Jump to content 日本-日本語
≫ お問い合わせ

HP OpenVMS: システム・セキュリティ・ガイド > パート III  システム管理者のためのセキュリティ

第10章 システムのセキュリティ侵害

≫ 

OpenVMSドキュメント・ライブラリ

目次
まえがき
Part 1:セキュリティの概要
第1章:システムセキュリティ
第2章:OpenVMSのセキュリティモデル
Part 2:一般ユーザのためのセキュリティ
第3章:システムの安全な使用
第4章:データの保護
第5章:オブジェクトクラスの詳細
Part 3:システム管理者のためのセキュリティ
第6章:システムとデータの管理
第7章:システムアクセスの管理
第8章:システムのデータと資源へのアクセス制御
第9章:セキュリティ監査の実施
第10章:システムのセキュリティ侵害
第11章:クラスタのセキュリティ保護
第12章:ネットワーク環境におけるセキュリティ
第13章:保護サブシステムの使用
付録A:特権の割り当て
付録B:システムファイルの保護
付録C:C2環境におけるシステムの運用
用語集
索引
PDF
OpenVMS ホーム
ここから本文が始まります

セキュリティ・ポリシーの策定,およびそのポリシーを実装するための適切なセキュリティ対策の選択に加えて,サイトでは,システム,サイト,ネットワークに対する侵害行為に対処するための手順を確立し,テストする必要があります。その手順は,次の 2 つの領域を対象に作成します。

  • 侵害の疑いがある場合,または侵害が確認された場合の適切な対応。サイトのガイドラインは,サイトのセキュリティを強化する (侵害行為拡大のあらゆる可能性を排除する) かどうか,侵害者を捕まえるための事前対策を講じるかどうか,そして刑事訴訟や民事訴訟を起こすための証拠を収集するかどうかを決めるための判断基準とならなければなりません。決定事項については,それぞれ個別にルールやガイドラインを設定します。

  • 侵害の疑いまたは侵害のある場合に必要となる可能性のある,サイト外部の連絡先と資源。たとえば,企業によっては,地域や都道府県,国の各種関連機関 (該当する場合のみ) や最寄りの電話会社 (セキュリティ部門),HP サポート・グループについてすぐに連絡が取れるようにしておく必要があります [4]

この章では,システムに対する進行中の攻撃またはすでに発生した攻撃を検出する方法,およびとりうる対抗策について説明します。

10.1 システム攻撃の形態

セキュリティ管理者は,定期的にシステムを監視して,セキュリティ侵害の恐れがないか確認しなければなりません。よくあるシステム攻撃の形態は次のとおりです。

  • アクセス回線の探索

  • パスワードの探索

  • 侵入行為

  • ユーザ登録ファイル (UAF) のレコードの改ざんまたはねつ造

  • 本来与えられていない特権の付与や盗用

  • 外見上は無害ながらも,ユーザ・パスワードを盗んだり,システムに損害を与えたりすることを目的とするソフトウェア (トロイの木馬ソフトウェア) のインストール

  • 特権アカウントへのアクセスを目的とした,コマンド・プロシージャやプログラムへのウイルスの混入

  • ディスクに対するスキャベンジング

  • 別のノードに対するゲートウェイとしてのノードの使用

10.2 問題の兆候

システムに脆弱性が存在し攻撃を受けている可能性がある場合,最初の兆候は次から得られる情報によって気づくと考えられます。

  • ユーザからの報告

  • システムの監視。たとえば,次のような兆候が考えられます。

    • アプリケーションや通常のプロセスにおける,説明のつかない変化や動作

    • OPCOM または監査サーバから送られてきた,説明のつかないメッセージ

    • システム登録データベースに登録されているユーザ・アカウントへの,説明のつかない変更 (特権の変更,保護設定,優先順位,クォータ)

