Jump to content 日本-日本語
≫ お問い合わせ

HP OpenVMS: システム・セキュリティ・ガイド > パート III  システム管理者のためのセキュリティ

付録 C C2 環境における OpenVMS システムの運用

≫ 

OpenVMSドキュメント・ライブラリ

目次
まえがき
Part 1:セキュリティの概要
第1章:システムセキュリティ
第2章:OpenVMSのセキュリティモデル
Part 2:一般ユーザのためのセキュリティ
第3章:システムの安全な使用
第4章:データの保護
第5章:オブジェクトクラスの詳細
Part 3:システム管理者のためのセキュリティ
第6章:システムとデータの管理
第7章:システムアクセスの管理
第8章:システムのデータと資源へのアクセス制御
第9章:セキュリティ監査の実施
第10章:システムのセキュリティ侵害
第11章:クラスタのセキュリティ保護
第12章:ネットワーク環境におけるセキュリティ
第13章:保護サブシステムの使用
付録A:特権の割り当て
付録B:システムファイルの保護
付録C:C2環境におけるシステムの運用
用語集
索引
PDF
OpenVMS ホーム
ここから本文が始まります

この付録では,C2 環境で OpenVMS オペレーティング・システムを運用する方法について説明します。C2 とは,オペレーティング・システムのセキュリティについて,米国政府が定めた格付けのことで,OpenVMS VAX および OpenVMS Alpha は,Division C のクラス 2 システムの基準を満たすオペレーティング・システムとされています ( C.1.1 項 「C2 環境の定義」参照)。この付録で使用する用語は,米国政府の評価基準で使用されている用語に由来します。

National Computer Security Center (NCSC) により評価が行われた OpenVMS のバージョンは,「Evaluated Products List」に掲載されています。このリストは以下から入手できます。

National Computer Security Center
9800 Savage Road
Fort George G. Meade
Maryland 20755-6000

同じ情報が,下記の Web サイトでも提供されています。

http://www.radium.NCSC.mil/tpep/epl/index.HTML

OpenVMS VAX Version 6.1 および OpenVMS AXP Version 6.1 が提供するセキュリティ保護は,National Computer Security Center (NCSC) が,「Department of Defense Trusted Computer System Evaluation Criteria 」(1985年 12月発行) に規定されている要件に照らして評価しています。OpenVMS VAX Version 6.1 および OpenVMS AXP Version 6.1 は,C2 の格付けを獲得しています。

C.1 C2 システムについて

この節では,C2 システムの要件を紹介し,この要件を満たすシステムをサポートするために OpenVMS 製品について提供しているドキュメントについて説明します。

C.1.1 C2 環境の定義

C2 環境とは,信頼できるコンピュータ・システムに関する米国国防総省の基準を満たしている環境であり,OpenVMS オペレーティング・システムについての政府の評価の対象となった TCB (トラステッド・コンピューティング・ベース) のハードウェア・コンポーネントとソフトウェア・コンポーネントのみで構成されている環境のことを指します。

C2 システムの基準は,Department of Defense Computer Security Center が発行している『Department of Defense Trusted Computer System Evaluation Criteria』(DOD 5200.28-STD) に定義されています。定義されている主な内容は次のとおりです。

  • アクセス制御。個々のユーザに加え,複数のユーザで構成されるグループの識別が可能

  • ユーザを明確に特定するログイン手順を通じたユーザ確認

  • セキュリティ関連イベントの監査

  • 再割り当ての前にオブジェクトが消去されるようにすることを目的とした,資源の分離

C.1.1.1 ドキュメント

トラステッド・ファシリティ・マニュアルは,システム管理者を対象としています。C2 トラステッド・ファシリティ・マニュアルには次のものが含まれます。

  • このマニュアルの第 5 章~第 13 章および付録

  • OpenVMS システム管理ユーティリティ・リファレンス・マニュアル』の「監査分析ユーティリティ」の節

  • OpenVMS AXP Version 6.1 Upgrade and Installation Manual

  • OpenVMS VAX Version 6.1 Upgrade and Installation Manual

  • OpenVMS AXP Version 6.1 Release Notes

  • OpenVMS AXP Version 6.1 Release Notes Addendum

  • OpenVMS VAX Version 6.1 Release Notes

  • OpenVMS VAX Version 6.1 Release Notes Addendum

本書の パート I 「セキュリティの概要」「セキュリティの概要」および パート II 「一般ユーザのためのセキュリティ」「一般ユーザのためのセキュリティ」は,セキュリティ機能に関するユーザ向けの手引きとなっており,すべてのユーザが参照できるようにする必要があります。

C.2 C2 システム向けのトラステッド・コンピューティング・ベース (TCB)

米連邦政府によるコンピュータ・システムの評価は,トラステッド・コンピューティング・ベース (TCB) C.1.1 項 「C2 環境の定義」に要約されている基準に照らして行われます。TCB は,セキュリティ・ポリシーを実施する,コンピュータ・ハードウェアとオペレーティング・システムの組み合わせのことです。

