HP IceWall SSO

こんにちは。
最新のHP IceWall SSO情報をお届けするHP IceWall SSO アップデートです。
8月も終わりとなりましたが、皆さん夏の休暇は取られましたか？
地方へ帰省された方なども多いと思いますが、皆さんは交通での移動時間をどのように過ごされますか？

音楽好きの私は、帰省で新幹線に長時間乗ることもきっかけとなり、今話題のハードディスクのオーディオプレイヤーを購入しました。なんと、3万曲以上も収録できてしまいます。

子供の頃は、今はなつかし、カセットテープのポータブルオーディオを使っており、いちいちテープを入れ替えたり、曲の頭出しがうまくできなかったりという不便さは当たり前だったように思うのですが・・・。
しかし今やポータブルオーディオはどんどん進化し、数万曲の中から聴きたい曲を、わずか2、3回のボタン操作で頭出しできてしまいます。
テープ時代に比べると、まさに魔法のように感じますね。

さて、今月はHP IceWall SSO Webサイト更新の話題からご紹介します。

━━━━【メニュー】━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
【26-01】HP IceWall SSO Webサイト「導入目的別認証ガイド」更新のお知らせ
【26-02】News：HP IceWall SSO、cert port 5815 取得
【26-03】新連載：IceWallソリューション部　メールブログ「運用に差がつくロールベースアクセス制御方式」
【26-04】連載：IceWall ディベロッパー日誌
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
HP IceWall SSO はこちらから
≫ http://www.hp.com/jp/icewall
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
HP IceWall SSO 評価版D/L
≫ http://www.hp.com/jp/icewall_download
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
HP IceWall アップデート　バックナンバー、技術資料等
≫ http://h50146.www5.hp.com/products/software/security/icewall/mailmagazine/subscriber.html
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

□■─ 【26-01】 ────────────────────────────────────■□
　　　　HP IceWall SSO Webサイト「導入目的別認証ガイド」更新のお知らせ
□■─────────────────────────────────────────■□

HP IceWall SSO Webサイトに掲載中の「必見！導入目的別認証ガイド」に、新たに導入目的別の認証ガイドページを設けました。

各々の導入目的別のシステム要件を分析し、それに対するHP IceWall SSOのソリューションをご覧いただけます。
また、各導入目的に関連した技術トピックス、導入事例を一覧にし、ガイドに付しています。

それぞれのご要件をお持ちの皆様に、より情報を探していただきやすくなっていますので、ぜひご活用ください。

また、「導入目的別認証ガイド」の情報を、さらに詳しくお調べになりたい場合は、各導入目的別認証ガイドのページ上部にありますバナーより、「資料請求フォーム」をご利用ください。
導入目的ごとに資料をご用意しています。

HP IceWall SSO 導入目的別認証ガイド(各導入目的別項目下部の、[詳細情報はこちら]ボタンをクリックして下さい)
≫ http://h50146.www5.hp.com/products/software/security/icewall/guide.html#certification2

□■─ 【26-02】────────────────────────────────────■□
　　　　News：HP IceWall SSO、cert port 5815 取得
□■─────────────────────────────────────────■□

HP IceWall SSO は、ICANN（Internet Corporation for Assigned Names and Numbers：インターネット上のアドレス資源の割り当て、管理を行なう国際非営利法人）において、独自のPort番号を取得。
Port番号5815が「IceWall Cert Protocol」の公式ポートとなります。
以下の「IANA Port Numbers」の一覧表にてご確認いただけます。

参考：ICANN（Internet Corporation for Assigned Names and Numbers）
≫ http://www.icann.org/

参考：IANA Port Numbers
≫ http://www.iana.org/assignments/port-numbers

□■─ 【26-03】────────────────────────────────────■□
　　　　新連載：IceWallソリューション部　メールブログ
　　　　【vol.1　運用に差がつくロールベースアクセス制御方式】
□■─────────────────────────────────────────■□

今号より、またまた新連載を開始します。
「IceWallソリューション部　メールブログ」と題し、認証製品を中心に、業界の動向やIceWallにまつわる話題を掲載してまいります。

◇-----　vol.1　運用に差がつくロールベースアクセス制御方式　-----◇

認証システムはインフラであると共に、ユーザ情報なども管理しており、ある意味ではアプリケーションでもあると言える。
したがって、導入先の運用方法への依存度が高く、単に製品をそのまま持ってくれば自社の運用に組み込める、というわけにはいかない。

例えば、既にUS製の認証製品を導入している顧客から、「人事異動の度に再設定が大量に発生して運用が大変なんです」という話を聞かされる。

海外の企業では通常、ロール（営業マネージャなど）があって、それに個人を割り当る。アクセス権限もロールに対して設定される。
割り当ても同時期に一斉に行われるのではなく、五月雨式に上司が設定を行う。
海外の認証製品はそれに合わせ、ロールに対し個人を簡単に割り当てられるような仕組み（たとえばGUIによるドラッグ＆ドロップなど）に重点をおいている。

一方、日本の企業は個人に対してロール（役職）を割り振るのが通例だ。
しかも割り当ては同時期に一斉に行われ、処理も人事が一度に行い、その結果は人事データベースに反映される。

こうした環境にロールに対し個人を一件、一件割り当てる製品を採用してしまうと、人事異動の度に、割り振り直す作業が大量に発生する。たとえば社員が1万人いたりすると、気が遠くなる作業である。

