|
|
日本−日本語 | |
|
|
 |
|
HP OpenVMS: システム・セキュリティ・ガイド > パート II 一般ユーザのためのセキュリティ
第3章 システムの安全な使用 |
|
|
目次 この章では,システムを安全に使用する方法について基本的な情報を示します。 サイトの個別のセキュリティ・ポリシーを守りながら,これらの知識を一貫して正しく利用すれば,安全なシステムと権限のないユーザから攻撃を受けやすいシステムとの間に一線を引くことができます。 安全なパスワードを選択するには,以下のガイドラインに従います。
セキュリティ管理者が追加の制限事項 (たとえば,10 文字未満のパスワードは許可しないなど) を設定する場合もあります。 表 3-1 「安全なパスワードと安全でないパスワード」 に,安全なパスワードと危険なパスワードの例を示します。 表 3-1 安全なパスワードと安全でないパスワード
通常,ユーザはシステムに自分のアカウントが作成されたことを知らされるとき,ユーザ・パスワードが必要かどうかも知らされます。 ユーザ・パスワードが有効になっている場合,最初のログイン時に指定のパスワードを入力するように指示されます。 このパスワードは,自分のアカウントの使用方法に関する他の情報とともに,システム・ユーザ登録ファイル (SYSUAF.DAT) に格納されています。 簡単に推測できるパスワードを持つことは,お勧めできません。 アカウントの作成担当者と相談して,推測しにくいパスワードを指定してください。 与えられるパスワードの決定にまったく関与できない場合は,自分の名前がそのままパスワードになっている場合もあります。 そのような場合は,ログイン後,直ちにパスワードを変更してください。 自分の名前をパスワードに使用するのは,よくある方法であり,セキュリティの観点からは望ましくありません。 アカウントが作成されたら,直ちにそのアカウントにログインして,パスワードを変更してください。 アカウントの作成から最初のログインまでの間隔が空くと,他のユーザがそのアカウントへのログインに成功し,システムに損害を与える機会を得る可能性があります。 同様に,パスワードの変更を怠ったり,変更できなかったりすると,システムが脆弱な状態のままになります。 どのような損害が生じるかは,他にどのようなセキュリティ対策を講じているかに大きく依存します。 アカウントの作成時には,パスワードの最小限の長さと,パスワードをユーザが選択できるのか,それともシステムに生成させるのかも知らされるはずです。 OpenVMS システムで認識されるパスワードには,複数のタイプがあります。 一般に,ログインするときはユーザ・パスワードを入力する必要があります。 場合によっては,ユーザ・パスワードでログインする前にシステム・パスワードを入力して,特定のターミナルへのアクセス権を獲得する必要があります。 セキュリティ要件の高いシステムでは,第 1 パスワードと第 2 パスワードの入力が必要な場合もあります。 外部認証機能が有効になっているシステムで外部認証されたユーザの場合は,OpenVMS のパスワード・プロンプトで LAN マネージャのパスワードを入力します。 詳細については, 7.4 項 「外部認証の有効化」を参照してください。 パスワードのタイプを, 表 3-2 「パスワードのタイプ」 に示します。 表 3-2 パスワードのタイプ
ユーザは,自分に割り当てられた 1 つまたは複数のターミナルにログインするときに,システム・パスワードを指定する必要があるかどうかについて,セキュリティ管理者から通知されます。 最新のシステム・パスワード,システム・パスワードの変更頻度,および変更された場合の新しいシステム・パスワードの入手方法については,セキュリティ管理者に問い合わせてください。 システム・パスワードを入力するには,以下の手順を実行します。
セキュリティ管理者は,アカウントの作成時に,そのアカウントに第 2 パスワードを使用する必要があるかどうかを決定します。 第 1 パスワードと第 2 パスワードを要求するアカウントでは,ログイン時に 2 つのパスワードを入力する必要があります。 どちらのパスワードにも,パスワードの最小限の長さ (セキュリティ管理者が各ユーザの UAF レコードに指定した値) が適用されます。 第 1 パスワードと第 2 パスワードを要求するログインの例を以下に示します。
単独のパスワードによるログインと同じように,ログイン操作全体に対して一定の制限時間が設定されています。 第 2 パスワードを時間内に入力しないと,ログイン時間が時間切れとなります。 OpenVMS システムには,5 種類のユーザ・アカウントが用意されています。
