この章では、セキュリティの概念と考慮事項の概要を示します。
内容は次のとおりです。
今日のIT環境は、本質的に動的で複雑で、経済的影響の観点からセキュリティ違反の可能性があり、厳しい規制的要件と組み合された信頼性が失われているため、経営者およびIT管理者の両者にとってセキュリティは考慮が必要な重要な分野となっています。セキュリティの考慮事項はスタンドアロン・アプリケーションにとって重要ですが、分散されたシステム管理アプリケーションを導入すると、これはさらに難しくしなります。データベースおよびアプリケーション・サーバーに対しては、標準化されたセキュリティのベスト・プラクティスを利用できますが、システム管理製品向けに特別に標準化されたセキュリティ・ベンチマークはありません。ただし、Enterprise Managerは評価されており、過去にコモン・クライテリア承認アレンジメントによりサード・パーティのセキュリティ認証を受けています。
Enterprise Managerを保護するには、システム管理者、ネットワーク管理者、データベース管理者、アプリケーション管理者およびセキュリティ・チームと密接に協力する必要があります。このドキュメントを使用すると、すべての関係者は、Oracle Enterprise Managerのデプロイメントを保護するための様々なセキュリティの考慮事項やベスト・プラクティスを確認できます。このドキュメントに記載された推奨事項は、お客様のデプロイメントおよびオラクル社内部でのEnterprise Managerの使用の両方の経験に基づいています。
次の表は、Enterprise Manager Cloud Control環境への主なセキュリティの脅威についてまとめたものです。
表1-1 セキュリティの脅威
脅威 | セキュリティに関する考慮事項 | 解決策/ベスト・プラクティス |
---|---|---|
データの機密保護および整合性 |
データの機密保護および整合性
中間者攻撃
ベスト・プラクティス:Enterprise Managerコンポーネント間の通信を保護する |
|
データ可用性 |
データ可用性
サービス拒否攻撃
ベスト・プラクティス:個々のEnterprise Managerコンポーネントを保護する |
|
認証 |
認証
パスワード解析攻撃
ベスト・プラクティス: パスワードを変更し、パスワード・プロファイルを有効にする |
|
認可の利用 |
職務の分離 |
認可の利用
職務の分離
ベスト・プラクティス: 最低限の権限の原則に従う |
拒否 |
非拒否 |
アクションのアカウンタビリティ
拒否
ベスト・プラクティス:Enterprise Managerの動作を監査する |
次の基本原則が、効果的なシステム・セキュリティを実装するすべての戦略の基礎となっています。
最低限の権限の原則と職務の分離は、意味的には異なりますが、セキュリティの観点から本質的に関連している概念です。両者の背後にある目的は、実際に必要な権限レベルよりも高い権限をユーザーに持たせないようにすることです。これらの関係の枠組みができたので、次にこれらの概念を定義します。
最低限の権限の原則: ユーザーはジョブの実行に必要な最低量の権限のみを持ち、それ以上は持ちません。これは、ターゲットやジョブなどのEnterprise Managerリソースへのアクセスを制限するか、認可されていないテンプレートを監視することによって、認可の利用を減らします。
例: 人事のデータベースを監視および管理することが唯一の職務であるユーザーは、Oracle Management Service (OMS)においてEnterprise Managerプラグインをアクセスおよび管理する権限は必要ありません。
職務の分離: ユーザーの権限レベルの制限以外に、ユーザーの職務またはユーザーがEnterprise Managerで実行できる特定のジョブを制限することもできます。複数の関連する機能に対する職責をユーザーに付与することはできません。これにより、ユーザーが悪質な行為を実行する能力を制限し、その行為を隠すことができます。
例: ユーザー・アカウントを作成する職責のあるEnterprise Manager管理者がいます。ところが、その管理者は不要な(たとえば機密なシステムへのアクセス権を認可されていない同僚に対する)アカウントを作成できてしまいます。この管理者が監査ログを表示および消去できる場合、身勝手な管理者を捕まえられない問題が起こる可能性があります。この状況では、アカウント作成の職務をセキュリティ管理の職務から分離させる必要があります。この場合、アカウント管理者は、セキュリティ管理者であってはなりません。
効果を期待するには、組織のすべてのEnterprise Managerユーザーに対して、最低限の権限の原則および職務の分離を強化する必要があります。
暗号化は、秘密鍵と暗号化アルゴリズムを使用して、データを読取り不可能な形式に変換するプロセスです。Enterprise Managerでは、emkeyがEnterprise Manager環境内の機密データを暗号化および復号化する鍵となっています。emkeyは、認可されたユーザーのみがアクセス可能とすることが大切です。
Enterprise Managerの管理者が、新しいスーパー管理者アカウントの作成などの上位の権限を使用するときには常に、Enterprise Managerの監査ログを確認して、これらのアカウント作成アクションが保証されたものであったかを判断できる必要があります。Enterprise Managerの監査機能では、発生したすべての管理者のアクションを監視および記録できます。次のようなアクティビティを実行できます。
不審なアクティビティの調査。たとえば、あるユーザーが自分の職責外でシステムを頻繁にアクセスした場合、セキュリティ管理者はそれらのマシンへのアクセスを追跡することを決定できます。
認可されていないユーザーのアクションをスーパーバイザに通知。たとえば、認可されていないユーザーがデータを変更または削除を実行できるなど、予期した以上の権限を持っている場合に、ユーザー認可を再評価できます。
非拒否は、ユーザーが特定のアクションを実行したことを「証明」することによって、ユーザー・アクションのアカウンタビリティを確立する方法です。そのため、ユーザーはそのアクションを実行したことを偽って否定できなくなります。反対に、非拒否を使用すると、後に特定のアクションを実行したことを責められた場合に、ユーザーを守ることもできます。
データに関しては、非拒否は所定の送信者が特定のメッセージを実際に送信したことを証明する方法です。通常、否拒否はデジタル署名を使用して実行されます。メッセージの作成者は暗号化ツールを使用して、暗号化されていない判読可能なメッセージまたは平文を暗号化された暗号文に変換します。元のテキストは存在しますが、傍受されたとしても解読できない形式に変更されています。メッセージの受信者も暗号化ツールを使用し、暗号文を元の読取り可能な形式に復号化します。