HP OpenVMS: システム・セキュリティ・ガイド

目次

まえがき

1 対象読者

2 本書の構成

3 関連資料

4 本書で使用する表記法

I セキュリティの概要

1 システム・セキュリティ

1.1 コンピュータ・セキュリティ問題のタイプ

1.2 セキュリティ要件のレベル

1.3 安全なシステム環境の構築

1.4 暗号化

1.4.1 暗号化処理

1.4.2 認証プロセス

1.4.3 暗号化インタフェース

1.4.4 互換性

1.5 CDSA (Common Data Security Architecture)

1.6 SSL (Secure Sockets Layer)

1.7 Kerberos

2 OpenVMS のセキュリティ・モデル

2.1 安全なオペレーティング・システムの構造

2.1.1 リファレンス・モニタの概念

2.1.2 リファレンス・モニタによるセキュリティ規則の実施

2.2 リファレンス・モニタの実装

2.2.1 サブジェクト

2.2.2 オブジェクト

2.2.3 登録データベース

2.2.4 監査証跡

2.2.5 リファレンス・モニタ

2.2.6 アクセス・マトリックスで表した登録データベース

2.3 要約 : システム・セキュリティ設計

II 一般ユーザのためのセキュリティ

3 システムの安全な使用

3.1 アカウントのパスワードの選択

3.1.1 初期パスワードの取得

3.1.2 パスワードに関するシステム制限の順守

3.2 使用するパスワードのタイプ

3.2.1 システム・パスワードの入力

3.2.2 第 2 パスワードの入力

3.3 アカウントのタイプごとのパスワード要件

3.4 ログインのタイプとログイン・クラス

3.4.1 会話型ログイン (ローカル，ダイアルアップ，およびリモート・ログイン)

3.4.2 外部認証を使用したログイン

3.4.3 情報メッセージの解釈

3.4.4 システムがユーザに代わってログインする場合 (ネットワーク・ログインとバッチ・ログイン)

3.5 ログインの失敗 (ユーザがログインできない場合)

3.5.1 システム・パスワードを必要とするターミナルの使用

3.5.2 ログイン・クラスの制限の順守

3.5.3 特定の日時に使用が限定されたアカウントの使用

3.5.4 ダイアルアップ・ログインで正しいパスワードを入力しなかった場合

3.5.5 侵入回避手順が有効になる条件

3.6 パスワードの変更

3.6.1 ユーザ自身によるパスワードの選択

3.6.2 生成パスワードの使用

3.6.3 第 2 パスワードの変更

3.6.4 ログイン時に行うパスワード変更

3.7 パスワードとアカウントの有効期限

3.7.1 期限切れパスワードの変更

3.7.2 期限切れアカウントの更新

3.8 パスワードの保護に関するガイドライン

3.9 ネットワーク・セキュリティに関する考慮事項

3.9.1 アクセス制御文字列内の情報の保護

3.9.2 代理ログイン・アカウントの使用によるパスワードの保護

3.10 アカウントおよびファイルへのアクセスの監査

3.10.1 最終ログイン時間の確認

3.10.2 重要ファイルへのアクセス制御エントリ (ACE) の追加

3.10.3 セキュリティ管理者への監査の有効化の依頼

3.11 システム・セキュリティを損なわないログアウト

3.11.1 ターミナル画面の消去

3.11.2 ハードコピー出力の破棄

3.11.3 切断されたプロセスの削除

3.11.4 ダイアルアップ回線への接続の切断

3.11.5 ターミナルの電源遮断

3.12 システム・セキュリティへの貢献のためのチェックリスト

4 データの保護

4.1 ユーザのセキュリティ・プロファイルの内容

4.1.1 スレッド別セキュリティ

4.1.2 ペルソナ・セキュリティ・ブロック (PSB) データ構造体

4.1.3 以前のセキュリティ・モデル

4.1.4 スレッド別セキュリティのモデル

4.1.5 ユーザ識別コード (UIC)

