本文に進む 日本−日本語
日本ヒューレット・パッカードホーム 製品とサービス お客様サポート/ ダウンロード ソリューション ご購入の方法
≫ お問い合わせ
日本ヒューレット・パッカードホーム
HP OpenVMS: システム・セキュリティ・ガイド > パート II 一般ユーザのためのセキュリティ

第3章 システムの安全な使用

≫ 

OpenVMSドキュメント・ライブラリ

目次
まえがき
Part 1:セキュリティの概要
第1章:システムセキュリティ
第2章:OpenVMSのセキュリティモデル
Part 2:一般ユーザのためのセキュリティ
第3章:システムの安全な使用
第4章:データの保護
第5章:オブジェクトクラスの詳細
Part 3:システム管理者のためのセキュリティ
第6章:システムとデータの管理
第7章:システムアクセスの管理
第8章:システムのデータと資源へのアクセス制御
第9章:セキュリティ監査の実施
第10章:システムのセキュリティ侵害
第11章:クラスタのセキュリティ保護
第12章:ネットワーク環境におけるセキュリティ
第13章:保護サブシステムの使用
付録A:特権の割り当て
付録B:システムファイルの保護
付録C:C2環境におけるシステムの運用
用語集
索引
PDF
OpenVMS ホーム
ここから本文が始まります

目次

3.1 アカウントのパスワードの選択
3.1.1 初期パスワードの取得
3.1.2 パスワードに関するシステム制限の順守
3.2 使用するパスワードのタイプ
3.2.1 システム・パスワードの入力
3.2.2 第 2 パスワードの入力
3.3 アカウントのタイプごとのパスワード要件
3.4 ログインのタイプとログイン・クラス
3.4.1 会話型ログイン (ローカル,ダイアルアップ,および遠隔ログイン)
3.4.2 外部認証を使用したログイン
3.4.3 情報メッセージの解釈
3.4.4 システムがユーザに代わってログインする場合 (ネットワーク・ログインとバッチ・ログイン)
3.5 ログインの失敗 (ユーザがログインできない場合)
3.5.1 システム・パスワードを必要とするターミナルの使用
3.5.2 ログイン・クラスの制限の順守
3.5.3 特定の日時に使用が限定されたアカウントの使用
3.5.4 ダイアルアップ・ログインで正しいパスワードを入力しなかった場合
3.5.5 侵入回避手順が有効になる条件
3.6 パスワードの変更
3.6.1 ユーザ自身によるパスワードの選択
3.6.2 生成パスワードの使用
3.6.3 第 2 パスワードの変更
3.6.4 ログイン時に行うパスワード変更
3.7 パスワードとアカウントの有効期限
3.7.1 期限切れパスワードの変更
3.7.2 期限切れアカウントの更新
3.8 パスワードの保護に関するガイドライン
3.9 ネットワーク・セキュリティに関する考慮事項
3.9.1 アクセス制御文字列内の情報の保護
3.9.2 代理ログイン・アカウントの使用によるパスワードの保護
3.10 アカウントおよびファイルへのアクセスの監査
3.10.1 最終ログイン時間の確認
3.10.2 重要ファイルへのアクセス制御エントリ (ACE) の追加
3.10.3 セキュリティ管理者への監査の有効化の依頼
3.11 システム・セキュリティを損なわないログアウト
3.11.1 ターミナル画面の消去
3.11.2 ハードコピー出力の破棄
3.11.3 切断されたプロセスの削除
3.11.4 ダイアルアップ回線への接続の切断
3.11.5 ターミナルの電源遮断
3.12 システム・セキュリティへの貢献のためのチェックリスト

この章では,システムを安全に使用する方法について基本的な情報を示します。サイトの個別のセキュリティ・ポリシーを守りながら,これらの知識を一貫して正しく利用すれば,安全なシステムと権限のないユーザから攻撃を受けやすいシステムとの間に一線を引くことができます。

3.1 アカウントのパスワードの選択

安全なパスワードを選択するには,以下のガイドラインに従います。

  • パスワードを数字と文字で構成します。たとえば,同じ 6 文字のパスワードでも,文字のみで構成されたパスワードよりも,文字と数字の両方で構成されたパスワードの方がはるかに安全です。

  • パスワードを 6 ~ 10 文字で構成します。パスワードの長さを十分に確保すると,より安全です。パスワードの長さは,最大 32 文字までです。

  • 辞書や自国語にある単語をパスワードに使用しないでください。

  • 自分のコンピュータ・サイトや自分自身に関連する単語 (製品名や自家用車の車種名など) の使用は避けます。

  • 毎回新しいパスワードを選択します。前に使用したパスワードは再利用しないでください。

セキュリティ管理者が追加の制限事項 (たとえば,10 文字未満のパスワードは許可しないなど) を設定する場合もあります。

表 3-1 「安全なパスワードと安全でないパスワード」 に,安全なパスワードと危険なパスワードの例を示します。

表 3-1 安全なパスワードと安全でないパスワード

安全なパスワード安全でないパスワード

意味のない文字の並び (aladaskgam,eojfuvcue,joxtyois など)

個人との強い関連性がある単語 (自分の名前,好きな人の名前,ペットの名前,住んでいる町の名前,自家用車の名前など)

英数字や記号が混在する文字列 (492_weid,$924spa,zu_$rags など)

仕事に関連する用語 (自分の会社,特別プロジェクト,作業グループの名前など)

 

3.1.1 初期パスワードの取得

通常,ユーザはシステムに自分のアカウントが作成されたことを知らされるとき,ユーザ・パスワードが必要かどうかも知らされます。ユーザ・パスワードが有効になっている場合,最初のログイン時に指定のパスワードを入力するように指示されます。このパスワードは,自分のアカウントの使用方法に関する他の情報とともに,システム・ユーザ登録ファイル (SYSUAF.DAT) に格納されています。

簡単に推測できるパスワードを持つことは,お勧めできません。アカウントの作成担当者と相談して,推測しにくいパスワードを指定してください。与えられるパスワードの決定にまったく関与できない場合は,自分の名前がそのままパスワードになっている場合もあります。そのような場合は,ログイン後,直ちにパスワードを変更してください。自分の名前をパスワードに使用するのは,よくある方法であり,セキュリティの観点からは望ましくありません。

アカウントが作成されたら,直ちにそのアカウントにログインして,パスワードを変更してください。アカウントの作成から最初のログインまでの間隔が空くと,他のユーザがそのアカウントへのログインに成功し,システムに損害を与える機会を得る可能性があります。同様に,パスワードの変更を怠ったり,変更できなかったりすると,システムが脆弱な状態のままになります。どのような損害が生じるかは,他にどのようなセキュリティ対策を講じているかに大きく依存します。

アカウントの作成時には,パスワードの最小限の長さと,パスワードをユーザが選択できるのか,それともシステムに生成させるのかも知らされるはずです。

3.1.2 パスワードに関するシステム制限の順守

システムは,次のようにしてパスワードが許容可能かどうかを調べます。

  • 新しいパスワードをシステム辞書と自動的に比較します。これにより,パスワードが自国語の単語ではないことを確認します。

  • 以前使用したパスワードの履歴リストを保持し,新しいパスワードをこのリストと比較して,古いパスワードが再利用されていないことを確認します。

  • パスワードの最小限の長さを強制します。この値は,システム管理者が各ユーザの UAF レコードに指定します。

3.2 使用するパスワードのタイプ

OpenVMS システムで認識されるパスワードには,複数のタイプがあります。一般に,ログインするときはユーザ・パスワードを入力する必要があります。場合によっては,ユーザ・パスワードでログインする前にシステム・パスワードを入力して,特定のターミナルへのアクセス権を獲得する必要があります。セキュリティ要件の高いシステムでは,第 1 パスワード第 2 パスワードの入力が必要な場合もあります。

外部認証機能が有効になっているシステムで外部認証されたユーザの場合は,OpenVMS のパスワード・プロンプトで LAN マネージャのパスワードを入力します。詳細については, 7.4 項 「外部認証の有効化」を参照してください。パスワードのタイプを, 表 3-2 「パスワードのタイプ」 に示します。