C.2.1 TCB に含まれるハードウェア

VAX プロセッサのアーキテクチャは設計上,競合するプログラム同士がお互いのデータに干渉できないようになっています。VAX ハードウェアでは,あるプログラムが別のプログラムのメモリに干渉できないようになっています。

本書に記載されているセキュリティ機能は,評価されたハードウェア構成に含まれるすべての VAX プロセッサ,およびサポートされているすべてのマス・ストレージと通信デバイスに適用されます。『Final Evaluation Report, Digital Equipment Corporation, OpenVMS VAX and SEVMS Version 6.1』には,評価済みハードウェアがすべて掲載されています。

C.2.2 TCB に含まれるソフトウェア

OpenVMS オペレーティング・システムでは,TCB は OpenVMS のほとんどを網羅しています。OpenVMS の TCB には,エグゼクティブやファイル・システムの全体,ユーザ・モードで実行されないその他すべてのシステム・コンポーネント (デバイス・ドライバ,RMS,DCL など),特権を使ってインストールされた大部分のシステム・プログラム,およびシステム管理者が TCB に関連するデータを保守するために使用するその他の各種ユーティリティが含まれます。

ユーザの便宜を図るため,OpenVMS は,オペレーティング・システム本体以外のものと一緒に出荷されます。OpenVMS ソフトウェア・パッケージには,セーブ・セットや,OpenVMS オペレーティング・システムでよく実行されるレイヤード・プロダクト向けの有用なイメージなどが含まれています。ただし,C2 システムとして評価済みなのはベースとなる OpenVMS オペレーティング・システムのみです。DECwindows ソフトウェアやDisplay PostScript® のサポートなど,レイヤード・プロダクトは C2 評価の対象外です。このため,C2 格付けの対象は, 表 C-1 「C2 の評価済みシステムに含まれていないソフトウェア」 に示すソフトウェアを実行する OpenVMS VAX システムまでは及びません。これらのソフトウェア・コンポーネントが対象外であるいうことが,これらが安全でないということではまったくありません。単に,評価の対象となったシステムには含まれていなかったということです。このようなソフトウェアを導入した場合,ベース・システムは,その使用について認可を得る必要があります。

表 C-1 C2 の評価済みシステムに含まれていないソフトウェア

ソフトウェア 機能説明

DECwindows ソフトウェア

ウィンドウ化インタフェース

DECwindows は,レイヤード・プロダクトです。DECwindows は C2 要件を満たすよう設計されていますが,評価はまだ行われていません。

DECdns 分散ネーム・サービス

クライアント・サポート

DECdns ソフトウェアは,レイヤード・プロダクトであるサーバ・ソフトウェアを必要とします。クラスタは,DECdns に関係なく DECnet 接続が可能です。

HP DECamds ソフトウェア

監視および診断

HP DECamds ソフトウェアは,評価済み構成の範囲外です。

LASTport プロトコルおよび LASTport/DISK プロトコル

プロトコル・サポート

クラスタ・システムのシステム安全性の範囲外にある HP の Infoserver プロダクトは,これらのプロトコルに依存します。

LAT プロトコル

プロトコル・サポート

LAT プロトコルは,評価済みの構成の範囲外にある,DECserver ターミナル・サーバへの接続に使用されます。

DECnet/OSI フルネーム

プロトコル・サポート

OpenVMS オペレーティング・システム内の DECnet/OSI (Phase V) ノード名の使用をサポートします。この機能の使用は,C2 評価済み構成には含まれていません。

HSM (Hierarchial Shelving Manager)

ストレージ・サポート

File Shelving は,レイヤード・プロダクトです。File Shelving ファシリティ (HSM) の使用は,C2 評価済み構成ではサポートされていません。

MME (Media Management Extension)

クライアント・サポート

Media Management Extension (MME) では,ストレージ・メディア・プログラムを使用できます。メディア管理の使用は,C2 評価済み構成には含まれていません。

OpenVMS Management Station

 

OpenVMS Management Station は,OpenVMS 向けの PC ベースのシステム管理ツールです。OpenVMS Management Station は,C2 評価済み構成ではまだ検証されていません。

アクセス制御文字列

遠隔ノード上のファイルへのアクセス

評価済み構成では,アクセス制御文字列ではなく,代理アカウントを使用するべきです。

 

C.2.3 オブジェクトの保護

OpenVMS オペレーティング・システムは,情報を格納しているオブジェクトへのアクセスを制御します。保護オブジェクトには,ODS-2 や ODS-5 のディスク・ファイル,コモン・イベント・フラグ・クラスタ,デバイス,グループやシステムのすべてのグローバル・セクション,論理名テーブル,キュー,資源ドメイン,ODS-2 や ODS-5 のディスク・ボリュームなどがあります。ケーパビリティ・オブジェクトおよびセキュリティ・クラス・オブジェクトでは,任意アクセス保護をフルに利用できますが,これらは C2 評価基準に基づくオブジェクトではありません。

