Jump to content 日本-日本語
日本HPホーム 製品とサービス サポートとドライバ ソリューション ご購入方法
お問い合わせ
日本HPホーム
製品とサービス > ソフトウェアとOS > HP- UX Developer Edge

知っておくべきセキュリティ対策
-HP-UXのセキュリティを極める-

第1回 セキュリティの『多層防御』とHP-UX
知っておくべきセキュリティ対策 -HP-UXのセキュリティを極める-
特集:統合された管理ツールHP VSE Management 4.0の新機能〜
HP Serviceguardクラスタ構築手順
コンテンツに進む
第1回 セキュリティの『多層防御』とHP-UX
自分のシステムのセキュリティに絶対の自信を持っている――というITエンジニアはそれほど多くないだろう。J-SOXの対応などIT統制の対策としてITシステムのセキュリティ強化の優先順位が依然として高い現状であるが、「セキュリティ」と一言で言っても、ITシステムにまつわる多種多様な要素に個別のセキュリティ対策が必要とされる。例えば「SSLだけは自信がある」、「ファイアウォール設定には時間を掛けた」という状態ではセキュリティ強度は向上しない。各階層のそれぞれについてバランス良くセキュリティ強化を施す「多層防御」こそが、セキュリティのかなめと言えるのである。そこで本連載では、HP-UXに備わるセキュリティ機能のうち、これまであまり紹介されていないものや新しい機能にスポットをあてて紹介していこう。
知っておくべきセキュリティ対策 -HP-UXのセキュリティを極める- 第1回
セキュリティのかなめは「多層防御」
システム保護
2008年1月
テクニカルライター 吉川和巳

セキュリティのかなめは「多層防御」
自分のシステムのセキュリティに絶対の自信を持っている――というITエンジニアはそれほど多くないだろう。「セキュリティ」と一言で言っても、ネットワークをはじめ、ハードウェア、OS、Webサーバやミドルウェア、データベース、アプリケーション、運用体制や業務ポリシーなど、ITシステムにまつわる多種多様な要素のそれぞれについて、個別のセキュリティ対策が必要とされる。例えば、OS上で動作するWebサーバやデータベースなどのセキュリティ設定ばかりに時間を取られ、そこだけ万全の対策を施していても、OS自体の設定不備があれば、ITシステム全体としては脆弱なものとなり、IT統制がなされているとは言えないだろう。そのうえ、個々のセキュリティ対策について「ここまでやれば万全」というポイントを見極めるのは容易ではない。「現実的な実装効率や運用効率」と「セキュリティ強度」のトレードオフがつねに要求される。

このようにセキュリティの確保は一筋縄ではいかない作業だが、ひとつ言えるのは「セキュリティのかなめは多層防御」ということだ。つまり、ITシステムを構成する各階層のそれぞれについてバランス良くセキュリティ強化を施すことが、どのようなITシステムでも不可欠となる。「SSLだけは自信がある」、「ファイアウォール設定には時間を掛けた」という状態では、ITシステム全体のセキュリティ強度を高めることはできない。たとえて言うならば、セキュリティに関しては「スペシャリスト」ではなく「ゼネラリスト」が求められるのである。

HP-UXにおける多層防御
よってHP-UXを扱うITエンジニアにとっては、この多層防御を実現する上でHP-UXがどのようなセキュリティ機能を備えているか、ひととおり理解しておくことが肝要となる。HP-UXでは、大きく分けて以下の3種類の観点から多層防御を実現する各種セキュリティ機能を提供している。また、これらの機能はHP-UXのオペレーティング環境に含まれており、セキュリティ強化に伴う余計なコストを最小限に抑えることができる。
  • データ保護
  • システム保護
  • アイデンティティ保護

HP-UXに備わる3種類のセキュリティ機能
図1:HP-UXに備わる3種類のセキュリティ機能

本連載では、これらのセキュリティ機能のうち、これまであまり紹介されていないものや新しい機能にスポットをあてて紹介していく予定だ。まずは、今後取り上げる予定のセキュリティ機能について簡単に説明しておきたい。

データ保護

Protected Systems Web Server - Webサーバのセキュリティ強化アーキテクチャ
Protected Systems-Web Server(PS-Webserver)は、外部からの攻撃を受けやすいWebサーバを強固なセキュリティで保護する機能である。具体的には、HP-UXの内部をいくつかのコンパートメント(区域)に分割し、それぞれのコンパートメントにWebサーバやアプリケーション・サーバを分散配置する。個々のコンパートメントは単独のサーバに匹敵する高い隔離性を備えているため、万が一にWebサーバへのクラッキングが成功したとしても、クラッカーがほかのコンパートメントに侵入することは非常に困難となる。PS-Webserverは、こうしたコンパートメントを利用したセキュアなWebサーバを構築するための、リファレンス・アーキテクチャを提供する。また、セットアップ・スクリプトが付属しており、導入が容易な点も特徴だ。

PS-Webserverのアーキテクチャ
図2:PS-Webserverのアーキテクチャ

Trusted Computing Services - セキュリティチップを使用した暗号化強化
Trusted Computing Services(TCS)は、HP Integrityサーバのハードウェアに備わるセキュリティ・チップTPM(Trusted Platform Module)を利用した暗号化機能である。TPMにアクセスするカーネル・ドライバを提供するほか、HP-UXのデータ暗号化機能EVFSとの連携に対応する。例えばEVFSでは暗号化に用いる秘密鍵をディスク上に保存するが、TCSの利用によりこの秘密鍵をTPMで保護することができる。これにより、もしサーバ本体やディスクがまるごと盗難された場合でも、秘密鍵を取り出して用いることは不可能となる。また、ファイル暗号化ユーティリティも提供しており、TPMのない信頼されないサーバではファイルを復号できないようにすることもできるため、より強力な情報漏えい対策が可能になる。

EVFSでの鍵管理のメカニズム
図3:EVFSでの鍵管理のメカニズム

トップへ     次のページへ

本ページの内容は執筆時の情報に基づいており、異なる場合があります。
印刷用画面へ
プライバシー 本サイト利用時の合意事項 ウェブマスターに連絡
© 2008 Hewlett-Packard Development Company, L.P.