表 3-2 パスワードのタイプ

パスワード説明

ユーザ・パスワード

ほとんどのアカウントに対して要求されます。ユーザ名を入力すると,パスワードの入力を求められます。第 1 パスワードと第 2 パスワードの両方を要求するアカウントの場合は,2 つのパスワードを入力する必要があります。

システム・パスワード

特定のターミナルへのアクセスを制御するためのパスワードで,セキュリティ管理者の判断により要求されます。システム・パスワードは,通常,ダイアルアップ回線やパブリック・ターミナル・ラインなど,不正使用の対象となる恐れがあるターミナルへのアクセスを制御するために使用します。

第 1 パスワード

第 1 パスワードと第 2 パスワードの両方を要求するアカウントに対して入力する 2 つのユーザ・パスワードのうち,最初に入力するパスワード。

第 2 パスワード

第 1 パスワードと第 2 パスワードの両方を要求するアカウントに対して入力する 2 つのユーザ・パスワードのうち,2 番目に入力するパスワード。第 2 パスワードによって,ユーザ・アカウントに対するセキュリティ・レベルが向上します。

通常,一般のユーザは第 2 パスワードを知りません。管理者やその他の責任者が立ち会って,第 2 パスワードを入力する必要があります。アプリケーションによっては,アカウントが使用されている間,監督者がずっと立ち会う場合もあります。このように,第 2 パスワードを設定することで,ログインの制御とログイン後の処置がしやすくなります。

第 2 パスワードは,手間がかかり,不便な場合があります。第 2 パスワードの使用が妥当と考えられるは,セキュリティ要件が最高であるサイトに限られます。二重パスワードの使用が妥当なアカウントの例としては,データベースの緊急修復を可能にするために通常のアクセス制御を迂回するアカウントなどが考えられます。

 

3.2.1 システム・パスワードの入力

ユーザは,自分に割り当てられた 1 つまたは複数のターミナルにログインするときに,システム・パスワードを指定する必要があるかどうかについて,セキュリティ管理者から通知されます。最新のシステム・パスワード,システム・パスワードの変更頻度,および変更された場合の新しいシステム・パスワードの入手方法については,セキュリティ管理者に問い合わせてください。

システム・パスワードを入力するには,以下の手順を実行します。

  1. ターミナルから認識文字 (通常はベル) による応答があるまで Return キーを押します。

    Return
    <bell>
    
  2. システム・パスワードを入力し,Return キーを押します。

    Return
    

    上記の例で示したように,プロンプトや入力した文字のエコーバックは表示されません。正しいシステム・パスワードを入力しなかった場合は,システムから何の応答もありません。このため,そのターミナルでシステム・パスワードが要求されることを知らないと,最初はシステムが機能不全に陥っているように見えます。システムからの応答がない場合は,入力したパスワードが正しくなかったと判断して,パスワードを入力し直してください。

  3. 正しいシステム・パスワードを入力すると,システム通知メッセージが (設定されていれば) 表示され,続いて Username: プロンプトが表示されます。

    たとえば,次のように表示されます。

    MAPLE - A member of the Forest Cluster
    
         Unauthorized Access Is Prohibited     
    
    Username:
    

3.2.2 第 2 パスワードの入力

セキュリティ管理者は,アカウントの作成時に,そのアカウントに第 2 パスワードを使用する必要があるかどうかを決定します。第 1 パスワードと第 2 パスワードを要求するアカウントでは,ログイン時に 2 つのパスワードを入力する必要があります。どちらのパスワードにも,パスワードの最小限の長さ (セキュリティ管理者が各ユーザの UAF レコードに指定した値) が適用されます。

第 1 パスワードと第 2 パスワードを要求するログインの例を以下に示します。

WILLOW - A member of the Forest Cluster

Welcome to OpenVMS on node WILLOW

Username: RWOODS
Password:            Return
Password:            Return

    Last interactive login on Friday, 11-DEC-2001 10:22

$

単独のパスワードによるログインと同じように,ログイン操作全体に対して一定の制限時間が設定されています。第 2 パスワードを時間内に入力しないと,ログイン時間が時間切れとなります。

3.3 アカウントのタイプごとのパスワード要件

OpenVMS システムには,5 種類のユーザ・アカウントが用意されています。

  • ユーザまたはセキュリティ管理者が定期的に変更するパスワードによって保護されるアカウント。このタイプのアカウントが最も一般的です。

  • パスワードがプログラミングされた認証カードによって保護されるアカウント。サードパーティ製品の多くは,このタイプの認証メカニズムをサポートします。

  • 常にパスワードを要求するが,ユーザによるパスワードの変更を認めないアカウント。パスワードをロックする (UAF レコードに LOCKPWD フラグを設定する) ことにより,セキュリティ管理者はパスワードに対するすべての変更を制御します。

  • 制限付きアカウントでは,ユーザによるシステムの使用が制限され,必要に応じてパスワードが要求されます。

  • オープン・アカウントでは,パスワードが要求されません。パスワードはヌルです。オープン・アカウントにログインするときには,パスワードの入力は求められず,パスワードを入力する必要がありません。直ちにコマンドの入力を開始できます。オープン・アカウントを使用するとシステムへのアクセスが誰にでも許可されるため,オープン・アカウントはセキュリティ要件が最小限のサイトでのみ使用し,通常は制限付きアカウントとして設定してください。

3.4 ログインのタイプとログイン・クラス

ログインには,会話型と非会話型があります。会話型ログインの場合は,OpenVMS でのユーザ名とパスワードを入力します。非会話型ログインの場合は,システムがユーザの識別と認証の処理を行うため,ユーザ名とパスワードの入力は求められません。ここで使用されている会話型という用語の意味は,DCL のレキシカル関数 F$MODE() で定義されている会話モード・プロセスの場合とは異なります。F$MODE 関数の詳細については,『OpenVMS DCL ディクショナリ』を参照してください。

会話型ログインと非会話型ログインの他にも,OpenVMS オペレーティング・システムではログインのさまざまなクラスが認識されます。ユーザが属するログイン・クラスは,ユーザがシステムにログインする方法によって決まります。システム管理者は,ユーザのログイン・クラス,ログインした曜日および時刻に基づいて,当該ユーザによるシステムへのアクセスを制御します。

3.4.1 会話型ログイン (ローカル,ダイアルアップ,および遠隔ログイン)

会話型ログインには,以下のログイン・クラスがあります。

  • ローカル

    中央プロセッサに直接接続されているターミナル,または中央プロセッサと直接通信するターミナル・サーバからログインします。

  • ダイアルアップ

    モデムと電話回線を使用してコンピュータ・システムとの接続を確立するターミナルにログインします。システムが使用するターミナルによっては,いくつかの追加手順を実行する必要があります。必要な操作については,サイトのセキュリティ管理者に問い合わせてください。

  • 遠隔

    DCL の SET HOST コマンドを入力して,ネットワーク経由で特定のノードにログインします。たとえば,HUBBUB という遠隔ノードにアクセスするには,次のコマンドを入力します。

    $ SET HOST HUBBUB
    

    HUBBUB ノード上のアカウントへのアクセスが許可されている場合は,ローカル・ノードからそのアカウントにログインできます。この場合,HUBBUB ノード上の機能にアクセスできますが,物理的にはローカル・ノードに接続された状態のままです。

3.4.2 外部認証を使用したログイン

外部認証されたユーザの場合は,OpenVMS のログイン・プロンプトで LAN マネージャのユーザ ID とパスワードを入力してログインします。LAN マネージャのユーザ ID は,OpenVMS のユーザ名と同じ場合と異なる場合があります。

システムの外部認証機能を有効にした状態でのログインの詳細については, 7.4 項 「外部認証の有効化」を参照してください。

3.4.3 情報メッセージの解釈

コンピュータに直接接続されているターミナルからログインすると,OpenVMS システムが情報メッセージを表示します。 例 3-1 「ローカル・ログイン・メッセージ」 は,これらのメッセージの大部分を示しています。