4.1.6 ライト識別子

4.1.7 特権

4.2 オブジェクトのセキュリティ・プロファイル

4.2.1 保護オブジェクトの定義

4.2.2 オブジェクトのプロファイルの内容

4.2.3 セキュリティ・プロファイルの表示

4.2.4 セキュリティ・プロファイルの変更

4.2.5 オブジェクトのクラスの指定

4.2.6 プロファイルの変更に必要なアクセス権

4.3 システムによる保護オブジェクトへのユーザのアクセス可否の判定

4.4 ACL によるアクセスの制御

4.4.1 識別子用アクセス制御エントリ (ACE) の使用

4.4.2 特定ユーザへのアクセスの許可

4.4.3 オブジェクトへのユーザのアクセスの禁止

4.4.4 デバイスへのアクセスの制限

4.4.5 環境へのアクセスの制限

4.4.6 リスト内の ACE の順序

4.4.7 ファイルの継承方式の設定

4.4.8 ACL の表示

4.4.9 既存の ACL への ACE の追加

4.4.10 ACL の削除

4.4.11 ACL からの ACE の削除

4.4.12 ACL の部分的な置き換え

4.4.13 ファイルのデフォルト ACL の復元

4.4.14 ACL のコピー

4.5 保護コードによるアクセスの制御

4.5.1 保護コードの形式

4.5.2 保護コード内のアクセスのタイプ

4.5.3 保護コードの処理

4.5.4 保護コードの変更

4.5.5 機密オブジェクトに対する保護の強化

4.5.6 ディレクトリ構造に対するデフォルトの保護コードの提供

4.5.7 ファイルのデフォルト・セキュリティ・プロファイルの復元

4.6 特権と制御アクセス

4.6.1 保護メカニズムに対する特権の影響

4.6.2 制御アクセスによるオブジェクトのプロファイルの変更

4.6.3 アクセスに関するオブジェクト固有の考慮事項

4.7 保護オブジェクトの監査

4.7.1 システムが監査するイベントの種類

4.7.2 オブジェクトのクラスに対する監査の有効化

4.7.3 セキュリティ監査用 ACE の追加

5 オブジェクト・クラスの詳細

5.1 ケーパビリティ

5.1.1 命名規則

5.1.2 アクセスのタイプ

5.1.3 テンプレート・プロファイル

5.1.4 実行される監査の種類

5.1.5 オブジェクトの永続性

5.2 コモン・イベント・フラグ・クラスタ

5.2.1 命名規則

5.2.2 アクセスのタイプ

5.2.3 テンプレート・プロファイル

5.2.4 必要な特権

5.2.5 実行される監査の種類

5.2.6 オブジェクトの永続性

5.3 デバイス

5.3.1 命名規則

5.3.2 アクセスのタイプ

5.3.3 入出力操作に必要なアクセス権

5.3.4 テンプレート・プロファイル

5.3.5 新しいデバイスに対するプロファイルの設定

5.3.6 必要な特権

5.3.7 実行される監査の種類

5.3.8 オブジェクトの永続性

5.4 ファイル

5.4.1 命名規則

5.4.2 アクセスのタイプ

5.4.3 必要なアクセス権

5.4.4 作成時の要件

5.4.5 プロファイルの割り当て

5.4.6 実行される監査の種類

5.4.7 ディスク領域再割り当て時の情報の保護

5.4.8 ファイル・セキュリティの最適化に関する推奨事項

5.5 グローバル・セクション

5.5.1 命名規則

5.5.2 アクセスのタイプ

5.5.3 テンプレート・プロファイル

5.5.4 必要な特権

5.5.5 実行される監査の種類

5.5.6 オブジェクトの永続性

5.6 論理名テーブル

5.6.1 命名規則

5.6.2 アクセスのタイプ

5.6.3 テンプレート・プロファイル

5.6.4 必要な特権

5.6.5 実行される監査の種類

5.6.6 オブジェクトの永続性

5.7 キュー

5.7.1 命名規則

5.7.2 アクセスのタイプ

5.7.3 テンプレート・プロファイル

5.7.4 必要な特権

5.7.5 実行される監査の種類

5.7.6 オブジェクトの永続性

5.8 資源ドメイン

5.8.1 命名規則

5.8.2 アクセスのタイプ

5.8.3 テンプレート・プロファイル

5.8.4 必要な特権

5.8.5 実行される監査の種類

5.8.6 オブジェクトの永続性

5.9 セキュリティ・クラス

5.9.1 命名規則

5.9.2 アクセスのタイプ