第4章 「データの保護」 および 第5章 「オブジェクト・クラスの詳細」 では,オブジェクトの保護と,すべての新規オブジェクトに UIC ,保護コード,および場合によっては ACL が設定されるようにするためにオペレーティング・システムに備わっているテンプレート・プロファイルについて説明しています。 4.4.7 項 「ファイルの継承方式の設定」「ファイルの継承方式の設定」, 4.5.6 項 「ディレクトリ構造に対するデフォルトの保護コードの提供」「ディレクトリ構造に対するデフォルトの保護コードの提供」,および 8.8 項 「デフォルトの保護と所有権の設定」, では特に,新規作成オブジェクトに対するデフォルトの保護を設定する方法について説明しています。

グローバル・セクションおよびメールボックス・オブジェクトに割り当てられているデフォルトの保護は,他のオブジェクトに割り当てられているものと比較すると緩やかです。これは,一部のソフトウェア製品では,メールボックス・オブジェクトとグローバル・セクション・オブジェクトがデフォルトでは制限が他のオブジェクトよりも緩い保護設定で作成されていることを前提としているためです。これらのオブジェクト用のテンプレート・プロファイルを変更して,保護設定を厳しくすることは可能ですが,ソフトウェア製品によっては悪影響の出る場合もあります。

デフォルトの保護を変更するには,変更対象のオブジェクトと任意の既存オブジェクトの両方のテンプレート・プロファイルを変更する必要があります。たとえば,次のコマンドを実行すると,デバイス・クラスの MAILBOX テンプレートを変更できます。

$ SET SECURITY/CLASS=SECURITY_CLASS/PROFILE=TEMPLATE=MAILBOX -
_$ /PROTECTION=(S:RWPL,O:RWPL,G,W) DEVICE

オペレーティング・システムは,この値をすべての新規メールボックスに適用するようになります。ただし,既存の各メールボックスの保護も,SET SECURITY コマンドを使用して,厳しい設定にする必要があります。次に例を示します。

$ SET SECURITY/CLASS=DEVICE -
_$ /PROTECTION=(S:RWPL,O:RWPL,G,W) mailbox_name

セキュリティ・テンプレートに指定されているデフォルトのオブジェクト保護設定は,システムをシャットダウンまたはリブートをまたいで保持されます。そのため,システムを自動的にリブートすることにより,リブート後に作成されたオブジェクトはすべて,新しいデフォルト保護が設定された状態で作成されるようになります (オブジェクト作成者が別の保護を指定した場合を除く)。

C.2.4 TCB の保護

OpenVMS TCB を構成するコードとデータは,ファイルに格納され,一部は稼動中のオペレーティング・システムのアドレス空間にあります。これらのコードやデータは,ファイル・アクセス制御やメモリ・ページ保護によって保護されます。メモリ・ページの保護は,オペレーティング・システムが実行時に設定するため,通常,システム管理者は気にする必要はありません。

C.2.4.1 ファイルの保護

TCB を構成するファイルは,オペレーティング・システムをインストールすると正しく保護されます。ただし,十分な特権を持っているユーザであれば,保護設定を変更することが可能です。このマニュアルの 付録 B 「OpenVMS システム・ファイルの保護」では,オペレーティング・システムのファイルの正しいファイル保護について説明しています。

OpenVMS オペレーティング・システムをインストールするときは,サイト固有のファイルを除き,システム・ファイルに変更を加えることを避けます。これは,ベース・オペレーティング・システムのセキュリティを維持する上で重要です。

C.2.4.2 信頼できるユーザに付与する特権

一部の特権は,その保持者が通常のファイル・アクセス制御やメモリ・アクセス制御を直接または間接的に回避することを可能にします。そのため,このような特権は,システム管理者やセキュリティ管理者,または信頼できるユーザ以外の人物には付与しないようにします。Objects,All,System,および Group の 4 つのカテゴリの特権は,信頼できるユーザに対してのみ適しています。それぞれのカテゴリにどの特権が属しているかについては, 表 8-2 「OpenVMS の特権」 を参照してください。個々の特権については, 付録 A 「特権の割り当て」 で詳しく説明しています。

Objects カテゴリおよび All カテゴリに属する特権の保持者は,信頼性の低いユーザからの TCB の隔離を無効にすることが可能です。System カテゴリの特権の保持者は,通常のシステム運用を妨げ,サービスの拒否を引き起こすことができますが,オブジェクト・アクセス制御に違反することはできません。System カテゴリの一部の特権では,結果的にアクセス制御の適用を回避することが可能です。

Group カテゴリの特権の保持者は,同じグループ内の他のユーザの操作を妨げることが可能です。特に,GRPPRV 特権の保持者は,保持者のグループ内での通常のアクセス制御に違反することが可能です。これは,GRPPRV 特権によって,同じグループ UIC を有するサブジェクトが所有するオブジェクトへのアクセスが (保護コードのシステム・フィールドによって) 許可されるためです。

信頼できるユーザは全員,自分が実行する操作のあらゆる影響を認識している必要があります。特に,信頼できるユーザは,ある操作において使用される可能性のあるすべてのソフトウェア製品について把握している必要があります。信頼できるユーザの特権では,本来なら OpenVMS のセキュリティ・ポリシーによって禁止される操作を,信頼の低いソフトウェアが実行できてしまうからです。

