本文に進む 日本−日本語
日本ヒューレット・パッカードホーム 製品とサービス お客様サポート/ ダウンロード ソリューション ご購入の方法
≫ お問い合わせ
日本ヒューレット・パッカードホーム
HP OpenVMS: システム管理者マニュアル (上巻)

第12章 機密保護上の注意事項

≫ 

OpenVMSドキュメント・ライブラリ

目次
まえがき
第1章:本書の概要
第2章:管理ユーティリティとツール
第3章:インストールとアップグレード
第4章:システムの起動と停止
第5章:オペレーティング・システムのカスタマイズ
第6章:システム時刻の設定
第7章:ユーザアカウントの管理
第8章:周辺デバイスの管理
第9章:記憶媒体の管理
第10章:ファイルとディレクトリの操作
第11章:BACKUPの使用方法
第12章:機密保護
第13章:キュー・マネージャとキュー・データベースの管理
第14章:キューの設定と保守
索引
PDF
OpenVMS ホーム
ここから本文が始まります

この章では,OpenVMS オペレーティング・システムで使用可能な機密保護機能を簡単に取り上げ,システムやクラスタへの侵入という脅威を減らすために取るべき処置と, アクセス制御リスト・エディタ (ACL エディタ) を使用した, 保護オブジェクトに対するアクセス制御リスト・エントリ (ACE) の作成および変更方法について説明します。 機密保護管理についての詳細は,『OpenVMS システム・セキュリティ・ガイド』を参照してください。

この章の内容

この章では,次の作業について説明します。

作業 参照箇所

パスワードの管理

12.2 項 「パスワードの管理」

システム・パスワード辞書への登録

12.2.1 項 「初期パスワード」

ブレークイン検出機構の使用

12.3 項 「ブレークイン検出機構の使用法」

利用者識別コード (UIC)

12.4.1 項 「利用者識別コード」

保護コード

12.4.2 項 「保護コード」

ACL (アクセス制御リスト) の作成

12.6 項 「ACL (アクセス制御リスト) の作成」

ACL エディタの使用法

12.8 項 「ACL エディタの使用法」

機密保護関連イベントの記録

12.9.1 項 「機密保護アラーム対象とするイベント・クラスの指定」

さらに,次の項目について説明します。

項目 参照箇所

機密保護管理

12.1 項 「機密保護管理」

パスワードの管理

12.2 項 「パスワードの管理」

オブジェクトの保護手段

12.4 項 「オブジェクトの保護手段」

ACL (アクセス制御リスト) の作成

12.6 項 「ACL (アクセス制御リスト) の作成」

監査ログファイルの解析

12.10 項 「監査ログファイルの解析」

上記の作業と概念についての詳細は, 『OpenVMS システム・セキュリティ・ガイド』を参照してください。

12.1 機密保護管理

日常的にシステムを管理する者として,システム管理者はシステム・セキュリティを守る重要な役割を担います。 システム管理者は,OpenVMS オペレーティング・システムで使用可能な機密保護機能を熟知し,不正な操作によってシステムやユーザ,ファイルがダメージを受けることのないよう必要な保護手段を取る必要があります。 オペレーティング・システムによる効果的な機密保護手段を実現することによって, 知的財産としてのソフトウェアの盗用や不正なアクセスを防止することができます。 こうした手段はまた,機器やソフトウェア, ファイルが不正な使用によってダメージを受けるのを防止する役目も果たします。

機密保護のレベルについて

たいていのシステムにおいて,機密保護上の問題は, 責任体制が整っていなかったり, システムがプローブまたは侵入されたりといったことが原因で起こります。 どの程度まで機密保護の侵犯に耐えられるようにするかは, サイトで行われる作業内容により異なります。

環境上の問題

安全なシステム環境を実現することは,システムの機密保護を守る重要な鍵です。 サイトの機密保護の検討にあたっては,環境上の問題とオペレーティング・システムの保護に重点を置くことをお勧めします。

オペレーティング・システムの保護

OpenVMS オペレーティング・システムでは, システム・セキュリティの管理を大きく次の 3 つの分野に分けています。

  • システムに対するアクセス制御。 会話型アクセスやバッチ・ジョブによるアクセス, ネットワークを介したアクセスの制御など。

  • システムが保持する情報や資源に対するアクセスの制御。 たとえば,ファイル,アプリケーション・プログラム, システム・ユーティリティに対するアクセスの制御など。

  • 機密保護に関連するイベントのログを取り, ログ・ファイルを定期的に調べ,ログを適切なサイズにして保管しておくなどの監査システムの管理。

次の節では,システムとその資源に対するアクセス制御手段について説明します。

12.2 パスワードの管理

平均的な機密保護を必要とするサイトでは,常にパスワードの入力が求められます。 機密保護が厳しいサイトでは,割り当てられたパスワードとシステム・パスワードが必要とされる場合があります。 また,最も機密保護が厳しいサイトでは,ネットワーク・アクセスを制御するために,機密保護管理者が第 2 パスワードを採用することもあります。

この節では,標準の OpenVMS のパスワード・ポリシーとそれらの管理方法を説明します。 標準のパスワード・ポリシーに対する拡張 (外部認証とも呼びます) についての詳細は, 『OpenVMS システム・セキュリティ・ガイド』の「Managing System Access」を参照してください。