5.9.3 テンプレート・プロファイル

5.9.4 実行される監査の種類

5.9.5 オブジェクトの永続性

5.10 ボリューム

5.10.1 命名規則

5.10.2 アクセスのタイプ

5.10.3 テンプレート・プロファイル

5.10.4 必要な特権

5.10.5 実行される監査の種類

5.10.6 オブジェクトの永続性

III  システム管理者のためのセキュリティ

6 システムとそのデータの管理

6.1 セキュリティ管理者の役割

6.2 サイトのセキュリティ・ポリシー

6.3 安全なシステムを設定するためのツール

6.4 セキュリティ管理者のアカウント要件

6.5 新規ユーザのトレーニング

6.6 ユーザのセッションのログ取得

6.7 安全なシステムを維持するための継続的な作業

7 システム・アクセスの管理

7.1 システムにアクセス可能な時間と条件の定義

7.1.1 作業時間の制限

7.1.2 操作モードの制限

7.1.3 アカウントの有効期間の制限

7.1.4 アカウントの無効化

7.1.5 ディスク・ボリュームの制限

7.1.6 外部認証用アカウントのマーク付け

7.2 ユーザへの適切なアカウントの割り当て

7.2.1 システム・アカウントのタイプ

7.2.2 特権アカウント

7.2.3 会話型アカウント

7.2.4 キャプティブ・アカウント

7.2.5 制限付きアカウント

7.2.6 自動ログイン・アカウント

7.2.7 ゲスト・アカウント

7.2.8 代理アカウント

7.2.9 外部認証アカウント

7.3 パスワードを使用したシステム・アクセスの制御

7.3.1 パスワードのタイプ

7.3.2 最低限のパスワード基準の適用

7.3.3 新しいパスワードの検査

7.3.4 パスワード保護のチェックリスト

7.4 外部認証の有効化

7.4.1 外部認証を有効にするための手順

7.4.2 外部認証の無効化

7.4.3 レイヤード・プロダクトおよびアプリケーションに対する影響

7.4.4 新しいパスワードの設定

7.4.5 パスワードとユーザ名における大文字小文字の区別

7.4.6 ユーザ名マッピングおよびパスワード検証

7.4.7 パスワード同期

7.4.8 SYS$SINGLE_SIGNON 論理名ビットの指定

7.4.9 ACME (Authentication and Credentials Management Extensions) サブシステム

7.5 ログイン・プロセスの制御

7.5.1 ログイン時の情報表示

7.5.2 切断されたプロセスの限定

7.5.3 自動ログインの実現

7.5.4 安全ターミナル・サーバの使用

7.5.5 侵入者の検出

7.5.6 侵入データベースについて

7.5.7 セキュリティ・サーバ・プロセス

8 システムのデータと資源へのアクセスの制御

8.1 ユーザ・グループの設計

8.1.1 UIC グループの設計の例

8.1.2 UIC グループの設計に関する制約

8.2 ACL での個別ユーザの指定

8.3 権限の共有の定義

8.4 ユーザごとの識別子の条件指定

8.5 ACL の設計

8.6 ライト・データベースへの登録

8.6.1 データベースの表示

8.6.2 識別子の追加

8.6.3 ライト・データベースの復元

8.6.4 ユーザへの識別子の割り当て

8.6.5 保持者レコードの削除

8.6.6 識別子の削除

8.6.7 識別子のカスタマイズ

8.6.8 システムまたはプロセス・ライト・リストの変更

8.7 ユーザへの特権の付与

8.7.1 特権のカテゴリ

8.7.2 推奨される特権の割り当て

8.7.3 ユーザ特権の制限

8.7.4 特権イメージのインストール

8.7.5 コマンド出力の制限

8.8 デフォルトの保護と所有権の設定

8.8.1 ファイル・アクセスの制御

8.8.2 ファイル以外のオブジェクトのデフォルトの設定

8.9 システムのデータと資源の追加保護

8.9.1 ソフトウェアの新規インストール時に必要な安全対策

8.9.2 システム・ファイルの保護

8.9.3 DCL コマンドの使用の制限

8.9.4 ディスクの保護

8.9.5 バックアップ・メディアの保護

8.9.6 ターミナルの保護

9 暗号化機能の使用

9.1 キーの定義

9.1.1 キー名の指定

9.1.2 キー値の指定

9.1.3 作成したキーの確認