10.2.1 ユーザからの報告

ユーザによってシステム・セキュリティの問題が発見されることは少なくありません。ユーザは,次のような状況で管理者に連絡することが考えられます。

  • ファイルが無くなっている。

  • ユーザが実行した覚えのない正常なログインや説明のつかないログイン失敗など,最後のログイン・メッセージが説明のつかない内容になっている。

  • ユーザがログインできない。この場合は,前回の正常なログイン以降ユーザ・パスワードが変更された可能性があるなど,何らかの不正な操作が行われた恐れがあります。

  • 侵入回避機能が有効になっているようで,ユーザがログインできない。

  • SHOW USERS コマンドの報告では別のターミナルからログインしているはずのユーザが,実際にはログインしていない。

  • ユーザが開始したことのないプロセスについて,ジョブが切断されたことを示すメッセージがログイン時に表示される。

  • ユーザのディレクトリに,該当ユーザが作成した覚えのないファイルが存在する。

  • ユーザ・ファイルの保護または所有権について,説明のつかない変更が見つかっている。

  • ユーザがリストを要求していないにもかかわらず,そのユーザ名で作成されたリストが存在する。

  • ダイアルアップ回線など,利用可能なリソースが突然減少している。

上記のいずれかが報告されたら,速やかに対処します。まず,報告された状況が間違いないかどうかを確認します。間違いない場合は,原因を突き止めて解決策を探します。

10.2.2 システムの監視

6.7 項 「安全なシステムを維持するための継続的な作業」 に,システムに対するセキュリティ侵害の可能性の有無を判別するのに役立つ作業のリストを示します。次のリストは,前述のリストの作業を実施しているときに明らかになる可能性のある,警戒すべき兆候をまとめたものです。

  • SHOW USERS の報告に,現在ログインしているはずのないユーザが表示されている。

  • システムの負荷や性能に,説明のつかない変化が見られる。

  • メディアやプログラムのリストが消失していたり,物理的セキュリティが低下している兆候が見みられる。

  • 施錠されているファイル・キャビネットが不正に開けられ,権限を持つユーザのリストが紛失している。

  • システムの実行可能イメージ・ライブラリである [SYSEXE] または [SYSLIB] に,見覚えのないソフトウェアがある。

  • MONITOR SYSTEM レポートを見ると,見覚えのないイメージが実行されている。

  • DCL の SHOW USER コマンドを入力すると,権限のないユーザの名前が表示される。登録ユーティリティ (AUTHORIZE) で SHOW コマンドを使って 生成したリストを調べたところ,システムへのアクセス権限がユーザに与えられていた。

  • 権限を与えていない代理ユーザが見つかった。

  • 会計レポートを見ると,最近,通常ではあり得ない量の処理が行われており,外部からのアクセスが原因と見られる。

  • 説明のつかないバッチ・ジョブがバッチ・キューに登録されていた。

  • SHOW DEVICE コマンドを入力したところ,説明のつかないデバイス割り当てが存在する。

  • 通常ではあり得ない時間帯に大量の処理が発生している。

  • 重要なファイルの保護コードやアクセス制御リスト (ACL) が変更されている。識別子が追加されているか,識別子の保持者がライト・リストに追加されている。

  • 離職率が高い,または従業員の士気が低下している。

上記の状態はいずれもさらなる調査を必要とします。すでに問題が発生していることを示すものもあれば,簡単に説明のつくものもあるかもしれません。また,重大な問題につながる可能性を示すものもあります。

10.3 システムの定期的な監視

OpenVMS には,システムの活動を体系的に監視するための仕組みが数多く備わっています。システムを監視するための仕組みは,次に示すように,手動のもの,または,ユーザの作成したコマンド・プロシージャを使用するものなどが多数存在します。

  • 会計情報ユーティリティ (ACCOUNTING)

  • 登録ユーティリティ (AUTHORIZE)

  • インストール・ユーティリティ (INSTALL)

  • システム管理ユーティリティ (SYSMAN)

これらのユーティリティを適切に使用することで,設定を確認し,問題発生の警告を受け取り,対処することができます。この節では,システム監視機能の中でも最も重要な ACCOUNTING と ANALYZE/AUDIT について説明します。

