Jump to content 日本-日本語
≫ お問い合わせ

HP OpenVMS: システム・セキュリティ・ガイド > パート I セキュリティの概要

第1章 システム・セキュリティ

≫ 

OpenVMSドキュメント・ライブラリ

タイトル/目次
まえがき
Part 1:セキュリティの概要
第1章:システムセキュリティ
第2章:OpenVMSのセキュリティモデル
Part 2:一般ユーザのためのセキュリティ
第3章:システムの安全な使用
第4章:データの保護
第5章:オブジェクトクラスの詳細
Part 3:システム管理者のためのセキュリティ
第6章:システムとデータの管理
第7章:システムアクセスの管理
第8章:システムのデータと資源へのアクセス制御
第9章:暗号化機能の使用
第10章:セキュリティ監査の実施
第11章:システムのセキュリティ侵害
第12章:クラスタのセキュリティ保護
第13章:ネットワーク環境におけるセキュリティ
第14章:保護サブシステムの使用
付録A:特権の割り当て
付録B:システムファイルの保護
付録C:アラーム・メッセージ
用語集
索引
PDF
OpenVMS ホーム
ここから本文が始まります

オペレーティング・システムのセキュリティ対策が効果的であれば,不正アクセス,コンピュータ時間の盗用,および各種の機密情報 (マーケティング計画,製法,自社開発ソフトウェアなど) の盗難を防ぐのに役立ちます。 これらの対策によって,装置,ソフトウェア,およびファイルを改ざんによる損害から守ることもできます。

この章では,オペレーティング・システムに用意されているセキュリティ対策の概要をセキュリティ管理者に示します。 パート III 「 システム管理者のためのセキュリティ」 では,サイトのセキュリティ・ポリシー,セキュリティ管理者の作業,およびサイトのコンピュータ・システムや資源を保護する方法について,さらに詳しい情報を示します。

1.1 コンピュータ・セキュリティ問題のタイプ

どのようなシステムにも,権限を持つユーザと権限のないユーザの,2 種類のユーザが存在します。 コンピュータ・システムの使用を許可された人は,サイトのセキュリティ管理者が設定した登録基準に従ってシステムとシステム内の資源を利用する権限を持っています。 使用基準には,使用できる時間帯,ログインのタイプ,使用できる資源の種類 (プリンタやターミナルなど),その他が含まれます。 権限のないユーザは,システムを使用する権限をまったく持たないか,指定された時間帯しか使用できないか,または特定のシステム資源を使用する権限を持っていません。

通常,コンピュータ・システムのセキュリティ侵害は,以下の 4 種類の行為の結果として生まれます。

  • ユーザの無責任行為は,ユーザが故意または過失によって著しい損害を与えることを指します。 たとえば,一定のファイルの利用を許可されたユーザが重要なファイルのコピーを作成して売るような場合が,これに該当します。

    このようなセキュリティ障害の原因からサイトを保護するためにオペレーティング・システムにできることは,ほとんどありません。 この問題は,多くの場合,アプリケーション設計の不備や,ユーザとセキュリティ管理者が行う制御の方法に一貫性がないことに原因があります。 環境面のセキュリティを十分に実施していないために,いつの間にかこのタイプのセキュリティ問題を助長している場合もあります。

    たとえ最高のセキュリティ・システムであっても,実装方法に一貫性がなければ失敗します。 このことに加えて,適切なセキュリティ手順に従うようにユーザを仕向けなければ,システムはユーザの無責任行為によって起きるセキュリティ障害に対して脆弱になります。 第3章 「システムの安全な使用」では,システム・セキュリティを維持する上でユーザができることについて説明します。

  • ユーザの詮索行為は,ユーザがシステムの十分に保護されていない部分を不正に利用することを指します。 ユーザの中には,システムを相手にゲームをする感覚で,禁じられたシステム領域へのアクセスを獲得しようと考える人がいます。 たとえ本人に悪意がなくても,サービスの盗用は犯罪です。 もっと重大な悪意を持ったユーザが,詮索行為によって極秘情報を探したり,横領を企てたり,データを破壊したりすることもあります。 ユーザの詮索行為は,常に真剣に取り扱う必要があります。