例 3-1 ローカル・ログイン・メッセージ

WILLOW - A member of the Forest Cluster            1
        Unlawful Access is Prohibited        

Username: RWOODS
Password:
    You have the following disconnected process: 2

Terminal   Process name    Image name
VTA52:     RWOODS          (none) 
Connect to above listed process [YES]: NO
         Welcome to OpenVMS on node WILLOW          3
 
  Last interactive login on Wednesday,  1-DEC-2001 10:20 4
 
  Last non-interactive login on Monday, 30-NOV-2001 17:39 5
 
      2 failures since last successful login 6
 
        You have 1 new mail message.         7

$

上記の例では,次のことを示しています。

1

アナウンスメント・ メッセージの中に,ノード (および,該当する場合はクラスタ) が表示されます。また, 権限のないユーザに対して不法なアクセスの禁止を警告するメッセージも表示されます。 システム管理者またはセキュリティ管理者は, このメッセージの形式と内容を調整できます。

2

切断ジョブ・メッセージは, ユーザの最後のログイン後に,当該ユーザのプロセスが切断されたにもかかわらず,そのプロセスがまだ存在することを 知らせるメッセージです。この場合は,その古いプロセスに再接続して, プロセスから切断される前の状態に戻すことが できます。

切断ジョブ・メッセージが表示されるのは, 以下の条件が満たされた場合だけです。
  • 割り込みの発生したターミナルが 仮想ターミナルとして設定されている。

  • ターミナルが切断可能なターミナルとして設定されている。

  • 最近のセッションで, そのターミナル経由の CPU への接続が,ログアウトする前に 切断された。

一般に,切断されたジョブに再接続することでシステム・セキュリティに特別な問題が発生することはないので, セキュリティ管理者は再接続をユーザに許可するはずです。 ただし,セキュリティ管理者は,ターミナルの設定を変更し, システム上での仮想ターミナルの使用を禁止することによって,この機能の使用を禁止できます。
3

ウェルカム・メッセージには, 実行中の OpenVMS オペレーティング・システムのバージョン番号とログインしている ノードの名前が表示されます。システム管理者は, 別のメッセージを使用したり,メッセージが表示されないようにしたりできます。

4

最後の正常な会話型ログイン・メッセージには, ローカル,ダイアルアップ,または遠隔ログインの最後のログイン完了時間が 表示されます。これらのタイプのいずれかを親として持つサブプロセスからのログインは, カウントされません。

5

最後の正常な非会話型ログイン・メッセージには, 非会話型 (バッチまたはネットワーク) ログインの最後の完了時間が 表示されます。

6

ログイン失敗回数メッセージは, 失敗したログイン操作の回数を示します。カウントされるのは, 誤ったパスワードに起因するログインの失敗のみです。ユーザの注意を促すため, メッセージの表示後にベルが鳴ります。

7

ユーザに新しいメール・メッセージが届いている場合は,新規メール・メッセージが 表示されます。

セキュリティ管理者は,ノード名とオペレーティング・システムの識別情報が含まれる通知メッセージとウェルカム・メッセージの表示を抑制できます。ログイン手順はシステムによって異なるため,これらの情報が表示されなければ,ログインが難しくなります。

最後の正常ログイン・メッセージとログイン失敗回数メッセージは省略可能です。セキュリティ管理者は,これらの表示をまとめて有効化または無効化できます。中~高レベルのセキュリティを必要とするサイトでは,これらのメッセージを表示することで,進入の試みがあったかどうかを知ることができるようにします。また,これらのメッセージによってシステムがログインが監視されていることがわかるので,不正ユーザに対する抑止効果も得られます。

ユーザがログインするたびに,最後の正常ログインの値とログイン失敗回数の値が再設定されます。会話形式でアカウントにアクセスし,ログイン時に誤ったパスワードを指定しなかった場合,最後の正常な非会話型ログイン・メッセージとログイン失敗メッセージは表示されません。

3.4.4 システムがユーザに代わってログインする場合 (ネットワーク・ログインとバッチ・ログイン)

非会話型ログインには,ネットワーク・ログインとバッチ・ログインがあります。

ユーザが遠隔ノード上でネットワーク・タスク (ディレクトリ内容の表示,別のノード上のディレクトリに格納されているファイルのコピーなど) を開始すると,システムがネットワーク・ログインを実行します。この場合,現在のシステムと遠隔システムの両方が同じネットワーク内のノードでなければなりません。ファイルを指定するときは,ターゲット・ノードとアクセス制御文字列を指定します。アクセス制御文字列としては,遠隔ノードにおけるユーザ名とパスワードを指定します。

たとえば,PARIS という遠隔ノードにアカウントのある Greg というユーザが次のコマンドを入力すると,ネットワーク・ログインが実行されます。

$ DIRECTORY PARIS"GREG 8G4FR93A"::WORK2:[PUBLIC]*.*;*

このコマンドにより,WORK2 というディスク上のパブリック・ディレクトリ内にあるすべてのファイルが一覧表示されます。また,パスワードが 8G4FR93A であることもわかります。同じことをさらに安全に実行するには,PARIS ノードで代理アカウントを使用します。代理ログインの例については, 3.9.2 項 「代理ログイン・アカウントの使用によるパスワードの保護」を参照してください。

ユーザが発行したバッチ・ジョブが実行されると,システムがバッチ・ログインを実行します。ジョブの構築に対する許可は,ジョブを発行した時点で決定されます。システムがジョブ実行の準備を行うときに,ジョブ・コントローラがユーザのアカウントにログインする非会話型プロセスを生成します。ジョブがログインするときは,パスワードは必要ありません。

3.5 ログインの失敗 (ユーザがログインできない場合)

ログインはさまざまな理由で失敗します。たとえば,いずれかのパスワードが変更された場合や,アカウントの有効期限が切れた場合に失敗します。ネットワーク経由で,またはモデム経由のログインを試みたときにその権限がない場合にも失敗します。 表 3-3 「ログイン失敗の原因」 に,ログインに失敗する一般的な原因を示します。

表 3-3 ログイン失敗の原因

失敗の症状原因

ターミナルから応答がない。

ターミナルに欠陥がある,システム・パスワードを必要とするターミナルである,ターミナルに電源が投入されていない,または配線の不備やモデムの誤設定・誤動作によって通信に問題が発生している。

どのターミナルからも応答がない。

システムがダウンしているか,過負荷になっている。

システム・パスワードを入力したが,ターミナルから応答がない。

システム・パスワートが変更されている。

以下のシステム・メッセージが表示される。

 

“User authorization failure”

ユーザ名またはパスワードの入力に誤りがあった。アカウントまたはパスワードの有効期限が満了した。

“Not authorized to log in from this source”

現在のログイン・クラス (ローカル,ダイアルアップ,遠隔,会話型,バッチ,ネットワーク) が禁止されている。

“Not authorized to log in at this time”

この時間帯または曜日のログインが許可されていない。

“User authorization failure” (かつ,既知のユーザ障害が発生していない)

該当するユーザ名を使用してターミナルからシステムへの侵入と考えられる行為があったため,当該ユーザ名によるそのターミナルからのすべてのログインがシステムによって一時的に無効にされた。

 

以下の各節では,ログイン失敗の原因についてさらに詳しく説明します。

3.5.1 システム・パスワードを必要とするターミナルの使用

使用しようとしているターミナルがシステム・パスワードを要求する場合,そのことを知らないユーザはログインできません。ユーザがシステム・パスワードを入力するまで,ログインはすべて失敗します。

システム・パスワードを知っている場合は, 3.2.1 項 「システム・パスワードの入力」で説明した手順を実行します。それでもログインに失敗する場合は,システム・パスワードが変更されている可能性があります。システム・パスワードを必要としない別のターミナルにログインするか,新しいシステム・パスワードを教えてもらいます。

システム・パスワードを知らず,そのことが問題であると考えられる場合は,別のターミナルでログインを試みます。

3.5.2 ログイン・クラスの制限の順守

UAF レコードで禁止されているクラスのログインを実行すると,ログインに失敗します。たとえば,セキュリティ管理者はユーザによるネットワーク経由のログインを制限できます。この場合,ネットワーク・ログインを実行すると,そこからのログインが許可されていないことを示すメッセージが表示されます。

