≫ 第1回:セキュリティの『多層防御』とHP-UX
自分のシステムのセキュリティに絶対の自信を持っている――というITエンジニアはそれほど多くないでしょう。「セキュリティ」と一言で言っても、ITシステムにまつわる多種多様な要素に個別のセキュリティ対策が必要とされます。例えば「SSLだけは自信がある」、「ファイアウォール設定には時間を掛けた」という状態ではセキュリティ強度は向上しません。各階層のそれぞれについてバランス良くセキュリティ強化を施す「多層防御」こそが、セキュリティのかなめと言えます。そこで本連載では、HP-UXに備わるセキュリティ機能のうち、これまであまり紹介されていないものや新しい機能にスポットをあてて紹介します。(2008年1月)
≫ 第2回:EVFSとTCSによるデータ暗号化
ディスク上のファイルやボリュームの内容をまるごと暗号化したい。そうしたニーズに応えるべく、HP-UXでは暗号化ファイルシステム「EVFS」を提供している。EVFSでは、既存のアプリケーションを変更することなく、そのまま暗号化ファイルシステムに移行できます。またHP-UXの暗号化機能「TCS」では、HP Integrityサーバーに搭載されたセキュリティチップTPMへの鍵を保存可能です。例えばディスク・ドライブをほかのサーバーに接続したとしても、鍵がないので暗号化ボリュームには一切アクセスできなくなります。また、パスフレーズを入力せずに暗号化ボリュームを自動マウントするといった使い方も可能になるのです。(2008年2月)
≫ 第3回:PS-WSでつくるセキュアなWebサーバー
ひとことに「セキュアなWebサーバー」と言っても、管理者の知識や経験に基づいて、多岐にわたるセキュリティ対策を実施する必要があります。よって、 Webサーバーのセキュリティは個々の管理者のスキルに大きく依存しがちです。HPのProtected Systems Web Server(PS-WS)は、こうしたセキュリティ対策の属人性を排除し、高度なセキュリティ対策を誰もが実施可能となる「セキュアなWebサーバーのリファレンス・アーキテクチャ」です。金融機関などで豊富な実績のある厳格なセキュリティ強化のベストプラクティスを、手軽に利用可能なテンプレートとして提供します。(2008年3月)
≫ 第4回:Bastilleによるシステムアセスメント
Bastilleは、HP-UXシステムのセキュリティ設定を強化するツールです。GUIやTUI上でのインタラクティブな操作を通じて、システムのロックダウン(不要なサービスの停止やシステム設定の変更)を簡単に実施できるのが最大の特徴となっています。ただ従来のBastilleには、「実施したロックダウンの詳細内容がレポートとして残らない」という不便な点がありました。今回は、Bastilleの最新バージョンである3.0に新たに追加された、システムアセスメント結果をレポート出力する機能を紹介します。(2008年4月)
≫ 第5回:audsysとHIDSによる監査と侵入検知
例えば、機密情報の流出や、Webサイトの書き換えといったセキュリティ・インシデントが発生したとき。そうしたケースにおいてHP-UXの管理者が頼れるツールとなるのが、「audsys」と「HIDS」です。HP-UX 11i v3に標準で備わる監査機能audsysは、「システムコールレベルで監査ログを記録する」機能。シェル上で実行されたコマンドの履歴を単に記録するのではなく、HP-UX上で実行されたすべてのプロセスのシステムコールをリアルタイムに記録できます。またHPが提供する侵入検知システムHIDSでは、HP-UXシステムに対する侵入の兆候をつねに監視し、何らかの疑わしき動きを検知するとリアルタイムに管理者に通知します。(2008年5月)
≫ 第6回:RBACによる権限分掌
LinuxやUNIXの「rootアカウント」、そしてWindowsの「Administratorアカウント」を複数の管理スタッフで共有する例は少なくありません。また、本来はアクセス権限を制限すべきコンテンツ管理スタッフや開発者にもrootアカウントのパスワードを教えているケースもあります。こうした慣習から脱却し、「権限分掌」によるIT統制やJ-SOX対応を実現する手段として、HP-UX 11i v3では「Role-based Access Control(RBAC)」を提供しています。RBACにより、rootが持つすべての権限のうち個々の作業に必要な権限だけをユーザに付与することで、rootアカウントの乱用によるセキュリティ・リスクの増加を抑えられるのです。(2008年6月)
≫ 第7回:LDAPによるアカウント統合化
HP-UX を搭載したサーバーの台数が増えてくると、アカウントの管理が懸案となります。例えば数台、数10台といったサーバーのそれぞれにユーザ・アカウント登録を行い、整合性を保持するのは大変面倒なうえ、古いアカウントの放置による脆弱性のリスクも生じます。これまでUNIX環境ではNISやNIS+による一元管理が一般的でしたが、セキュリティ脆弱性の問題などから最近ではLDAP(Lightweight Directory Access Protocol)ベースのディレクトリ・サービスがアカウント統合に利用されつつあります。そこで本連載の最終回となる今回は、HP-UXに備わるLDAPクライアント機能「LDAP-UX」を利用したアカウント一元管理の実際を紹介します。(2008年7月)
ご購入前のお問い合わせ
03-5749-8328 09:00-19:00 (月曜−金曜)
ご購入後のお問い合わせ
オンラインサポート
製品の標準保証でご利用いただける無償のサービスです。
ショールーム
導入をご検討のお客様へ 悩み・疑問に対する解決策 を実体験 して頂けます。
印刷用画面へ