12.2.1 初期パスワード

AUTHORIZE ユーティリティを使用して新規ユーザ用のアカウントを作成する場合は, ユーザにユーザ名と初期パスワードを割り当てる必要があります。 一時的に初期パスワードを割り当てる場合は, 12.2.5 項 「パスワード保護に関するガイドライン」 で推奨しているすべてのガイドラインに従ってください。 その意味で,パスワードの割り当てにあたっては自動パスワード・ジェネレータを利用することをお勧めします。 分かりやすいパターンでパスワードを割り当てないことが大切です。

自動パスワード・ジェネレータの利用

AUTHORIZE ユーティリティを使用して,アカウントを作成するときに自動パスワード・ジェネレータを使用するためには,ADD または COPY コマンドのいずれかに /GENERATE_PASSWORD 修飾子を指定する必要があります。 この修飾子が指定されると,システムが自動生成したパスワードの一覧を表示するので,その中から適当なパスワードを選択し,アカウントの設定作業を継続します。

システム・パスワード辞書とパスワード履歴リストの利用

OpenVMS オペレーティング・システムは, 新しいパスワードとシステム・パスワード辞書の内容を自動的に比較し, パスワードがネイティブ言語以外の単語であるか調べます。 またシステムは,一人のユーザについて最新の 60 個のパスワードを記録したパスワード履歴リストを管理しています。 新しいパスワードが割り当てられると,パスワード履歴リストの内容と比較して, 古いパスワードが再利用されていないか調べます。

システム・パスワード辞書は, SYS$LIBRARY に格納されています。 システム・パスワード辞書は, AUTHORIZE で /FLAGS 修飾子に DISPWDDIC か NODISPWDDIC オプションを指定することによって,検索を有効または無効にすることができます。 パスワード履歴リストは SYS$SYSTEM に格納されています。 履歴リストは,/FLAGS 修飾子に DISPWDHIS か NODISPWDHIS オプションを指定することによって,検索を有効または無効にすることができます。

システム・パスワード辞書への登録手順

システム・パスワード辞書は,サイトごとに変更することが可能です。 ここでは,システム・パスワード辞書に対する単語の登録または削除を行う手順を紹介します。 この手順はまた,使用を避けたいパスワードのファイルを残す目的にも使用することができます。

  1. 辞書に登録したいパスワードからなるファイルを作成する。 次に示すように,パスワードは一行に 1 つ記述し,小文字で入力する。

    $ CREATE LOCAL_PASSWORD_DICTIONARY.DATA
    somefamous
    localheroes
    Ctrl/Z 
    
  2. SYSPRV を有効にして,ローカルの追加パスワードをマージする。

    $ SET PROCESS/PRIVILEGE=SYSPRV
    $ CONVERT/MERGE/PAD LOCAL_PASSWORD_DICTIONARY.DATA -
    _$ SYS$LIBRARY:VMS$PASSWORD_DICTIONARY.DATA
    

期限切れパスワードの定義

パスワードを期限切れと定義することができます。 この定義は,UAF に新規ユーザを登録するときに,AUTHORIZE の /PWDEXPIRED 修飾子を使用して行います。 この定義がなされている場合,ユーザは初めてログインしたとき初期パスワードを変更する必要があります。

期限切れパスワードは,UAF レコード・リストにおいて期限切れである旨がはっきりと示されます。 最新のパスワード変更日のエントリに,次の注記が付きます。

(pre-expired)

省略時の設定では OpenVMS オペレーティング・システムは,新規ユーザの初めてのログインでパスワードの変更を強制します。 システムの機密保護を実現し促進するためには,サイトでトレーニング・プログラムを作成し,パスワードの頻繁な変更やその他の処置についてユーザ教育を行うことをお勧めします。

12.2.2 システム・パスワード

システム・パスワードは, 権限なしのターミナルへのアクセスを制御するために使用します。 このようなターミナルを以下に示します。

  • ダイアルアップ回線や公衆データ・ネットワークからアクセス可能な回線

  • 大学のコンピュータ研究所などの,公衆のアクセス可能で, 機密保護が厳しくない回線につながれたターミナル

  • 機密保護管理者が機密保護のために確保しているターミナル

システム・パスワードの実現は,DCL の SET TERMINAL と SET PASSWORD コマンドを使用し,2 段階に分けて行います。 最初に行うべきことは,システム・パスワードを必要とするターミナルの特定です。 そして次に,特定したターミナルの 1 台 1 台に,DCL の SET TERMINAL/SYSPASSWORD/PERMANENT コマンドを入力します。 すべてのターミナルに対して,システム・パスワードを有効にするには, システム・パラメータ TTY$DEFCHAR2 で適切なビットを設定します。

12.2.3 第 1 パスワードと第 2 パスワード

二重パスワードというのは手間がかかりますが,高度な機密保護が求められるサイトでは重要なことです。 第 2 パスワードの有効性は,それを提供するスーパバイザの信頼性に完全に依存しています。 スーパバイザは簡単にパスワードを漏らしたり, さらに悪い場合は空文字列にすることができます。