ネットワーク・ジョブに割り当てられた作業時間を超過すると,ネットワーク・ジョブが終了しません。この制限は,新しいネットワーク接続のみに適用され,既存の接続には適用されません。

セキュリティ管理者は,ローカル,遠隔,ダイアルアップ,バッチ,ネットワークの各クラスを取捨選択することにより,ユーザのログインを制限できます。各クラスの詳細については, 3.4.1 項 「会話型ログイン (ローカル,ダイアルアップ,および遠隔ログイン)」3.4.4 項 「システムがユーザに代わってログインする場合 (ネットワーク・ログインとバッチ・ログイン)」を参照してください。

3.5.3 特定の日時に使用が限定されたアカウントの使用

作業時間に関する制限のためにログインできないこともあります。システム管理者またはセキュリティ管理者は,時間帯や曜日に基づいてシステムへのアクセスを制御できます。このような制限は,ログイン・クラスに対して適用されます。セキュリティ管理者は,同じ作業時間制限をすべてのログイン・クラスに適用したり,ログイン・クラスごとに異なる制限を設定したりできます。 該当するログイン・クラスで禁止されている時刻にログインしようとすると,ログインに失敗します。その時刻のログインが許可されていないことを示すメッセージが表示されます。

作業時間制限がバッチ・ジョブに適用されると,許可されている作業時間の範囲外で実行するようにスケジューリングされたジョブは,発行しても実行されません。また,システムは実行されなかったジョブを自動的に次の作業時間中に再発行することもありません。同様に,何らかのジョブを開始し,そのジョブを許可されている時間帯を超えて実行しようとしても,割り当てられた作業時間が終了すると,ジョブ・コントローラが未完了のジョブを強制終了します。このようなジョブの終了方法は,すべてのジョブに適用されます。

3.5.4 ダイアルアップ・ログインで正しいパスワードを入力しなかった場合

セキュリティ管理者は,ダイアルアップ・ログインで接続が自動的に切断されるまでの間にユーザがパスワードを入力できる回数を制限できます。

ログインに失敗しても,指定された操作回数に到達していない場合は, Return キーを押してもう一度ログイン操作を実行してください。ログインに成功するか,制限回数に到達するまでは,この操作を繰り返すことができます。接続が切断された場合は,アクセス回線に再ダイアルして,始めからやり直します。

通常,ダイアルアップ・ログインの失敗回数を制限するのは,権限のないユーザが試行錯誤の繰り返しによってパスワードを知る試みを阻止するためです。ダイアルアップ回線では,もともと権限がなくても匿名での操作が可能です。もちろん,ダイアルアップするたびにログインの再試行回数を制限しても,この種の侵入行為がなくなるわけではありません。回数制限の目的は,侵入を試みる人がログイン操作を新たに行うために,何度もダイアルする必要が生じるようにすることです。

3.5.5 侵入回避手順が有効になる条件

誰かが同じターミナルから同じユーザ名でログインしようとして何度か失敗すると,システムは侵入者がそのユーザ名を使用してシステムに不正にアクセスしようとしていると判断します。

セキュリティ管理者は,自分の判断でシステムのすべてのユーザを対象に侵入回避手順を有効にできます。セキュリティ管理者は,パスワードを入力できる回数と期間を制御します。侵入回避手順が有効になると,指定された時間内は (たとえ正しいパスワードを入力しても) ターミナルにログインできません。ログインを再試行できるようになるまでの時間については,セキュリティ管理者に問い合わせてください。または,別のターミナルを使用してログインを実行することもできます。

侵入回避手順によってログインが禁止されていると考えられるが,自分自身はログインに失敗した覚えがない場合は,直ちにセキュリティ管理者に連絡します。セキュリティ管理者と共に,もう一度ログインを試み,最後のログイン以降のログイン失敗回数を示すメッセージをチェックして,侵入行為についての推測が正しいかどうかを確認します。ログイン・メッセージを通常は表示しないシステムの場合は,セキュリティ管理者が登録ユーティリティ (AUTHORIZE) を使用して UAF レコード内のデータを調べることができます。すばやく対応することで,セキュリティ管理者は誰かが別のターミナルからログインしようといることを突き止められます。

3.6 パスワードの変更

定期的にパスワードを変更すると,システムのセキュリティが向上します。パスワードを変更するには,DCL の SET PASSWORD コマンドを使用します。

システム管理者は,ユーザにパスワードを自由に選択させることも,パスワード変更時の自動パスワード・ジェネレータの使用を義務付けることもできます。ユーザが自分でパスワードを選択する場合は,パスワードの長さや許容条件に関する制限を守る必要があります ( 3.1.2 項 「パスワードに関するシステム制限の順守」を参照)。たとえば,選択したパスワードが短すぎると,次のメッセージが表示されます。

%SET-E-INVPWDLEN, invalid password length - password not changed

3.1 項 「アカウントのパスワードの選択」に,安全なパスワードの指定に関するガイドラインと具体例を示します。

一定期間内にパスワードを変更できる回数に限度はありません。

3.6.1 ユーザ自身によるパスワードの選択

システム管理者が自動パスワード・ジェネレータの使用を義務付けていない場合は,SET PASSWORD コマンドを実行すると新しいパスワードを入力するよう求められます。続いて,次に示すように,確認のために新しいパスワードを再入力するよう求められます。

$ SET PASSWORD Return
New password:
Verification:

同じパスワードを 2 回入力しないと,パスワードは変更されません。同じパスワードを 2 回入力したときは,画面に何も表示されません。コマンドによってパスワードが変更され,DCL プロンプトに戻ります。

セキュリティ管理者がパスワード・ジェネレータの使用を義務付けていない場合でも,システムのセキュリティを向上させるため,パスワード・ジェネレータを使用することを強くお勧めします。生成パスワードの使用方法については, 3.6.2 項 「生成パスワードの使用」で説明します。

3.6.2 生成パスワードの使用

システムのセキュリティ管理者がシステム側でパスワードを自動生成する必要があると判断している場合は,DCL の SET PASSWORD コマンドを入力すると,パスワードの選択リストが表示されます。パスワードの自動生成が要求されないシステムでは,SET PASSWORD コマンドに /GENERATE 修飾子を指定すると,パスワードの選択リストが表示されます。生成される文字の並びは,簡単に覚えられるように普通の言葉の単語によく似ていてますが,外部の人間が推測するのが困難なくらいには複雑です。システムによって生成されるパスワードは長さが一定でないため,推測するのはいっそう困難です。

注意:

パスワード・ジェネレータは,基本的な音節規則を使用して単語を生成しますが,実際の言葉に関する知識を持っているわけではありません。このため,偶然に不快な言葉が生成されてしまう場合があります。

次に示す OpenVMS VAX の例では,文字の無作為の並びで構成されたパスワードのリストが自動生成されています。この例のユーザに関しては,パスワードの最小限の長さが UAF レコードで 8 文字に設定されています。

$ SET PASSWORD
Old password: Return     1
cigtawdpau    cig-tawd-pau    2
adehecun      a-de-he-cun
ceebatorai    cee-ba-to-rai
arhoajabad    ar-hoa-ja-bad
Choose a password from this list, or press Return to get a new list 3
New password: Return 4
Verification: Return 5
$        6

上記の例は,次のことを示します。

1

ユーザが古いパスワードを正しく入力して,Return キーを押します。

2

長さが 8 ~ 10 文字のパスワード候補が 5 つ表示されます。各パスワード候補の右側には,同じ単語を音節で区切って表現したものが表示されます。通常,発音しやすいパスワードほど覚えやすく,パスワードに適しています。

3

新しいリストを要求できることを示すメッセージが表示されます。新しいリストを要求するには,新しいパスワードを入力するプロンプトで Return キーを押します。

4

ここでは,ユーザが最初に表示された 5 つのパスワード候補の中から 1 つを入力して,Return キーを押します。

5

入力されたパスワードが自動パスワード・ジェネレータによって作成されたパスワードであることが認識され,確認のプロンプトが表示されます。ユーザがもう一度新しいパスワードを入力し,Return キーを押します。