ログインには,会話型と非会話型があります。 会話型ログインの場合は,OpenVMS でのユーザ名とパスワードを入力します。 非会話型ログインの場合は,システムがユーザの識別と認証の処理を行うため,ユーザ名とパスワードの入力は求められません。 ここで使用されている会話型という用語の意味は,DCL のレキシカル関数 F$MODE() で定義されている会話モード・プロセスの場合とは異なります。 F$MODE 関数の詳細については,『OpenVMS DCL ディクショナリ』を参照してください。 会話型ログインと非会話型ログインの他にも,OpenVMS オペレーティング・システムではログインのさまざまなクラスが認識されます。 ユーザが属するログイン・クラスは,ユーザがシステムにログインする方法によって決まります。 システム管理者は,ユーザのログイン・クラス,ログインした曜日および時刻に基づいて,当該ユーザによるシステムへのアクセスを制御します。 外部認証されたユーザの場合は,OpenVMS のログイン・プロンプトで LAN マネージャのユーザ ID とパスワードを入力してログインします。 LAN マネージャのユーザ ID は,OpenVMS のユーザ名と同じ場合と異なる場合があります。 システムの外部認証機能を有効にした状態でのログインの詳細については, 7.4 項 「外部認証の有効化」を参照してください。 コンピュータに直接接続されているターミナルからログインすると,OpenVMS システムが情報メッセージを表示します。 例 3-1 「ローカル・ログイン・メッセージ」 は,これらのメッセージの大部分を示しています。 例 3-1 ローカル・ログイン・メッセージ
上記の例では,次のことを示しています。
セキュリティ管理者は,ノード名とオペレーティング・システムの識別情報が含まれる通知メッセージとウェルカム・メッセージの表示を抑制できます。 ログイン手順はシステムによって異なるため,これらの情報が表示されなければ,ログインが難しくなります。 最後の正常ログイン・メッセージとログイン失敗回数メッセージは省略可能です。 セキュリティ管理者は,これらの表示をまとめて有効化または無効化できます。 中~高レベルのセキュリティを必要とするサイトでは,これらのメッセージを表示することで,進入の試みがあったかどうかを知ることができるようにします。 また,これらのメッセージによってシステムがログインが監視されていることがわかるので,不正ユーザに対する抑止効果も得られます。 ユーザがログインするたびに,最後の正常ログインの値とログイン失敗回数の値が再設定されます。 会話形式でアカウントにアクセスし,ログイン時に誤ったパスワードを指定しなかった場合,最後の正常な非会話型ログイン・メッセージとログイン失敗メッセージは表示されません。 非会話型ログインには,ネットワーク・ログインとバッチ・ログインがあります。 ユーザがリモート・ノード上でネットワーク・タスク (ディレクトリ内容の表示,別のノード上のディレクトリに格納されているファイルのコピーなど) を開始すると,システムがネットワーク・ログインを実行します。 この場合,現在のシステムとリモート・システムの両方が同じネットワーク内のノードでなければなりません。 ファイルを指定するときは,ターゲット・ノードとアクセス制御文字列を指定します。 アクセス制御文字列としては,リモート・ノードにおけるユーザ名とパスワードを指定します。 たとえば,PARIS というリモート・ノードにアカウントのある Greg というユーザが次のコマンドを入力すると,ネットワーク・ログインが実行されます。
このコマンドにより,WORK2 というディスク上のパブリック・ディレクトリ内にあるすべてのファイルが一覧表示されます。 また,パスワードが 8G4FR93A であることもわかります。 同じことをさらに安全に実行するには,PARIS ノードで代理アカウントを使用します。 代理ログインの例については, 3.9.2 項 「代理ログイン・アカウントの使用によるパスワードの保護」を参照してください。 ユーザが発行したバッチ・ジョブが実行されると,システムがバッチ・ログインを実行します。 ジョブの構築に対する許可は,ジョブを発行した時点で決定されます。 システムがジョブ実行の準備を行うときに,ジョブ・コントローラがユーザのアカウントにログインする非会話型プロセスを生成します。 ジョブがログインするときは,パスワードは必要ありません。 ログインはさまざまな理由で失敗します。 たとえば,いずれかのパスワードが変更された場合や,アカウントの有効期限が切れた場合に失敗します。 ネットワーク経由で,またはモデム経由のログインを試みたときにその権限がない場合にも失敗します。 表 3-3 「ログイン失敗の原因」 に,ログインに失敗する一般的な原因を示します。 表 3-3 ログイン失敗の原因
