Jump to content 日本-日本語

製品  >  ソフトウェア  >  HP-UX   >  Knowledge-on-Demand  >  知っておくべきセキュリティ対策

知っておくべきセキュリティ対策
-HP-UXのセキュリティを極める-

第5回 audsysとHIDSによる監査と侵入検知

HP-UX/Integrityサーバー お問い合せ
コンテンツに進む
第5回 audsysとHIDSによる監査と侵入検知
知っておくべきセキュリティ対策 -HP-UXのセキュリティを極める- 第5回
HP-UXにおける監査の方法
ホストベースの侵入検知システム、HP-UX HIDS
ページ:  戻る   |   1   2

ホストベースの侵入検知システム、HP-UX HIDS

ここまで見てきたとおり、HP-UXにおける監査記録の手段としては、audsysが十分な機能を提供する。しかし、もしWebサーバーやメールサーバー、DNSサーバーなどのように、不正アクセスの脅威に日常的にさらされるサーバーを運用する場合は、監査記録だけでは万全とは言い難い面もある。例えば、実際にセキュリティ・インシデントの発生が明らかになり、迅速な対処が必要とされる状況では、大量の監査ログを眺めて原因を特定するだけの時間的余裕はない。また、システムコールレベルのログの意味を理解し、それが不正アクセスかどうかを判断するには、熟練した管理者のスキルが要求される。

HP-UX HIDSは、こうした状況でもすばやい対応を可能とする侵入検知システムである。HIDSでは、HP-UXシステムに対する侵入の兆候をつねに監視し、何らかの疑わしき動きを検知するとリアルタイムに管理者に通知する。監査ログを調査して侵入の形跡を見つけるまでに要する時間を省けるため、迅速な対処が実現できる。さらには、侵入検知時には“対抗策”のスクリプトを自動的に実行でき、管理者が対応を始める前の段階で侵入を防ぐことも可能だ。通常このような侵入検知システムは有償であることが多いが、HP-UXでは標準でOEにバンドルされ無償で利用できる。

具体的には、HIDSでは以下のような不審な操作や攻撃を検出できる。
  • ログ・ファイルの改ざん
  • seduidファイルの作成
  • world-writableファイルの作成
  • ほかのユーザが所有するファイルの変更
  • 特定のファイルやディレクトリの変更
  • ログインやログアウト
  • ログイン失敗の繰り返し
  • suコマンド失敗の繰り返し
  • 対話型セッションの開始
  • バッファ・オーバーフロー攻撃
  • Race Condition攻撃
一般に侵入検知システムには、大きく分けて「ネットワーク型」と「ホスト型」の2種類がある。前者はネットワーク機器の形態をとり、ネットワーク上に流れるパケットを常時監視して不正アクセスの兆候を見つけ出す仕組みである。一方、HIDSをはじめとするホスト型の侵入検知システムでは、攻撃対象となりうる個々のホストで監視用ソフトウェア(エージェント)を動作させ、ホスト内部で不正アクセスを検出するメカニズムとなっている。図3に、HIDSのシステム構成図を示す。
HP-UX HIDSシステム構成
図3:HP-UX HIDSシステム構成

HIDSでは、個々のHP-UXシステムにインストールしたエージェントに対し、管理用GUIを通じて設定や管理を実施する。例えば図4の画面では、監視対象ホストにおいてユーザのログアウトを検出したことを示している。
HIDSによるノード監視の例
図4:HIDSによるノード監視の例

HIDSはこう使う

では、HIDSは実際のシステム運用においてどのようなかたちで活用できるだろうか。実際の導入事例としては、情報システム事業者でPCI DSS(PCI Data Security Standard)対応に用いられたケースがある。PCI DSSとは、クレジットカード分野におけるデータ・セキュリティ基準として2005年に米国で策定された標準仕様だ。同仕様では、例えば以下のような基準が定められている。
  • 既存のログ・データが改ざんされたときに必ず警報が発せられるように、ログに対してファイル完全性監視/変更検出ソフトウェアを使用する
そこで上述の情報システム事業者では、この要件を満たすためにHIDSを導入した。HIDSは、syslogやbtmp、wtmp、sulog、mail.logといった主要なシステム・ログファイルを監視対象としてテンプレートを用意している。これらのファイルが書き換えられた場合には管理者に対してリアルタイムに通知する設定を容易に行える。実際の導入時にはテンプレートが要件に応じてカスタマイズされた。こうしたファイル監視は、図5のようなGUI上で簡単に設定できる。
HIDSでのファイル監視設定
図5:HIDSでのファイル監視設定

このほかにも、HIDSでは、たとえば/etc/default/securityや/etc/rbac以下にあるセキュリティ設定用ファイルなどの書き換え検知を設定する方法も可能だ。これらのファイルは運用時に編集されることは比較的少なく、事前に変更の予定がない時に書き換えられたとすれば管理者によるミスオペや不正アクセスが発生した可能性が高いと考えられる。図6の例では、実際にファイルの改ざんを検知した場合のGUI表示を示している。
HIDSでのファイル改ざん検知例
図6:HIDSでのファイル改ざん検知例

以上、今回はHP-UXに備わる監査機能audsysと、侵入検知システムHIDSの概要を説明した。セキュリティ・インシデントへの対応は、いざそれが発生してから実施したのでは後手に回り、社内やクライアントへの報告も苦しいものとなってしまう。しかしここで紹介したように、監査や侵入検知というと物々しい印象を受けるが、audsysやHIDSの導入は決して難しくはない。むしろ、“情報セキュリティに強い管理者”となるためには最適なツールと言えるだろう。

関連資料

 
HIDSホワイトペーパー (PDF 529KB)
Host Intrusion Detection System リンク先はUSサイトです。
 

連載記事一覧 戻る ページ:  戻る   |   1   2

連載 「知っておくべきセキュリティ対策 -HP-UXのセキュリティを極める-」記事一覧

第1回 セキュリティの『多層防御』とHP-UX
第2回 EVFSとTCSによるデータ暗号化
第3回 PS-WSでつくるセキュアなWebサーバー
第4回 Bastilleによるシステムアセスメント
第5回 audsysとHIDSによる監査と侵入検知
第6回 RBACによる権限分掌
第7回 LDAPによるアカウント統合化


 その他の連載記事


本ページの内容は執筆時の情報に基づいており、異なる場合があります。

お問い合わせ

ご購入前のお問い合わせ


ご購入後のお問い合わせ

オンラインサポート
製品の標準保証でご利用いただける無償のサービスです。

ショールーム

ショールーム 導入をご検討のお客様へ
業務アプリケーションの継続・標準化・開発性とシステム担当者様、システム開発者様が抱える悩み・疑問に対する解決策実体験して頂けます。
印刷用画面へ
プライバシー ご利用条件・免責事項