10.3.1 システムの会計記録

会計情報ユーティリティ (ACCOUNTING) のレポートを調べることで,リソースの平常時の利用パターンを把握することができます。レポートを得るには,ユーティリティ・イメージ SYS$SYSTEM:ACC.EXE を実行します。実行結果のデータ・ファイルは SYS$MANAGER:ACCOUNTNG.DAT です。ACCOUNTING レポートに,問題の初期の兆候が記録されている可能性があるので調べます。次の点を確認します。

  • 見覚えのないユーザ名

  • 特定の時間帯や曜日における異常な活動など,普段見られない利用パターン

  • 通常では考えにくい量のリソースの使用

  • ネットワーク・ノードやリモート・ターミナルなど,普段見られないログイン元

10.3.2 セキュリティ監査の実施

セキュリティ管理者は,DCL の SET AUDIT コマンドを使用して監査対象のイベント・カテゴリを有効にして,セキュリティに関わる活動をオペレーティング・システムに報告させることができます。Audit Analysis ユーティリティ (ANALYZE/AUDIT) を使用することで,セキュリティ監査ログ・ファイルに収集されたイベント・メッセージを定期的に調べることができます。詳細については, 第9章 「セキュリティ監査の実施」 を参照してください。

OpenVMS は,イベント・メッセージを監査ログ・ファイルに記録したり,オペレータ・ターミナル宛に送信したりできます。イベントを監査情報として報告させるか,アラームとして伝わるようにするかを,次の方法で指定します。

  • 通常,セキュリティ関連のイベントについてはアラームではなく監査を有効にします。これは,監査レコードをシステム・セキュリティ監査ログに記録しておけば,まとめて調べたり,あとで参照するためにアーカイブしておけるためです。監査メッセージは,単独ではあまり多くの情報を伝えない可能性がありますが,量が多ければセキュリティ違反のパターンが浮かび上がります。たとえば,オブジェクトに対するアクセスを監査すれば,アクセスの時間,アクセス対象オブジェクトの種類,その他のシステム情報についてパターンが見られ,時間帯ごとのシステムの利用状況を総合的に把握することができます。

    ファイル,デバイス,ボリュームへのアクセスの失敗について監査を有効にするには,次のコマンドを入力します。

    $ SET AUDIT/AUDIT/ENABLE=ACCESS=FAILURE/CLASS=(FILE,DEVICE,VOLUME)
    

    このコマンドを実行すると,失敗したアクセスを示すイベントがセキュリティ監査ログに記録されますが,オペレータ・ターミナルにアラームは送信されません。

  • リアル・タイム・イベントや,侵入行為,システム・ユーザ登録ファイル (SYSUAF.DAT) の改ざんなど,即時の確認が必要なイベントについてセキュリティ・アラームを有効にします。たとえば,既知ファイル・リストに対する変更とシステム時刻の変更についてアラームを有効にするには,次のコマンドを入力します。

    $ SET AUDIT/ALARM/ENABLE=(INSTALL,TIME)
    

    このコマンドを実行すると,オペレータ・ターミナルにイベント・メッセージが送信されます。アラームのハードコピーを保存しておくには,ハードコピー・オペレータ・ターミナルを使用するか,またはイベントをアラームおよび監査の両方として有効にします。

セキュリティ監査はシステムの性能に影響を与えるため,もっとも重要なイベントについてのみ監査を有効にします。次に示すセキュリティ監査措置は,重要性が高く,システム・コストが低いものから順に掲載してあります。

  1. ログインの失敗と侵入についてセキュリティ監査を有効にします。これは,部外者による詮索行為 (および部内者によるアカウント探索) を検出するのに最適の方法です。セキュリティを施す必要のあるサイトはすべて,これらのイベントについてアラームを有効にします。

  2. ログインについてセキュリティ監査を有効にします。リモート・ユーザやダイアルアップ・ユーザなど,より疑わしいアクセス元からの正常ログインの監査は, 使用中のアカウントの追跡に最も適しています。特権アカウントにログインするユーザが身元の偽装が可能になる前に監査レコードが書き込まれます。

  3. ファイル・アクセスの失敗 (ACCESS=FAILURE) についてのセキュリティ監査を有効にします。この方法は,あらゆるファイル保護違反を監査するため,詮索行為の把握に適した方法です。