以下の各節では,ログイン失敗の原因についてさらに詳しく説明します。 使用しようとしているターミナルがシステム・パスワードを要求する場合,そのことを知らないユーザはログインできません。 ユーザがシステム・パスワードを入力するまで,ログインはすべて失敗します。 システム・パスワードを知っている場合は, 3.2.1 項 「システム・パスワードの入力」で説明した手順を実行します。 それでもログインに失敗する場合は,システム・パスワードが変更されている可能性があります。 システム・パスワードを必要としない別のターミナルにログインするか,新しいシステム・パスワードを教えてもらいます。 システム・パスワードを知らず,そのことが問題であると考えられる場合は,別のターミナルでログインを試みます。 UAF レコードで禁止されているクラスのログインを実行すると,ログインに失敗します。 たとえば,セキュリティ管理者はユーザによるネットワーク経由のログインを制限できます。 この場合,ネットワーク・ログインを実行すると,そこからのログインが許可されていないことを示すメッセージが表示されます。 ネットワーク・ジョブに割り当てられた作業時間を超過すると,ネットワーク・ジョブが終了しません。 この制限は,新しいネットワーク接続のみに適用され,既存の接続には適用されません。 セキュリティ管理者は,ローカル,リモート,ダイアルアップ,バッチ,ネットワークの各クラスを取捨選択することにより,ユーザのログインを制限できます。 各クラスの詳細については, 3.4.1 項 「会話型ログイン (ローカル,ダイアルアップ,およびリモート・ログイン)」と 3.4.4 項 「システムがユーザに代わってログインする場合 (ネットワーク・ログインとバッチ・ログイン)」を参照してください。 作業時間に関する制限のためにログインできないこともあります。 システム管理者またはセキュリティ管理者は,時間帯や曜日に基づいてシステムへのアクセスを制御できます。 このような制限は,ログイン・クラスに対して適用されます。 セキュリティ管理者は,同じ作業時間制限をすべてのログイン・クラスに適用したり,ログイン・クラスごとに異なる制限を設定したりできます。 該当するログイン・クラスで禁止されている時刻にログインしようとすると,ログインに失敗します。 その時刻のログインが許可されていないことを示すメッセージが表示されます。 作業時間制限がバッチ・ジョブに適用されると,許可されている作業時間の範囲外で実行するようにスケジューリングされたジョブは,発行しても実行されません。 また,システムは実行されなかったジョブを自動的に次の作業時間中に再発行することもありません。 同様に,何らかのジョブを開始し,そのジョブを許可されている時間帯を超えて実行しようとしても,割り当てられた作業時間が終了すると,ジョブ・コントローラが未完了のジョブを強制終了します。 このようなジョブの終了方法は,すべてのジョブに適用されます。 セキュリティ管理者は,ダイアルアップ・ログインで接続が自動的に切断されるまでの間にユーザがパスワードを入力できる回数を制限できます。 ログインに失敗しても,指定された操作回数に到達していない場合は, Return キーを押してもう一度ログイン操作を実行してください。 ログインに成功するか,制限回数に到達するまでは,この操作を繰り返すことができます。 接続が切断された場合は,アクセス回線に再ダイアルして,始めからやり直します。 通常,ダイアルアップ・ログインの失敗回数を制限するのは,権限のないユーザが試行錯誤の繰り返しによってパスワードを知る試みを阻止するためです。 ダイアルアップ回線では,もともと権限がなくても匿名での操作が可能です。 もちろん,ダイアルアップするたびにログインの再試行回数を制限しても,この種の侵入行為がなくなるわけではありません。 回数制限の目的は,侵入を試みる人がログイン操作を新たに行うために,何度もダイアルする必要が生じるようにすることです。 誰かが同じターミナルから同じユーザ名でログインしようとして何度か失敗すると,システムは侵入者がそのユーザ名を使用してシステムに不正にアクセスしようとしていると判断します。 セキュリティ管理者は,自分の判断でシステムのすべてのユーザを対象に侵入回避手順を有効にできます。 セキュリティ管理者は,パスワードを入力できる回数と期間を制御します。 侵入回避手順が有効になると,指定された時間内は (たとえ正しいパスワードを入力しても) ターミナルにログインできません。 ログインを再試行できるようになるまでの時間については,セキュリティ管理者に問い合わせてください。 または,別のターミナルを使用してログインを実行することもできます。 侵入回避手順によってログインが禁止されていると考えられるが,自分自身はログインに失敗した覚えがない場合は,直ちにセキュリティ管理者に連絡します。 セキュリティ管理者と共に,もう一度ログインを試み,最後のログイン以降のログイン失敗回数を示すメッセージをチェックして,侵入行為についての推測が正しいかどうかを確認します。 