Jump to content 日本-日本語

製品  >  ソフトウェア  >  HP-UX   >  Knowledge-on-Demand  >  知っておくべきセキュリティ対策

知っておくべきセキュリティ対策
-HP-UXのセキュリティを極める-

第6回 RBACによる権限分掌

HP-UX/Integrityサーバー お問い合せ
コンテンツに進む
第6回 RBACによる権限分掌
LinuxやUNIXの「rootアカウント」、そしてWindowsの「Administratorアカウント」を複数の管理スタッフで共有する例は少なくない。また、本来はアクセス権限を制限すべきコンテンツ管理スタッフや開発者にもrootアカウントのパスワードを教えているケースもある。こうした慣習から脱却し、「権限分掌」によるIT統制やJ-SOX対応を実現する手段として、HP-UX 11i v3では「Role-based Access Control(RBAC)」を提供する。RBACにより、rootが持つすべての権限のうち個々の作業に必要な権限だけをユーザに付与することで、rootアカウントの乱用によるセキュリティ・リスクの増加を抑えられる。
知っておくべきセキュリティ対策 -HP-UXのセキュリティを極める- 第6回
IT統制の敵は「rootの使い回し」
RBAC管理の実際
2008年6月
テクニカルライター 吉川和巳
ページ: 1   2   |   次へ 

IT統制の敵は「rootの使い回し」

LinuxやUNIXの「rootアカウント」、そしてWindowsの「Administratorアカウント」を複数の管理スタッフで共有する例は少なくない。また、本来はアクセス権限を制限すべきコンテンツ管理スタッフや開発者にもrootアカウントのパスワードを教えているケースもある。もちろん、こうした慣習はIT統制やJ-SOX対応の実現を阻むものとなる。経済産業省が公開している「情報セキュリティ管理基準」においても、以下のように規定されている。
  • 7.6.1 ソフトウェア及び情報への論理アクセスは、認可されている利用者に制限すること

rootアカウントを不用意に使い回すと、本来認可されていないソフトウェアや情報にアクセス可能な状況を生みだし、情報漏洩や改ざんのリスクが高まる。例えばrootのパスワードを持つスタッフが、別部門のサービスのファイルも開けることに気づき、好奇心でつい機密情報に目を通してしまう……といったことも起こりうる。企業で発生するセキュリティ・インシデントの大半が「外部からの攻撃」ではなく、このような「内部からの攻撃」であることを考えれば、例えばファイアウォール構築にかけるのと同じ程度のコストと労力を、rootの使い回しを防ぐ「権限分掌」の徹底に費やしてもいいくらいだ。

HP-UX 11i v3では、こうした権限分掌のための基盤として「Role-based Access Control(RBAC)」を提供する。RBACでは、rootが持つすべての権限のうち、個々の作業に必要な権限だけをユーザに付与する。これにより、インストール作業やファイル操作といった簡単な作業のためにrootでログインする必要がなくなる。ただし、すべてのユーザについてこと細かにアクセス権を設定するのは面倒な作業だ。そこでRBACでは、「ネットワーク管理者」や「バックアップ担当者」といった「ロール(役割)」に対して詳細な権限を割り当て、各ユーザにはロールを設定するという方式を採用している。

RBACの導入手順は、以下のようになる。
  1. ロールを設計する――管理作業や管理者情報の整理を行い、役割と管理作業を明確化する
  2. ユーザにロールを設定する――例えばネットワーク管理者やバックアップ担当といったロールを定義し、個々のユーザ・アカウントに割り当てる
  3. ロールに権限を設定する――個々のロールがどのような「認可権限」を持つかを設定する
  4. 認可権限とコマンドのマッピングを設定する――個々の認可権限のもとで実行可能なコマンドを定義する
  5. 運用手順の変更を周知する――RBACによる運用手順導入に伴う変更を関係者に周知する
このうち、3および4の作業については、RBACに備わるデフォルトの認可権限設定を大半のケースで利用できる。例えば「hpux.security.audit(セキュリティ監査機能)」や「hpux.user.add(ユーザ登録)」といった一般的な認可権限がデフォルトで定義されており、それらをロールに割り当てて使用可能だ(表1)。

表1: RBACによるロールベースのアクセス制御
  User
Admin
Network
Admin
Backup
Operator
User Admin
hpux.user.add      
hpux.user.delete      
hpux.user.modify      
hpux.user.password.modify      
hpux.network.nfs.start      
hpux.network.nfs.stop      
hpux.network.nfs.config      
hpux.fs.backup      
hpux.fs.restore      

連載記事一覧 ページ: 1   2   |   次へ  次のページへ

本ページの内容は執筆時の情報に基づいており、異なる場合があります。

お問い合わせ

ご購入前のお問い合わせ


ご購入後のお問い合わせ

オンラインサポート
製品の標準保証でご利用いただける無償のサービスです。

ショールーム

ショールーム 導入をご検討のお客様へ
業務アプリケーションの継続・標準化・開発性とシステム担当者様、システム開発者様が抱える悩み・疑問に対する解決策実体験して頂けます。
印刷用画面へ
プライバシー ご利用条件・免責事項