OpenVMS マニュアル

10.5.3 代理ログイン・アカウントを使用してパスワードを保護する方法

アクセス制御文字列を使用しなくてもすむように，代理ログイン・アカウントを使用するとよいでしょう。代理ログインを使用すると，アクセス制御文字列にユーザ名やパスワードを指定しないでも，ネットワーク内でファイルをアクセスできます。代理ログインには，次のようなセキュリティ上の利点があります。

• 要求を出すターミナル上でパスワードがエコー表示されない。

• パスワードが暗号化されない形式で傍受されることのあるシステム間でのパスワードの受け渡しがない。

• リモート・アクセスを行うコマンド・ファイルでパスワードが必要ない。

ユーザが代理ログインを開始するには，リモート・ノードのシステムまたはセキュリティ管理者が代理アカウントを作成していなければなりません。代理アカウントは，通常のアカウントと同様，OpenVMS Authorize ユーティリティ ( AUTHORIZE ) によって作成されます。通常，特権なしのアカウントです。ユーザは，1 つの省略時の代理アカウントと最大 15 個の省略時以外の代理アカウントにアクセスできます。 代理ログインを使用すると，システム管理者にとっては設定に手間がかかりますが，より安全なネットワーク・アクセスができ，ユーザがアクセス制御文字列を入力する手間も省けます。

次の例は，通常のネットワーク・ログイン要求と代理ログイン要求の違いを示しています。次の条件を想定しています。

• KMAHOGANY ユーザは，次の 2 つのユーザ・アカウントを持っている。

  • パスワードが "XYZ123ABC" の BIRCH ノード上のアカウント

  • パスワードが "A25D3255" の WALNUT ノード上のアカウント

• KMAHOGANY は BIRCH ノードにログインした。

• KMAHOGANY は，WALNUT ノード上のアカウントの省略時のデバイスとディレクトリにある BIONEWS.MEM ファイルをコピーしようとしている。

次の図は，これらの条件を示しています。

• KMAHOGANY ユーザは，アクセス制御文字列を使用して， BIONEWS.MEM ファイルをコピーできます。

  $ COPY WALNUT"KMAHOGANY A25D3255"::BIONEWS.MEM BIONEWS.MEM

  
  A25D3255 というパスワードはエコー表示されるので，画面を見ればパスワードが分かります。

• これとは対照的に，KMAHOGANY が BIRCH ノードから WALNUT ノードのアカウントに代理アクセスを行う場合には，BIONEWS.MEM ファイルをコピーするためのコマンドは，次のようになります。

  $ COPY WALNUT::BIONEWS.MEM BIONEWS.MEM

  
  KMAHOGANY がアクセス制御文字列にパスワードを指定しなくても，システムが BIRCH ノードのアカウントから WALNUT ノードのアカウントに代理ログインを行います。このとき，パスワードの交換は行われません。

10.5.4 汎用アクセス代理アカウント

セキュリティ管理者が，フォーリン・ノードのユーザのグループに汎用アクセス代理アカウントを共用する権限を付与することもあります。たとえば，WALNUT ノードのセキュリティ管理者が次の条件で汎用アクセス・アカウントを作成するとします。

• ユーザ名は GENACCESS。

• アクセスはネッワーク・ログインに制限される。

• パスワードはアカウントの所有者しか知らない。リモート・ユーザはパスワードを知る必要はなく，アカウントの保護に役立つ。

• 省略時のデバイスとディレクトリは STAFFDEV:[BIOSTAFF]。

セキュリティ管理者が GENACCESS アカウントへの BIRCH::KMAHOGANY 代理アクセスを許可すれば，KMAHOGANY ユーザは，次のコマンドによって BIONEWS.MEM ファイルをコピーできます。

$ COPY WALNUT::[KMAHOGANY]BIONEWS.MEM BIONEWS.MEM

BIONEWS.MEM ファイルは GENACCESS アカウントの省略時のデバイスとディレクトリ ( STAFFDEV:[BIOSTAFF] ) にないため， KMAHOGANY は [KMAHOGANY] ディレトクリを指定しなければなりません。また，
BIONEWS.MEM ファイルの保護は， GENACCESS アカウントへのアクセスを許可するものでなければなりません。そうでないと，コマンドは正しく実行されません。

