第 1 章 セキュリティサービス (概要)

このマニュアルでは、Solaris オペレーテイング環境のセキュリティ支援機能について説明します。セキュリティ機能のシステム管理者とユーザーを対象としています。この章の内容は以下のとおりです。

• セキュリティサービスの概要

• 認証

• アクセス制御

• セキュリティ保護された通信

• 監査

セキュリティサービスの概要

コンピュータ環境のセキュリティ強化を支援するために、Solaris オペレーティング環境では、次の機能を提供しています。

• 認証 – 安全にユーザーを識別する機能。 ユーザー名とその証明書 (通常はパスワード) を要求する

• マシンセキュリティ – ユーザーの事故や侵入者の悪意によってマシンリソースやファイルが変更されるのを防止する機能

• セキュリティ保護された通信 – 認証されたユーザーまたはグループが通信するときに、傍受、改ざん、または偽装を防ぐ

• 監査 – ファイルアクセス、セキュリティ関連のシステムコール、および認証の失敗など、セキュリティの変更が発生した場所を識別してシステムに通知する

システムセキュリティ全般については、第 15 章「マシンセキュリティの管理 (概要)」を参照してください。

認証

認証とは、定義済みの条件に基づいてユーザーまたはサービスを識別するメカニズムのことです。認証システムには、単純な認証システム (名前とパスワードの組み合わせ) から複雑な暗号化認証システム (スマートカード、生体認証など) まで、さまざまな形態があります。ユーザーだけが知っている情報 (ユーザー名など) と検証可能な情報 (スマートカード、指紋など) を使用して、強力な認証メカニズムが提供されます。Solaris オペレーティング環境の認証機能は、次の要素で構成されます。

• Secure RPC – Diffie-Hellman 方式に基づいた認証技術。Secure RPC の概要を参照

• Pluggable Authentication Module (PAM) – システムエントリサービス ( login、ftp など) に変更を与えずに、さまざまな認証技術をプラグイン可能にするフレームワーク。第 4 章「PAM の使用」を参照

• Sun Enterprise Authentication Mechanism (SEAM) – クライアント/サーバーアーキテクチャの 1 つで、暗号化を使用して認証を行う。第 7 章「SEAM について」を参照

• スマートカード –マイクロプロセッサとメモリーが組み込まれたプラスチックのカード。システムにアクセスするときに、カードリーダーを使用する。『Solaris スマートカードの管理』を参照

• ログイン管理ツール – ログインまたはセッション終了を管理するためのさまざまなコマンド。第 17 章「マシンのセキュリティの適用 (手順)」を参照

アクセス制御

ユーザーまたは管理者は、アクセス制御を利用して、システムリソースへのアクセス権を許可するユーザーを制限できます。Solaris オペレーティング環境のアクセス制御機能は、次の要素で構成されます。

• UNIX ® アクセス権 – ファイルまたはディレクトリの属性で、ファイルの読み取り、書き込み、または実行、あるいはディレクトリの検索を許可するユーザーまたはグループを制御する。第 16 章「ファイルのセキュリティの適用 (手順)」を参照

• 役割によるアクセス制御 (RBAC) – 特殊な制限付きユーザーアカウントを作成するためのアーキテクチャ。特定のセキュリティ関連タスクの実行を許可する。第 18 章「役割によるアクセス制御 (概要)」を参照

• デバイス割り当て – フロッピーディスクや CD-ROM ドライブなどのデバイスを使用できるユーザーを制限する機能。デバイス割り当てにより、権限を持つ特定のユーザーだけがデバイスを使用できる。デバイス割り当ての管理を参照

• セキュリティの強化 – スクリプトを使用することにより、多数のシステムファイルとパラメータを調整し、セキュリティの危険性を減少させる。第 21 章「自動セキュリティ拡張ツールの使用 (手順)」を参照

セキュリティ保護された通信

セキュリティ保護された通信は、暗号化された認証を基本としています。認証を利用して、送信元と送信先が正しいユーザーまたはグループであることを保証します。通信は、送信元で暗号化され、送信先で復号化されます。この処理によって、侵入者が通信を傍受できたとしても、その内容が解読されることはありません。Solaris オペレーティング環境のセキュリティ保護された通信機能は、次の要素で構成されます。

• Sun Enterprise Authentication Mechanism (SEAM) – クライアント/サーバーアーキテクチャの 1 つで、暗号化を使用して認証を行う。第 7 章「SEAM について」を参照

• インターネットプロトコルセキュリティアーキテクチャ (IPsec) – IP データグラムを保護するアーキテクチャ。機密性、強力なデータ整合性、部分的なシーケンス整合性 (再生保護)、およびデータ認証などを実現する。『Solaris のシステム管理 (IP サービス)』の「IPsec (概要)」を参照

• Solaris Secure Shell – データ転送と対話型ユーザーのネットワークセッションを、盗聴、セッションハイジャック、および man-in-the-middle 攻撃から保護するプロトコルの 1 つ。公開鍵暗号化によって、強力な認証を提供する。X Window System などのネットワークサービスは、Secure Shell 接続によって安全にトンネル化することで、セキュリティが向上する。第 5 章「Secure Shell の使用 (手順)」を参照

監査

監査は、システムのセキュリティと保全性に関する基本概念です。システムの動作とイベントの履歴を検査して、発生した処理を確認するプロセスです。監査では、発生した処理、実行したユーザー、実行日時、影響を受けた処理がログに記録されます。Solaris オペレーティング環境の監査の詳細は、第 23 章「基本セキュリティモジュール (概要)」を参照してください。