Jump to content 日本-日本語
日本HPホーム 製品とサービス サポートとドライバ ソリューション ご購入方法
お問い合わせ
日本HPホーム
製品とサービス > ソフトウェアとOS > HP- UX Developer Edge

知っておくべきセキュリティ対策
-HP-UXのセキュリティを極める-

第3回 PS-WSでつくるセキュアなWebサーバ

HP-UX
Developer Edge
設定ガイド(構築手順)
コマンド・リファレンス
ホワイトペーパー
ダウンロード
パートナー製品
技術コラム
特集、特別企画
連載
ダイジェスト
カタログ・ライブラリ
HP-UXサポート
テクニカルドキュメント
HP 教育サービス
HP-UX
  各種ソフトウェア
  書籍の紹介
日本HPサイトマップ
知っておくべきセキュリティ対策 -HP-UXのセキュリティを極める-
特集:Webベースのクラスタ管理〜Serviceguardの新機能〜
HP Serviceguardクラスタ構築手順
コンテンツに進む
第3回 PS-WSでつくるセキュアなWebサーバ
ひとことに「セキュアなWebサーバ」と言っても、管理者の知識や経験に基づいて、多岐にわたるセキュリティ対策を実施する必要がある。よって、Webサーバのセキュリティは個々の管理者のスキルに大きく依存しがちだ。HPのProtected Systems Web Server(PS-WS)は、こうしたセキュリティ対策の属人性を排除し、高度なセキュリティ対策を誰もが実施可能となる「セキュアなWebサーバのリファレンス・アーキテクチャ」だ。金融機関などで豊富な実績のある厳格なセキュリティ強化のベストプラクティスを、手軽に利用可能なテンプレートとして提供する。
知っておくべきセキュリティ対策 -HP-UXのセキュリティを極める- 第3回
“セキュアなWebサーバ”のエッセンスを凝縮した「PS-WS」
Security Containmentによる隔離性の確保
2008年3月
テクニカルライター 吉川和巳

“セキュアなWebサーバ”のエッセンスを凝縮した「PS-WS」
ひとくちに「セキュアなWebサーバ」と言っても、それを実現するにはいくつもの側面で多岐にわたるセキュリティ対策を講じる必要がある。それらは、大きく「OSレベルのセキュリティ強化」と「Webサーバ・レベルのセキュリティ強化」の2つに分類できる。

OSレベルのセキュリティ強化
  • Webサーバ上の不要なアカウントやサービスを停止する(ロックダウン)
  • root権限の利用を最小限にとどめ、権限の細分化や監査を実施する
  • Webサーバ、アプリケーション・サーバ、CGIなどのそれぞれを独立したサーバ上で運用し、隔離性を高める
  • IPFilterなどを用いて、Webサーバ単体のファイアウォール設定を実施する
  • IDS(侵入検知システム)を導入する
Webサーバ・レベルのセキュリティ強化
  • Apacheサーバに適切なパッチを適用し、Apacheそのものの脆弱性を取り除く
  • Apacheサーバの設定内容を見直し、システムの脆弱性となりうる部分を排除する
  • Webアプリケーションの実装時に、認証やアクセス制御、サニタイジングなどのセキュアなコーディングを徹底する

これらは、考え得る数多くのセキュリティ対策の一部分にすぎない。通常は、こうしたさまざまなセキュリティ対策のひとつひとつを、管理者や開発者が自らの知識や経験に基づいて実施していく。よって、Webサーバのセキュリティは、個々の管理者のセキュリティ・スキルに大きく依存することになる。とりわけセキュリティ機能が豊富なHP-UXでは、上述した各対策を実施するためには、それらのセキュリティ機能の役割や使い方をひととおり熟知しておくことが要求される。こうした「属人性」の高さが、セキュリティ対策の難しい点だ。

とはいえ、上述したセキュリティ対策のうち、前者の「OSレベルのセキュリティ強化」については、あらゆるプロジェクトに共通する普遍的な対策ポイントとなる。よって、「OSレベルのセキュリティ対策」をテンプレート化できれば、管理者のスキルに依存せずに、少なくともOSレベルでは一定したセキュリティ・レベルを確保可能になる。

HPのProtected Systems Web Server(PS-WS)は、そうした観点で作成された「セキュアなWebサーバのリファレンス・アーキテクチャ」だ。金融機関などで豊富な実績のある厳格なセキュリティ強化のベストプラクティスを、手軽に利用可能なテンプレートとして提供する。具体的には、HP-UXの多彩なセキュリティ機能を使いこなし、OSレベルで高度なセキュリティ対策を施すためのスクリプト群や設定ツール、ドキュメントから構成される。HP-UX 11i v2 0609以降で利用が可能で、HP-UX 11i v3でもサポートされる。

PS-WSを構成する各種のセキュリティ機能やツール
図1:PS-WSを構成する各種のセキュリティ機能やツール

PS-WSの適用範囲
PS-WSを用いることで、HP-UXに備わる以下の各種セキュリティ機能が自動・半自動で設定され、利用可能になる。

  • IPFilter――ファイアウォール機能
  • Bastille――不要なサービスやアカウントのロックダウン、OS各所のパーミッション設定強化など
  • Security Containment――コンパートメント化によるWebサーバ、アプリケーション・サーバ等の隔離性確保と集約
  • RBAC――root権限を細分化し、一般ユーザへ委譲。root権限の乱用によるセキュリティ低下を防ぐ
  • システム監査――システムコール・レベルで監査を実施し、独立したコンパートメント内で監査ログを記録
  • HIDS――侵入検知システム

もっとも、PS-WSをインストールしさえすれば、これらすべてが自動的に設定されるわけではない。例えばHIDSやシステム監査、Apacheなどの設定は、管理者が個別に実施する必要がある。またもちろん、Webアプリケーション・レベルのセキュリティ脆弱性は、PS-WSだけでは防ぐことができない。PS-WSは、あくまでも支援ツールなのである。

では続いて、これらのセキュリティ機能についてもう少し詳しく見ていきたい。

トップへ     次のページへ

本ページの内容は執筆時の情報に基づいており、異なる場合があります。
印刷用画面へ
プライバシー 本サイト利用時の合意事項 ウェブマスターに連絡
© 2008 Hewlett-Packard Development Company, L.P.