C.2.4.3 信頼の低いユーザに付与する特権

信頼の低いユーザは,Normal カテゴリおよび Devour カテゴリに属する特権を保持できます (GRPNAM は除く)。ただし,Devour カテゴリに属する特権を付与するときは注意が必要です。このカテゴリの特権の保持者は,無制限に資源を消費することが可能なため,サービス拒否を引き起こしたり,システム上の他のユーザの操作を妨げる可能性があります。 表 C-2 「信頼の低いユーザに付与する特権」に,信頼の低いユーザに付与される特権です。

表 C-2 信頼の低いユーザに付与する特権

カテゴリ 特権 許可されている操作

Normal

NETMBX TMPMBX

ネットワーク接続の作成,一時メールボックスの作成

Devour

ACNT ALLSPOOL BUGCHK EXQUOTA PRMCEB PRMGBL PRMMBX SHMEM

会計情報管理の無効化,スプールされたデバイスの割り当て,バグチェック・エラー・ログ・エントリの作成,ディスク制限の超過,パーマネント・コモン・イベント・フラグ・クラスタの作成/削除,パーマネント・グローバル・セクションの作成,パーマネント・メールボックスの作成,共用メモリ内の構造の作成/削除

 

C.2.4.4 物理的セキュリティ

物理的セキュリティおよび環境面のセキュリティは,システムの安全な運用にとって非常に重要です。 TCB のすべての物理コンポーネントには,十分な保護を設定する必要があります。保護が不十分な場合,不正ユーザによってシステムのセキュリティが脅かされる可能性があるからです。以下のように,TCB のセキュリティを脅かす可能性のある運用方法や機能は,C2環境では使用しないでください。

  • 公共の場所にはコンソール・ターミナルを置かないようにします。コンソール・ターミナルは必ず物理的なセキュリティを確保する必要があります。コンソール・ターミナルが,CPU,ひいてはシステムの運用を制御するからです。

  • コンソールにパスワード機能が備わっている場合に,コンソール・パスワードを無効なままにしておかないようにします。(コンソール・パスワード機能は,一部の VAXstation 3100,それ以降のほとんどのモデル,および評価済みの Alpha モデルに備わっています。) コンソール・パスワードにより,不正な人物がコマンドを使用して別のメディアからブートしたり,会話型ブートを実行したりするのを防止できるほか,メモリの変更を防ぐことができます。

  • モデムの使用は許可しないようにします。モデムは,信頼できるシステムへの入口となり,システム・セキュリティが脅かされる可能性が非常に高くなります。

  • 遠隔診断機能を有効のままにしておかないようにします。遠隔診断機能も,信頼できるシステムへの入口となります。診断機能のスイッチをオフの位置に切り換えることで,遠隔診断機能を無効にします。

  • 認証カードの使用は許可しないようにします。これらのデバイスは,C2 の評価済み構成ではサポートされていません。

  • クラスタの通信メディアに物理的にアクセスできないようにします。侵入者は,プロセッサやケーブルに物理的にアクセスすることができれば,システムに侵入することが可能です。

    オペレーティング・システムは,デフォルトで,すべての通信インタフェースをワールド・アクセスから保護します。対象となる通信インタフェースには,CI やLAN デバイス (Ethernet や DSSI,FDDI,SCSI など) などがあります。CI インタフェースは,CI クラスタのメンバ間における信頼できるインタフェースであり,非特権ユーザはアクセスできません。非特権ユーザには,LAN デバイスへのアクセス権を付与しないでください。

  • 信頼の低いユーザに HSC コンソールへのアクセスを許可しないようにします。HSC コンソールは,許可されている人だけが使用できる場所に置きます。そうすることでディスク・ボリュームのバックアップや復元など,慎重さが要求される操作を,信頼の低いユーザが実行しないようにします。

  • ユーザが,他のユーザのプリンタ出力を読むことができないようにします。ユーザが自分のデータにのみアクセスできるようにプリンタの出力を保護します。

  • 権限のないユーザのいる場所に,ディスク,テープ,CD などのストレージ・メディアを放置しないようにします。メディアを入手したユーザが,その内容を見たり,改ざんしたりする恐れがあります。

C.2.5 C2 システムの設定

この節では,OpenVMS の機能を使用する上で課される C2 に関わる制限を説明します。次のトピックについて説明します。

  • ユーザを確実に特定できることを保証するための要件

  • 監査ログ・ファイルの適切な管理

  • ターミナル,ボリューム,プリンタの適切な使用

  • クラスタの要件

  • システム・パラメータに関する必要な設定

  • システム操作から除外されるコマンドとソフトウェア

C.2.5.1 ユーザを確実に特定できることの保証

名前,UIC,およびパスワードを適切に使用することで,OpenVMS オペレーティング・システムが個々のユーザを確実に特定できることが保証されます。基本的な運用手順として,特権アカウントについては自動生成されたパスワードの使用を推奨します。以下のように,個別ユーザの特定が不確実になるような運用方法と機能は,C2環境では避けてください。

