Jump to content 日本-日本語
日本HPホーム 製品 & サービス サポート & ドライバー ソリューション ご購入方法
お問い合わせ

製品とサービス  >  ソフトウェアとOS  >  HP-UX   >  Knowledge-on-Demand  >  知っておくべきセキュリティ対策

知っておくべきセキュリティ対策
-HP-UXのセキュリティを極める-

第1回 セキュリティの『多層防御』とHP-UX

HP-UX/Integrityサーバー お問い合せ
コンテンツに進む
第1回 セキュリティの『多層防御』とHP-UX
自分のシステムのセキュリティに絶対の自信を持っている――というITエンジニアはそれほど多くないだろう。J-SOXの対応などIT統制の対策としてITシステムのセキュリティ強化の優先順位が依然として高い現状であるが、「セキュリティ」と一言で言っても、ITシステムにまつわる多種多様な要素に個別のセキュリティ対策が必要とされる。例えば「SSLだけは自信がある」、「ファイアウォール設定には時間を掛けた」という状態ではセキュリティ強度は向上しない。各階層のそれぞれについてバランス良くセキュリティ強化を施す「多層防御」こそが、セキュリティのかなめと言えるのである。そこで本連載では、HP-UXに備わるセキュリティ機能のうち、これまであまり紹介されていないものや新しい機能にスポットをあてて紹介していこう。
知っておくべきセキュリティ対策 -HP-UXのセキュリティを極める- 第1回
セキュリティのかなめは「多層防御」
システム保護
2008年1月
テクニカルライター 吉川和巳
ページ: 1   2   |   次へ 

セキュリティのかなめは「多層防御」

自分のシステムのセキュリティに絶対の自信を持っている――というITエンジニアはそれほど多くないだろう。「セキュリティ」と一言で言っても、ネットワークをはじめ、ハードウェア、OS、Webサーバーやミドルウェア、データベース、アプリケーション、運用体制や業務ポリシーなど、ITシステムにまつわる多種多様な要素のそれぞれについて、個別のセキュリティ対策が必要とされる。例えば、OS上で動作するWebサーバーやデータベースなどのセキュリティ設定ばかりに時間を取られ、そこだけ万全の対策を施していても、OS自体の設定不備があれば、ITシステム全体としては脆弱なものとなり、IT統制がなされているとは言えないだろう。そのうえ、個々のセキュリティ対策について「ここまでやれば万全」というポイントを見極めるのは容易ではない。「現実的な実装効率や運用効率」と「セキュリティ強度」のトレードオフがつねに要求される。

このようにセキュリティの確保は一筋縄ではいかない作業だが、ひとつ言えるのは「セキュリティのかなめは多層防御」ということだ。つまり、ITシステムを構成する各階層のそれぞれについてバランス良くセキュリティ強化を施すことが、どのようなITシステムでも不可欠となる。「SSLだけは自信がある」、「ファイアウォール設定には時間を掛けた」という状態では、ITシステム全体のセキュリティ強度を高めることはできない。たとえて言うならば、セキュリティに関しては「スペシャリスト」ではなく「ゼネラリスト」が求められるのである。

HP-UXにおける多層防御

よってHP-UXを扱うITエンジニアにとっては、この多層防御を実現する上でHP-UXがどのようなセキュリティ機能を備えているか、ひととおり理解しておくことが肝要となる。HP-UXでは、大きく分けて以下の3種類の観点から多層防御を実現する各種セキュリティ機能を提供している。また、これらの機能はHP-UXのオペレーティング環境に含まれており、セキュリティ強化に伴う余計なコストを最小限に抑えることができる。
  • データ保護
  • システム保護
  • アイデンティティ保護

HP-UXに備わる3種類のセキュリティ機能
図1:HP-UXに備わる3種類のセキュリティ機能

本連載では、これらのセキュリティ機能のうち、これまであまり紹介されていないものや新しい機能にスポットをあてて紹介していく予定だ。まずは、今後取り上げる予定のセキュリティ機能について簡単に説明しておきたい。

データ保護

Protected Systems Web Server - Webサーバーのセキュリティ強化アーキテクチャ

Protected Systems-Web Server(PS-Webserver)は、外部からの攻撃を受けやすいWebサーバーを強固なセキュリティで保護する機能である。具体的には、HP-UXの内部をいくつかのコンパートメント(区域)に分割し、それぞれのコンパートメントにWebサーバーやアプリケーション・サーバーを分散配置する。個々のコンパートメントは単独のサーバーに匹敵する高い隔離性を備えているため、万が一にWebサーバーへのクラッキングが成功したとしても、クラッカーがほかのコンパートメントに侵入することは非常に困難となる。PS-Webserverは、こうしたコンパートメントを利用したセキュアなWebサーバーを構築するための、リファレンス・アーキテクチャを提供する。また、セットアップ・スクリプトが付属しており、導入が容易な点も特徴だ。

PS-Webserverのアーキテクチャ
図2:PS-Webserverのアーキテクチャ

Trusted Computing Services - セキュリティチップを使用した暗号化強化

Trusted Computing Services(TCS)は、HP Integrityサーバーのハードウェアに備わるセキュリティ・チップTPM(Trusted Platform Module)を利用した暗号化機能である。TPMにアクセスするカーネル・ドライバを提供するほか、HP-UXのデータ暗号化機能EVFSとの連携に対応する。例えばEVFSでは暗号化に用いる秘密鍵をディスク上に保存するが、TCSの利用によりこの秘密鍵をTPMで保護することができる。これにより、もしサーバー本体やディスクがまるごと盗難された場合でも、秘密鍵を取り出して用いることは不可能となる。また、ファイル暗号化ユーティリティも提供しており、TPMのない信頼されないサーバーではファイルを復号できないようにすることもできるため、より強力な情報漏えい対策が可能になる。

EVFSでの鍵管理のメカニズム
図3:EVFSでの鍵管理のメカニズム

連載記事一覧 ページ: 1   2   |   次へ  次のページへ

本ページの内容は執筆時の情報に基づいており、異なる場合があります。

お問い合わせ

ご購入前のお問い合わせ


ご購入後のお問い合わせ

オンラインサポート
製品の標準保証でご利用いただける無償のサービスです。

ショールーム

ショールーム 導入をご検討のお客様へ
業務アプリケーションの継続・標準化・開発性とシステム担当者様、システム開発者様が抱える悩み・疑問に対する解決策実体験して頂けます。
印刷用画面へ
プライバシー ご利用条件・免責事項 ウェブマスターに連絡