ログイン・メッセージを通常は表示しないシステムの場合は,セキュリティ管理者が登録ユーティリティ (AUTHORIZE) を使用して UAF レコード内のデータを調べることができます。 すばやく対応することで,セキュリティ管理者は誰かが別のターミナルからログインしようといることを突き止められます。 定期的にパスワードを変更すると,システムのセキュリティが向上します。 パスワードを変更するには,DCL の SET PASSWORD コマンドを使用します。 システム管理者は,ユーザにパスワードを自由に選択させることも,パスワード変更時の自動パスワード・ジェネレータの使用を義務付けることもできます。 ユーザが自分でパスワードを選択する場合は,パスワードの長さや許容条件に関する制限を守る必要があります ( 3.1.2 項 「パスワードに関するシステム制限の順守」を参照)。 たとえば,選択したパスワードが短すぎると,次のメッセージが表示されます。
3.1 項 「アカウントのパスワードの選択」に,安全なパスワードの指定に関するガイドラインと具体例を示します。 一定期間内にパスワードを変更できる回数に限度はありません。 システム管理者が自動パスワード・ジェネレータの使用を義務付けていない場合は,SET PASSWORD コマンドを実行すると新しいパスワードを入力するよう求められます。 続いて,次に示すように,確認のために新しいパスワードを再入力するよう求められます。
同じパスワードを 2 回入力しないと,パスワードは変更されません。 同じパスワードを 2 回入力したときは,画面に何も表示されません。 コマンドによってパスワードが変更され,DCL プロンプトに戻ります。 セキュリティ管理者がパスワード・ジェネレータの使用を義務付けていない場合でも,システムのセキュリティを向上させるため,パスワード・ジェネレータを使用することを強くお勧めします。 生成パスワードの使用方法については, 3.6.2 項 「生成パスワードの使用」で説明します。 システムのセキュリティ管理者がシステム側でパスワードを自動生成する必要があると判断している場合は,DCL の SET PASSWORD コマンドを入力すると,パスワードの選択リストが表示されます。 パスワードの自動生成が要求されないシステムでは,SET PASSWORD コマンドに /GENERATE 修飾子を指定すると,パスワードの選択リストが表示されます。 生成される文字の並びは,簡単に覚えられるように普通の言葉の単語によく似ていてますが,外部の人間が推測するのが困難なくらいには複雑です。 システムによって生成されるパスワードは長さが一定でないため,推測するのはいっそう困難です。
次に示す OpenVMS VAX の例では,文字の無作為の並びで構成されたパスワードのリストが自動生成されています。 この例のユーザに関しては,パスワードの最小限の長さが UAF レコードで 8 文字に設定されています。
上記の例は,次のことを示します。
自動パスワード生成のデメリットの 1 つは,選択したパスワードを忘れてしまう可能性があるということです。 ただし,表示されたどのパスワード候補も気に入らない場合や,どのパスワードも簡単に覚えられないと思われる場合は,別のリストを要求できます。 自動パスワード生成のさらに深刻な欠点は,このコマンドを実行したときにパスワードの候補が表示されてしまうことです。 アカウントを保護するためには,誰にも知られないようにパスワードを変更しなければなりません。 ビデオ・ターミナルで変更する場合は,コマンドが完了した後,パスワード候補が表示された画面を消去してください。 DECwindows 環境で変更する場合は,「コマンド」メニューの「保存行消去」を使用して,画面リコール・バッファからパスワードを消去してください。 印刷ターミナルを使用する場合は,ハードコピー出力をすべて適切に廃棄してください。 このようにしてもパスワードを保護できなかったことが後で判明した場合は,直ちにパスワードを変更してください。 サイトのポリシーに従い,あるいは,アカウントが危険な状態にあった時間の長さから判断して,自分のアカウントを介したセキュリティ侵害が生じた可能性をシステム管理者に知らせます。 第 2 パスワードを変更するには,DCL の SET PASSWORD/SECONDARY コマンドを使用します。 第 1 パスワードの変更手順と同様に,現在の第 2 パスワードと新しい第 2 パスワードを指定するよう求められます。 第 2 パスワードを削除するには,新しいパスワードの入力とその確認入力を求められたときに,それぞれ Return キーを押します。 第 1 パスワードと第 2 パスワードは別々に変更できますが,パスワードの有効期限は同じなので,同じ変更頻度の条件が適用されます。 パスワードの有効期限については, 3.7 項 「パスワードとアカウントの有効期限」を参照してください。 現在のパスワードの有効期限が満了していなくても,ユーザ名の後に /NEW_PASSWORD 修飾子を付けることにより,ログイン時にパスワードを変更できます。