特定のノード上の複数の代理アカウントにアクセスするときに，省略時の代理アカウントを使用したくない場合には，代理アカウントの名前を指定します。たとえば， GENACCESS アカウント (省略時の値) の代わりに PROXY2 という代理アカウントを使用するには，次のコマンドを入力します。

$ COPY WALNUT"PROXY2"::[KMAHOGANY]BIONEWS.MEM BIONEWS.MEM

このコマンドは，PROXY2 アカウントを使用して，WALNUT ノード上の [KMAHOGANY] ディレクトリにある BIONEWS.MEM ファイルをコピーします。

10.6 アカウントとファイルへのアクセスの監査

侵入の試みがないかどうかシステムを監視するのはセキュリティ管理者の仕事ですが，ユーザがアカウントやファイルへのアクセスの監査を手伝うこともできます。

10.6.1 最終ログイン時間

OpenVMS システムは，ユーザが最後にアカウントにログインした時間についての情報を UAF レコードに保管します。ログイン時にこの情報を表示するかどうかは，セキュリティ管理者が決定します。中程度から高水準のセキュリティ要件を持つシステムでは，頻繁にこの情報を表示して，異常な成功ログインや説明のつかない成功ログインがないかどうか，説明のつかない障害ログインがないかどうかをユーザがチェックします。

ユーザがログインしなかったのに会話型または非会話型ログインの報告があれば，ただちにセキュリティ管理者に知らせるとともに，パスワードを変更します。セキュリティ管理者は，システム・アカウント・ログと監査ログを使用して詳しく調査します。

ログイン障害メッセージを受け取ったが，障害が生じたとは考えられない場合には，誰か他のユーザがアカウントにアクセスしようとして，失敗したのかもしれません。パスワードをチェックして， 第 1.9 節 に説明するパスワード保護のガイドラインに準拠しているかどうかを調べます。ガイドラインに反することがあれば，ただちにパスワードを変更します。

ログイン障害メッセージが表示されるはずなのに，表示されなかったり，障害数が少なすぎる場合には，パスワードを変更し，ログイン障害の問題がありそうなことをセキュリティ管理者に報告します。

セキュリティ管理者が，発生した場合には特別な注意を払う必要のあるイベント・タイプを指定していることがあります。このようなイベントが検出された場合には，セキュリティ管理者は，システム・セキュリティ監査ログ・ファイルに監査結果を送信するか，セキュリティ・オペレータ・ターミナルとして使用可能なターミナルにアラームを送信するようにシステムに指示します。たとえば，セキュリティ管理者が書き込みアクセスが禁止されている 1 つ以上のファイルを指定している場合に，監査機能を使用可能にするか，アラームを設定しておけば，このようなファイルへのアクセスが発生したことが分かります。

アカウントへの侵入があると考えられる場合には，パスワードを変更します。重要なファイルに監査機能を適用するように，セキュリティ管理者に要求してもよいでしょう。

10.6.2 監査機能やアラームを起動するイベント

監査機能やアラームを起動するイベントには，次のものがあります。

セキュリティ監査またはアラームを開始するイベント
イメージのインストール ファイル・アクセスのタイプ ボリュームのマウントとディスマウント	システム・パスワードとユーザ・パスワード，システム登録ファイル，ネットワーク代理ファイル，または権利データベースの変更
ACL ファイルまたはグローバル・セクションが要求したアクセス・イベント	ログイン，ログアウト，ログイン障害，侵入の試み

たとえば，CONFIDREVIEW.MEM というファイルを監査するとします。 ABADGUY というユーザが CONFIDREVIEW.MEM というファイルをアクセスするときに削除アクセス権を持っていると，次のような監査レコードがシステム・セキュリティ監査ログ・ファイルに書き込まれます。

