Jump to content 日本-日本語

製品  >  ソフトウェア  >  HP-UX   >  Knowledge-on-Demand  >  知っておくべきセキュリティ対策

知っておくべきセキュリティ対策
-HP-UXのセキュリティを極める-

第3回 PS-WSでつくるセキュアなWebサーバー

HP-UX/Integrityサーバー お問い合せ
コンテンツに進む
第3回 PS-WSでつくるセキュアなWebサーバー
知っておくべきセキュリティ対策 -HP-UXのセキュリティを極める- 第3回
“セキュアなWebサーバー”のエッセンスを凝縮した「PS-WS」
Security Containmentによる隔離性の確保
ページ:  戻る   |   1   2

Security Containmentによる隔離性の確保

PS-WSのもっとも大きな特長は、HP-UXの“セキュアOS版”であるVirtual Vaultで長年培われてきた「Security Containment」によるコンパートメント化を採用している点だ。これはいわば、「OSの内部を頑丈な区画(コンパートメント)で仕切る」ための機能である。

Security Containmentによるコンパートメント化
図2:Security Containmentによるコンパートメント化

ここでは、ApacheサーバーとTomcatサーバーを組み合わせた典型的なWebアプリケーション・サーバーの構成を例にとって説明しよう。PS-WSをインストールすると、上図のコンパートメントが自動的に作成される。これらのコンパートメントは、それぞれ以下のような役割を担う。

コンパートメント 稼働するプロセス
out_iface インターネット側からのHTTPアクセスを送受信するI/Oプロセス
ows_out_tomcat Apacheサーバー・プロセス
in_tomcat Tomcatプロセス
in_iface イントラネット側(DBやアプリなど)へのアクセスを送受信するI/Oプロセス
INIT OS起動時の各種基本プロセス
SYSHI 管理用プロセス
表1:PS-WSが作成するコンパートメント

例えば、一般的なWebサーバーでは、こうしたコンパートメントという概念は一切利用されていない。そのため、もしApacheサーバーの脆弱性が攻撃され不正アクセスが行われると、そこを起点にTomcatサーバーも攻撃され、TomcatがアクセスするDBサーバーへの攻撃も可能となる。

これに対し、コンパートメントが導入されたWebサーバーでは、上記の表のとおり、I/Oプロセス、Apache、Tomcatのそれぞれが個別のコンパートメントに分割される。そして個々のコンパートメントは、物理的に独立したサーバーと同等の隔離性を備えている。つまり、たとえApache用コンパートメントでWebサーバー実行権限を獲得しても、そのほかのコンパートメント内部のプロセスやファイルを操作したりアクセスしたりすることはできないため、さらなる不正アクセスの伝播を防ぐことが可能だ。よって、あたかも「ApacheとTomcatを個別のサーバー・マシンで運用する」ような、徹底したセキュリティ強化が可能になる仕組みだ。

これを逆にとらえると、これまでセキュリティ上個別に運用されてきたApacheやTomcat、もしくはそのほかのCGIプロセスも、すべて1台のサーバーに安全に集約可能になる。セキュリティを強化しつつTCOも削減できる点が、Security Containmentのユニークな点だ。

また、ApacheやTomcat以外にも、HIDSによる侵入検知システムやシステム監査プロセスなども、独立したコンパートメントで運用される。よって、万が一クラッカーに侵入された場合でも、侵入検知の妨害やログの改ざんといったクラッカーによる“証拠隠滅”を防ぐことができる。

RBACによるroot権限の細分化

またPS-WSでは、HP-UXのRole based Access Control(RBAC)によるroot権限の細分化が実施される。これはつまり、これまでrootアカウントに集中していた数多くのシステム管理権限を用途ごとに分割し、一般ユーザ・アカウントに委譲する仕組みだ。

RBACによるroot権限の細分化
図3:RBACによるroot権限の細分化

これにより、Apacheの管理、DBの管理、バックアップ作業、ユーザ・アカウント管理といったさまざまな管理作業のすべてにrootアカウントを用いる必要がなくなり、本来権限を持たない管理者が必要以上の管理作業ができてしまうという状況をなくすことができる。つまり不正アクセスの機会を与えず、統制の効いたシステム運用を実施できる。 以上、今回はPS-WSによるセキュアなWebサーバー構築の手法を紹介した。ここで説明したのは、PS-WSによって利用可能になる多彩なセキュリティ機能のごく一部ではあるが、管理者のスキルに依存せずに高度なセキュリティ強化が実現可能な点はご理解いただけたはずだ。

関連資料

 
Protected Systems Web Server リンク先はUSサイトです。
Protected Systems Web Server 管理者ガイド リンク先はUSサイトです。
 

連載記事一覧 戻る ページ:  戻る   |   1   2

連載 「知っておくべきセキュリティ対策 -HP-UXのセキュリティを極める-」記事一覧

第1回 セキュリティの『多層防御』とHP-UX
第2回 EVFSとTCSによるデータ暗号化
第3回 PS-WSでつくるセキュアなWebサーバー
第4回 Bastilleによるシステムアセスメント
第5回 audsysとHIDSによる監査と侵入検知
第6回 RBACによる権限分掌
第7回 LDAPによるアカウント統合化

 その他の連載記事


本ページの内容は執筆時の情報に基づいており、異なる場合があります。

お問い合わせ

ご購入前のお問い合わせ


ご購入後のお問い合わせ

HPEサポートセンター
製品の標準保証でご利用いただける無償のサービスです。

ショールーム

ショールーム 導入をご検討のお客様へ
業務アプリケーションの継続・標準化・開発性とシステム担当者様、システム開発者様が抱える悩み・疑問に対する解決策実体験して頂けます。
印刷用画面へ
プライバシー ご利用条件・免責事項