PR
特権ユーザーの“野放し”にメスを入れ、安全なサーバー運用体制を築く
2009年4月に明るみになった、三菱UFJ証券の顧客情報漏洩事件。約5万件におよぶ流出件数もさることながら、システム部長補佐という、社内でシステム管理の権限を持つ役職者が利益目的で不正に手を染めたという点で、関係者に与えたショックは大きかった。
だが、同様の事件が他の企業で起きないとも限らない。システムを導入するからには、administratorやrootといった特別の権限を持つ管理者、すなわち特権ユーザーを設定しないわけにはいかない。特段の手を打たないまま、もし彼ら彼女らに魔が差してしまったら、いかなる情報もたちどころに流出してしまう可能性は否定できない。
もし、日々の運用管理作業で楽をしようと、特権ユーザーのIDやパスワードをシステム部門内で共用したり、そもそも“野放し”ているようなケースがあるとしたら、それはあまりにも危険だ。
かねてから特権ユーザーは存在していたが、性善説に立つ企業が多い国内では問題として浮上する機会が少なかった。ところが先の事件をきっかけに足下を見直そうという機運が急速に高まっている。
強制制御と権限分割で特権ユーザーの振る舞いを制限
そこで注目を集めているのが、システムリソースに対する特権ユーザーのアクセス権限を適切に管理するソフトウェアだ。アクセス権の制御は、サーバーOSのほか、アプリケーションやデータベースなど、様々なレイヤーにおいて考えられるが(ページ最下段のカコミ記事参照)、まず基本となるのはシステムリソースの管理中枢となるOSである。
サーバーOSを対象とした具体的な製品分野として、「セキュアOS」がある。これは、Windows ServerやLinuxといった既存OSに対してセキュリティ機能、とりわけ特権ユーザーの振る舞いをきめ細かく管理する機能を追加するソフトウェアを指す。このソフトを追加実装したOSはよりセキュアなものとなることから、セキュアOSという呼び名がある。
セキュアOSの特徴的な機能は大きく2つある。「強制アクセス制御」機能(図1)と「最小特権」機能(図2)だ。
一般のOSでは特権ユーザーのアクセスを制限する手段がない。セキュアOSでは、特権ユーザーでも回避できないアクセス制御を設定できる
一般のOSでは特権ユーザーがすべての権限を保有する。セキュアOSでは、特権ユーザーの権限を分割し、不必要なアクセスを防止できる
強制アクセス制御機能は、たとえ特権ユーザーであっても、あらかじめ設定したアクセス権限を強制的に適用し、その権限の変更もできなくする機能だ。“素”のOSでは、administratorなどの特権ユーザーに全権限が集中している。この「強すぎる」権利を第三者に奪取されるとシステムのセキュリティ対策は丸裸状態に陥る。そこで、特権ユーザーに対しても、もれなくアクセス制御の網をかけ、所定の範囲でしか操作できなくするのだ。
最小特権機能は、これまでの特権ユーザーが持っていた権限を分割し、適切な人物に対して必要最小限のアクセスのみを可能とするものだ。万能な権限を廃止し、サーバーをリブートするシステム運用担当者、データのバックアップ管理者、Webサーバー管理者といった役割ごとに、適切な最少限度のアクセス権を設定する。各ユーザーがどんなアクセス権限を持つかを定義したセキュリティポリシーを作成し、専用データベースに格納。ユーザーがシステムに対して何らかの操作をした際、リアルタイムでデータベースを参照してアクセスの可否を判断する。
強制アクセス制御にせよ最小特権にせよ、だれがアクセス権限を設定するのかという疑問が残る。セキュアOSでは、システム管理者とは独立して設定業務だけを担うセキュリティ管理者という役割(ユーザー)を導入しているのが一般的だ。
ログ管理や仮想化対応など機能拡張が相次ぐ
既存OSを対象に特権ユーザーのアクセス制御機能を追加するソフトは、まだ数は多くないものの国内市場にすでに投入されている(表1)。米国や韓国製の製品がほとんどで、いずれも前出の2大機能を備える。ノベルは09年2月に取得した米Fortefiの技術を活用し、特権ユーザーアクセス制御を実現する新製品「Novell Privileged User Manager」を開発したが、「国内投入はまだ未定」(ノベル)という状況だ。