6

システムによってパスワードが変更され,DCL プロンプトに戻ります。

自動パスワード生成のデメリットの 1 つは,選択したパスワードを忘れてしまう可能性があるということです。ただし,表示されたどのパスワード候補も気に入らない場合や,どのパスワードも簡単に覚えられないと思われる場合は,別のリストを要求できます。

自動パスワード生成のさらに深刻な欠点は,このコマンドを実行したときにパスワードの候補が表示されてしまうことです。アカウントを保護するためには,誰にも知られないようにパスワードを変更しなければなりません。ビデオ・ターミナルで変更する場合は,コマンドが完了した後,パスワード候補が表示された画面を消去してください。DECwindows 環境で変更する場合は,「コマンド」メニューの「保存行消去」を使用して,画面リコール・バッファからパスワードを消去してください。 印刷ターミナルを使用する場合は,ハードコピー出力をすべて適切に廃棄してください。

このようにしてもパスワードを保護できなかったことが後で判明した場合は,直ちにパスワードを変更してください。サイトのポリシーに従い,あるいは,アカウントが危険な状態にあった時間の長さから判断して,自分のアカウントを介したセキュリティ侵害が生じた可能性をシステム管理者に知らせます。

3.6.3 第 2 パスワードの変更

第 2 パスワードを変更するには,DCL の SET PASSWORD/SECONDARY コマンドを使用します。第 1 パスワードの変更手順と同様に,現在の第 2 パスワードと新しい第 2 パスワードを指定するよう求められます。第 2 パスワードを削除するには,新しいパスワードの入力とその確認入力を求められたときに,それぞれ Return キーを押します。

第 1 パスワードと第 2 パスワードは別々に変更できますが,パスワードの有効期限は同じなので,同じ変更頻度の条件が適用されます。パスワードの有効期限については, 3.7 項 「パスワードとアカウントの有効期限」を参照してください。

3.6.4 ログイン時に行うパスワード変更

現在のパスワードの有効期限が満了していなくても,ユーザ名の後に /NEW_PASSWORD 修飾子を付けることにより,ログイン時にパスワードを変更できます。

  WILLOW - A member of the Forest Cluster

Username: RWOODS/NEW_PASSWORD
Password:
         Welcome to OpenVMS on node WILLOW
            Last interactive login on Tuesday, 7-NOV-2001 10:20
            Last non-interactive login on Monday, 6-NOV-2001 14:20

Your password has expired; you must set a new password to log in
New password:
Verification:

ユーザ名の後に /NEW_PASSWORD 修飾子を入力すると,ログインの直後に新しいパスワードを設定するよう要求されます。

3.7 パスワードとアカウントの有効期限

システム管理者は,パスワードまたはアカウントそのものの有効期限が特定の日時に自動的に期限切れとなるように,アカウントを設定できます。パスワードに有効期限を設定すると,ユーザが定期的にパスワードを変更しなければならないため,システムのセキュリティが向上します。アカウントの有効期限は,アカウントを必要な期間だけ使用可能にしたいときに便利です。

3.7.1 期限切れパスワードの変更

パスワードの有効期限が近づくと,予告の警告メッセージが表示されます。警告メッセージは,期限の 5 日前からログインするたびに表示されます。このメッセージは新着メールを知らせるメッセージの直後に表示され,注意を促すためにターミナルでベルが鳴ります。このメッセージは,次のようにパスワードの有効期限が迫っていることを示します。

WARNING -- Your password expires on Thursday 19-DEC-2001 15:00

期限切れになる前にパスワードを変更しなかった場合は,ログイン時に次のメッセージが表示されます。

Your password has expired; you must set a new password to log in
New password:

システムにより,新しいパスワードの入力を求められるか,自動パスワード生成が有効になっている場合には,新しいパスワードをリストから選択するように求められます ( 3.6.2 項 「生成パスワードの使用」を参照)。ここで Ctrl/Y を押すと,ログインを強制終了できます。その場合,次にログインしようとしたときに,パスワードの変更を再度求められます。

第 2 パスワードを使用している場合

アカウントで第 2 パスワードを使用している場合 ( 3.2 項 「使用するパスワードのタイプ」を参照) は,第 2 パスワードが第 1 パスワードと同時に有効期限を迎えることがあります。この場合,両方のパスワードを変更するよう求められます。第 1 パスワードを変更した後,第 2 パスワードを変更する前に Ctrl/Y を押すと,ログインに失敗します。この場合,パスワードの変更はシステムに記録されません。

パスワードを変更しなかった場合

システム管理者がログイン時の期限切れパスワードの変更をユーザに強制していない場合は,パスワードの期限切れ後にユーザがログインすると,最終警告メッセージが表示されます。

WARNING -- Your password has expired; update immediately with
SET PASSWORD!

この時点で,パスワードを変更しなかったり,パスワードを変更する前にシステムに障害が発生したりすると,二度とログインできなくなります。再度アクセスできるようにする方法については,システム管理者に問い合わせてください。

3.7.2 期限切れアカウントの更新

特定の目的で限られた期間だけアカウントが必要な場合は,アカウントの作成者がアカウントの有効期限を指定できます。たとえば,大学の学生用アカウントは,通常,学期ごとに 1 回ずつ登録します。

期限切れアカウントは,自動的にログインが拒否されます。アカウントの有効期限前に警告メッセージは表示されないため,あらかじめアカウントの有効期間を知っておくことが重要です。アカウントの有効期限は UAF レコードに格納されています。このレコードの取得や表示は,SYSPRV 特権またはそれと同等の権限を持つユーザ (通常はシステム管理者またはセキュリティ管理者) が登録ユーティリティ (AUTHORIZE) を使用した場合にのみ可能です。

アカウントの有効期限が切れると,次にログインしようとしたときに認証失敗メッセージが表示されます。有効期限の延長が必要な場合は,各サイトで定義されている手順に従ってください。

3.8 パスワードの保護に関するガイドライン

既知のパスワードを使用したシステムへの不正アクセスは,多くの場合パスワードの所有者が自分のパスワードを他人に漏らしたことに起因します。自分のパスワードを誰にも教えないことが,何よりも重要です。

以下の規則を守ることで,パスワードを適切に保護できるようになります。

  • 簡単には推測できない長いパスワードを選択します。辞書に載っているような自国語の言葉は使用しないようにします。パスワードに数字を入れることを検討します。システムにパスワードを自動生成させる方法もあります。

  • パスワードは絶対に書き留めないでください。

  • 自分のパスワードは絶対に他人に教えないでください。パスワードを他のユーザに知られた場合は,直ちに変更します。

  • 電子メール・メッセージの本文も含めて,どのようなファイルにもパスワードを記録しないようにします。他人がパスワードを知らせてきた場合は,直ちにその情報を削除します。

    パスワードに特定の文字列が付随する場合,ファイル内でパスワードが簡単に検索できてしまいます。たとえば,アクセス制御文字列においては,ユーザ名とパスワードの後には,必ず二重引用符と 2 つのコロン ("::) が付きます。システムに侵入しようとする人は,十分に保護されていないファイルからこの文字列を検索することにより,パスワードを入手できます。また,次のようにテキスト・ファイル内で “password” という言葉を使用していると,パスワードが簡単に漏れてしまう可能性があります。

    My password is GOBBLEDYGOOK.
    
