Jump to content 日本-日本語

製品  >  ソフトウェア  >  HP-UX   >  Knowledge-on-Demand  >  知っておくべきセキュリティ対策

知っておくべきセキュリティ対策
-HP-UXのセキュリティを極める-

第3回 PS-WSでつくるセキュアなWebサーバー

HP-UX/Integrityサーバー お問い合せ
コンテンツに進む
第3回 PS-WSでつくるセキュアなWebサーバー
ひとことに「セキュアなWebサーバー」と言っても、管理者の知識や経験に基づいて、多岐にわたるセキュリティ対策を実施する必要がある。よって、Webサーバーのセキュリティは個々の管理者のスキルに大きく依存しがちだ。HPのProtected Systems Web Server(PS-WS)は、こうしたセキュリティ対策の属人性を排除し、高度なセキュリティ対策を誰もが実施可能となる「セキュアなWebサーバーのリファレンス・アーキテクチャ」だ。金融機関などで豊富な実績のある厳格なセキュリティ強化のベストプラクティスを、手軽に利用可能なテンプレートとして提供する。
知っておくべきセキュリティ対策 -HP-UXのセキュリティを極める- 第3回
“セキュアなWebサーバー”のエッセンスを凝縮した「PS-WS」
Security Containmentによる隔離性の確保
2008年3月
テクニカルライター 吉川和巳
ページ: 1   2   |   次へ 

“セキュアなWebサーバー”のエッセンスを凝縮した「PS-WS」

ひとくちに「セキュアなWebサーバー」と言っても、それを実現するにはいくつもの側面で多岐にわたるセキュリティ対策を講じる必要がある。それらは、大きく「OSレベルのセキュリティ強化」と「Webサーバー・レベルのセキュリティ強化」の2つに分類できる。

OSレベルのセキュリティ強化
  • Webサーバー上の不要なアカウントやサービスを停止する(ロックダウン)
  • root権限の利用を最小限にとどめ、権限の細分化や監査を実施する
  • Webサーバー、アプリケーション・サーバー、CGIなどのそれぞれを独立したサーバー上で運用し、隔離性を高める
  • IPFilterなどを用いて、Webサーバー単体のファイアウォール設定を実施する
  • IDS(侵入検知システム)を導入する
Webサーバー・レベルのセキュリティ強化
  • Apacheサーバーに適切なパッチを適用し、Apacheそのものの脆弱性を取り除く
  • Apacheサーバーの設定内容を見直し、システムの脆弱性となりうる部分を排除する
  • Webアプリケーションの実装時に、認証やアクセス制御、サニタイジングなどのセキュアなコーディングを徹底する

これらは、考え得る数多くのセキュリティ対策の一部分にすぎない。通常は、こうしたさまざまなセキュリティ対策のひとつひとつを、管理者や開発者が自らの知識や経験に基づいて実施していく。よって、Webサーバーのセキュリティは、個々の管理者のセキュリティ・スキルに大きく依存することになる。とりわけセキュリティ機能が豊富なHP-UXでは、上述した各対策を実施するためには、それらのセキュリティ機能の役割や使い方をひととおり熟知しておくことが要求される。こうした「属人性」の高さが、セキュリティ対策の難しい点だ。

とはいえ、上述したセキュリティ対策のうち、前者の「OSレベルのセキュリティ強化」については、あらゆるプロジェクトに共通する普遍的な対策ポイントとなる。よって、「OSレベルのセキュリティ対策」をテンプレート化できれば、管理者のスキルに依存せずに、少なくともOSレベルでは一定したセキュリティ・レベルを確保可能になる。

HPのProtected Systems Web Server(PS-WS)は、そうした観点で作成された「セキュアなWebサーバーのリファレンス・アーキテクチャ」だ。金融機関などで豊富な実績のある厳格なセキュリティ強化のベストプラクティスを、手軽に利用可能なテンプレートとして提供する。具体的には、HP-UXの多彩なセキュリティ機能を使いこなし、OSレベルで高度なセキュリティ対策を施すためのスクリプト群や設定ツール、ドキュメントから構成される。HP-UX 11i v2 0609以降で利用が可能で、HP-UX 11i v3でもサポートされる。

PS-WSを構成する各種のセキュリティ機能やツール
図1:PS-WSを構成する各種のセキュリティ機能やツール

PS-WSの適用範囲

PS-WSを用いることで、HP-UXに備わる以下の各種セキュリティ機能が自動・半自動で設定され、利用可能になる。

  • IPFilter――ファイアウォール機能
  • Bastille――不要なサービスやアカウントのロックダウン、OS各所のパーミッション設定強化など
  • Security Containment――コンパートメント化によるWebサーバー、アプリケーション・サーバー等の隔離性確保と集約
  • RBAC――root権限を細分化し、一般ユーザへ委譲。root権限の乱用によるセキュリティ低下を防ぐ
  • システム監査――システムコール・レベルで監査を実施し、独立したコンパートメント内で監査ログを記録
  • HIDS――侵入検知システム

もっとも、PS-WSをインストールしさえすれば、これらすべてが自動的に設定されるわけではない。例えばHIDSやシステム監査、Apacheなどの設定は、管理者が個別に実施する必要がある。またもちろん、Webアプリケーション・レベルのセキュリティ脆弱性は、PS-WSだけでは防ぐことができない。PS-WSは、あくまでも支援ツールなのである。

では続いて、これらのセキュリティ機能についてもう少し詳しく見ていきたい。

連載記事一覧 ページ: 1   2   |   次へ  次のページへ

本ページの内容は執筆時の情報に基づいており、異なる場合があります。

お問い合わせ

ご購入前のお問い合わせ


ご購入後のお問い合わせ

オンラインサポート
製品の標準保証でご利用いただける無償のサービスです。

ショールーム

ショールーム 導入をご検討のお客様へ
業務アプリケーションの継続・標準化・開発性とシステム担当者様、システム開発者様が抱える悩み・疑問に対する解決策実体験して頂けます。
印刷用画面へ
プライバシー ご利用条件・免責事項