    システムには,ユーザの詮索行為に対抗するためにさまざまなセキュリティ機能が用意されています。 セキュリティ管理者は,セキュリティ条件に基づいて機能を一時的または永続的に実装します。 保護コードとアクセス制御リストによるデータや資源の保護については,第4章 「データの保護」を参照してください。

  • ユーザの侵入行為は,ユーザがセキュリティ制御を突破してコンピュータ・システムへのアクセスを得ることを指します。 システムには侵入行為をきわめて難しくするセキュリティ機能がありますが,どんなオペレーティング・システムでも侵入行為を完全に阻止することは不可能です。

    システムへの侵入に成功するユーザは,スキルと悪意の両方を持っています。 このため,侵入行為は最も深刻で大きな危険を伴うセキュリティ侵害です。 ただし,OpenVMS のセキュリティ機能を正しく実装すれば,侵入行為は並外れたスキルと忍耐を必要とする最も起こりにくいセキュリティ侵害になります。

  • ソーシャル・エンジニアリングは,技術的な手段ではなく,ユーザ,オペレータ,または管理者をだますことで侵入者がシステムへのアクセスを得ることを指します。 侵入者は,たとえば電話を使って権限を持つユーザになりすまします。 侵入者は,電話番号やパスワードなど,システムへのアクセスを得るための情報を引き出そうとしたり,何も知らないオペレータに対してシステムのセキュリティを脅かす行為を実行するように要求したりします。

    近年になってオペレーティング・システムの技術的なセキュリティ機能が強化されるのに伴って,ソーシャル・エンジニアリングを要因とするセキュリティ事件の割合が増えています。 権限のない人に不用意にアクセスを許可しないようにするには,オペレータのトレーニング,管理手順,およびユーザの意識向上がいずれも重要な要因になります。

これらの問題を回避する方法について,以下の章で説明します。

1.2 セキュリティ要件のレベル

各サイトには,それぞれ固有のセキュリティ要件があります。 中には,ほとんど悪影響を及ぼさない形態の不正アクセスが許容されるために,ごく限られた対策しか必要としないサイトもあります。 その対極にあるのは,戦略的軍事防衛センターのように,ほんの些細な詮索行為でも見逃すことができないサイトです。 銀行など,商用サイトの多くは,これらの中間になります。

セキュリティ条件を決定するにはさまざまな考慮事項がありますが,表 1-1 「セキュリティ要件の基準となるイベント許容度」 の質問はその出発点になります。 これらの質問に対する回答が,セキュリティ条件のレベルを決定するのに役立ちます。 サイトのセキュリティ要件のより具体的な例については,6.2 項 「サイトのセキュリティ・ポリシー 」も参照してください。

表 1-1 セキュリティ要件の基準となるイベント許容度

質問 : 以下のイベントを許容できますか。  
 許容度の回答に基づくセキュリティ要件のレベル
 

ユーザがシステム上で実行されるイメージを知っている

YYN

ユーザが他のユーザのファイル名を知っている

YYN

ユーザがグループ内の別のユーザのファイルにアクセスする

YYN

部外者がダイアルアップしたばかりのシステムの名前を知っている

YYN

ユーザが他のユーザのファイルをコピーする

YNN

ユーザが他のユーザの電子メールを読む

YNN

ユーザが他のユーザのファイルにデータを書き込む

YNN

ユーザが他のユーザのファイルを削除する

YNN

ユーザが,各種の古いファイルが格納されているかもしれないディスクのセクションを読み込める

YNN

ユーザが (ゲームをする場合を含めて) 関係ない作業や許可されていない作業を実行するためにマシン時間と資源を消費する

YNN

 

表に挙げた大部分のイベントを許容できる場合は,セキュリティ要件がかなり低いと言えます。 許容できるものとできないものが混在する場合は,セキュリティ要件が中~高の範囲にあります。 表に挙げた大部分のイベントを許容できないサイトのセキュリティ要件は,一般に非常に高いレベルにあります。