  • 同じ UIC を複数のユーザに割り当てないようにします。UIC は,ユニバーサルな内部ユーザ識別子として使用されます。そのため,すべてのユーザに個別の UIC を割り当てなければなりません。

  • パスワードのないオープン・アカウントは許可しないようにします。アカウントにパスワードが設定されていないと,その存在を知るすべてのユーザがそのアカウントを利用できてしまいます。システム管理者は,登録ユーティリティ (AUTHORIZE) でパスワードなしのアカウントを設定しないようにして,すべてのアカウントに 1 文字以上のパスワードを設定することによって,オープン・アカウントの存在を防止できます。

  • グループ・アカウントは許可しないようにします。1 つのアカウントを複数ユーザで共用すると,個別ユーザの特定が不確実になります。ユーザごとに一意のアカウントを与える必要があります。

  • ゲスト・アカウントを許可しないようにします。複数のユーザが共通のアカウントを利用して,システム上の資源にアクセスできるようになってしまうためです。ゲスト・アカウントが必要となる場面の大半は,特別な代理ログイン・アカウントを用意することで対処できます。

  • 自動ログインを有効にしないようにします。自動ログイン機能 (ALF) は,特定のユーザではなく特定のターミナルにアカウントを関連付けます。そのため,個別ユーザの特定が不確実になります。

  • グループ用のネットワーク代理アカウントを開始しないようにします。個別ユーザを確実に特定できるようにするためには,ネットワークの各ユーザには,そのユーザがアクセスするそれぞれのノードに一意のネットワーク代理アカウントを用意しなければなりません。該当するすべてのノードに同じユーザ名と UIC を割り当て,対応するアカウントの中で個別に代理を設定します。

  • 代理アカウントに特権アクセスを付与しないようにします。

  • ライト・データベースにおいて,DBG$ENABLE_SERVER 識別子を付与しないようにします (デバッグ・サーバの実行に必要な場合を除く)。

  • オペレータによる HSC 操作をビデオ・ターミナルに記録しないようにします。オペレータの操作の記録にはハードコピー・プリンタを使用します。それにより,特定のシステム操作をその操作を実行した特定の人物に関連付けることができます。

  • 評価済み構成におけるアクセス制御文字列の使用に課される制限について,確実にユーザに周知します。(SFUG の 3 ~ 15 ページ参照) 具体的には,評価済み構成において,アクセス制御文字列の使用は許可されません。評価済み構成では,代理ログイン・アカウントを使用します。

  • オペレータがオペレータ・ログにサイン・インせずに HSC コンソールでいかなる作業も行うことがないようにします。サインイン・ログは,HSC コンソール操作を実行したユーザと実行した日時を追跡するために必要です。ログは,ハードコピー出力とともに,HSC 操作の記録として使用できます。

C.2.5.2 監査証跡の管理

セキュリティ監査システムでは,適切に管理を行えば,システム上のセキュリティに関わるか活動を追跡することができます。監査ログを使用して活動を追跡するには,情報の欠落がない正確な記録が残っていなければなりません。セキュリティ・イベント・メッセージは,セキュリティ監査ログ・ファイルや,セキュリティ・クラス・イベント・メッセージを受信するよう指定されたターミナルに記録できます。次に示すように,システムにおけるセキュリティ関連イベントの追跡機能に悪影響を及ぼす可能性のある運用方法は,C2 環境では使用しないでください。

  • 監査サーバまたは OPCOM を無効にしないようにします。監査サーバは,監査イベント・メッセージを処理するため,実行しておく必要があります。OPCOM はアラームを生成するために必要です。

  • 1 つのクラスタ内で複数の監査ログ・ファイルを使用しないようにします。システムがデフォルトで作成する,クラスタ全体を対象とする監査ログ・ファイルを使用します。クラスタ全体を対象とする監査ログ・ファイルがない場合,一定期間の間に個別のクラスタ・ノード上で発生したイベントどうしの正確な関係を示すことは困難です。

  • ビデオ・ターミナルをセキュリティ・オペレータ・ターミナルとして使用しないようにします。セキュリティ・イベント・メッセージを受信するハードコピー・ターミナルを有効にする必要があります。

  • セキュリティ・オペレータ・ターミナルを公共の場所に置かないようにします。権限を有するユーザだけがターミナルを使用できるよう,ターミナルの物理的な安全を確保します。

  • 監査ログ・ファイルを無視しないようにします。すべての監査ログ・イベントについて,必ず,定期的にセキュリティ監査ログ・ファイルを調べてください。特に,監査内容について何らかの変更が加えられていないかを調べます。(SET AUDIT コマンドが使用された形跡があれば,何らかの変更が行われたことになります。) 監査ログ・ファイルは通常,権限のないユーザによる読み込みと変更からは保護されています。

  • 監査ログ・ファイルの改ざんを防ぎます。システム・セキュリティ監査ログ・ファイルに対しては必ずセキュリティ監査 ACE を設定し,監査ログ・ファイルに対する変更と削除のすべての試みを監査の対象にします。