第 2 パスワードの最大の利点は,DECnet for OpenVMS を介して簡単にアカウントにアクセスされるのを防止できる点です。

別の利点は,パスワードを変更した後で不審な侵入があり, 強制的にパスワード・ジェネレータを使用するような場合に, 検出ツールとして使用できる点です。 問題のアカウントを選択し,そのアカウントを一時的に二重パスワードの対象にしてください。 第 2 パスワードを使って個人的な検査を行い,問題がなくなった場合は,個人的な問題があったことが分かります。 最も考えられるのは,権限を持つユーザがアカウントのパスワードを, 他のユーザに明かしてしまっているケースです。 第 2 パスワードの登録方法については, 『OpenVMS システム・セキュリティ・ガイド』で詳しく説明しています。

12.2.4 最低限のパスワード基準の実施

機密保護管理者は AUTHORIZE を使用し,個々のユーザに最低限のパスワード基準を課すことができます。 これは具体的には, AUTHORIZE が提供する修飾子とログイン・フラグを使用して, パスワードの最低の長さやパスワードの有効期限,期限切れ時のパスワード変更の強制の有無を制御するものです。

パスワードの有効期限

AUTHORIZE の /PWDLIFETIME 修飾子を使用して,パスワードの最大有効期限を設定することができます。 有効期限がくる前に, ユーザはパスワードを変更する必要があります。 変更しない場合は,パスワード変更の強制を受けるか, またはアカウントに対するアクセス権を失います。

パスワードの有効期限が設定されると,ユーザは定期的にパスワードの変更を求められます。 有効期限はユーザごとに変えることができます。 一般的に,重要なファイルに対するアクセス権を持つユーザには,最も短いパスワード有効期限を割り当てるべきです。

期限切れパスワードの変更の強制

ログイン時,省略時の設定ではユーザは,期限切れパスワードの変更を強制的に求められます。 すなわち,システムは,パスワードの期限が切れているユーザがログインすると,新しいパスワードを入力するよう求めます。 /PWDLIFETIME 修飾子を使用してパスワードの有効期限を変更しないかぎり,有効期限は省略時の設定で 90 日になります。

最低パスワード長

AUTHORIZE の /PWDMINIMUM 修飾子を使用して, パスワードの最少文字数を指定することができます。 パスワードの最大の長さは,この最低の長さの変更に関係なく 31 文字です。

パスワード・ジェネレータの使用

AUTHORIZE で /FLAGS=GENPWD 修飾子を指定することによって, パスワードを変更するときユーザが自動パスワード・ジェネレータを使用するよう強制することができます。 この修飾子を使ってすべてのアカウントを作成することもできれば,もっと選択肢を広げることもできます。

12.2.5 パスワード保護に関するガイドライン

パスワードを保護するにあたっては,次のガイドラインに従ってください。

  • あらゆる OpenVMS システムの標準アカウントである SYSTEM アカウントのパスワードは, 機密保護を確実にし定期的に変更する。

  • SYSTEST や FIELD など定期的に使用されることのないアカウントは, AUTHORIZE の /FLAGS=DISUSER 修飾子を使って使用禁止にする。

  • 社外や社内のサービス機関が,システム・サービスのとき使用するアカウントのパスワードを書き留めるのを許可しない。 そうしたサービス機関はどのシステムでも同じパスワードを使用する傾向があり,彼らの使用するアカウントは通常, 特権付きである。 そうしたサービス機関には,めったに使用しないアカウントを提供し,AUTHORIZE フラグの DISUSER を設定し, 必要なときだけそうしたアカウントの使用を許可する。 または,使用後ただちにパスワードを変更し,新しいパスワードを通知する。

  • ユーザがアカウントを短期間しか使用しないことが分かっている場合は,特に,適当なパスワード有効期限を設定する。

  • 使用しなくなったアカウントは削除する。

  • 暗号化せずにプレーン・テキストでパスワードを記録しているシステムのアカウントを持っている場合は, 別のマシン上のすべてのアカウントに異なるパスワードを使用する。 パスワードは,パスワードを暗号化するマシン間においても共用してはならない。 パスワードを盗まれたマシンを使用するとプレーン・テキストを読み取ることができるので,他のマシンにもアクセスされてしまう。

  • 盗み読みされたり,盗まれたりしやすい場所にオペレータ・ログ, 会計情報ログ,監査ログなどのリスト類を放置しないように注意する。

  • 利用者登録ファイルに十分な保護を設定する。 利用者登録ファイル (SYSUAF.DAT) とネットワーク代理登録ファイル (NETPROXY.DAT) は, システム・アカウント ([SYSTEM]) が所有する。 このグループに他のユーザを含むことはできない。 したがって,SYSTEM,OWNER,および GROUP カテゴリは同義。 通常は,そうした登録ファイルの保護は,省略時の UIC に基づくファイル保護で十分である。

次に挙げる処置は厳密にはパスワードの保護には関係ありませんが, パスワードが発見される可能性を減らし,パスワードが盗まれたり, バイパスされたりしたときの損害の広がりを抑えるのに役立ちます。

