SSO導入の実際 押さえておきたい7つのポイント:SSOで始めるWebアイデンティティマネジメント(3/3 ページ)
認証基盤の統合として、Webシングルサインオン導入を実際に行うにはどのように進めればよいのか? ここではHPのHP IceWall SSOを例にとり、具体的に確認しておきたい点を解説していく。
IceWall+Security Containmentが実現する鉄壁のセキュリティ
〜「封じ込め」構造を実現するSecurity Containment 〜
HP IceWall SSO 8.0(以下IceWall)は、HP-UX 11iv2のセキュリティ技術との融合により、さらなる防御レベル向上を果たしている。
Security Containmentとは
UNIXではrootユーザーが管理権限を持ち、ほんの些細なインストール作業や設定を行う場合でもroot権限が必要とされる場合が多い。その結果、システムに関わる誰もがrootのパスワードを知っている状況となり、rootによる不正アクセスが発生した際、操作履歴から犯人を特定しようとしても実際に誰なのかを特定することが困難となってしまうのである。
多数のアプリケーションや大量の個人情報を収容するUNIXサーバにおいて、本来の使い易さとより細やかな権限管理を実現するセキュリティ基盤が求められている。
こうしたニーズに応えるべく、2005年8月末にHP-UX向けセキュリティ強化機能“Security Containment”がリリースされた。この機能はHP-UX11iv2(September 2004以降のバージョン)が動作するHP Integrityサーバ、およびHP 9000サーバで利用できる。
Security Containmentはその名の通り“セキュリティでの封じ込め”を行う。従来ではセキュリティ強化というと“防止する”ことにのみ注力されることが多かったが、この機能ではそれに加え、侵害された場合でも外へ逃がさず二重の防御を実現する。
つまり、アプリケーションのトラブル、管理者による操作ミス、そして不正アクセスが生じた際、その影響を最小限に封じ込めることを目的とした攻撃抑制のための機能である。例えるならば潜水艦の船体構造のように、万が一、ある区画に穴が開き浸水してきた場合でも、隣接する部屋との間には水密隔壁があり、その部分だけに浸水をとどめ船全体の沈没を避けることができるのだ。
具体的には、リソース分離の“コンパートメント”、アクセス権限管理の“Role-based Access Contro(lRBAC)”、そしてプロセスへのきめ細やかな特権付与の“Fine-grained Privilege(FGP)”の3つのコンポーネントから成る。権限管理においてこれらの役割は、コンパートメントでアクセス可能リソースを制御し、RBACにてroot権限を細分化し、そしてFGPでは各プロセスに対し必要時に最小限の特権を付与する。
Security ContainmentはHP-UX11iv2の標準拡張機能であるため、HP-UX11iv2上で動作するミドルウェアやアプリケーションと併用することも可能である。HP-UX11iv2単体でのセキュリティ強度も、以前のバージョンと比較して飛躍的に高くなっている。
IceWall+Security Containmentを併用するメリット
このSecurity ContainmentをIceWallと併用するとどのような利点があるのだろうか?
例えばSecurity Containmentのコンパートメント(区画)としてインターネットとのインタフェースを持ち、外部Webサーバが配置された「外部区画」、IceWallの内部CGIなどが配置された「内部区画」、さらには、Apacheの設定ファイルやIceWallの設定ファイルが配置された「設定区画」、の3つを配置しておくとする。すると、Security Containmentの機能により「外部区画」から「内部区画」へのアクセスは内部httpdのみ、「設定区画」は他の区画からはRead-Onlyとすることができる。
したがって、仮にバッファーオーバフローなどのセキュリティホールをついて、インターネット側から侵入されたとしても侵入者は「外部区画」に封じ込められ何もできない状態となる。つまりIceWallのもつ認証認可と組み合わせて、非常に画期的なセキュリティ対策実現が可能になるのだ。
次回予告
シングルサインオンの実現に向けて
来週8月24日(木)掲載予定
このコンテンツはサーバセレクト2006年5月号に掲載されたものを再編集したものです。
関連記事
- 主要ベンダーのIDM、セキュリティや監査を含む包括型が主流に
ID管理の大手ソフトウェアベンダーは、基本機能だけにとどまらず、内部統制やセキュリティコントロールまでを含む包括的なソリューションを提供し始めた。一方で、ネットワーク層のIDを専門に管理する新しいコンセプトのアプライアンス製品も登場している。現在、市場に出回る主なID管理製品を紹介する。 - 計画から運用まで全体をサポート、日本HPが日本版SOX法対応支援
日本HPは、分析と計画、実行、運用の各フェーズにわたって金融商品取引法(通称:日本版SOX法)への対応を支援する「HP SOX対応支援ソリューション」を提供する。 - 社内の協調関係がID管理の成否を握る
日本版SOX法への関心の高まりとともに、ID管理ソリューションに対するユーザーの関心度が急激に高まっている。前回の続編としてこの市場を俯瞰するとともに各ベンダーの動きを探る。 - なぜID管理が脚光を浴びるのか? 業界と標準化の動向
ID管理がソリューションとしてカバーする対象は広く、これまでもさまざまな関連技術が生み出された。「SunとMSの提携」から大きく前進した認証基盤の相互運用など、技術仕様や業界の動きを振り返る。 - ソニー生命のWebポータルを支えるID管理基盤、J-SOX対応も視野に
関連リンク
Copyright© 2010 ITmedia, Inc. All Rights Reserved.