サイトのセキュリティ条件を調べるときは,サイトの運用や回復手順における弱点をセキュリティ問題と混同しないでください。 システムのセキュリティ要件を評価する前に,運用ポリシーが有効で一貫していることを確認してください。

1.3 安全なシステム環境の構築

オペレーティング・システムの外部に存在するセキュリティ問題の原因として,従業員の不注意と施設の防備の脆弱性の 2 つがあります。 従業員に不注意や悪意があったり,施設が無防備だったりすれば,このガイドで説明するどのセキュリティ手段を使ってもセキュリティ侵害からシステムを保護することはできません。

システム侵入のほとんどは,このような環境上の弱点を突いて行われます。 アクセス保護コードを突破したり,ファイルの保護を変更したりするより,小さなリールから物理的にテープを取り外す方がはるかに簡単です。

サイトのセキュリティを見直すときは,オペレーティング・システムの保護だけでなく,環境上の問題にも重点を置くことを強くおすすめします。

本書では,オペレーティング・システムのセキュリティ手段について説明します。 実装する手段を決定するときは,サイトのセキュリティ条件を現実的に把握することが重要です。 サイトに十分なセキュリティを導入することは大切ですが,実際のニーズを超えたセキュリティを導入するのはコストと時間の無駄です。

システムに適用するセキュリティ手段を決定するときは,以下の点に留意してください。

  • システムのセキュリティを高めるほど,システムの使い勝手は悪くなります。

  • セキュリティを高めると,データのアクセス速度,マシン操作の速度,およびシステム性能がいずれも低下するため,コストが増加します。

  • セキュリティ手段の数を増やすほど,必要な要員の工数も増えます。

オペレーティング・システムには,システムやデータへのアクセスを制御する基本的なメカニズムが備わっています。 また,権限を持つユーザにのみアクセスが限定されていることを確認するための監視ツールも用意されています。 しかし,コンピュータ犯罪の多くは,権限を持つユーザがオペレーティング・システムのセキュリティ制御を侵害せずに起こしています。

したがって,業務のセキュリティは,これらのセキュリティ機能をどのように適用し,従業員とサイトをどのように管理するかにかかっています。 あらかじめアプリケーションに適切な監視制御機能を組み込み,不正使用の可能性を最小限に抑えるという目標に合わせてアプリケーションを設計することで,オペレーティング・システムとサイトのセキュリティ機能を実装し,弱点の少ない環境を構築することができます。 組織のセキュリティ計画の例については,第6章 「システムとそのデータの管理」を参照してください。

1.4 暗号化

OpenVMS オペレーティング・システムはいくつかのデータ保護スキームを提供します。 たとえば,UIC ベースの保護機能を使用してファイルへのアクセスを制御することにより,データを保護することができます。 ACL を使用すると特定のグループあるいはユーザに対してアクセス制御を設定することができます。 さらにデータのセキュリティを高めたい場合は,ファイルを暗号化することができます。 ファイルを暗号化すると,何者かがアクセスしようとしても認識できない,あるいは理解できないデータに変換することができます。

1.4.1 暗号化処理

暗号化は,プレーンテキストと呼ばれる判読可能なデータを,算術アルゴリズムを使用して判読不能で理解できない暗号文と呼ばれるデータに変換する処理です。

プレーンテキスト・データを暗号化するための暗号化処理にはキーが必要になります。 キーは,暗号化処理を制御する変数です。 同じプレーンテキストを異なるキーで暗号化すると,それぞれ異なる暗号文になります。 また,同じプレーンテキストの暗号化を同じキーで繰り返し行なうと, そのたびに異なる暗号文が生成されます。

OpenVMS Version 8.3 で,OpenVMS の以前の暗号化製品をオペレーティング・システムに統合しています。 これにより,個別に製品をインストールする必要がなく,製品ライセンスも個別に用意する必要がなくなりました。 さらに,OpenVMS Version 8.3 以降では,ASE (Advanced Encryption Standard) アルゴリズムをサポートしています。

