成には含まれていません。

HSM (Hierarchial Shelving Manager)

ストレージ・サポート

File Shelving は,レイヤード・プロダクトです。File Shelving ファシリティ (HSM) の使用は,C2 評価済み構成ではサポートされていません。

MME (Media Management Extension)

クライアント・サポート

Media Management Extension (MME) では,ストレージ・メディア・プログラムを使用できます。メディア管理の使用は,C2 評価済み構成には含まれていません。

OpenVMS Management Station

 

OpenVMS Management Station は,OpenVMS 向けの PC ベースのシステム管理ツールです。OpenVMS Management Station は,C2 評価済み構成ではまだ検証されていません。

アクセス制御文字列

遠隔ノード上のファイルへのアクセス

評価済み構成では,アクセス制御文字列ではなく,代理アカウントを使用するべきです。

C.2.3    オブジェクトの保護

OpenVMS オペレーティング・システムは,情報を格納しているオブジェクトへのアクセスを制御します。保護オブジェクトには,ODS-2 や ODS-5 のディスク・ファイル,コモン・イベント・フラグ・クラスタ,デバイス,グループやシステムのすべてのグローバル・セクション,論理名テーブル,キュー,資源ドメイン,ODS-2 や ODS-5 のディスク・ボリュームなどがあります。ケーパビリティ・オブジェクトおよびセキュリティ・クラス・オブジェクトでは,任意アクセス保護をフルに利用できますが,これらは C2 評価基準に基づくオブジェクトではありません。

第 4 章 および第 5 章 では,オブジェクトの保護と,すべての新規オブジェクトに UIC ,保護コード,および場合によっては ACL が設定されるようにするためにオペレーティング・システムに備わっているテンプレート・プロファイルについて説明しています。4.4.7 項「ファイルの継承方式の設定」,4.5.6 項「ディレクトリ構造に対するデフォルトの保護コードの提供」,および 8.8 節, では特に,新規作成オブジェクトに対するデフォルトの保護を設定する方法について説明しています。

グローバル・セクションおよびメールボックス・オブジェクトに割り当てられているデフォルトの保護は,他のオブジェクトに割り当てられているものと比較すると緩やかです。これは,一部のソフトウェア製品では,メールボックス・オブジェクトとグローバル・セクション・オブジェクトがデフォルトでは制限が他のオブジェクトよりも緩い保護設定で作成されていることを前提としているためです。これらのオブジェクト用のテンプレート・プロファイルを変更して,保護設定を厳しくすることは可能ですが,ソフトウェア製品によっては悪影響の出る場合もあります。

デフォルトの保護を変更するには,変更対象のオブジェクトと任意の既存オブジェクトの両方のテンプレート・プロファイルを変更する必要があります。たとえば,次のコマンドを実行すると,デバイス・クラスの MAILBOX テンプレートを変更できます。


$ SET SECURITY/CLASS=SECURITY_CLASS/PROFILE=TEMPLATE=MAILBOX -

_$ /PROTECTION=(S:RWPL,O:RWPL,G,W) DEVICE
 

オペレーティング・システムは,この値をすべての新規メールボックスに適用するようになります。ただし,既存の各メールボックスの保護も,SET SECURITY コマンドを使用して,厳しい設定にする必要があります。次に例を示します。


$ SET SECURITY/CLASS=DEVICE -

_$ /PROTECTION=(S:RWPL,O:RWPL,G,W) mailbox_name
 

セキュリティ・テンプレートに指定されているデフォルトのオブジェクト保護設定は,システムをシャットダウンまたはリブートをまたいで保持されます。そのため,システムを自動的にリブートすることにより,リブート後に作成されたオブジェクトはすべて,新しいデフォルト保護が設定された状態で作成されるようになります (オブジェクト作成者が別の保護を指定した場合を除く)。

C.2.4    TCB の保護

OpenVMS TCB を構成するコードとデータは,ファイルに格納され,一部は稼動中のオペレーティング・システムのアドレス空間にあります。これらのコードやデータは,ファイル・アクセス制御やメモリ・ページ保護によって保護されます。メモリ・ページの保護は,オペレーティング・システムが実行時に設定するため,通常,システム管理者は気にする必要はありません。

C.2.4.1    ファイルの保護

TCB を構成するファイルは,オペレーティング・システムをインストールすると正しく保護されます。ただし,十分な特権を持っているユーザであれば,保護設定を変更することが可能です。このマニュアルの付録 Bでは,オペレーティング・システムのファイルの正しいファイル保護について説明しています。