  • アカウントに対するアクセス権を複数のユーザに分散して付与しない。

  • 1 人のユーザが複数のグループにまたがらない。

  • システムに接続されているダイアルアップ回線の電話番号は機密事項にする。

  • パスワードを必要としないアカウントは必ず専用アカウントにする。

  • むやみにユーザに特権を与えない。

  • オペレーティング・システムのコンポーネントを含むファイルには, 適切な保護を設定する。

12.2.6 パスワードの履歴

パスワード履歴データベースは,各ユーザ・アカウントに対応する以前のパスワードの履歴を保持しています。 省略時の設定では,システムはこの記録を1 年間保持します。 システムのパスワード履歴の存在期間より古いパスワード履歴の記録は,有効なパスワード選択と見なされます。 ユーザ・アカウントが削除されると,システムは,対応するパスワード履歴の記録を履歴データベースから削除します。

12.3 ブレークイン検出機構の使用法

この節では,ブレークインの検出および回避機構の設定方法と, ブレークイン・データベースの内容の表示方法について説明します。

ダイアルアップ回線を介したリトライ回数の制御

ダイアルアップ回線を介してユーザが行うことが可能なログイン・リトライ回数を,制御することができます。 接続が確立されてから入力の間違いがあった場合, ユーザは自動的に切り離されます。 このオプションは,権限を持つユーザであっても不正なログインのリトライ回数を制限したい場合に有用です。

リトライ回数を制御したい場合は, LGI システム・パラメータの LGI_RETRY_TMO と LGI_RETRY_LIM を使用します。 省略時の設定では,ユーザは 20 秒間隔で 3 回のリトライが許されます。

ダイアルアップ回線を介したリトライ回数の制御は, 機密保護プログラムの機能の一部にしかすぎず, これだけではシステムへの不法な侵入 (ブレークイン) を防ぐには十分ではないことを覚えておいてください。 しつこい侵入者がリダイアルのような方法を取れば, システム侵入の抑止にはなりません。 また,この方法はダイアルアップ回線にしか適用できません。

侵入をあきらめさせるその他の手段

OpenVMS オペレーティング・システムには, システムへの不法な侵入(ブレークイン) をあきらめさせる, その他の手段も用意されています。 それらの方法は,上記の機能と同じく,LGI カテゴリのシステム・パラメータを使用します。

パラメータ 説明

LGI_BRK_LIM

ログイン失敗の回数 (しきい値) を定義する。 ある時間内にログインに失敗した回数が LGI_BRK_LIM 値を超えると,システムはブレークインが行われていると見なす。

LGI_BRK_TERM

失敗の回数を数えるとき,ターミナルとユーザ名の関連を制御する。

LGI_BRK_TMO

ログインの失敗を検出し,記録するまでの時間を制御する。

LGI_HID_TIM

回避動作の時間を制御する。

LGI_BRK_DISUSER

ブレークイン検出の効果をもっと厳しくする。 このパラメータが 1 に設定された場合, OpenVMS オペレーティング・システムは侵入が試みられたアカウントの UAF レコードに DISUSER フラグをセットする。 このため,手動で変更することがないかぎり,侵入者と見なされたユーザは以降ログインできない。

これらのパラメータについては, 『OpenVMS システム・セキュリティ・ガイド』で詳しく説明しています。

侵入データベースの内容表示

機密保護サーバ・プロセスは,通常のオペレーティング・システムのスタートアップの一部として作成され,次の操作を実行します。

  • システムの侵入データベースを作成して管理する。

  • ネットワーク代理データベース・ファイル (NET$PROXY.DAT) を管理する。

システムは,失敗したログインを追跡するために侵入データベースを使用します。 プロセスのログインでこの情報を調査して, 侵入の疑いのあるものがシステムにアクセスしないよう, 限定的な措置をとるかどうかを決定します。

DCL の SHOW INTRUSION コマンドを使用すると, 侵入データベースの内容を表示することができます。 また,DCL の DELETE/INTRUSION_RECORD コマンドを使用して, 侵入データベースのエントリを削除することができます。

ネットワーク代理データベース・ファイル (NET$PROXY.DAT) は, ネットワークの接続処理中に使用され,特定の遠隔ユーザがパスワードを使わずにローカル・アカウントにアクセスしてよいかどうかを判断します。

次の例は,SHOW INTRUSION コマンドで, 拡張された満了時刻フィールドが新しく出力されることを示しています。

$ SHOW INTRUSION
Intrusion       Type       Count        Expiration         Source
   NETWORK      SUSPECT       1   21-MAY-2000 12:41:01.07  DEC:.ZKO.TIDY::SYSTEM

12.4 オブジェクトの保護手段

OpenVMS オペレーティング・システムには,重要な 2 つの保護機構が用意されています。 1 つは,UIC (利用者識別コード) に基づいてすべての保護オブジェクトに適用される, UIC に基づく保護機構です。

もう 1 つは ACL (アクセス制御リスト) を使用した保護機構です。 これは UIC に基づく保護よりもっと洗練されたレベルの保護を提供します。 ACL を使って,個別ユーザあるいはユーザ・グループ単位でアクセスを制御することができます。

12.4.1 利用者識別コード

利用者識別コードは,そのコードのユーザが属するシステム・グループと, そのグループ内でユーザを一意的に識別するコードです。

AUTHORIZE ユーティリティは, システムの各ユーザ・プロセスに一意の UIC を割り当て, それを利用者登録ファイル (UAF) に記録します。 こうした UIC はまた,システムのあらゆるオブジェクトにも割り当てられます (通常はオブジェクトの作成者の UIC)。