「ロールに対し個人を割当てる」、「個人に対してロール（役職）を割当てる」は、言葉にするとちょっとした差だが、運用面からすると随分差がでてくることがご理解頂けただろうか。
通常、製品の選定段階では、あまり気がつかないポイントだが、実際に導入する際には十分考慮が必要である。

以上は、1例だが、実際の運用方法は各社多様であり、また各製品もいろいろ工夫を凝らしている。

ちなみにIceWallは日本企業に即した、極めて運用負担の少ない構造を採用している。IceWallでは、個人の属性をみてアクセス制御を行っているので、人事データベースが更新され、その情報がIceWallの認証テーブルに反映されれば、そのままアクセス権限が更新される。特にIceWall側の作業は不要である。

日本発の製品で、8年間日本でビジネスしているので、そのくらいできて当然と言われればそれまでだが、「買うは一時、運用は今後ずっとのおつきあい」である。
製品選定の際の一助となれば、幸甚である。

IceWallソリューション部　N.K.

□■─ 【26-04】────────────────────────────────────■□
　　　　HP IceWall SSO　開発チーム発メッセージ
　　　　【IceWallディベロッパー日誌 vol.3】
□■─────────────────────────────────────────■□

毎号、HP IceWall SSO 開発チーム発のメッセージをお届けする、「IceWall ディベロッパー日誌」、第3回目の今回は、システムへ侵入被害という、開発者ならではの体験談です。

◇-----　IceWallディベロッパー日誌 vol.3　-----◇

皆様、システムに侵入されたことがおありでしょうか？実際に侵入された痕跡を見たことがおありでしょうか？
私は実際に体験しました。

今から大分前、別会社にいたころのお話です。

あるネットワークのアプリケーションの検証のために、直接インターネットに繋がっている一台のUNIXのマシンが設置されており、このマシンが侵入されました。(このマシンは他のマシン、または、社内のLANシステムに繋がっていなかったため、社内への侵入は防がれ、実害はありませんでした。)

ある日、いつものように検証の結果を解析するためにこのマシンで採取した各種ログを解析したところ、いつもと違う振る舞いと痕跡が見つかりました。

・検証で使われていないFTPを使用した跡があった。
・FTPプロトコル経由でルートでログインした形跡があった。
・覚えのない各種ファイルのアップロード形跡があった。

これは侵入されたと思い、即LANケーブル抜いて、隔離しました。

さらに、アップロードされたファイルの名前を手がかりにマシンを調査したところ、rootkitが仕込まれていることがわかりました。
rootkitは、「トロイの木馬」や「バックドア」と並ぶ代表的な悪質ツールです。

このマシンは社内のネットワークから切り離されていたため、実害が社内へ及ばなかったのは不幸中の幸いでした。

侵入の手口については、今となってはわかりませんが、わかっていることは、侵入されたマシンのOSにはセキュリティパッチすら当てられておらず、お恥ずかしい話ですがセキュリティホールだらけだったということです。
侵入者は、それらのセキュリティホールのうちの一つを突いて、侵入したと思われます。

その後の後始末としてマシンをクリーンインストールして、最新のセキュリティパッチを当てて、不要なネットワークサービス(FTPなど)を停止等々、本来行うべきであったセキュリティ対策を施し、運用を開始しました。
アタックの痕跡はありましたが、その後侵入されることはありませんでした。

検証環境だったので、まだ良かったものの、特に直接インターネットに繋がっている環境では、外部の脅威にさらされていますので、OSベンダーからのセキュリティアドバイザリーに従い、最低限でもセキュリティパッチくらいは当てないと痛い目を見るという、いい教訓となりました。

ご参考：rootkitの詳細は以下を参照してください。
≫ http://www.atmarkit.co.jp/fsecurity/rensai/rootkit01/rootkit01.html

執筆：開発チーム　T.F

【HP IceWall SSO】================================================================
発行：日本ヒューレット・パッカード株式会社 コンサルティング統括本部
発行責任人 ：　小早川 直樹
編集担当 　 ：　石川 深紀
記載事項は、予告なく変更されることがあります。
(c) 2005 Hewlett-Packard Development Company, L.P.
HP IceWall SSO URL　：http://www.hp.com/jp/icewall/
===============================================================================

このメールは、以下のいずれかに該当する方々に無料で配信しております。ご希望なく、本メールが配信されることはございません。
　・過去にHP主催・協賛イベントにて、IceWallのメール配信のご希望を頂いた方
　・過去にHP IceWall SSOをご購入いただき、IceWallのメール配信のご希望を頂いた方

HP オンライン プライバシー ステートメント
≫ http://welcome.hp.com/country/jp/ja/privacy.html

HP IceWall SSOに関するお問い合わせ、ニュースに関するご意見、ご感想はこちらへ
≫ https://h50043.www5.hp.com/formlab/ja-JP/0096_070412131639_1.aspx
または、HPカストマ・インフォメーション・センタ
電話番号 03-5304-6660
受付時間 月曜日〜金曜日 9:00-19:00、土曜日 10:00-18:00
　　　　　（日、祝祭日、年末年始および5月1日を除く）
FAX番号 03-5309-3111 （FAX受付時間 24時間対応）