OpenVMS オペレーティング・システムをインストールするときは,サイト固有のファイルを除き,システム・ファイルに変更を加えることを避けます。これは,ベース・オペレーティング・システムのセキュリティを維持する上で重要です。

C.2.4.2    信頼できるユーザに付与する特権

一部の特権は,その保持者が通常のファイル・アクセス制御やメモリ・アクセス制御を直接または間接的に回避することを可能にします。そのため,このような特権は,システム管理者やセキュリティ管理者,または信頼できるユーザ以外の人物には付与しないようにします。Objects,All,System,および Group の 4 つのカテゴリの特権は,信頼できるユーザに対してのみ適しています。それぞれのカテゴリにどの特権が属しているかについては,表 8-2 を参照してください。個々の特権については,付録 A で詳しく説明しています。

Objects カテゴリおよび All カテゴリに属する特権の保持者は,信頼性の低いユーザからの TCB の隔離を無効にすることが可能です。System カテゴリの特権の保持者は,通常のシステム運用を妨げ,サービスの拒否を引き起こすことができますが,オブジェクト・アクセス制御に違反することはできません。System カテゴリの一部の特権では,結果的にアクセス制御の適用を回避することが可能です。

Group カテゴリの特権の保持者は,同じグループ内の他のユーザの操作を妨げることが可能です。特に,GRPPRV 特権の保持者は,保持者のグループ内での通常のアクセス制御に違反することが可能です。これは,GRPPRV 特権によって,同じグループ UIC を有するサブジェクトが所有するオブジェクトへのアクセスが (保護コードのシステム・フィールドによって) 許可されるためです。

信頼できるユーザは全員,自分が実行する操作のあらゆる影響を認識している必要があります。特に,信頼できるユーザは,ある操作において使用される可能性のあるすべてのソフトウェア製品について把握している必要があります。信頼できるユーザの特権では,本来なら OpenVMS のセキュリティ・ポリシーによって禁止される操作を,信頼の低いソフトウェアが実行できてしまうからです。

C.2.4.3    信頼の低いユーザに付与する特権

信頼の低いユーザは,Normal カテゴリおよび Devour カテゴリに属する特権を保持できます (GRPNAM は除く)。ただし,Devour カテゴリに属する特権を付与するときは注意が必要です。このカテゴリの特権の保持者は,無制限に資源を消費することが可能なため,サービス拒否を引き起こしたり,システム上の他のユーザの操作を妨げる可能性があります。表 C-2に,信頼の低いユーザに付与される特権です。

表 C-2:  信頼の低いユーザに付与する特権

カテゴリ 特権 許可されている操作

Normal

NETMBX TMPMBX

ネットワーク接続の作成,一時メールボックスの作成

Devour

ACNT ALLSPOOL BUGCHK EXQUOTA PRMCEB PRMGBL PRMMBX SHMEM

会計情報管理の無効化,スプールされたデバイスの割り当て,バグチェック・エラー・ログ・エントリの作成,ディスク制限の超過,パーマネント・コモン・イベント・フラグ・クラスタの作成/削除,パーマネント・グローバル・セクションの作成,パーマネント・メールボックスの作成,共用メモリ内の構造の作成/削除

C.2.4.4    物理的セキュリティ

物理的セキュリティおよび環境面のセキュリティは,システムの安全な運用にとって非常に重要です。 TCB のすべての物理コンポーネントには,十分な保護を設定する必要があります。保護が不十分な場合,不正ユーザによってシステムのセキュリティが脅かされる可能性があるからです。以下のように,TCB のセキュリティを脅かす可能性のある運用方法や機能は,C2環境では使用しないでください。

C.2.5    C2 システムの設定

この節では,OpenVMS の機能を使用する上で課される C2 に関わる制限を説明します。次のトピックについて説明します。

C.2.5.1    ユーザを確実に特定できることの保証

名前,UIC,およびパスワードを適切に使用することで,OpenVMS オペレーティング・システムが個々のユーザを確実に特定できることが保証されます。基本的な運用手順として,特権アカウントについては自動生成されたパスワードの使用を推奨します。以下のように,個別ユーザの特定が不確実になるような運用方法と機能は,C2環境では避けてください。

C.2.5.2    監査証跡の管理

セキュリティ監査システムでは,適切に管理を行えば,システム上のセキュリティに関わるか活動を追跡することができます。監査ログを使用して活動を追跡するには,情報の欠落がない正確な記録が残っていなければなりません。セキュリティ・イベント・メッセージは,セキュリティ監査ログ・ファイルや,セキュリティ・クラス・イベント・メッセージを受信するよう指定されたターミナルに記録できます。次に示すように,システムにおけるセキュリティ関連イベントの追跡機能に悪影響を及ぼす可能性のある運用方法は,C2 環境では使用しないでください。