| 製品名/ベンダー | 対象OS | 特徴 | 価格 |
|---|---|---|---|
| SecuveTOS/ NECソフトウェア東北 (開発:韓Secuve) |
Windows、Linux、UNIX (HP-UX、Solaris) |
パスワードのほか、電子証明書を使った認証機能を備える。NECのID・アクセス管理製品「WebSAM SECUREMASTER」との連携強化を予定 | 統合管理サーバー39万円~、 エージェント52万円~ |
| PitBull Protector Plus/ シーイーシーソリューションズ (開発:米Argus Systems Group) |
Windows、Linux、UNIX (AIX、HP-UX、Solaris) |
アクセス制御の動作をシミュレーションすることで、ポリシー設定によるシステムへの影響の事前検証を可能とする「デバッグモード」を用意 | 1管理対象サーバー50万円 (税別)~ |
| Tivoli Access Manager for Operating Systems/ 日本IBM |
Linux、UNIX (AIX、HP-UX、Solaris) |
プログラムが改ざんを受けた場合に実行不可能にする「改ざん検知機能」を搭載。同社の統合ID管理製品「Tivoli Identity Manager」との連携も容易 | 30万9600円(税別)~ |
| CA Access Control/ 日本CA |
Windows、Linux、UNIX (AIX、HP-UX、Solaris) |
VMWareやHyper-Vなど、複数の仮想化環境での動作をサポート。ログ管理用に同社の「CA Audit」の簡易版を同梱するほか、同社の統合ID管理製品、統合ログ管理製品との連携も容易 | 5ライセンス240万円~ |
| SHieldWARE/ 富士通ソーシアルサイエンス ラボラトリ |
Windows、Linux、UNIX(Solaris) | バッファオーバーフロー攻撃を防ぐ侵入制御機能や、ポート番号によるリモート接続制御機能を搭載。富士通の統合運用管理ツール「Systemwalker」との連携が容易 | 統合管理サーバー55万円、エージェント(サーバー1CPU) 55万円~ |
| PowerBroker/ ブロード (開発:米Symark International) |
Linux、UNIX (AIX、HP-UX、Solarisなど) |
シェルへのコマンド入力時のみに動作する。ログの検索機能や権限の申請・承認ワークフロー機能を備えた機能拡張版「パワーセキュリティ」も別途提供 | 1管理対象サーバー78万円 (税別)~ |
最近の動きとしては、特権ユーザーのログ管理機能の強化が活発である。Linuxベースのシステムにおいて、あるユーザー名でログインした後、suコマンドでroot特権に権限昇格して何らかの操作をしたケースを想定しよう。これまでは、権限昇格後のユーザー名(root)の操作ログしか残らず、問題が起きた時に実際の操作者を特定するのが困難だった。これに対し、最近の製品はアクセスログの中にログイン時のユーザー名と、権限昇格後のユーザー名を併記する機能を備え始めている。
仮想環境のサポートも広がりを見せている。日本CAの「CA Access Control」は、VMWareやHyper-V、Xenをはじめ10種類以上の仮想化技術について、ゲスト OSだけでなく、仮想マシンモニターも制御できる。日本IBMの「Tivoli Access Manager for Operating Systems」も、標準でAIXの仮想化技術「LPAR」上でのゲストOSのアクセス制御が可能だ。日本CAによれば、「仮想化技術への対応が直接引き合いのきっかけとなる例はまだ少ない。だが将来的にニーズは確実に高まると見ている」という。
国主導でのOSセキュリティ対策も
クライアントPCでの利用が前提ではあるものの、国の取り組みでも興味深い動きがある。文部科学省が支援するOSのセキュア化プロジェクト、「セキュアVMプロジェクト」だ。