1.4.1.1 AES 暗号アルゴリズム

AES アルゴリズムにより,OpenVMS ユーザ,システム管理者,セキュリティ管理者,あるいはプログラマは,ASE 暗号でファイル,セーブセット,アプリケーション・データを保護することができます。 DES および AES はどちらも類似した暗号アルゴリズムです。 これらはどちらもブロック暗号アルゴリズムです。 ただし,プレーン・テキストを暗号文へ変換するラウンド数の違いにより,AES アルゴリズムを使用した暗号の方が DES 暗号よりも安全です。ラウンド数はキーのサイズに依存します。たとえば,キーサイズ 128 ビットでは 10 ラウンドの変換を行います。 同様に,キーサイズ 192 ビットおよび 256 ビットでは,12 ラウンドおよび 14 ラウンドの変換を行います。 AES 暗号アルゴリズムについての詳細は,第9章 「暗号化機能の使用」を参照してください。

1.4.1.2 DES 暗号アルゴリズム

OpenVMS が使用する DES アルゴリズムは, 米国規格基準局(NBS)が定義したデータ暗号標準(DES)を実装したものです。. NBS ドキュメント FIPS-PUB-46 で,DES アルゴリズムの動きについて.詳しく説明しています。

DES アルゴリズムは広く知られているため,暗号文ファイルのセキュリティはユーザが定義するキーに依存します。

1.4.1.3 キー

OpenVMS 暗号では次の 2 つのキーを使用します。

  • ユーザが提供するキー

  • ソフトウェアがランダムに生成するデータキーと呼ばれるキー

ユーザが提供するキーはデータキーを暗号化し,暗号ファイルの最初のブロックに保管されます。 プロセスは暗号化されたデータキーを使用してファイルを暗号化します。 ユーザはデータキーあるいはファイルのどちらを暗号化するか選択することができます。

暗号化処理の構成要素を 表 1-2 に示します。

表 1-2 暗号化処理の構成要素

入力アルゴリズム出力
ユーザ提供のデータキー キーの暗号化暗号化されたキー
エータ (プレーンテキスト) および暗号化されたデータキー データの暗号化 暗号化されたファイル

 

図 1-1 に,データ暗号化処理を図示します。 この例では,入力ファイルには "secret"というテキストが含まれており,キーは "elmno jflghi"と定義されています。 出力ファイルはそのままでは判読できないテキストになっています。

図 1-1 ファイルの暗号化

Per-Thread Security Profile Model

1.4.1.4 復号

暗号化されたファイル・データにアクセスするためには,復号化処理により暗号化と逆の処理を行います。 復号化では算術暗号アルゴリズムを使用して暗号文を元のプレーンテキストに戻します。

ファイルを復号する前に,ユーザ提供のキーが有効かどうかがチェックされます。この検証処理は,暗号テキストの最初のブロックに保管された暗号化ファイルに対して行なわれるチェックサム操作です。

ファイルの復号化に使用する AES/DES アルゴリズムを指定する際は,暗号化処理で使用したものと同じキーを使用してください。

注記: 正しいキーを使用した場合のみファイルを復号できます。 キーを無くしたり,忘れた場合,判読可能な有効な形式のデータにはアクセスできません。

図 1-2 にデータ復号処理を図示します。この例では,入力ファイルには判読できないテキストが含まれています。キー "elmno jflghi," は,このファイルの暗号化に使用したのと同じキーです。出力ファイルには判読可能なテキスト "secret" が含まれています。

図 1-2 ファイルの復号

Per-Thread Security Profile Model

1.4.2 認証プロセス

OpenVMS は,プレーンテキスト・ファイルおよび暗号文ファイルに対して 変更が行なわれているかどうかを検出します。 この処理を認証と呼びます。 認証では,次の変更をチェックし、報告します。

  • ファイルデータ

  • ファイル位置

  • 認証キー

  • セキュリティ設定

ソフトウェアは,ファイルの内容に基づいた Message Authentication Code (MAC) とセキュリティ設定に基づいた MAC の 2 つの MAC を計算します。 次にそれらを 1 つあるいは複数のファイルと関連付け,その情報を保管します。その後にファイルの整合性を確認する場合は,MACが再計算され,保管されているコードと比較されます。