    次に例を示します。

    $ SET SECURITY SYS$MANAGER:SECURITY.AUDIT$JOURNAL -
    _$ /ACL=((ALARM=SECURITY,ACCESS=WRITE+DELETE+CONTROL+SUCCESS+FAILURE),-
    _$ (AUDIT=SECURITY,ACCESS=WRITE+DELETE+CONTROL+SUCCESS+FAILURE))
    

    オペレーティング・システムは,デフォルトで ACL イベントを監査するよう設定されています。この設定の状況については,DCL の SHOW AUDIT コマンドを使用して確認できます。必要があれば,ACL アラームと ACL 監査を再び有効にします。次のコマンドを使用します。

    $ SET AUDIT/ALARM/AUDIT/ENABLE=ACL
    
  • 信頼できるユーザが,監視のない状態で操作を行うことがないようにします。登録データベースに対する変更の監査を有効にするで,信頼できるユーザ (オペレータ,マネージャ,セキュリティ管理者など) の操作を監査するようにします。また,セキュリティ監査 ACE を,キャプティブ・ログイン・コマンド・プロシージャとそれらのプロシージャを格納するディレクトリに対して設定し,変更の有無を把握できるようにしておきます。

C.2.5.3 オブジェクトの再利用

メモリ,またはボリュームやデバイスなどの保護オブジェクトを新規ユーザに割り当てる前に,それらに古いデータが残っていないことを必ず確認します。メモリ管理サブシステムは,システム・メモリ・ページの再利用を防ぐ機能を備えており,この機能を無効にすることはできません。以下のように,再割り当てを行う前にボリュームやターミナルから古いデータを削除する処理に悪影響を及ぼす可能性のある運用方法は,C2 環境では実施しないようにしてください。

  • システム・ディスク・ボリュームに対するハイウォータ・マーク処理は無効にしないようにします。オペレーティング・システムのハイウォータ・マーク処理および削除時除去は,ディスク・ブロックの再利用を防止する機能です ( 8.9.5 項 「ディスクの保護」参照)。

  • ユーザがログアウト後にターミナルの電源を入れたままにしておかないようにします。ログアウト・メッセージが消されるように,ユーザはターミナルの電源を切る必要があります。これは,ログアウト・メッセージからユーザ名,および場合によってはノード名が判明してしまうこともあるからです。また,ターミナルの電源を切ることにより,ターミナルの特性がリセットされ,メモリ・バッファがクリアされます。トロイの木馬プログラムの中には,ハードウェア・フレーム・バッファを使用するものや,最新のターミナルに組み込まれているアンサーバック機能を使用するものがあります。

  • テープ・オペレーション担当者が外部でテープを消去するまでは,新規ユーザがテープ・ボリュームを再利用しないようにします。オペレーティング・システムには,テープ・ボリュームの再利用を防ぐ保護機能はありません。これは,OpenVMS オペレーティング・システムでは,テープ・ドライブがシングル・ユーザ・デバイスと見なされているためです。テープの保護は,ボリューム・レベルでのみ可能です。ボリューム全体に所有権と保護を設定できますが,ボリューム上の個々のファイルに対しては設定できません。

HP では,プリント・ジョブが互いを妨げないように,ジョブごとにプリンタをクリアすることを推奨しています。セキュリティ管理者は,デバイス制御ライブラリをプリント・キューに関連付けることで,各ジョブの開始時か終了時 (またはその両方) に自動的にプリンタがリセットされるようにできます。適切なリセット・シーケンスについては,使用しているプリンタ付属のドキュメントをまず参照し,次に『OpenVMS システム管理者マニュアル』を参照して,リセット・シーケンスのライブラリへの追加と,キューのライブラリへの関連付けの方法について確認してください。

C.2.5.4 クラスタの設定

共通環境クラスタとして設定されている有効なクラスタ設定はすべて,OpenVMS のセキュリティ機能を完全にサポートします。以下のように,共通環境クラスタの状態でなくなる可能性のある運用方法と機能は,C2環境では使用しないでください。

| HPE 日本OpenVMS クラスタは,VAX ノードと Alpha ノードで構成できます。 -->
  • 複数の登録データベースや監査ログ・ファイルを使用して運用をしないようにします。クラスタ・システムは,セキュリティと管理の対象としては単一の範囲と見なされており,共用の登録データベースと単独の監査ログ・ファイルを使用して運用しなければなりません。性能上の理由から複数のシステム・ディスクを使用している場合,システム管理者は,使用されるすべてのシステム・ファイルが同一であるようにする必要があります。

    次に示すファイルは,クラスタのすべてのメンバで共用する必要があります。

    NETOBJECT.DAT

    NET$PROXY.DAT

    NETPROXY.DAT

    QMAN$MASTER.DAT

    RIGHTSLIST.DAT

    SYS$QUEUE_MANAGER.QMAN$QUEUES

    SYSUAF.DAT

    SYSUAFALT.DAT

    VMS$AUDIT_SERVER.DAT

    VMSMAIL_PROFILE.DATA

    VMS$OBJECTS.DAT

    VMS$PASSWORD_DICTIONARY.DATA

    VMS$PASSWORD_HISTORY.DATA

    VMS$PASSWORD_POLICY.EXE

  • 評価済みシステムの一部に含まれていないクラスタにはノードを接続しないようにします。評価済みの OpenVMS 構成には,単一のセキュリティ管理領域となっているクラスタ環境にバインドされている DECnet ソフトウェアが含まれています。物理的に接続されているすべてのノードが,評価済みシステムの一部となっていなければなりません。