UIC は,次の形式でグループとメンバの 2 つの部分から構成されます。

[group,member]

UIC は数字だけ,または英数字の両方で構成します。 数値型の UIC のグループ番号は 8 進で 0 から 37776, メンバ番号は 8 進で 0 から 177776 の範囲です。 グループ 1 およびグループ 300 から 377 までは,弊社が予約しています。

12.4.2 保護コード

保護コードは,特定のユーザまたはグループについて許可を与えるかどうかのアクセスのタイプを制御します。 形式は次のとおりです。

[ ユーザ・カテゴリ: 許可アクセス・リスト (, カテゴリ: 許可アクセス・リスト ,...)]

ユーザ・カテゴリ

ユーザ・カテゴリは,システム (S),所有者 (O),グループ (G), ワールド (W) のいずれかです。 各カテゴリは短縮して,対応する英字の先頭 1 文字で表すことができます。 それぞれのカテゴリの定義を次に示します。

  • システム: このカテゴリのメンバは次のいずれか。

    • 小さいグループ番号 (通常は 8 進で 1 から 10) を持つユーザ。 一般的にこれらのグループ番号は,システム管理者や機密保護管理者,システム・プログラマ用。 実際のシステム・グループ番号の範囲は,システム管理者が MAXSYSGROUP システム・パラメータを設定することによって決定される。 有効な範囲は 8 進で 37776 まで。

    • SYSPRV 特権を持つユーザ。

    • オブジェクトの所有者と同じ UIC グループの GRPPRV 特権を持つユーザ。

    • ボリュームの所有者と同じ UIC を持つユーザ (ディスク・ボリューム・ファイルに対するアクセス時に判定)。

  • 所有者: 現在オブジェクトを所有しているユーザと同じ UIC を持つユーザ。 一般的に,オブジェクトの作成者とオブジェクトを切り離すという明示的な処置を取らないかぎり, オブジェクトに対する所有者アクセス権はその作成者に付与される。

  • グループ: オブジェクトの所有者と同じ UIC グループに属するすべてのユーザ。

  • ワールド: 上記 3 つのカテゴリに属するユーザを含むすべてのユーザ。

複数のユーザ・カテゴリを指定する場合は, 各カテゴリをコンマで区切り,コード全体を括弧で囲みます。 ユーザ・カテゴリとアクセス・タイプは,任意の順序で指定できます。

アクセス・タイプにヌルを指定した場合はアクセス権なしを意味します。 そのため,ユーザ・カテゴリにアクセス・タイプを指定しなかった場合, そのカテゴリのユーザには,そのタイプのアクセス権が付与されません。 特定のユーザ・グループについてアクセス権を全く付与しない場合は, アクセス・タイプを何も指定せずにユーザ・カテゴリだけ指定します。 またこの場合,ユーザ・カテゴリの後のコロンを省略します。

保護コードにユーザ・カテゴリを指定しなかった場合は, そのカテゴリに現在付与されているアクセス権がそのまま適用されます。

アクセス・リスト

アクセスのタイプはオブジェクトによって決まります (『OpenVMS システム・セキュリティ・ガイド』を参照)。 ファイルに対するアクセス権には,読み込み (R),書き込み (W), 実行 (E),削除 (D) があります。 各ユーザ・カテゴリと割り当てられたユーザ・カテゴリはコロン (:) で区切ります。

次の保護コードでは,システム・ユーザにオブジェクトに対するすべてのアクセス権,所有者に削除以外のすべてのアクセス権を付与していますが, グループとワールド・ユーザにはアクセス権を付与していません。

$ SET SECURITY/PROTECTION=(S:RWED,O:RWE,G,W) [JONES]MY_FILE.TXT

省略時の保護コードの変更方法

OpenVMS オペレーティング・システムは,各プロセスに省略時の UIC に基づく保護コードとして (S:RWED,O:RWED,G:RE,W) を割り当てます。 この省略時の保護コードを変更したい場合は, SET PROTECTION/DEFAULT コマンドを使用します。 次に例を参照してください。

$ SET PROTECTION=(S:RWED,O:RWED,G:RE,W:RE)/DEFAULT

12.5 クラスタ間通信機密保護オブジェクトの作成

OpenVMS は SYS$MANAGER:ICC$SYSTARTUP.COM を提供します。 このコマンド・プロシージャによって,ICC 機密保護オブジェクトと他のレジストリ・テーブルを追加して,ICC 特性をカスタマイズできます。

ICC$CREATE_SECURITY_OBJECT プロシージャは, パーマネント ICC 機密保護オブジェクトを作成し,オプションでそのオブジェクトに最初の SET SECURITY コマンドを発行します。 node::association を指定すると,ある関連が存在する前にその関連に対する機密保護オブジェクトが作成されます。 たとえば,MYNODE::BOB_SERVER を指定します。 特殊ノード名 ICC$ を使用すると, ICC クラスタ単位レジストリにある 1 つのエントリに対して機密保護オブジェクトが 1 つ作成されます。