  4. ACL ベースのファイル・アクセス監査を実施して,重要なシステム・ファイルに対する書き込みアクセスを検出します。監査対象にする必要のある最も重要なファイルについては, 表 10-1 「ACL ベースの監査が有効なシステム・ファイル」 を参照してください。( 表 9-2 「セキュリティ監査用のアクセス制御エントリ (ACE)」 は,ACL でセキュリティ関連のエントリを作成する方法の例です)。 これらのファイルへのアクセスの成功のみを監査して侵入行為を検出したり,アクセスの失敗も監査して詮索行為を検出することもできます。

    表 10-1 「ACL ベースの監査が有効なシステム・ファイル」 に示したファイルの一部は,通常のシステム動作時にも書き込みが行われます。たとえば,SYSUAF.DAT はログインがあるたびに書き込みが行われ,SYSMGR.DIR はシステム・ブート時に書き込みが行われます。

    表 10-1 ACL ベースの監査が有効なシステム・ファイル

    デバイスおよびディレクトリ ファイル名

    SYS$SYSTEM

    AUTHORIZE.EXE

     

    F11BXQP.EXE

     

    LOGINOUT.EXE

     

    DCL.EXE

     

    JOBCTL.EXE

     

    SYSUAF.DAT

     

    NETPROXY.DAT

     

    RIGHTSLIST.DAT

     

    STARTUP.COM

     

    VMS$OBJECTS.DAT

    SYS$LIBRARY

    SECURESHR.EXE

     

    SECURESHRP.EXE

    SYS$MANAGER

    VMS$AUDIT_SERVER.DAT

     

    SY*.COM

     

    VMSIMAGES.DAT

    SYS$SYSROOT

    [000000]SYSEXE.DIR

     

    [000000]SYSLIB.DIR

     

    [000000]SYS$LDR.DIR

     

    [000000]SYSMGR.DIR

     

  5. システム・パラメータまたは既知ファイル・リストの改ざんに対するセキュリティ監査を有効にします (/ENABLE=(SYSGEN,INSTALL)。

  6. ファイル・アクセス (書き込みアクセスまたはあらゆる種類のアクセス) の特権の利用を監査します。キーワード ACCESS=(SYSPRV,BYPASS,READALL,GRPPRV) を使用して,セキュリティ監査を実装します。メールの配信やオペレータによるバックアップなど,通常のシステム操作において特権が使用されることが多いため,このクラスの監査処理では,監査に伴う出力が大量になる可能性があります。

9.3 項 「監査計画の策定」 では,推奨される監査内容の組み合わせについて取り上げています。

10.4 セキュリティ侵害への対処

セキュリティ侵害に対処する場合,侵害が実際に発生したか,その試みがあったかに関係なく,セキュリティ管理者は 4 つの段階を踏むことになります。

  1. 問題の検出

  2. 実行者の特定

  3. セキュリティ違反拡大の防止

  4. 損害の修復

以下の節では,侵入の試みがあった場合と侵入を許した場合の両方について,この 4 つの段階を説明します。

どの段階においても,実行者を捕まえたり起訴したりする必要が生じた場合に備えて,情報やデータを証拠として保全するように要員を教育しておきます。

10.4.1 失敗に終わった侵入行為

失敗に終わった侵入行為には,パスワードの推測やファイルを閲覧しようとした行為も含まれます。

10.4.1.1 侵入行為の検出

通常,次に示す情報から侵入行為を検出します。

  • 説明のつかないログインの失敗に関するユーザからの報告

  • システムの異常な活動やダイアルアップ回線が塞がっている状態

  • ログイン失敗,侵入の試み,ファイル保護違反についてのセキュリティ・アラーム

  • 侵入データベースの調査

10.4.1.2 実行者の特定

ファイル監査を有効にすることで,ファイル閲覧者の特定が簡単になります。ただし,閲覧行為がネットワーク内の別のノードから開始されている場合は,ファイル保護違反のあった時刻に該当するネットワーク・サーバのログ・ファイル (NETSERVER.LOG) を調査する必要があります。リモート・ノードのセキュリティ管理者と連携して調査を行います。