ユーザ名の後に /NEW_PASSWORD 修飾子を入力すると,ログインの直後に新しいパスワードを設定するよう要求されます。 システム管理者は,パスワードまたはアカウントそのものの有効期限が特定の日時に自動的に期限切れとなるように,アカウントを設定できます。 パスワードに有効期限を設定すると,ユーザが定期的にパスワードを変更しなければならないため,システムのセキュリティが向上します。 アカウントの有効期限は,アカウントを必要な期間だけ使用可能にしたいときに便利です。 パスワードの有効期限が近づくと,予告の警告メッセージが表示されます。 警告メッセージは,期限の 5 日前からログインするたびに表示されます。 このメッセージは新着メールを知らせるメッセージの直後に表示され,注意を促すためにターミナルでベルが鳴ります。 このメッセージは,次のようにパスワードの有効期限が迫っていることを示します。
期限切れになる前にパスワードを変更しなかった場合は,ログイン時に次のメッセージが表示されます。
システムにより,新しいパスワードの入力を求められるか,自動パスワード生成が有効になっている場合には,新しいパスワードをリストから選択するように求められます ( 3.6.2 項 「生成パスワードの使用」を参照)。 ここで Ctrl/Y を押すと,ログインを強制終了できます。 その場合,次にログインしようとしたときに,パスワードの変更を再度求められます。 第 2 パスワードを使用している場合アカウントで第 2 パスワードを使用している場合 ( 3.2 項 「使用するパスワードのタイプ」を参照) は,第 2 パスワードが第 1 パスワードと同時に有効期限を迎えることがあります。 この場合,両方のパスワードを変更するよう求められます。 第 1 パスワードを変更した後,第 2 パスワードを変更する前に Ctrl/Y を押すと,ログインに失敗します。 この場合,パスワードの変更はシステムに記録されません。 パスワードを変更しなかった場合システム管理者がログイン時の期限切れパスワードの変更をユーザに強制していない場合は,パスワードの期限切れ後にユーザがログインすると,最終警告メッセージが表示されます。
この時点で,パスワードを変更しなかったり,パスワードを変更する前にシステムに障害が発生したりすると,二度とログインできなくなります。 再度アクセスできるようにする方法については,システム管理者に問い合わせてください。 特定の目的で限られた期間だけアカウントが必要な場合は,アカウントの作成者がアカウントの有効期限を指定できます。 たとえば,大学の学生用アカウントは,通常,学期ごとに 1 回ずつ登録します。 期限切れアカウントは,自動的にログインが拒否されます。 アカウントの有効期限前に警告メッセージは表示されないため,あらかじめアカウントの有効期間を知っておくことが重要です。 アカウントの有効期限は UAF レコードに格納されています。 このレコードの取得や表示は,SYSPRV 特権またはそれと同等の権限を持つユーザ (通常はシステム管理者またはセキュリティ管理者) が登録ユーティリティ (AUTHORIZE) を使用した場合にのみ可能です。 アカウントの有効期限が切れると,次にログインしようとしたときに認証失敗メッセージが表示されます。 有効期限の延長が必要な場合は,各サイトで定義されている手順に従ってください。 既知のパスワードを使用したシステムへの不正アクセスは,多くの場合パスワードの所有者が自分のパスワードを他人に漏らしたことに起因します。 自分のパスワードを誰にも教えないことが,何よりも重要です。 以下の規則を守ることで,パスワードを適切に保護できるようになります。
この節では,ファイル指定におけるアクセス制御文字列の使用方法と,代理ログインによってネットワーク・アクセスのセキュリティを向上させる方法について説明します。 ネットワーク・アクセス制御文字列は,DECnet for OpenVMS ネットワークで使用する DCL コマンドのファイル指定の部分に入れることができます。 アクセス制御文字列によって,ローカル・ノードのユーザがリモート・ノード上のファイルにアクセスできるようになります。 アクセス制御文字列は,次のようにリモート・アカウントのユーザ名とユーザのパスワードを二重引用符で囲んだものです。 NODE"username password"::disk:[directory]file.typ アクセス制御文字列は,リモート・アカウントに不正侵入するのに必要な情報をすべて含んでいるため,深刻なセキュリティの脅威になります。 アクセス制御文字列の情報を保護するには,以下のようにします。