注記: 現在のところ,MAC 認証は DES アルゴリズムでのみサポートされます。

1.4.3 暗号化インタフェース

キーの定義および削除,ファイルの暗号化および復号には,次の暗号化インタフェースが使用できます。

  • DCL コマンド – 対話型暗号化関数。 これらのコマンドはファイルおよびバックアップ・セーブセットを暗号化します。DCL コマンドの使用方法の詳細は,第9章 「暗号化機能の使用」を参照してください。

  • 呼び出しルーチン – アプリケーション・プログラミング用。 これらのルーチンはファイルおよび小さなブロックを暗号化します。詳細は『HP OpenVMS Utility Routines Manual』を参照してください。

1.4.4 互換性

暗号化されたファイルは OpenVMS システム間で完全な互換性を維持しています。 OpenVMS システムがサポートしているその他のファイルと同様に, それらのファイルをシステムからシステムへコピーし,OpenVMS システムがサポートしているすべてのリモート操作を行うことができます。 また,暗号化ソフトウェアが実行されているシステム上であれば,あるシステムで暗号化したファイルを,別のシステムで復号することもできます。 OpenVMS 以外のプラットフォームとのシステム間の暗号化操作はサポートされていません。

1.5 CDSA (Common Data Security Architecture)

CDSA (Common Data Security Architecture) は,業界標準のマルチプラットフォーム・セキュリティ・インフラストラクチャです。

バージョン 7.3-1 以降の OpenVMS Alpha では,CDSA がオペレーティング・システムの一部として提供されています。 CDSA は,OpenVMS Alpha バージョン 7.2-2 以降と互換性があります。

CDSA は,アプリケーションからオペレーティング・システムのセキュリティ・サービスへのアクセスを実現する,安定した標準ベースのプログラミング・インタフェースです。 CDSA を使用することにより,クロスプラットフォームのセキュリティ対応アプリケーションを作成できます。 セキュリティ・サービス (暗号やその他の公開鍵操作など) を,一連のプラグイン・モジュールに対する動的に拡張可能なインタフェースを介して使用します。 これらのモジュールは,業務の条件や技術の進歩に応じて追加または変更できます。

CDSA は,さまざまなアプリケーションとセキュリティ・サービスに対応する柔軟な統合ソリューションを提供するセキュリティ・ミドルウェアです。 CDSA によって,アプリケーションにセキュリティをどう組み込むかという問題から解放され,アプリケーションそのものに集中することができます。 ユーザは,土台となるセキュリティを気にせずに済みます。

CDSA は,元々インテル・アーキテクチャ研究所で開発され,2000 年 5 月にオープンソース・コミュニティにリリースされました。 HP の CDSA は,Intel V2.0 Release 3 リファレンス・プラットフォームを基に,The Open Group の Technical Standard C914 (2000 年 5 月) で定義された CDSA V2.0 (with corrigenda) を実装したものです。

CDSA の詳細については,『HP Open Source Security for OpenVMS, Volume 1: Common Data Security Architecture (CDSA)』を参照してください。

1.6 SSL (Secure Sockets Layer)

SSL (Secure Sockets Layer) は,機密情報をインターネット経由で安全に転送するための公開標準セキュリティ・プロトコルです。 SSL では,暗号化によるプライバシー,サーバ認証,メッセージの完全性の 3 つが提供されます。 クライアント認証は,オプション機能として用意されています。

OpenVMS Alpha バージョン 7.3-1 以降では,SSL がオペレーティング・システムの一部として提供されています。 HP の SSL は,OpenVMS Alpha バージョン 7.2-2 以降および OpenVMS VAX バージョン 7.3 以降と互換性があります。

OpenVMS アプリケーションとの TCP/IP 接続による通信リンクの保護は,SSL を使用することで実現できます。 OpenSSL の API は,非公開の認証済みで信頼性の高いアプリケーション間通信リンクを確立します。