プロジェクトでは筑波大学が主体となり、仮想マシンモニター「BitVisor」を開発した。セキュアOSとは異なり、セキュリティ機能を搭載した仮想マシンモニターを導入し、その上でユーザーOSを運用するというアプローチを採る。ID管理などのセキュリティ機能をユーザーOSとは別の仮想マシンで実現、ユーザーOS全体を管理する仕組みだ。
現時点では官公庁での利用を前提としているものの、ソースコードは公開している。09年3月には最新版であるver1.0をリリースした。
管理対象はユーザーだけでない
Linuxには標準搭載機能も
セキュアOSがアクセスを制御する特権の対象はユーザーだけではない。HTTPプロトコルを使った通信サービスを提供するhttpデーモンなど、プロセス(特定プログラムの動作)も対象となる。もともとセキュアOSは外部からアタックを受けた際、攻撃者が脆弱性をついて特定のアプリケーションの特権を獲得しても、システム全体まで影響が及ばないようにする思想が根底にあるからだ。例えばシーイーシーソリューションズの「PitBull Protector Plus」(開発:米Argus Systems Group)は、ユーザーのアクセス管理機能も搭載するが、「焦点はあくまでプロセスの特権管理にあてている」(同社)。
セキュアOSとは異なるアプローチで、アクセス制御を実現する製品もある。1例がブロードの「PowerBroker」(開発:米Symark International)だ。セキュアOSは、カーネルへの追加モジュールとして動作するものがほとんどだ。そのため、製品導入時にOSの再起動が必要となることが多い。同製品は、セキュアOSのようにカーネル領域には踏み込まず、Linux/UNIXのシェルとカーネルの間で動作し、シェルからのアクセス制御を実現する。プロセスのリアルタイム監視ができないなど、セキュアOSほどの強度はないものの、「『OSの再起動は避けたい、操作ログだけでも確実に取得したい』というユーザーのニーズにこたえられる」(ブロード)。
LinuxやUNIXの場合、OSに基本的なセキュアOS機能がすでに組み込まれている。Linux用のセキュアOSは大半がオープンソースで、品揃えも多い(表2)。代表格のSELinuxは、Red Hat Enterprise Linuxをはじめとした多くの主要Linuxディストリビューションが標準で搭載している。
こうしたOS標準搭載のセキュアOS機能は、複数のOSの混在環境の場合、共通のセキュリティポリシーを設定できなかったり、アクセスログのフォーマットがばらばらだったりといった問題点がある。その点、市販のセキュアOSなどは、1つの製品で複数種類のOSを統合管理できるのが強みだ。
| 製品名 | 対象OS/標準搭載OS | サポート提供元 | ユーザー アクセス 制御の可否 |
特徴 |
|---|---|---|---|---|
| Linux | ||||
| AppArmor | SUSE Linux、 Mandriva Linux など |
ノベル | × | 米Immunix(2005年5月に米ノベルが買収)が2000年に開発した「SubDomain」をベースとしたセキュアOS。2006年1月にオープンソース化。ファイルやプロセスのパス単位でアクセス制御できる |
| LIDS | なし | なし | × | 最少特権機能に特化したセキュアOS。特権を「ケーパビリティ」と呼ぶ単位に細分化し、プロセスに特権すべてを与えるのではなく、最小限のケーパビリティを与えて必要な処理を実現する |
| SELinux | Red Hat Enterprise Linux、CentOSなど | レッドハット、日立ソフトウェアエンジニアリング | ○ | 米国家安全保障局(NSA)が主体となって開発したセキュアOS。ポリシー設定を簡単にするツールを日立ソフトウェアエンジニアリングなどが提供している |
| SMACK | なし | なし | × | SELinuxと同じアクセス制御方法をとりつつ、ユーザーやプロセスの最少特権機能を排除するなど機能を限定したセキュアOS。設定が簡単なほか、既存システムへの影響を抑えた |