アクセス制御文字列の使用を避けるには, 3.9.2 項 「代理ログイン・アカウントの使用によるパスワードの保護」で説明する代理ログイン・アカウントの使用をお勧めします。 代理ログインを使用すると,ユーザ名とパスワードを指定したアクセス制御文字列を使用せずに,ネットワーク経由でファイルにアクセスできます。 したがって,代理ログインには,次のようなセキュリティ上の利点があります。
ユーザが代理ログインを開始するには,リモート・ノードのシステム管理者またはセキュリティ管理者があらかじめ代理アカウントを作成しなければなりません。 代理アカウントは,通常のアカウントと同じように登録ユーティリティ (AUTHORIZE) を使用して作成します。 通常,代理アカウントは非特権アカウントです。 セキュリティ管理者は,1 つのデフォルト代理アカウントと最大 15 のデフォルト以外の代理アカウントへのアクセスをユーザに許可できます。 代理ログインを使用すると,システム管理者には設定の手間がかかりますが,より安全なネットワーク・アクセスが可能になり,ユーザがアクセス制御文字列を入力せずに済みます。 次の例は,通常のネットワーク・ログイン要求と代理ログイン要求の違いを示します。 ここでは,以下のような条件を想定します。
これらの条件を表した図を,次に示します。
KMAHOGANY は,次のようにアクセス制御文字列を使用して BIONEWS.MEM ファイルをコピーできます。
"A25D3255" というパスワードはエコー表示されるので,画面を見れば誰でもパスワードがわかります。 一方,KMAHOGANY が BIRCH ノードから WALNUT ノードのアカウントに代理アクセスを行う場合,BIONEWS.MEM ファイルをコピーするためのコマンドは次のようになります。
KMAHOGANY は,アクセス制御文字列にパスワードを指定する必要がありません。 代わりに,システムが BIRCH ノードのアカウントから WALNUT ノードのアカウントへの代理ログインを実行します。 このとき,パスワードの交換は行われません。 汎用アクセス代理アカウントの使用セキュリティ管理者は,フォーリン・ノードのユーザ・グループに汎用アクセス代理アカウントの共用を許可することもできます。 たとえば,WALNUT ノードのセキュリティ管理者が以下の条件で汎用アクセス・アカウントを作成するとします。
セキュリティ管理者が BIRCH::KMAHOGANY に GENACCESS アカウントへの代理アクセスを許可すると,KMAHOGANY は次のコマンドを入力することによって BIONEWS.MEM ファイルをコピーできます。
BIONEWS.MEM ファイルは GENACCESS アカウントのデフォルトのデバイスとディレクトリ (STAFFDEV:[BIOSTAFF]) にないため,KMAHOGANY は [KMAHOGANY] ディレトクリを指定しなければなりません。 また,BIONEWS.MEM ファイルの保護は GENACCESS アカウントに対してアクセスを許可するものでなければなりません。 そうでない場合は,コマンドの実行に失敗します。 代理アカウントの名前を指定する必要がある場合特定のノード上にアクセスできる代理アカウントが複数あり,デフォルトの代理アカウントを使用したくない場合は,代理アカウントの名前を指定します。 たとえば,KMAHOGANY が GENACCESS アカウント (デフォルト) の代わりに PROXY2 という代理アカウントを使用する場合は,次のコマンドを入力します。
このコマンドにより,PROXY2 アカウントを使用して WALNUT ノード上の [KMAHOGANY] ディレクトリにある BIONEWS.MEM ファイルをコピーします。 侵入行為がないかどうかシステムを監視するのはセキュリティ管理者の仕事ですが,ユーザはセキュリティ管理者と協力して自分のアカウントやファイルへのアクセスを監査できます。 この節では,ユーザの最終ログイン時間を監視して,侵入行為があったかどうかを調べる方法について説明します。 また,セキュリティ管理者と協力して特定の種類の監査を有効にする方法についても説明します。 OpenVMS オペレーティング・システムでは,ユーザが自分のアカウントに最後にログインした時間に関する情報が UAF レコードに保管されます。 ログイン時にこの情報を表示するかどうかは,セキュリティ管理者が決定します。 中~高レベルのセキュリティ要件のサイトでは,多くの場合この情報を表示して,通常とは異なる説明のつかない正常ログインや,説明のつかないログインの失敗がないかどうかをユーザにチェックさせます。 ユーザが実際にはログインしなかった時間帯における会話型または非会話型のログインに関する情報が表示された場合は,直ちにそのことをセキュリティ管理者に知らせ,パスワードを変更します。 