%%%%%%%%%%% OPCOM 11-DEC-1999 09:21:11.10 %%%%%%%%%%% Message from user AUDIT$SERVER on BOSTON Security audit (SECURITY) on BOSTON, system id: 19424 Auditable event: Attempted file access Event time: 11-DEC-1999 09:21:10.84 PID: 23E00231 Username: ABADGUY Image name: BOSTON$DUA0:[SYS0.SYSCOMMON.][SYSEXE]DELETE.EXE Object name: _BOSTON$DUA1:[RWOODS]CONFIDREVIEW.MEM;1 Object type: file Access requested: DELETE Status: %SYSTEM-S-NORMAL, normal successful completion Privileges used: SYSPRV

監査メッセージには，不法アクセス者の名前，アクセス方法 ([SYSEXE]DELETE.EXE プログラムを使用して行われた削除操作)，アクセス時間 (9:21 A.M)，ファイルにアクセスするのに使用した特権 (SYSPRV) が示されています。セキュリティ管理者は，これらの情報に基づいて処置をします。

10.6.3 セキュリティ監査ログ・ファイル

いずれかのファイルがアクセスされ，そのファイルのACL の監査エントリ ( 第 10.6.4 項 を参照 ) に指定された条件が満たされるたびに，セキュリティ監査メッセージが監査ログ・ファイルに書き込まれます。 CONFIDREVIEW.MEM ファイルにアクセスがあると，セキュリティ監査機能によって保護されているシステム上のファイルにアクセスがあった場合と同様，監査レコードをセキュリティ監査ログ・ファイルに書き込むようにプロンプトが出されます。

監査機能を導入したら，セキュリティ管理者とともに，別の侵入が生じていないかどうかを定期的にチェックします。

10.6.4 重要なファイルにアクセス制御リスト・エントリ(ACE)を追加する場合

不正にアクセスされた重要ファイルがあれば，セキュリティ管理者に相談して，それらのファイルへのアクセスを監査する戦略を立てるとよいでしょう。

状況を調べて，標準保護コードや汎用 ACL ( 『OpenVMS Guide to System Security』を参照) を使用してファイルを保護するためのすべての手段を実行しつくした場合には，セキュリティ監査が必要であると判断してよいでしょう。

セキュリティ監査機能を指定するには，所有しているファイルまたはアクセス制御権を持つファイルに特別なアクセス制御リスト・エントリ (ACE) を追加します。ただし，監査ログ・ファイルはシステム全般に適用されるので，システムごとのセキュリティ管理者がファイル監査の使い方を制御することをおすすめします。制御権を持つファイルにはユーザでも監査 ACE を追加できますが，セキュリティ管理者の場合は，システム・レベルでファイルの監査機能を使用可能にしなければなりません。

アカウントに侵入の試みがあったと考えられる場合には，セキュリティ管理者は，すべてのファイル・アクセスの監査機能を一時的に使用可能にすることができます。また，監査機能を使用可能にすれば，ファイルに対する読み込みアクセスを監視して，ファイルにアクセスして内容を閲覧したユーザを見つけることもできます。

1 つのファイルにアクセス違反があると，他のファイルにもアクセス上の問題が存在することがよくあります。したがって，セキュリティ管理者は，セキュリティ監査 ACL を持つすべての重要ファイルに対するアクセスを監視した方よいでしょう。重要ファイルに望ましくないアクセスがあった場合には，ただちに処置を講じなければなりません。

たとえば，ユーザ RWOODS とセキュリティ管理者が，極秘ファイルである CONFIDREVIEW.MEM をいつアクセスしたらよいかを知らなければならないと同意した場合には，ユーザ RWOODS は，次のようにして CONFIDREVIEW.MEM ファイルの既存の ACL にエントリを追加します。

$ SET SECURITY/ACL=(ALARM=SECURITY,ACCESS=READ+WRITE- _$ +DELETE+CONTROL+FAILURE+SUCCESS) CONFIDREVIEW.MEM

---

目次

索引