ICC で関連を作成する前に,node::association ペアには OPEN 機密保護属性が必要になります。 ICC$CREATE_SECURITY_OBJECT で作成される機密保護オブジェクトは, システムがリブートするまで削除されません。

関連を結びつける機能は,機密保護オブジェクトの ACCESS 機密保護属性によって制御されます。

ICC を使用するすべてのプロセスは,関連をオープンする必要があります。 SYSNAM 特権を持っている場合, ICC$CREATE_SECURITY_OBJECT を呼び出さずに関連をオープンすることはできますが, そのオブジェクトはパーマネントではなりません。 特権は要求されないので,誰でも ICC$pid* (例 : ICC$20203F9A_FOO) という名前のアクセスを作成することができます。

ICC$CREATE_SECURITY_OBJECT は,特殊ノード名 ICC$ を使用して, ICC クラスタ単位レジストリに名前を作成することを規定するためにも使用できます。 レジストリに名前を作成するときには,機密保護アクセス属性 OPEN と CONTROL を使用します。

SYS$MANAGER: には,SYS$SYSTARTUP.TEMPLATE というファイルが用意されており, 個別の事情に合わせてプロシージャをカスタマイズできます。

12.6 ACL (アクセス制御リスト) の作成

たいていの会話型ユーザ・アカウントの保護は,省略時の UIC に基づく保護で十分です。 ただし,プロジェクト・アカウントのような場合には,ACL (アクセス制御リスト) を使って, さらに細かい保護が必要になることがあります。 ACL に基づく保護機構は,複数のグループ,または複数のグループに属するメンバが共通にアクセスするアカウントに対して,より洗練されたレベルの保護を提供します。

12.6.1 ACL エントリの種類

アクセス制御リストは,オブジェクトの属性を定義する, ACE (アクセス制御エントリ) と呼ばれるエントリのリストです。

次の ACE が使用可能です。

ACE 説明

識別 ACE

ユーザの識別情報に基づいて,特定のユーザに許可するアクセスのタイプを制御する。 各識別 ACE は,少なくとも 1 つのライト識別情報と,その情報を保持するユーザに許されるアクセス・タイプのリストから構成される。 識別情報については,12.6.2 項 「識別子の種類」 を参照すること。

たとえば,次の ACE はユーザ "Jones" にオブジェクトに対する読み込み,書き込み,および実行のアクセス権を付与している。

(IDENTIFIER=[ACCOUNTING,JONES],ACCESS=READ+WRITE+EXECUTE)

省略時の保護 ACE

特定のディレクトリとそのサブディレクトリ内に作成されたすべてのファイルに割り当てる保護コードを指定することができる。

たとえば次の ACE では,ディレクトリに新たに作成されたファイルに対し,システムと所有者カテゴリのユーザにはすべてのアクセス権, グループ・ユーザには読み込みおよび実行のアクセス権を付与し, ワールド・カテゴリのユーザにはアクセス権を付与しない。

(DEFAULT_PROTECTION,S:RWED,O:RWED,G:RE,W:)

作成 ACE

作成 ACE を割り当てたディレクトリ内で作成されたファイルの ACL に新しい ACE を追加する。 作成 ACE は,ファイルを作成するプロセスの利用者識別コード (UIC) が,作成されるファイルを所有しない場合に適用される。 たとえば,ディレクトリが資源識別子によって所有されている場合には,この ACE が適用される。

次の例では,このディレクトリ内でファイルを作成したユーザに,そのファイルに対する読み込み,書き込み, 実行,削除アクセス権を付与するよう指定している。

(CREATOR,ACCESS=READ+WRITE+EXECUTE+DELETE)

作成 ACE が使用できるのは,ディレクトリ内のファイルのみ。

機密保護アラーム ACE

オブジェクトが特定の方法でアクセスされたとき,オペレータのターミナルに機密保護アラーム・メッセージを送るよう指示することができる。

たとえば,次の ACE では,特定のファイルが正しく読み取られると, 必ずアラーム・メッセージが出される。

(ALARM=SECURITY,ACCESS=SUCCESS+READ)

機密保護アラーム ACE が働くためには,次のコマンドで有効にしておくことが必要。

$ SET AUDIT/ALARM/ENABLE=(ACL) 

機密保護監査 ACE

オブジェクトが特定の方法でアクセスされたとき, システム・セキュリティ監査ログ・ファイルに機密保護アラーム・メッセージを送るアクセス基準を指定する。

たとえば,次の ACE では,特定のファイルが正しく読み取られると, 必ずアラーム・メッセージが出される。

(AUDIT=SECURITY,ACCESS=SUCCESS+READ)

メッセージが記録されるのは,DCL の SET AUDIT/AUDIT/ENABLE=ACL コマンドで,ACL 監査が有効になっている場合のみ。

サブシステム ACE

サブシステム ACE が適用されるイメージを実行しているプロセスに新しい識別子を追加する。 イメージに対して実行アクセス権を持つユーザは,データ・ファイルやプリンタなど保護されたサブシステム内のオブジェクトにアクセスできる。 しかし,サブシステム・イメージが実行されていない場合は,アクセスできない。 サブシステム ACE が使用できるのは,実行可能イメージのみ。