  • カードを使用してバッチ・ジョブを発行する場合,パスワード・カードから別のユーザにパスワードが漏れることがあるため,パスワード・カードは放置しないようにします。

  • 異なるシステムのアカウントに同じパスワードを使用しないようにします。

    同じユーザのアカウントが存在するすべてのシステムで,権限のないユーザが同じパスワードを試す可能性があります。最初にパスワードが漏れたアカウントに重要な情報がほとんどなくても,別のアカウントに重要な情報や特権があれば,最終的にはきわめて大きなセキュリティ侵害が発生する可能性があります。

  • すでに電源が投入されているターミナルにログインする場合は,あらかじめ Break キーを押して安全ターミナル・サーバ機能を (使用可能であれば) 起動します。安全サーバでは,OpenVMS のログイン・プログラムがユーザのログインを受け付ける唯一のプログラムになるため,パスワード・グラバ・プログラムにパスワードが漏れる可能性がなくなります。この処置は,特に公共のターミナル・ルームで作業する場合に必要です。

    パスワード・グラバ・プログラムは,何も表示されていない画面,システムがクラッシュ後に初期化された直後のように見える画面,実際にはログアウトしていないのにログアウトしたように見える画面などを表示する特殊なプログラムです。ユーザがログインしようとすると,このプログラムは通常のログイン手順をたどるため,ユーザはいつものようにユーザ名とパスワードを入力しているものと考えます。しかし,このプログラムは,これらの重要な情報を受け取ると,不正に侵入しようとする人にその情報を渡した後,ログインに失敗したことを示す画面を表示します。ユーザはパスワードを誤って入力したと思い,自分のパスワードが他人に漏れたことに気づきません。

  • パスワードは,共用する場合を除き,3 ~ 6 か月ごとに変更するようにします。パスワードの共用はできる限り避けてください。パスワードを共用する場合は,パスワードを毎月変更するようにします。

  • 何らかの理由でパスワードが外部に漏れたと考えられる場合は,直ちにパスワードを変更します。また,その事実をセキュリティ管理者に報告します。

  • ログインした後は,ターミナルを無人の状態にしないようにします。

    システムに障害が発生し,その後復旧したと考えられる場合でも,実際には何者かがパスワード盗用プログラムをロードしている可能性があります。ターミナルに正常なログアウト・メッセージが表示されているように見える場合でも,通常のログアウト・プロセスによるものではない可能性があります。

  • 最終ログイン・メッセージを定期的に確認してください。パスワード盗用プログラムが表示するログインの失敗は,ユーザにはログインの失敗のように見えても,実際にはログインの失敗回数に数えられません。ログイン失敗数がログインの失敗後に表示されなかったり,実際の失敗回数より 1 回分少ない場合は,注意してください。ログインに時にこれらの現象を含む何らかの異常を経験した場合は,直ちにパスワードを変更して,セキュリティ管理者に知らせます。

3.9 ネットワーク・セキュリティに関する考慮事項

この節では,ファイル指定におけるアクセス制御文字列の使用方法と,代理ログインによってネットワーク・アクセスのセキュリティを向上させる方法について説明します。

3.9.1 アクセス制御文字列内の情報の保護

ネットワーク・アクセス制御文字列は,DECnet for OpenVMS ネットワークで使用する DCL コマンドのファイル指定の部分に入れることができます。アクセス制御文字列によって,ローカル・ノードのユーザが遠隔ノード上のファイルにアクセスできるようになります。

アクセス制御文字列は,次のように遠隔アカウントのユーザ名とユーザのパスワードを二重引用符で囲んだものです。

NODE"username password"::disk:[directory]file.typ

アクセス制御文字列は,遠隔アカウントに不正侵入するのに必要な情報をすべて含んでいるため,深刻なセキュリティの脅威になります。アクセス制御文字列の情報を保護するには,以下のようにします。

  • ハードコピーおよびビデオ・ターミナルを通じて情報が漏れないようにします。ハードコピー・ターミナルを使用している場合は,ハードコピー出力を適切に廃棄します。ビデオ・ターミナルを使用している場合は,ネットワーク・ジョブを完了した後に画面を消去し,DCL の RECALL/ERASE コマンドを使用してリコール・バッファを空にします。こうすると,他のユーザがコマンド行を表示するための Ctrl/B キー・シーケンスまたは DCL の RECALL/ALL コマンドを使用しても,パスワードは表示されません。 DECwindows ユーザは,「コマンド」メニューの「保存行消去」を使用して画面を消去できます。消去しないと,他の DECwindows ユーザがスクロール・バーを使って,以前に入力されたテキストを見る可能性があります。

  • アクセス制御文字列を含むネットワーク・コマンドを,探索の対象になりやすいコマンド・プロシージャに指定しないようにします。

  • アクセス制御文字列をコマンド・プロシージャに指定しなければならない場合は, 第4章 「データの保護」で説明する方法を使用してそれらのファイルに最適なファイル保護を設定します。

  • 評価済みの構成でのアクセス制御文字列の使用は認められていません。評価済みの構成でシステムが運用されているかどうかは,システム管理者に問い合わせてください。

アクセス制御文字列の使用を避けるには, 3.9.2 項 「代理ログイン・アカウントの使用によるパスワードの保護」で説明する代理ログイン・アカウントの使用をお勧めします。

3.9.2 代理ログイン・アカウントの使用によるパスワードの保護

代理ログインを使用すると,ユーザ名とパスワードを指定したアクセス制御文字列を使用せずに,ネットワーク経由でファイルにアクセスできます。したがって,代理ログインには,次のようなセキュリティ上の利点があります。

  • 要求の発信元ターミナルにパスワードがエコーバックされません。

  • システム間でのパスワードの受け渡しがないため,パスワードが暗号化されていない形式で傍受される恐れがありません。

  • 遠隔アクセスの手順を実行するコマンド・ファイルにパスワードを指定する必要がありません。

ユーザが代理ログインを開始するには,遠隔ノードのシステム管理者またはセキュリティ管理者があらかじめ代理アカウントを作成しなければなりません。代理アカウントは,通常のアカウントと同じように登録ユーティリティ (AUTHORIZE) を使用して作成します。通常,代理アカウントは非特権アカウントです。セキュリティ管理者は,1 つのデフォルト代理アカウントと最大 15 のデフォルト以外の代理アカウントへのアクセスをユーザに許可できます。 代理ログインを使用すると,システム管理者には設定の手間がかかりますが,より安全なネットワーク・アクセスが可能になり,ユーザがアクセス制御文字列を入力せずに済みます。

次の例は,通常のネットワーク・ログイン要求と代理ログイン要求の違いを示します。ここでは,以下のような条件を想定します。

  • KMAHOGANY というユーザが次の 2 つのユーザ・アカウントを持っています。

    • BIRCH というノード上のアカウント (パスワードは "XYZ123ABC")

    • WALNUT というノード上のアカウント (パスワードは "A25D3255")

  • KMAHOGANY は,BIRCH ノードに既にログインしています。

  • KMAHOGANY は,WALNUT ノード上のアカウントにあるデフォルトのデバイスとディレクトリに格納されている BIONEWS.MEM というファイルをコピーしようとしています。

これらの条件を表した図を,次に示します。

KMAHOGANY は,次のようにアクセス制御文字列を使用して BIONEWS.MEM ファイルをコピーできます。

$ COPY WALNUT"KMAHOGANY A25D3255"::BIONEWS.MEM BIONEWS.MEM

"A25D3255" というパスワードはエコー表示されるので,画面を見れば誰でもパスワードがわかります。一方,KMAHOGANY が BIRCH ノードから WALNUT ノードのアカウントに代理アクセスを行う場合,BIONEWS.MEM ファイルをコピーするためのコマンドは次のようになります。

$ COPY WALNUT::BIONEWS.MEM BIONEWS.MEM

KMAHOGANY は,アクセス制御文字列にパスワードを指定する必要がありません。代わりに,システムが BIRCH ノードのアカウントから WALNUT ノードのアカウントへの代理ログインを実行します。このとき,パスワードの交換は行われません。

汎用アクセス代理アカウントの使用

セキュリティ管理者は,フォーリン・ノードのユーザ・グループに汎用アクセス代理アカウントの共用を許可することもできます。たとえば,WALNUT ノードのセキュリティ管理者が以下の条件で汎用アクセス・アカウントを作成するとします。

  • ユーザ名は GENACCESS。

  • アクセスはネッワーク・ログインのみに限定。

  • パスワードはアカウントの所有者のみが知っている。遠隔ユーザがパスワードを知る必要はないので,アカウントを保護しやすい。

  • デフォルトのデバイスとディレクトリは STAFFDEV:[BIOSTAFF]。

セキュリティ管理者が BIRCH::KMAHOGANY に GENACCESS アカウントへの代理アクセスを許可すると,KMAHOGANY は次のコマンドを入力することによって BIONEWS.MEM ファイルをコピーできます。