パスワードを推測しようとしている人物の特定は,ファイル保護違反の場合よりもはるかに困難です。ダイアルアップ回線を使用したアクセスのように,アクセス元が匿名の場合には特に困難です。通常,実行者の特定と侵入の防止は両立が難しく,どちらかを優先する必要があります。システムへの侵入を試みる部外者を確実に特定するには,実行者を特定できるまで侵入の試みを許すことが唯一の方法であることがほとんどです。

10.4.1.3 侵入行為の防止

この種の攻撃に対する防止段階では,侵入試行者が実際にシステムにアクセスできないようにし,以後の試行もより困難となるようにします。

パスワードの推測

パスワードの推測が成功する可能性を低くするには,次の対策をとるようにします。

  • 適切なパスワードを選択するようユーザを指導します。パスワード・ジェネレータの使用を検討します ( 7.3.2.4 項 「生成パスワード」 参照)。

  • システムへの入り口において,システム・パスワードを有効にする。システム・パスワードは,ユーザの立場からすると多少不便になりますが,詮索行為の拡大からシステムを保護する最適な方法です。すでにシステム・パスワードを有効にしていた場合には,新しいパスワードに変更します ( 7.3.1.2 項 「システム・パスワード」)。

  • 侵入試行者が侵入に成功した場合のイベントを把握するため,正常ログインの監査を有効にします ( 10.3.2 項 「セキュリティ監査の実施」)。

ファイルの閲覧

ファイルの閲覧が成功する可能性を低くするには,次の対策をとるようにします。

  • 侵害実行者を特定できる場合は,サイトの方針に従って措置を講じます。

  • ファイルに十分な保護を施すことの重要性をユーザに伝え,ユーザ・ファイルの保護状態を調査することを検討します。

  • ネットワーク内の他のノードからのファイル閲覧が継続的に発生する場合は,デフォルトの FAL アカウントを削除し,代理ログイン・アカウントを通じて個々のユーザにアクセス権を与えるようにします ( 12.3.2 項 「代理データベースの設定」 参照)。

10.4.2 成功した侵入

成功したセキュリティ侵害には,パスワードの推測の成功,情報やシステム・リソースの盗みや改ざん,有害なソフトウェアのシステムへの配置などが含まれます。侵入を許した場合,侵害実行者の技能や意図によっては,修復にかなりの時間が必要となる可能性があります。

10.4.2.1 成功した侵害実行者の特定

侵害実行者の特定は,侵入への対処の中でも最も困難であることが少なくありません。まず,侵害実行者が登録ユーザなのかそうでないかを明らかにする必要があります。登録ユーザかどうかによって,とるべき予防措置の性質が決まってきます。ただし,部内者と部外者の区別が困難な場合があります。

侵害実行者の特定と予防措置との間のトレードオフ

侵害実行者の特定と以後の攻撃に対する防止措置のどちらを優先するかを決めなければならない場合があります。侵入行為のあった最初の段階で得られたデータでは,侵害実行者をはっきりと特定できないことがよくあります。侵害実行者を特定することが重要な場合,侵入行為を分析するために,引き続き侵入を許すことが必要な場合があります。この場合は,監査内容を増やします。追加情報を得るために,セキュリティ管理者の管理が及んでいるシステム・プロシージャ (SYLOGIN.COM など) にわなを仕掛けるのは 1 つの方法です。また,ファイルが損傷した場合に備えて,即座に復旧できるようシステム・バックアップを作成する頻度も増やします。

部外者の特定

外部からの侵入者を特定することは非常に困難です。侵入者が交換式の通信手段を使用している場合 (ダイアルアップ回線や公衆データ・ネットワークなど) は特に困難です。DECnet for OpenVMS ソフトウェアには,アクセス元のノードまでネットワークをたどって操作を追跡するのに役立つさまざまな機能が備わっています。ローカル・ターミナルが関係している場合は,物理的な監視が有効な場合もあります。

交換式の通信手段が関係している場合,コンピュータ・セキュリティにおける大きな問題の 1 つとなるのが電話システムそのものです。電話回線または公衆データ・ネットワークによる接続をたどるのは,非常に時間がかかります。電話システムをたどって侵入者を追跡する作業は,月単位の時間を要する可能性があり,警察当局の協力が必要になります。複数の長距離電話サービスを経由している場合,協力を要請する会社の数が増加するため,問題がいっそう複雑になります。