SSL プロトコルは,他の複数のプロトコル上で協調して動作します。 SSL はアプリケーション・レベルで動作し,その下位のメカニズムとして TCP/IP (Transmission Control Protocol/Internet Protocol) がインターネット経由のデータの転送と経路制御を担います。 HTTP (HyperText Transport Protocol),LDAP (Lightweight Directory Access Protocol),IMAP (Internet Messaging Access Protocol) などのアプリケーション・プロトコルは TCP/IP 上で動作します。 これらは,TCP/IP を使用して一般的なアプリケーション・タスク (Web ページの表示や電子メール・サーバの実行など) に対応します。

SSL は,インターネットなどの TCP/IP ネットワーク経由の通信に関する以下の 3 つの基本的なセキュリティ問題に対応します。

  • SSL サーバ認証により,ユーザがサーバの身元を確認できます。 SSL 対応クライアントは,公開鍵暗号の標準的な手法を使用して,サーバの証明書と公開 ID が有効かどうか,およびクライアントが持っている信頼される認証局 (CA) のリストに記載された CA がそれらを発行しているかどうかを確認します。 たとえば,PC ユーザが Web 上でのショッピングのためにクレジット・カード番号を送信しようとして,送信先サーバの身元確認をするときなどにサーバ認証が使用されます。

  • SSL クライアント認証により,サーバがユーザの身元を確認できます。 SSL 対応サーバ・ソフトウェアは,サーバ認証と同じ手法を使用して,クライアントの証明書と公開 ID が有効かどうか,およびサーバが持っている信頼される認証局 (CA) のリストに記載された CA がそれらを発行しているかどうかを確認します。 たとえば,銀行が機密の金融情報を顧客に送信しようとして,送信先の身元確認をするときなどにクライアント認証が使用されます。

  • 暗号化された SSL 接続では,クライアントとサーバの間で送信されるすべての情報を送信側のソフトウェアで暗号化し,それを受信側のソフトウェアで復号化する必要があり,これによって高度な機密保護機能が提供されます。 非公開のトランザクションでは,機密保護がどちら側の当事者にとっても重要です。 また,暗号化された SSL 接続を介して送信されるすべてのデータは,送信中にデータが改変されたかどうかを自動的に検出するメカニズムによって保護されます。

SSL の詳細については,『HP Open Source Security for OpenVMS, Volume 2: HP SSL for OpenVMS』または以下の HP SSL に関する Web サイトを参照してください。

http://h71000.www7.hp.com/openvms/products/ssl/

1.7 Kerberos

Kerberos は,秘密鍵暗号を使用してクライアント/サーバ型アプリケーションに強力な認証機能を提供するネットワーク認証プロトコルです。 1980 年代中頃に Athena プロジェクトの一部として MIT (Massachusetts Institute of Technology) で開発されました。 Athena プロジェクトの使命は,コンピュータの多様な利用方法を研究し,コンピュータを MIT のカリキュラムに組み入れる方法に関する長期的な戦略意思決定を行うために必要な知識ベースを構築することでした。

バージョン 7.3-1 以降の OpenVMS Alpha では,Kerberos がオペレーティング・システムの一部として提供されています。 Kerberos は,OpenVMS Alpha バージョン 7.2-2 以降および OpenVMS VAX バージョン 7.3 以降と互換性があります。

Kerberos V4 までは,この技術を一般に入手できませんでした。 それまでのバージョンは,Athena プロジェクトの内部だけで使用されていました。 最新バージョンである Kerberos V5 が,商用に対応する初めてのリリースです。

Kerberos プロトコルには強力な暗号技術が使用されており,安全でないネットワーク接続を介してクライアントがサーバの (およびサーバがクライアントの) 身元を証明できるようになっています。 Kerberos を使用して互いの身元を証明した後,クライアントとサーバはすべての通信内容を暗号化して,プライバシーとデータの一貫性を保証することができます。

Kerberos の詳細については,『HP Open Source Security for OpenVMS, Volume 3: Kerberos』または以下の OpenVMS 用 Kerberos の Web サイトを参照してください。

http://h71000.www7.hp.com/openvms/products/kerberos/

印刷用画面へ
プライバシー 本サイト利用時の合意事項
© 2011 Hewlett-Packard Development Company, L.P.