セキュリティ管理者は会計情報ファイルと監査ログを使用してさらに詳しく調査します。 ログイン失敗メッセージが表示されたが,その失敗に覚えがない場合は,何者かがそのアカウントにアクセスしようとして失敗した可能性があります。 このような場合は,パスワードをチェックして, 3.8 項 「パスワードの保護に関するガイドライン」に示したパスワードのセキュリティに関する推奨事項を守っているどうかを確認します。 守っていない場合は,直ちにパスワードを変更します。 ログイン失敗メッセージが表示されるはずなのに表示されない場合や,表示された失敗回数が実際より少ない場合は,パスワードを変更し,このようなログインの失敗に関する問題の兆候をセキュリティ管理者に報告します。 重要なファイルに不正にアクセスされた可能性がある場合は,セキュリティ管理者と協力してそれらのファイルへのアクセスを監査する戦略を立てることをお勧めします。 現状を調べて,標準の保護コードや汎用 ACL ( 第4章 「データの保護」を参照) を使用してファイルを保護するために可能なあらゆる対策を講じたことを確認できた場合は,セキュリティ監査が必要であるという結論に達することもあります。 セキュリティ監査を指定するには,自分が所有するファイルや制御アクセス権を持つファイルに,特別なアクセス制御エントリ (ACE) を追加します。 ただし,監査ログ・ファイルはシステム全体を対象としたメカニズムなので,サイトのセキュリティ管理者がファイル監査の使用を管理することをお勧めします。 ユーザは自分が制御権を持つファイルに監査用 ACE を追加できますが,ファイルの監査機能はセキュリティ管理者がシステム・レベルで有効にする必要があります。 たとえば,RWOODS というユーザとセキュリティ管理者が CONFIDREVIEW.MEM という極秘ファイルへのアクセスを検出する必要があることで同意した場合,RWOODS は次のようにして CONFIDREVIEW.MEM ファイルの既存の ACL にエントリを追加できます。
RWOODS がセキュリティ監査エントリを追加したら,セキュリティ管理者はアクセス行為を記録できるようにファイル・アクセスの監査機能を有効にします。 ファイル・アクセスの監査の詳細については, 3.10.3.1 項 「ファイル・アクセスの監査」を参照してください。 1 つのファイルにアクセス違反があれば,多くの場合は他のファイルにもアクセス上の問題が発生しています。 したがって,セキュリティ管理者はセキュリティ監査用 ACE を持つすべての重要ファイルに対するアクセスを監視する必要があります。 重要なファイルに望ましくないアクセスがあった場合,セキュリティ管理者は直ちに処置を講じければなりません。 セキュリティ管理者は,セキュリティ関連イベントが発生するたびに,システム・セキュリティ監査ログ・ファイルに監査メッセージを送信するか,セキュリティ・オペレータ・ターミナルとして有効になっているターミナルにアラームを送信するように,オペレーティング・システムに指示できます。 たとえば,書き込みアクセスが禁止されている 1 つ以上のファイルをセキュリティ管理者が指定したとします。 その場合,それらのファイルへのアクセスが発生したことを示す監査メッセージを送信させることができます。 アカウントに対する侵入行為があったと考えられる場合,セキュリティ管理者はすべてのファイル・アクセスに対する監査機能を一時的に有効にできます。 また,監査を有効にして,ファイルに対する読み込みアクセスを監視することにより,ファイルを閲覧したユーザを見つけることもできます。 たとえば,セキュリティ監査用 ACE ( 3.10.2 項 「重要ファイルへのアクセス制御エントリ (ACE) の追加」を参照) を持つ CONFIDREVIEW.MEM というファイルを監査するとします。 ABADGUY というユーザが CONFIDREVIEW.MEM ファイルにアクセスするときに削除アクセス権を持っていると,次のような監査レコードがシステム・セキュリティ監査ログ・ファイルに書き込まれます。
この監査メッセージには,不正にアクセスしたユーザの名前,アクセス方法 ([SYSEXE]DELETE.EXE プログラムを使用した正常な削除操作),アクセス時刻 (午前 7 時 21 分),およびファイルへのアクセスに使われた特権 (SYSPRV) が示されています。 セキュリティ管理者は,これらの情報に基づいて処置を講じます。 いずれかのファイルがアクセスされ,そのファイルの ACL の監査エントリ ( 3.10.2 項 「重要ファイルへのアクセス制御エントリ (ACE) の追加」を参照) に指定されている条件が満たされるたびに,セキュリティ監査メッセージが監査ログ・ファイルに書き込まれます。 CONFIDREVIEW.MEM ファイルへのアクセスがあると,セキュリティ監査機能によって保護されているシステム上の他のファイルにアクセスがあった場合と同じように,セキュリティ監査ログ・ファイルに監査レコードを書き込む指示が出されます。 監査機能を導入した後は,セキュリティ管理者とともに,新たな侵入行為が発生していないかどうかを定期的にチェックします。 セキュリティ管理者は,ファイルの監査以外にも,発生時に特別な注意を払う必要があるイベントのタイプを選択できます。 監査やアラームを起動するイベントには,たとえば次のようなものがあります。