C.2.5.3    オブジェクトの再利用

メモリ,またはボリュームやデバイスなどの保護オブジェクトを新規ユーザに割り当てる前に,それらに古いデータが残っていないことを必ず確認します。メモリ管理サブシステムは,システム・メモリ・ページの再利用を防ぐ機能を備えており,この機能を無効にすることはできません。以下のように,再割り当てを行う前にボリュームやターミナルから古いデータを削除する処理に悪影響を及ぼす可能性のある運用方法は,C2 環境では実施しないようにしてください。

HP では,プリント・ジョブが互いを妨げないように,ジョブごとにプリンタをクリアすることを推奨しています。セキュリティ管理者は,デバイス制御ライブラリをプリント・キューに関連付けることで,各ジョブの開始時か終了時 (またはその両方) に自動的にプリンタがリセットされるようにできます。適切なリセット・シーケンスについては,使用しているプリンタ付属のドキュメントをまず参照し,次に『OpenVMS システム管理者マニュアル』を参照して,リセット・シーケンスのライブラリへの追加と,キューのライブラリへの関連付けの方法について確認してください。

C.2.5.4    クラスタの設定

共通環境クラスタとして設定されている有効なクラスタ設定はすべて,OpenVMS のセキュリティ機能を完全にサポートします。以下のように,共通環境クラスタの状態でなくなる可能性のある運用方法と機能は,C2環境では使用しないでください。

注意

OpenVMS クラスタは,VAX ノードと Alpha ノードで構成できます。

C.2.5.5    システムのスタートアップと運用

C2 システムとは,この付録のガイドラインに従ってあらかじめ設定を行って出荷されているシステムです。システムを設定するときは,以下に示すガイドラインを遵守してください。

C.2.5.6    アクセス権変更後の指定サブジェクトの即時再認証の実行

システム管理者またはセキュリティ管理者は,信頼の低いサブジェクトに対して,いつでも再認証を求めることができます。この再認証は,サブジェクトのアクセス権が変更された場合に必要となることがあります。再認証の手順は次のとおりです。この手順は,信頼できるサブジェクトのみが実行できます。

注意

この手順は,信頼の低いユーザが独立プロセスを作成できる非特権アプリケーションがシステム上に存在しないことを前提としています。

また,この手順は,信頼できるユーザや特権ユーザに対して再認証を求める場合や特権アプリケーションが使用されている場合には適していません。そのような場合には,再認証を確実に行うためにシステムをリブートする必要があります。

  1. 登録ファイルに記録されている,サブジェクトの登録レコードを変更します。

  2. 登録ファイルから,サブジェクト所有者の UIC を取得します。

  3. SYSMAN ユーティリティを起動します。

  4. SYSMAN ユーティリティを使用して,対象サブジェクトが所有するすべてのプロセスを特定します。

    1. OpenVMS Cluster 環境の場合,SYSMAN 環境をクラスタ全体に設定します。OpenVMS Cluster 環境ではない場合は,この手順は省略してください。

    2. SYSMAN DO SHOW SYSTEM/FULL を使用して,システム上または OpenVMS クラスタ上のすべてのプロセスの一覧を取得します。このコマンドを実行すると,各プロセスの所有者 UIC とシステム PID も表示されます。この情報を記録しておきます。

  5. SYSMAN ユーティリティから,各システムでサブジェクトが所有しているすべてのプロセスを停止します。

    注: 手順 4 以降に対象サブジェクトが作成したプロセスは,新しいアクセス権が適用されるため,削除する必要はありません。したがって,これは再帰的な手順ではありません。

    1. OpenVMS Cluster 環境では,SYSMAN 環境を設定し,1 つのノードのみを参照するようにします。OpenVMS Cluster 環境ではない場合は,この手順は省略してください。

    2. システム上の削除対象プロセスごとに,手順 2 で取得した PID を調べ,SYSMAN DO STOP/ID=pid コマンドを使用してジョブを停止します。

    3. 手順 a と手順 b を,クラスタのすべてのノードについて,該当するすべてのプロセスが停止されるまで繰り返します。

C.3    C2 システム構築のためのチェックリスト

本付録のこれまでの節では,C2 環境で OpenVMS オペレーティング・システムを運用するための,米国政府の要件について説明しました。以下は,米国政府のセキュリティ要件を確認するためのチェックリストです。

システムのインストール

評価済みコンポーネントの使用

個別ユーザの確実な特定

監査レポート・システムの管理

ディスク,テープ,ターミナルの再利用

単一のセキュリティ管理領域の構築

システムの起動