次の例では,特定のサブシステム・イメージを実行しているプロセスに,識別子 ACCOUNTING を追加している。 この識別子によって,プロセスはサブシステムによって所有されるオブジェクトにアクセスできる。

(SUBSYSTEM, IDENTIFIER=ACCOUNTING)

これらの ACE についての詳細は『OpenVMS システム管理 ユーティリティ・リファレンス・マニュアル』を, また ACE の作成および適用方法についての詳細は 『OpenVMS システム・セキュリティ・ガイド』を参照してください。

12.6.2 識別子の種類

識別 ACE に設定可能な識別子は,いくつかの種類に分類されます。 識別子は 1 文字から 31 文字の長さの英数字文字列で構成し, 少なくとも 1 字は英字にします。 使用可能な文字は0 から 9 の数字と A から Z の英字, そしてドル記号 ($) とアンダスコア (_) です。 識別子の種類を次の表に示します。

タイプ 説明

UIC 識別子

UIC (利用者識別コード) に基づく情報であり,システムのユーザを特定して,そのユーザが属するグループを定義する。

[GROUP1,JONES]
[JONES]
GROUP1
JONES

一般識別子

機密保護管理者が定義する情報。

SALES
RESERVE_DESK

環境識別子

ユーザが初めてシステムにログインしたときの情報に基づいてユーザを分類した情報であり,システムが自動的に作成する。

BATCH, NETWORK
INTERACTIVE
LOCAL, DIALUP
REMOTE

機能識別子

インストール中の機能で定義する。

RDB$ENTRY

SYS$SYSTEM の STARTUP.COM システム・スタートアップ・プロシージャは, 環境識別子の他,SYS$NODE_ ノード名の形式でシステム・ノード識別子も作成します。

12.7 ACL の割り当て

ACL を作成可能なオブジェクトは次のとおりです。

  • 権限

  • 共通イベント・フラグ・クラスタ

  • ファイル

  • 装置

  • グループ・グローバル・セクション

  • 論理名テーブル

  • キュー

  • 資源ドメイン

  • セキュリティ・クラス

  • システム・グローバル・セクション

  • ボリューム

一般的に ACL は,全員ではなく一部ユーザについてのみオブジェクトのアクセス権を付与したい場合, あるいは特定の特権を持たないユーザについてアクセス権を拒否したい場合に使用します。 ACL を持つオブジェクトに対するアクセス要求を受け取ったオペレーティング・システムは,ACL を検索し,最初に一致したアクセス制御リスト・エントリを見つけた時点で検索を止めます。 つまり,他に一致するエントリが ACL にあったとしても意味はありません。 そのため,特定のユーザについて,システム・オブジェクトへのアクセスの許可または不許可を設定する ACE は,ACL 内のより広い範囲のユーザを表す ACE より前に指定するようにしてください。

12.8 ACL エディタの使用法

アクセス制御リスト・エディタ (ACL エディタ) は,ACL の作成と編集に使用するスクリーン・エディタです。 システム・オブジェクトに ACL を定義したり,既存の ACL を編集したりする場合に使用してください。

ACL エディタは,EDIT/ACL コマンドまたは SET SECURITY/EDIT コマンドで起動します。 コマンド行には,作成または変更したい ACL のオブジェクト名を指定します。 たとえば,INVENTORY.DAT というファイルの ACL を作成するときは, 次のコマンドを使用します。

$ EDIT/ACL INVENTORY.DAT

作成または変更する ACL の対象であるオブジェクトがファイルでない場合は, /CLASS 修飾子を使ってオブジェクトのタイプを指定する必要があります。 たとえば,ディスク DOCD$: の ACL を作成する場合は, 次のコマンドを使用します。

$ EDIT/ACL/CLASS=DEVICE DOCD$

ACL エディタを起動して,既存の ACL を変更したり, オブジェクトに新しい ACL を作成することができます。 オブジェクトに ACL がすでに作成されている場合は, ACL エディタを起動すると画面にその ACL が表示されます。

ACL エディタは,OpenVMS 共通言語で作成されたプログラムの内部から起動することもできます。 ただし,そうしたプログラムは OpenVMS 呼び出し基準に基づいて呼び出しを行う必要があります。 ACL エディタの呼び出しインタフェースの使用法については, 『OpenVMS Utility Routines Manual』を参照してください。

12.8.1 識別 ACE の登録

識別 ACE は,特定のユーザまたはグループに許可するアクセス・タイプを制御します。 形式は次のとおりです。

(IDENTIFIER= 識別子 [, オプション ][, アクセス ])

たとえば次の ACE は,UIC 識別子 [SALES,PAT] で表されるユーザ Pat にファイルに対する読み込み,書き込み,および実行のアクセス権のみ付与しています。 削除または制御のアクセス権が指定されていないため,Pat がそれらのアクセス権を持つことはありません。

(IDENTIFIER=[SALES,PAT],ACCESS=READ+WRITE+EXECUTE)

識別 ACE の省略時の属性を使って,特定のディレクトリに新たに作成されるファイルの ACL に取り込む省略時の ACE を定義することができます。 たとえば,PERSONNEL という識別子を持つユーザに読み込みおよび書き込みのアクセス権を許可する ACE が, [MALCOLM] というディレクトリのすべてのファイルに設定されるようにしたい場合は, MALCOLM.DIR ファイルの ACL に次の ACE を記入しておきます。

