ニュース
» 2006年08月18日 08時00分 公開

SSO導入の実際 押さえておきたい7つのポイントSSOで始めるWebアイデンティティマネジメント(3/3 ページ)

[小早川直樹, 齊藤武雄, 山口晃, 皆川知子, 染井さやか(日本ヒューレット・パッカード株式会社),ITmedia]
前のページへ 1|2|3       

IceWall+Security Containmentが実現する鉄壁のセキュリティ

〜「封じ込め」構造を実現するSecurity Containment 〜

 HP IceWall SSO 8.0(以下IceWall)は、HP-UX 11iv2のセキュリティ技術との融合により、さらなる防御レベル向上を果たしている。

Security Containmentとは
 UNIXではrootユーザーが管理権限を持ち、ほんの些細なインストール作業や設定を行う場合でもroot権限が必要とされる場合が多い。その結果、システムに関わる誰もがrootのパスワードを知っている状況となり、rootによる不正アクセスが発生した際、操作履歴から犯人を特定しようとしても実際に誰なのかを特定することが困難となってしまうのである。

 多数のアプリケーションや大量の個人情報を収容するUNIXサーバにおいて、本来の使い易さとより細やかな権限管理を実現するセキュリティ基盤が求められている。

 こうしたニーズに応えるべく、2005年8月末にHP-UX向けセキュリティ強化機能“Security Containment”がリリースされた。この機能はHP-UX11iv2(September 2004以降のバージョン)が動作するHP Integrityサーバ、およびHP 9000サーバで利用できる。

 Security Containmentはその名の通り“セキュリティでの封じ込め”を行う。従来ではセキュリティ強化というと“防止する”ことにのみ注力されることが多かったが、この機能ではそれに加え、侵害された場合でも外へ逃がさず二重の防御を実現する。

 つまり、アプリケーションのトラブル、管理者による操作ミス、そして不正アクセスが生じた際、その影響を最小限に封じ込めることを目的とした攻撃抑制のための機能である。例えるならば潜水艦の船体構造のように、万が一、ある区画に穴が開き浸水してきた場合でも、隣接する部屋との間には水密隔壁があり、その部分だけに浸水をとどめ船全体の沈没を避けることができるのだ。

 具体的には、リソース分離の“コンパートメント”、アクセス権限管理の“Role-based Access Contro(lRBAC)”、そしてプロセスへのきめ細やかな特権付与の“Fine-grained Privilege(FGP)”の3つのコンポーネントから成る。権限管理においてこれらの役割は、コンパートメントでアクセス可能リソースを制御し、RBACにてroot権限を細分化し、そしてFGPでは各プロセスに対し必要時に最小限の特権を付与する。

 Security ContainmentはHP-UX11iv2の標準拡張機能であるため、HP-UX11iv2上で動作するミドルウェアやアプリケーションと併用することも可能である。HP-UX11iv2単体でのセキュリティ強度も、以前のバージョンと比較して飛躍的に高くなっている。

IceWall+Security Containmentを併用するメリット
 このSecurity ContainmentをIceWallと併用するとどのような利点があるのだろうか?

 例えばSecurity Containmentのコンパートメント(区画)としてインターネットとのインタフェースを持ち、外部Webサーバが配置された「外部区画」、IceWallの内部CGIなどが配置された「内部区画」、さらには、Apacheの設定ファイルやIceWallの設定ファイルが配置された「設定区画」、の3つを配置しておくとする。すると、Security Containmentの機能により「外部区画」から「内部区画」へのアクセスは内部httpdのみ、「設定区画」は他の区画からはRead-Onlyとすることができる。

 したがって、仮にバッファーオーバフローなどのセキュリティホールをついて、インターネット側から侵入されたとしても侵入者は「外部区画」に封じ込められ何もできない状態となる。つまりIceWallのもつ認証認可と組み合わせて、非常に画期的なセキュリティ対策実現が可能になるのだ。

セキュリティ強化HP-UX11iv2におけるセキュリティ技術との融合 セキュリティ強化HP-UX11iv2におけるセキュリティ技術との融合

次回予告

シングルサインオンの実現に向けて

来週8月24日(木)掲載予定

SSOで始めるWebアイデンティティマネジメント:

アイデンティティマネジメント導入のすすめ

IAM導入のために、チェックポイント

SSO導入の実際 押さえておきたい7つのポイント


このコンテンツはサーバセレクト2006年5月号に掲載されたものを再編集したものです。


前のページへ 1|2|3       

Copyright© 2010 ITmedia, Inc. All Rights Reserved.

注目のテーマ