C.2.5.5 システムのスタートアップと運用

C2 システムとは,この付録のガイドラインに従ってあらかじめ設定を行って出荷されているシステムです。システムを設定するときは,以下に示すガイドラインを遵守してください。

  • セキュリティに影響を与えるパラメータは次の値に設定します。

    システム・パラメータ設定値説明

    LGI_CALLOUTS

    0

    LOGINOUT コールアウトの使用を無効にします。

    LOAD_PWD_POLICY

    0

    サイト固有のパスワード・フィルタを無効にします。

    MAXSYSGROUP

    7

    システム・カテゴリの最大 UIC 値を 1 桁の UIC に設定します。

    NISCS_CONV_BOOT

    0

    会話形式のシステム・ブートストラップの使用を無効にします。

    RMS_FILEPROT

    65,280

    ユーザのファイルにデフォルトの保護コード S:RWED,O:RWED,G,W を設定します。

    SECURITY_POLICY

    0

    特定の未評価のオペレーティング・システム・コンポーネントを無効にします。

    STARTUP_P1

    "####"

    スタートアップ・プロシージャの最小シーケンスを無効にします。

  • CONNECT CONSOLE コマンドを使用してコンソール・ストレージ・デバイスに接続しないようにします (VAX 9000 システムの場合を除く)。VAX 9000 システムでは,SET SPU_UPDATE OFF コンソール・コマンドを使用して,ストレージ・デバイスを隔離します。コンソール・サブシステムの中には,テープやディスクなど,システムや診断プログラムのロードに使用するストレージ・デバイスをサポートしているものもあります。しかし,オペレーティング・システムはコンソール・ストレージ・デバイス上でのデータの読み込みと書き込みもサポートしているため,システムからコンソール・ストレージ・デバイスを隔離する必要があります。このコマンドは,評価済み Alpha プラットフォームでは利用できません。

  • FYDRIVER を指定してブートすることでコンソール・オペレーションを有効にすることのないようにします。FYDRIVER を指定すると,次の 2 つの DCL コマンドが実行できる状態になります。

    • SET HOST/HSC では,ユーザが OpenVMS ノードから特定の HSC コンソール・オペレーションを開始できます。

    • SET HOST/DUP は,DSSI デバイスの設定に使用されます。

    システムのスタートアップ時に FYDRIVER をインストールして HSC デバイスやディスクを設定したり,必要な診断を実行したりする必要のある場合は,ミニマム・ブートを実行してから FYDRIVER をインストールすることで,これらのデバイスなどを設定できるようにします。設定を終えたら,システムをシャットダウンして,FYDRIVER なしでリブートします。

C.2.5.6 アクセス権変更後の指定サブジェクトの即時再認証の実行

システム管理者またはセキュリティ管理者は,信頼の低いサブジェクトに対して,いつでも再認証を求めることができます。この再認証は,サブジェクトのアクセス権が変更された場合に必要となることがあります。再認証の手順は次のとおりです。この手順は,信頼できるサブジェクトのみが実行できます。

注意:

この手順は,信頼の低いユーザが独立プロセスを作成できる非特権アプリケーションがシステム上に存在しないことを前提としています。

また,この手順は,信頼できるユーザや特権ユーザに対して再認証を求める場合や特権アプリケーションが使用されている場合には適していません。そのような場合には,再認証を確実に行うためにシステムをリブートする必要があります。

  1. 登録ファイルに記録されている,サブジェクトの登録レコードを変更します。

  2. 登録ファイルから,サブジェクト所有者の UIC を取得します。

  3. SYSMAN ユーティリティを起動します。

  4. SYSMAN ユーティリティを使用して,対象サブジェクトが所有するすべてのプロセスを特定します。

    1. OpenVMS Cluster 環境の場合,SYSMAN 環境をクラスタ全体に設定します。OpenVMS Cluster 環境ではない場合は,この手順は省略してください。

    2. SYSMAN DO SHOW SYSTEM/FULL を使用して,システム上または OpenVMS クラスタ上のすべてのプロセスの一覧を取得します。このコマンドを実行すると,各プロセスの所有者 UIC とシステム PID も表示されます。この情報を記録しておきます。

  5. SYSMAN ユーティリティから,各システムでサブジェクトが所有しているすべてのプロセスを停止します。

    注: 手順 4 以降に対象サブジェクトが作成したプロセスは,新しいアクセス権が適用されるため,削除する必要はありません。したがって,これは再帰的な手順ではありません。