| TOMOYO Linux | Turbolinux | ターボリナックス、 NTTデータ |
※1 | NTTデータが主体となって開発したセキュアOS。許可したい操作をあらかじめ実行、記録するだけでポリシーを自動生成できる「学習モード」機能を搭載 |
| UNIX | ||||
| Security Containment | HP-UX | 日本ヒューレット・パッカード | ○ | HP-UXのセキュアOS「Virtual Vault」の機能を踏襲したセキュアOS機能。関連のないプロセスやファイルを分離し、不要なアクセスを防ぐ「コンパートメント」という仕組みを利用。無償で入手可能 |
| Solaris Trusted Extension | Solaris | サン・マイクロ システムズ |
○ | セキュアOSである「Trusted Solaris」で提供していた機能を一部変更し、通常のSolarisの拡張機能として利用できるようにしたセキュアOS。Solaris 10から通常のSolarisに標準で搭載 |
| Trusted AIX | AIX | 日本IBM | ○ | 通常の強制アクセス制御のほか、誤って悪意のあるプログラムを実行してしまった場合でもシステムを防御できる「強制インテグリティ制御」機能を搭載。AIX 6から通常のAIXに標準で搭載 |
システム面だけではなく
組織・運用面での見直しも不可欠
せっかく特権ユーザーのアクセス管理製品を導入しても、アクセス権限のポリシーを適切に設定しなければ意味をなさない。この点、多くの製品はポリシー設定を容易にするための支援機能を搭載しているので積極的に活用したい。併せて、各ベンダーがポリシー設定のコンサルティングサービスを用意しているケースがほとんどなので、必要に応じて活用するのも一考だ。
組織的な視点では、職務分掌が明確になっていなければ、そもそもポリシーが設定できない。ツール導入前に現在のシステム運用状況を確認し、各担当者の役割を今一度きちんと整理しておくことが重要となる。
OSのアクセス制御だけでは不十分
DB・アプリのアクセス制御も要検討
OSのアクセス制御だけでなく、データベースやアプリケーションレベルでのアクセス制御も重要だ。たとえばデータベースの場合、OSアクセス制御製品ではデータベースのオープンやクローズなどといった制御はできるものの、テーブル構造などといったデータの制御は守備範囲外。またアプリケーションの場合、アプリケーションの実行や扱うファイルの制御はできるものの、財務データの不正な変更を防ぐなどといった制御は対象外だ。
データベース管理の分野でも、OSの特権にあたる権限がある。あらゆるデータへのアクセス権限を持つデータベース管理者(DBA)がそれだ。特にログや顧客情報をはじめ、重要な情報が蓄積するデータベースに対しては、DBAのアクセス制御は最重要課題となる。
商用の主要データベース製品は標準でアクセス制御機能を備えているものの、DBAのアクセス制御機能は備えていない。日本オラクルの「Oracle Database Vault」は、OracleデータベースにおけるDBAのアクセス制御を実現できる数少ないツールだ。オープンソースRDBMSであるPostgreSQL用には、SELinuxとの連携によってDBAのアクセス制御を実現する「SE-PostgreSQL」が提供済みとなっている。
-
データセンター見積もりは「DC完全ガイド」
最新iDCやテクノロジ・製品情報が満載。iDC事業者・サービスカタログで見積もり資料請求にも対応 -
レンタルサーバー比較検索「RS完全ガイド」
共用・専用・VPS、国内1600以上のレンタルサーバー/ホスティングから最適なサービスを比較検索
本誌は、読者登録いただくことにより、毎月無料でみなさまのお手元まで直接お届けいたします(書店などでは販売していません)。
企業の情報システムを担当する方々や事業部門のIT担当の方々、およびIT関連プロフェッショナルの方々を対象に、実践的に役立つ情報を掲載、幅広く業務にご活用いただけます。