$ COPY WALNUT::[KMAHOGANY]BIONEWS.MEM BIONEWS.MEM

BIONEWS.MEM ファイルは GENACCESS アカウントのデフォルトのデバイスとディレクトリ (STAFFDEV:[BIOSTAFF]) にないため,KMAHOGANY は [KMAHOGANY] ディレトクリを指定しなければなりません。また,BIONEWS.MEM ファイルの保護は GENACCESS アカウントに対してアクセスを許可するものでなければなりません。そうでない場合は,コマンドの実行に失敗します。

代理アカウントの名前を指定する必要がある場合

特定のノード上にアクセスできる代理アカウントが複数あり,デフォルトの代理アカウントを使用したくない場合は,代理アカウントの名前を指定します。たとえば,KMAHOGANY が GENACCESS アカウント (デフォルト) の代わりに PROXY2 という代理アカウントを使用する場合は,次のコマンドを入力します。

$ COPY WALNUT"PROXY2"::[KMAHOGANY]BIONEWS.MEM BIONEWS.MEM

このコマンドにより,PROXY2 アカウントを使用して WALNUT ノード上の [KMAHOGANY] ディレクトリにある BIONEWS.MEM ファイルをコピーします。

3.10 アカウントおよびファイルへのアクセスの監査

侵入行為がないかどうかシステムを監視するのはセキュリティ管理者の仕事ですが,ユーザはセキュリティ管理者と協力して自分のアカウントやファイルへのアクセスを監査できます。

この節では,ユーザの最終ログイン時間を監視して,侵入行為があったかどうかを調べる方法について説明します。また,セキュリティ管理者と協力して特定の種類の監査を有効にする方法についても説明します。

3.10.1 最終ログイン時間の確認

OpenVMS オペレーティング・システムでは,ユーザが自分のアカウントに最後にログインした時間に関する情報が UAF レコードに保管されます。ログイン時にこの情報を表示するかどうかは,セキュリティ管理者が決定します。中~高レベルのセキュリティ要件のサイトでは,多くの場合この情報を表示して,通常とは異なる説明のつかない正常ログインや,説明のつかないログインの失敗がないかどうかをユーザにチェックさせます。

ユーザが実際にはログインしなかった時間帯における会話型または非会話型のログインに関する情報が表示された場合は,直ちにそのことをセキュリティ管理者に知らせ,パスワードを変更します。セキュリティ管理者は会計情報ファイルと監査ログを使用してさらに詳しく調査します。

ログイン失敗メッセージが表示されたが,その失敗に覚えがない場合は,何者かがそのアカウントにアクセスしようとして失敗した可能性があります。このような場合は,パスワードをチェックして, 3.8 項 「パスワードの保護に関するガイドライン」に示したパスワードのセキュリティに関する推奨事項を守っているどうかを確認します。守っていない場合は,直ちにパスワードを変更します。

ログイン失敗メッセージが表示されるはずなのに表示されない場合や,表示された失敗回数が実際より少ない場合は,パスワードを変更し,このようなログインの失敗に関する問題の兆候をセキュリティ管理者に報告します。

3.10.2 重要ファイルへのアクセス制御エントリ (ACE) の追加

重要なファイルに不正にアクセスされた可能性がある場合は,セキュリティ管理者と協力してそれらのファイルへのアクセスを監査する戦略を立てることをお勧めします。

現状を調べて,標準の保護コードや汎用 ACL ( 第4章 「データの保護」を参照) を使用してファイルを保護するために可能なあらゆる対策を講じたことを確認できた場合は,セキュリティ監査が必要であるという結論に達することもあります。

セキュリティ監査を指定するには,自分が所有するファイルや制御アクセス権を持つファイルに,特別なアクセス制御エントリ (ACE) を追加します。ただし,監査ログ・ファイルはシステム全体を対象としたメカニズムなので,サイトのセキュリティ管理者がファイル監査の使用を管理することをお勧めします。ユーザは自分が制御権を持つファイルに監査用 ACE を追加できますが,ファイルの監査機能はセキュリティ管理者がシステム・レベルで有効にする必要があります。

たとえば,RWOODS というユーザとセキュリティ管理者が CONFIDREVIEW.MEM という極秘ファイルへのアクセスを検出する必要があることで同意した場合,RWOODS は次のようにして CONFIDREVIEW.MEM ファイルの既存の ACL にエントリを追加できます。

$ SET SECURITY/ACL=(AUDIT=SECURITY,ACCESS=READ+WRITE-
   _$ +DELETE+CONTROL+FAILURE+SUCCESS) CONFIDREVIEW.MEM
   

RWOODS がセキュリティ監査エントリを追加したら,セキュリティ管理者はアクセス行為を記録できるようにファイル・アクセスの監査機能を有効にします。ファイル・アクセスの監査の詳細については, 3.10.3.1 項 「ファイル・アクセスの監査」を参照してください。

1 つのファイルにアクセス違反があれば,多くの場合は他のファイルにもアクセス上の問題が発生しています。したがって,セキュリティ管理者はセキュリティ監査用 ACE を持つすべての重要ファイルに対するアクセスを監視する必要があります。重要なファイルに望ましくないアクセスがあった場合,セキュリティ管理者は直ちに処置を講じければなりません。

3.10.3 セキュリティ管理者への監査の有効化の依頼

セキュリティ管理者は,セキュリティ関連イベントが発生するたびに,システム・セキュリティ監査ログ・ファイルに監査メッセージを送信するか,セキュリティ・オペレータ・ターミナルとして有効になっているターミナルにアラームを送信するように,オペレーティング・システムに指示できます。たとえば,書き込みアクセスが禁止されている 1 つ以上のファイルをセキュリティ管理者が指定したとします。その場合,それらのファイルへのアクセスが発生したことを示す監査メッセージを送信させることができます。

3.10.3.1 ファイル・アクセスの監査

アカウントに対する侵入行為があったと考えられる場合,セキュリティ管理者はすべてのファイル・アクセスに対する監査機能を一時的に有効にできます。また,監査を有効にして,ファイルに対する読み込みアクセスを監視することにより,ファイルを閲覧したユーザを見つけることもできます。

たとえば,セキュリティ監査用 ACE ( 3.10.2 項 「重要ファイルへのアクセス制御エントリ (ACE) の追加」を参照) を持つ CONFIDREVIEW.MEM というファイルを監査するとします。ABADGUY というユーザが CONFIDREVIEW.MEM ファイルにアクセスするときに削除アクセス権を持っていると,次のような監査レコードがシステム・セキュリティ監査ログ・ファイルに書き込まれます。

%%%%%%%%%%%  OPCOM  7-DEC-2001 07:21:11.10  %%%%%%%%%%%
Message from user AUDIT$SERVER on BOSTON
Security audit (SECURITY) on BOSTON, system id: 19424
Auditable event:        Attempted file access
Event time:              7-DEC-2001 07:21:10.84
PID:                    23E00231
Username:               ABADGUY
Image name:             BOSTON$DUA0:[SYS0.SYSCOMMON.][SYSEXE]DELETE.EXE
Object name:            _BOSTON$DUA1:[RWOODS]CONFIDREVIEW.MEM;1
Object type:            file
Access requested:       DELETE
Status:                 %SYSTEM-S-NORMAL, normal successful completion
Privileges used:        SYSPRV

この監査メッセージには,不正にアクセスしたユーザの名前,アクセス方法 ([SYSEXE]DELETE.EXE プログラムを使用した正常な削除操作),アクセス時刻 (午前 7 時 21 分),およびファイルへのアクセスに使われた特権 (SYSPRV) が示されています。セキュリティ管理者は,これらの情報に基づいて処置を講じます。