セッションからログアウトすると,システム資源が節約され,ファイルも保護されます。 ターミナルをオンライン状態のままにしておくことは,部内者による侵入行為の最大の原因になります。 ターミナルをオンライン状態にしたままでオフィスを開放することは,自分のパスワートや特権を人に与え,自分のファイルやグループの他のメンバのファイルを無防備にしておくことと同じです。 無防備な状態のアカウントからアクセス可能なすべてのファイルを,誰でも簡単に転送できてしまいます。 悪意を持つ内部の人間が,ユーザのファイルやそのユーザが書き込みアクセス権を持つ他のファイルを削除したり,ファイル名を変更したりもできます。 ユーザに特殊な特権 (特に Files カテゴリや All カテゴリの特権) があれば,悪意を持つユーザは大きな損害を与えることができます。 たとえ短時間でもオフィスを離れるときは,ログアウトするようにします。 リモート・ログインを実行した場合は,ログインしたすべてのノードからログアウトする必要があります。 以下の各節では,特定のタイプのターミナルやセッションからログアウトする場合のセキュリティに関する考慮事項について説明します。 ターミナルからログアウトするときは,ユーザ名,ノード名,およびオペレーティング・システムの情報が他人に明らかにならないように,必ず画面を消去することをお勧めします。 リモート・ログインの後でログアウトする場合は,戻り先のノード (ローカル・ノード) の名前も表示されます。 リモート・ノードの複数のアカウントに (ネットワーク経由で) アクセスした場合は,最後の一連のログアウト・コマンドから,(最もリモートのノードを除き) すべてのノード名と各ノードでアクセス可能なユーザ名が明らかになります。 プロンプトやログアウト・メッセージからオペレーティング・システムを見分ける能力があれば,これらの表示内容からオペレーティング・システムもわかってしまいます。 サイトによっては,次のようにして画面上にログアウト・メッセージ以外の情報を残さないようにすることが重要になります。
画面が消去されると,画面上端の DCL プロンプトの横にカーソルが表示されます。 このプロンプトで DCL の LOGOUT コマンドを入力します。 ログアウト後に表示される情報は,次のように LOGOUT コマンドとログアウト完了メッセージだけになります。
ハードコピー・ターミナルからログアウトした後は,機密情報の漏れる恐れがあるハードコピー出力をすべて取り除いて,ファイルに保存するか,破棄します。 セキュリティ管理者が適切な手順を指示するはずです。 多くのサイトでは,シュレッダや鍵の付いた紙くず入れが使われます。 出力を保存する場合も,取り扱いには十分に注意します。 ログアウトする前にシステム障害が発生した場合も,ハードコピー出力を破棄する必要があります。 また,システムの初期化中に席を離れる場合は,ターミナルの電源を切っておきます。 ログアウトするときにダイアルアップ回線への接続を切断するようにセキュリティ管理者から指示される場合があります。 回線をその後すぐに使用する予定がない場合は, LOGOUT コマンドに /HANGUP 修飾子を指定します。 /HANGUP 修飾子を指定すると,ログアウトした後,ダイアルアップ回線への接続が自動的に切断されます。
ダイアルアップ回線への接続を切断しておけば,接続されたままのアクセス回線が誰かに使用されるのを防げます。 切断した回線にアクセスするには,アクセス番号を知っている必要があり,自分でダイアルし直さなければなりません。 回線の接続を切断しておくことは,使用するダイアルアップ回線が公共の場にある場合や,自分の使用後に他の人がターミナルを使用する可能性がある場合に,特に重要です。 また,必要となるダイアルアップ回線の数が減るため,資源も節約できます。 セキュリティ機能は,セキュリティ管理者がすべてのユーザについて要件としてインプリメントするものですが,この章ではユーザがシステム・セキュリティに貢献する方法について説明しました。 次のリストは,ユーザがセキュリティのために自主的に行う作業をまとめたものです。
|
|||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|
|||||||||||||||
|
|||||||||||||||