    1. OpenVMS Cluster 環境では,SYSMAN 環境を設定し,1 つのノードのみを参照するようにします。OpenVMS Cluster 環境ではない場合は,この手順は省略してください。

    2. システム上の削除対象プロセスごとに,手順 2 で取得した PID を調べ,SYSMAN DO STOP/ID=pid コマンドを使用してジョブを停止します。

    3. 手順 a と手順 b を,クラスタのすべてのノードについて,該当するすべてのプロセスが停止されるまで繰り返します。

C.3 C2 システム構築のためのチェックリスト

本付録のこれまでの節では,C2 環境で OpenVMS オペレーティング・システムを運用するための,米国政府の要件について説明しました。以下は,米国政府のセキュリティ要件を確認するためのチェックリストです。

システムのインストール

  • OpenVMS AXP Version 6.1 Upgrade and Installation Manual』または『 OpenVMS VAX Version 6.1 Upgrade and Installation Manual』の説明に従って,アップグレードではなく,フル・インストールを実行しましたか。

評価済みコンポーネントの使用

  • 使用しているハードウェアはすべて,評価済みハードウェア・リストに掲載されているものですか。(『Final Evaluation Report, Digital Equipment Corporation, OpenVMS VAX and SEVMS Version 6.0』参照)。

  • DECdns,LASTport,LASTport/DISK,および LAT は除外しましたか。

  • システム・ファイルの保護設定は,HP から納品されたときのままになっていますか。( 付録 B 「OpenVMS システム・ファイルの保護」参照)。

  • DECwindows ソフトウェアや他の特権レイヤード・プロダクトのインストールは避けましたか。

個別ユーザの確実な特定

  • 特権ユーザを教育して,それらのユーザが実行する可能性のある操作の影響を理解させましたか。

  • 各ユーザに一意の UIC が設定されていますか。

  • すべてのアカウントに 1 文字以上のパスワードが設定されていますか。

  • ユーザごとにアカウントを個別に設定していますか。

  • ゲスト・アカウントはすべて削除しましたか。

  • 自動ログインはすべて無効にしましたか。

  • 各ユーザに一意の代理が設定されていますか。

  • 代理アカウントは,すべて非特権アカウントになっていますか。

  • オペレータの HSC 操作は,ハードコピー・プリンタを使用して記録していますか。

  • HSC コンソールにサインイン・ログは設定されていますか。また,このログを使用するようオペレータを教育しましたか。

  • 評価済み構成におけるアクセス制御文字列の使用に課される制限について,確実にユーザに周知しましたか。

監査レポート・システムの管理

  • 監査サーバおよび OPCOM プロセスは実行されていますか。

  • クラスタ全体で 1 つの監査ログ・ファイルを使用していますか。

  • セキュリティ・オペレータ・ターミナルとしてハードコピー・ターミナルを使用していますか。

  • セキュリティ・オペレータ・ターミナルは,権限のある担当のみが利用できる状態になっていますか。

  • 定期的に監査ログ・ファイルを確認する作業を実践していますか。

  • 監査ログ・ファイルには,監査用 ACE とアラーム用 ACE の両方が設定されていますか。

  • Authorization イベント・クラスおよび ACL イベント・クラスは有効になっていますか。

  • 監査用 ACE を,すべてのキャプティブ・ログイン・コマンド・プロシージャとそのホーム・ディレクトリに設定していますか。

ディスク,テープ,ターミナルの再利用

  • システム・ディスク・ボリュームのハイウォータ・マーク処理は有効になっていますか。

  • ログアウト後にターミナルの電源を切るようユーザに教育してありますか。

  • テープを再利用する前に内容を消去する手順は用意していますか。

単一のセキュリティ管理領域の構築

  • クラスタには,次のファイルが 1 つだけ存在する状態になっていますか。

    NETOBJECT.DAT

    NET$PROXY.DAT

    NETPROXY.DAT

    QMAN$MASTER.DAT

    RIGHTSLIST.DAT

    SYS$QUEUE_MANAGER.QMAN$QUEUES

    SYSUAF.DAT

    SYSUAFALT.DAT

    VMS$AUDIT_SERVER.DAT

    VMSMAIL_PROFILE.DATA

    VMS$OBJECTS.DAT

    VMS$PASSWORD_DICTIONARY.DATA

    VMS$PASSWORD_HISTORY.DATA

    VMS$PASSWORD_POLICY.EXE

  • クラスタ内のノードはすべて,C2 構成の一部ですか。

システムの起動

  • セキュリティに影響を与えるパラメータは次の値に設定されていますか。

    パラメータ設定値

    LGI_CALLOUTS

    0

    LOAD_PWD_POLICY

    0

    MAXSYSGROUP

    7

    NISCS_CONV_BOOT

    0

    RMS_FILEPROT

    65,280

    SECURITY_POLICY

    0

    STARTUP_P1

    "####"

  • CONNECT CONSOLE コマンドは無効になっていますか。(VAX 9000 システムの場合,SET SPU_UPDATE_OFF コマンドは有効になっていますか)。

  • システムから FYDRIVER を除外してありますか。

印刷用画面へ
プライバシー 本サイト利用時の合意事項
© 2009 Hewlett-Packard Development Company, L.P.