9.1.4 キー格納テーブルの指定

9.1.5 キーの管理

9.2 ファイルの暗号化

9.2.1 入力ファイル指定

9.2.2 出力ファイル指定

9.2.3 処理情報の表示

9.2.4 暗号化するファイルの指定

9.2.5 暗号化されたファイルの削除

9.2.6 暗号化アルゴリズム

9.2.7 暗号化アルゴリズムの修飾子

9.2.8 AES データ・アルゴリズムおよび AES キー・アルゴリズムの指定

9.2.9 ファイルの圧縮

9.2.10 バージョン番号の表示

9.3 ファイルの認証

9.3.1 MAC とファイルの関連付け

9.3.2 ファイルのチェック

9.3.3 ファイルの内容から生成された MAC に対するファイル指定

9.3.4 セキュリティ MAC ファイルの指定

9.3.5 リスト・ファイルの指定

9.3.6 認証処理のログ

9.4 キー定義の削除

9.5 ファイルの復号

9.5.1 入力ファイル指定

9.5.2 出力ファイル指定

9.5.3 処理情報の表示

9.5.4 復号するファイルの指定

9.5.5 復号ファイルの削除

9.5.6 アルゴリズム修飾子

9.6 セーブセットの暗号化

9.6.1 ファイルのリストア

9.6.2 配布ファイルの暗号化

10 セキュリティ監査の実施

10.1 監査プロセスの概要

10.2 セキュリティ関連イベントの報告

10.2.1 監査情報の生成方法

10.2.2 オペレーティング・システムが報告できるシステム活動の種類

10.2.3 イベント情報のソース

10.3 監査計画の策定

10.3.1 監査要件の評価

10.3.2 イベント・メッセージの出力先の選択

10.3.3 性能への影響の考慮

10.4 イベント・メッセージの取得方法

10.4.1 監査ログ・ファイルの使用

10.4.2 ターミナルのアラーム受信の有効化

10.4.3 イベント・メッセージの第 2 の出力先

10.5 ログ・ファイルの分析

10.5.1 推奨される手順

10.5.2 監査分析ユーティリティの起動

10.5.3 レポートの指定

10.5.4 会話形式での監査分析ユーティリティの使用

10.5.5 レポートの調査

10.6 監査サブシステムの管理

10.6.1 監査サーバにより実行されるタスク

10.6.2 監査サーバのスタートアップの無効化と再有効化

10.6.3 スタートアップにおける，オペレーティング・システムが監査を開始するポイントの変更

10.6.4 プロセス中断のきっかけとなる未処理メッセージの数の指定

10.6.5 メモリ不足への対応

10.6.6 メッセージの正確なタイムスタンプ設定の維持

10.6.7 ディスクへのメッセージ転送の調整

10.6.8 監査ログ・ファイル用のディスク領域の割り当て

10.6.9 監査機能におけるエラー処理

11 システムのセキュリティ侵害

11.1 システム攻撃の形態

11.2 問題の兆候

11.2.1 ユーザからの報告

11.2.2 システムの監視

11.3 システムの定期的な監視

11.3.1 システムの会計記録

11.3.2 セキュリティ監査の実施

11.4 セキュリティ侵害への対処

11.4.1 失敗に終わった侵入行為

11.4.2 成功した侵入

12 クラスタのセキュリティ保護

12.1 クラスタの概要

12.2 共通環境の構築

12.2.1 必須の共通システム・ファイル

12.2.2 推奨される共通システム・ファイル

12.2.3 複数のバージョンが存在するファイルの同期

12.3 登録データの同期

12.4 監査ログ・ファイルの管理

12.5 オブジェクトの保護

12.6 プロファイルおよび監査情報の格納

12.7 クラスタ全体での侵入検出

12.8 システム管理ユーティリティの使用

12.9 クラスタ所属の管理

12.10 クラスタ・ノード間での DECnet の使用

13 ネットワーク環境におけるセキュリティ

13.1 ネットワーク・セキュリティの管理

13.1.1 セキュリティ確保のための要件

13.1.2 ネットワークにおける監査

13.2 アクセス制御の階層

13.2.1 明示的アクセス制御の使用

13.2.2 代理ログインの使用

13.2.3 デフォルト・アプリケーション・アカウントの使用

13.3 代理アクセス制御

13.3.1 代理アクセスに関する特別なセキュリティ対策

13.3.2 代理データベースの設定