いずれかのファイルがアクセスされ,そのファイルの ACL の監査エントリ ( 3.10.2 項 「重要ファイルへのアクセス制御エントリ (ACE) の追加」を参照) に指定されている条件が満たされるたびに,セキュリティ監査メッセージが監査ログ・ファイルに書き込まれます。CONFIDREVIEW.MEM ファイルへのアクセスがあると,セキュリティ監査機能によって保護されているシステム上の他のファイルにアクセスがあった場合と同じように,セキュリティ監査ログ・ファイルに監査レコードを書き込む指示が出されます。

監査機能を導入した後は,セキュリティ管理者とともに,新たな侵入行為が発生していないかどうかを定期的にチェックします。

3.10.3.2 監査対象イベントの追加

セキュリティ管理者は,ファイルの監査以外にも,発生時に特別な注意を払う必要があるイベントのタイプを選択できます。監査やアラームを起動するイベントには,たとえば次のようなものがあります。

セキュリティ監査やアラームを発生させるイベント

ログイン,ログアウト,ログインの失敗,侵入行為,ボリュームのマウントおよびディスマウント

システム・パスワードの変更,ユーザ・パスワードの変更,システム時間の変更,システム登録ファイルの変更,ネットワーク代理ファイルの変更,ライト・データベースの変更,SYSGEN パラメータの変更

論理リンクの接続と終了

SET AUDIT コマンドの実行,NCP コマンドの実行

特定の保護オブジェクトの作成と削除

イメージのインストール

特定の保護オブジェクトに対する特定のタイプのアクセスおよびアクセス解除

保護オブジェクトの ACL によって要求されたアクセス・イベント

特権または識別子の使用 (成功または失敗)

プロセス制御システム・サービス ($CREPRC や $DELPRC など) の使用

3.11 システム・セキュリティを損なわないログアウト

セッションからログアウトすると,システム資源が節約され,ファイルも保護されます。ターミナルをオンライン状態のままにしておくことは,部内者による侵入行為の最大の原因になります。ターミナルをオンライン状態にしたままでオフィスを開放することは,自分のパスワートや特権を人に与え,自分のファイルやグループの他のメンバのファイルを無防備にしておくことと同じです。無防備な状態のアカウントからアクセス可能なすべてのファイルを,誰でも簡単に転送できてしまいます。悪意を持つ内部の人間が,ユーザのファイルやそのユーザが書き込みアクセス権を持つ他のファイルを削除したり,ファイル名を変更したりもできます。ユーザに特殊な特権 (特に Files カテゴリや All カテゴリの特権) があれば,悪意を持つユーザは大きな損害を与えることができます。

たとえ短時間でもオフィスを離れるときは,ログアウトするようにします。遠隔ログインを実行した場合は,ログインしたすべてのノードからログアウトする必要があります。以下の各節では,特定のタイプのターミナルやセッションからログアウトする場合のセキュリティに関する考慮事項について説明します。

3.11.1 ターミナル画面の消去

ターミナルからログアウトするときは,ユーザ名,ノード名,およびオペレーティング・システムの情報が他人に明らかにならないように,必ず画面を消去することをお勧めします。遠隔ログインの後でログアウトする場合は,戻り先のノード (ローカル・ノード) の名前も表示されます。遠隔ノードの複数のアカウントに (ネットワーク経由で) アクセスした場合は,最後の一連のログアウト・コマンドから,(最も遠隔のノードを除き) すべてのノード名と各ノードでアクセス可能なユーザ名が明らかになります。プロンプトやログアウト・メッセージからオペレーティング・システムを見分ける能力があれば,これらの表示内容からオペレーティング・システムもわかってしまいます。

サイトによっては,次のようにして画面上にログアウト・メッセージ以外の情報を残さないようにすることが重要になります。

  • VT200 シリーズまたはそれ以降のターミナルを使用している場合は,Set-Up キーを押して,表示されたメニューから DECwindows の「コマンド」メニューの「画面消去」メニュー項目に相当する項目を選択することにより,画面を消去できます。

  • VT100 シリーズ・ターミナルを使用している場合は,Set-Up キーを押し,リセットに割り当てられたキー (0 キー) を押してから,Return キーを押します。

    一時パラメータを残す場合は,Set-Up キーを押し,80/132 カラム切り替えに割り当てられたキー (9 キー) を 2 回押します。

画面が消去されると,画面上端の DCL プロンプトの横にカーソルが表示されます。このプロンプトで DCL の LOGOUT コマンドを入力します。ログアウト後に表示される情報は,次のように LOGOUT コマンドとログアウト完了メッセージだけになります。

$ LOGOUT
  RDOGWOOD     logged out at 14-AUG-2001 19:39:01.43

3.11.2 ハードコピー出力の破棄

ハードコピー・ターミナルからログアウトした後は,機密情報の漏れる恐れがあるハードコピー出力をすべて取り除いて,ファイルに保存するか,破棄します。セキュリティ管理者が適切な手順を指示するはずです。多くのサイトでは,シュレッダや鍵の付いた紙くず入れが使われます。出力を保存する場合も,取り扱いには十分に注意します。

ログアウトする前にシステム障害が発生した場合も,ハードコピー出力を破棄する必要があります。また,システムの初期化中に席を離れる場合は,ターミナルの電源を切っておきます。

3.11.3 切断されたプロセスの削除

切断されたプロセスは,一定の時間が経過した後,自動的に削除されます。しかし,次のように切断されたプロセスから直接ログアウトすることで,システム資源を節約できます。

  1. DCL の SHOW USERS コマンドを入力して,切断されたジョブが他にあるかどうかを確認します。

  2. DCL の CONNECT/LOGOUT コマンドを入力して,現在のプロセスからログアウトします。存在する最後のプロセスに到達するまで,該当する仮想ターミナル (先頭に "VTA" がついたターミナル) にそれぞれ接続します。

  3. DCL の LOGOUT コマンドを入力します。

3.11.4 ダイアルアップ回線への接続の切断

ログアウトするときにダイアルアップ回線への接続を切断するようにセキュリティ管理者から指示される場合があります。回線をその後すぐに使用する予定がない場合は, LOGOUT コマンドに /HANGUP 修飾子を指定します。/HANGUP 修飾子を指定すると,ログアウトした後,ダイアルアップ回線への接続が自動的に切断されます。

注意:

/HANGUP 修飾子が機能するかどうかは,システム管理者によるモデム回線の設定方法および回線とコンピュータとの接続方法に依存します。回線がターミナル・サーバに接続されている場合,この修飾子は機能しません。

ダイアルアップ回線への接続を切断しておけば,接続されたままのアクセス回線が誰かに使用されるのを防げます。切断した回線にアクセスするには,アクセス番号を知っている必要があり,自分でダイアルし直さなければなりません。回線の接続を切断しておくことは,使用するダイアルアップ回線が公共の場にある場合や,自分の使用後に他の人がターミナルを使用する可能性がある場合に,特に重要です。

また,必要となるダイアルアップ回線の数が減るため,資源も節約できます。

3.11.5 ターミナルの電源遮断

中~高レベルのセキュリティ要件のサイトでは,ログアウト後にターミナルの電源を切るようにセキュリティ管理者から指示される場合があります。この操作によって,ターミナルの属性が再設定され,メモリ・バッファが消去されます。トロイの木馬プログラムの中には,ハードウェア・フレーム・バッファを使用するものや,最新のターミナルに組み込まれているアンサーバック機能を使用するものがあります。

VAX システムでは,C2 環境で作業するユーザは自分のターミナルの電源を切らなければなりません。C2 は,米国政府によるオペレーティング・システムのセキュリティ認定レベルの 1 つです。C2 の要件については, 付録 C 「C2 環境における OpenVMS システムの運用」 で説明します。

3.12 システム・セキュリティへの貢献のためのチェックリスト

セキュリティ機能は,セキュリティ管理者がすべてのユーザについて要件としてインプリメントするものですが,この章ではユーザがシステム・セキュリティに貢献する方法について説明しました。次のリストは,ユーザがセキュリティのために自主的に行う作業をまとめたものです。

印刷用画面へ
プライバシー 本サイト利用時の合意事項
© 2009 Hewlett-Packard Development Company, L.P.