したがって,外部の侵入者の特定は,継続的かつ重大な金銭的損害を被っている場合でなければ通常は割に合いません。多くの場合,問題の再発を防止する対策に集中した方が有益といえます。

10.4.2.2 システムのセキュリティ保護

侵入を許したあと,システムをセキュリティで保護するために必要な措置は,その侵入の性質と侵入元によって異なります。この節では,講じるべき措置について優先順位の高い順番に紹介します。

  1. SYSUAF.DAT,NETPROXY.DAT,NET$PROXY.DAT および RIGHTSLIST.DAT が損傷している場合は,バックアップを使用して復旧します。または,ファイル・リストを生成して詳細に調査し,不適切なエントリがないかどうか,特権が追加されていないか,UIC が変更されていないかを確認します。SYSUAF.DAT が最初に変更されたのがいつかがはっきりわからない場合は,バックアップ・コピーを使用するか既存のファイルをそのまま使用するかに関係なく,SYSUAF.DAT を注意深く調べます。すべての登録ファイルが安全な状態となるよう,必要な措置を講じます。

  2. 侵害実行者は,ファイルの閲覧またはネットワーク内の他のノードからアクセスすることによって,パスワードを発見し,ほとんど使用されていない個人用のアカウントを使用している可能性があります。そこで,アカウントのパスワードを変更し,ユーザ本人を呼び出して新しいパスワードを知らせます。少なくとも,特権アカウントのパスワードはすべて変更します。新しいパスワードとして,すべてのアカウントに同じパスワードを設定しないようにしてください。

  3. システムをセキュリティ保護するための措置を講じていても,高度な知識を持った侵入者は,後でシステムへアクセスするための足がかりをすでに埋め込んでいる可能性があります。そのため,場合によっては,バックアップまたは OpenVMS ディストリビューション・キットから,OpenVMS のコンポーネントを選択して復旧する必要があります。侵入者が部外者の場合,システムのすべてのエントリを検証する LOGINOUT.EXE と NETACP.EXE という 2 つのコンポーネントが重要です。

    ただし,侵入者が登録ユーザの場合は,バックアップ・コピーを使用してすべてのシステム・ファイルを復旧します。登録ユーザは,エグゼクティブ (SYS.EXE),ファイル・システム (F11BXQP.EXE),DCL,およびその他のシステム・ファイルに挿入する,さまざまな種類の不正なソフトウェア・パッチ (トラップ・ドア) を使用することが可能です。侵入者は,特権を持つユーザが使用する可能性のあるソフトウェアやコマンド・プロシージャの中に,有害なソフトウェアを埋め込んでいる恐れがあります。このため,システムが安全であることを確かなものとするには,バックアップを使用してファイルをまるごと復旧する必要があります。特権を使用してインストールされたイメージ (レイヤード・プロダクトのものも含む) もトラップ・ドアに使用される可能性があるため,これらのイメージもインストールし直します。別の方法として,攻撃の明白な標的の信頼できるコピーを復旧し,疑わしいイベントを捕捉するために一定期間監査を強化するという方法もあります。

  4. 再発を防ぐため,システム・パスワードの利用やパスワード生成,監査の拡大,ファイル保護の強化など,さらなるセキュリティ機能の実装を検討します。

10.4.2.3 侵入を許したあとの復旧

侵入を許したあとは破壊されたファイルを復元します。システムのデータ全体を復旧するか,または発見した問題点を個別に解決するかのどちらが適切かを判断します。システムに仕掛けられ,依然として存在している可能性のあるウイルスやトロイの木馬ためにパスを作成するような,ファイル保護に対する改ざんを見つけて修復します。



[4] HP サポート・グループには,米国にある Software Security Response Team (SSRT) の他,European Security Program Office (ESPO) などがあります。

印刷用画面へ
プライバシー 本サイト利用時の合意事項
© 2009 Hewlett-Packard Development Company, L.P.