13.3.3 代理アカウントの例

13.4 DECnet アプリケーション (オブジェクト) アカウントの使用

13.4.1 ネットワーク・オブジェクトのまとめ

13.4.2 手作業でのネットワーク・オブジェクトの設定

13.4.3 システムへのデフォルトの DECnet アクセスの削除

13.4.4 リモート・オブジェクト接続の特権要件の設定

13.5 ルーティング初期化パスワードの指定

13.5.1 動的非同期接続の確立

13.6 ネットワークにおけるファイルの共用

13.6.1 メール・ユーティリティの使用

13.6.2 ローカル・ユーザおよびリモート・ユーザのアカウントの設定

13.6.3 複数アカウントに対するリモート・ユーザの許可

14 保護サブシステムの使用

14.1 保護サブシステムの利点

14.2 保護サブシステムの適用範囲

14.3 保護サブシステムの仕組み

14.4 設計に関する検討事項

14.5 システム管理の要件

14.6 サブシステムの構築

14.7 トラステッド・ボリュームにおける保護サブシステムの有効化

14.8 ユーザへのアクセス権の付与

14.9 保護サブシステムの例

14.9.1 最上位ディレクトリの保護

14.9.2 サブシステムのディレクトリの保護

14.9.3 イメージおよびデータ・ファイルの保護

14.9.4 プリンタの保護

14.9.5 サブシステム構築のためのコマンド・プロシージャ

A 特権の割り当て

A.1 ACNT 特権 (Devour)

A.2 ALLSPOOL 特権 (Devour)

A.3 ALTPRI 特権 (System)

A.4 AUDIT 特権 (System)

A.5 BUGCHK 特権 (Devour)

A.6 BYPASS 特権 (All)

A.7 CMEXEC 特権 (All)

A.8 CMKRNL 特権 (All)

A.9 DIAGNOSE 特権 (Objects)

A.10 DOWNGRADE 特権 (All)

A.11 EXQUOTA 特権 (Devour)

A.12 GROUP 特権 (Group)

A.13 GRPNAM 特権 (Devour)

A.14 GRPPRV 特権 (Group)

A.15 IMPERSONATE 特権 (All) (旧名称 DETACH)

A.16 IMPORT 特権 (Objects)

A.17 LOG_IO 特権 (All)

A.18 MOUNT 特権 (Normal)

A.19 NETMBX 特権 (Normal)

A.20 OPER 特権 (System)

A.21 PFNMAP 特権 (All)

A.22 PHY_IO 特権 (All)

A.23 PRMCEB 特権 (Devour)

A.24 PRMGBL 特権 (Devour)

A.25 PRMMBX 特権 (Devour)

A.26 PSWAPM 特権 (System)

A.27 READALL 特権 (Objects)

A.28 SECURITY 特権 (System)

A.29 SETPRV 特権 (All)

A.30 SHARE 特権 (All)

A.31 SHMEM 特権 (Devour)

A.32 SYSGBL 特権 (Files)

A.33 SYSLCK 特権 (System)

A.34 SYSNAM 特権 (All)

A.35 SYSPRV 特権 (All)

A.36 TMPMBX 特権 (Normal)

A.37 UPGRADE 特権 (All)

A.38 VOLPRO 特権 (Objects)

A.39 WORLD 特権 (System)

B OpenVMS システム・ファイルの保護

B.1 標準の所有権と保護

B.2 OpenVMS システム・ファイルの一覧

B.2.1 最上位ディレクトリのファイル

B.2.2 SYS$KEYMAP のファイル

B.2.3 SYS$LDR のファイル

B.2.4 SYS$STARTUP および SYS$ERR のファイル

B.2.5 SYSEXE のファイル

B.2.6 SYSHLP のファイル

B.2.7 SYSLIB のファイル

B.2.8 SYSMGR のファイル

B.2.9 SYSMGR のファイル

B.2.10 SYSTEST のファイル

B.2.11 SYSUPD のファイル

B.2.12 VUE$LIBRARY のファイル

C アラーム・メッセージ

用語一覧

索引