(IDENTIFIER=PERSONNEL,OPTIONS=DEFAULT,ACCESS=READ+WRITE)

この ACE 指定があると,[MALCOLM] ディレクトリに作成されるすべてのファイルが次の ACE を持ちます。

(IDENTIFIER=PERSONNEL,ACCESS=READ+WRITE)

識別 ACE の省略時の属性と ACL 処理時の省略時属性の働きについては,『OpenVMS システム・セキュリティ・ガイド』にさらに詳しい説明があります。

12.8.2 省略時の保護コードの設定

省略時の保護 ACE は, ディレクトリとそのサブディレクトリに新たに作成されるすべてのファイルに対する保護コードを設定するエントリです。 ファイルの以前のバージョンが存在する場合, この ACE は適用されず,以前のファイルの保護が使用されます。 この ACE の形式は次のとおりです。

(DEFAULT_PROTECTION[, オプション ], 保護コード)

たとえば次の ACE は,システムと所有者カテゴリのユーザには, ディレクトリに新たに作成されるファイルに対する読み込み,書き込み, 実行,削除のアクセス権を付与し,グループとワールド・ユーザにはアクセス権を付与しないよう指示しています。

(DEFAULT_PROTECTION,S:RWED,O:RWED,G,W)
注意:

省略時の保護 ACE はサブディレクトリには適用されません。 ACE が親ディレクトリに適用された後で作成されたサブディレクトリには適用されます。

12.8.3 機密保護アラームおよび監査の生成

機密保護 ACE を使用して,保護されているオブジェクトに対して, 特定のタイプのアクセスが行われたとき,イベント・メッセージを送るよう指示することができます。 機密保護アラーム ACE は, イベント・メッセージをセキュリティ・オペレータのターミナルに送信し, 機密保護監査 ACE はそのイベント・メッセージをシステム・セキュリティ監査ログ・ファイルに送信します。

この ACE の使用方法についての詳細は, 『OpenVMS システム・セキュリティ・ガイド』を参照してください。

12.9 機密保護関連イベントの記録

システム管理者は, 機密保護関連イベント・メッセージの通知先を選択することができます。 アラーム・メッセージはオペレータのターミナルに, 監査メッセージはシステム・セキュリティ監査ログ・ファイルにそれぞれ送信されます。 また,アラーム,監査,およびその両方として報告されるイベントを選択することができます。

12.9.1 機密保護アラーム対象とするイベント・クラスの指定

OpenVMS オペレーティング・システムは, 『OpenVMS システム管理者マニュアル (下巻)』にあるようなイベントを自動的に監視します。

また,DCL の SET AUDIT コマンドの /ENABLE 修飾子で 表 12-1 「OpenVMS が報告するイベント・クラス」 に示すようなキーワードを指定すると, 他のクラスのイベントを監視することができます。

表 12-1 OpenVMS が報告するイベント・クラス

イベント・クラス 説明

Access

あるクラスのすべてのオブジェクトに対するアクセス・イベント。 特定のクラスのすべての保護オブジェクトに対するアクセスを, 特権の有無にかかわらず選択して監視することができる。

ACL

オブジェクトのアクセス制御リスト (ACL) の機密保護監査 ACE または機密保護アラーム ACE によって要求されるイベント。

Authorization

SYSUAF.DAT,NETPROXY.DAT,NET$PROXY.DAT または RIGHTSLIST.DAT の変更。

Breakin

ブレークイン。

Connection

SYSMAN,DECnet for OpenVMS Phase IV,DECwindows 製品, またはプロセス間通信 (IPC) 呼び出しによる論理リンクの接続または切断。

Create

保護オブジェクトの作成。

Deaccess

保護オブジェクトへのアクセス解除。

Delete

保護オブジェクトの削除。

Identifier

特権としての識別子の使用。

Install

INSTALL ユーティリティによる既知のファイル・リストの変更。

Logfailure

ログインの失敗。

Login

正常なログイン。

Logout

ログアウト。

Mount

ボリュームのマウントおよびディスマウント。

NCP

ネットワーク制御プログラム (NCP) によるネットワーク環境設定データベースの変更。

Privilege

正常または異常な特権の使用。

Process

プロセス制御システム・サービスの使用。

SYSGEN

SYSGEN または AUTOGEN ユーティリティによるシステム・パラメータの変更。

Time

システム時間の変更。

 

SET AUDIT コマンドについての詳細は, 『OpenVMS DCL ディクショナリ』を参照してください。

12.10 監査ログファイルの解析

システム管理者およびサイトの機密保護管理者は, ANALYZE/AUDIT ユーティリティを使用して, 機密保護監査ログ・ファイルに含まれる情報を選択的に抽出および表示することができます。 このユーティリティには,各種監査レポート形式や, レポートに出力するイベントの基準を選択するための修飾子が用意されています。 ANALYZE/AUDIT の使用法については, 『OpenVMS システム・セキュリティ・ガイド』を参照してください。

印刷用画面へ
プライバシー 本サイト利用時の合意事項
© 2004 Hewlett-Packard Development Company, L.P.