このセクションでは、既存のお客様のために、このリリースに含まれる重要なセキュリティーの新機能について説明します。
新しい compliance コマンドを使用すると、セキュリティー標準へのシステムのコンプライアンスを評価できます。PCI-DSS を含む業界標準のセキュリティーベンチマークへのシステムのコンプライアンスを評価してレポートできます。詳細は、Oracle Solaris 11 セキュリティーコンプライアンスガイド および compliance(1M) のマニュアルページを参照してください。
Oracle Solaris の暗号化フレームワーク機能は、Oracle Solaris 11.1 SRU 5.5 および Oracle Solaris 11.1 SRU 3 リリースでのユーザーランドおよびカーネルの機能について FIPS 140-2 レベル 1 で検証されています。
Oracle の FIPS 140 検証済み製品のリストについては、Oracle FIPS 140 ソフトウェア検証を参照してください。
システムでの FIPS 140 モード の有効化については、Using a FIPS 140 Enabled System in Oracle Solaris 11.2 を参照してください。
Oracle Solaris 11.1 は、Canadian Common Criteria Scheme で認定されています。Oracle Solaris 11 の Common Criteria EAL4+ 認定を参照してください。
監査サービスでは、Oracle Audit Vault を使用して監査レコードを格納、確認、および分析できます。Oracle Solaris 11.2 での監査の管理 のOracle Audit Vault and Database Firewall を使用した監査レコードの格納および分析を参照してください。
Oracle SPARC T5 シリーズサーバーおよび Oracle SPARC T7 シリーズサーバーでは、検証済みブートによってブートプロセスが脅威から保護されます。詳細は、Oracle Solaris 11.2 でのシステムおよび接続されたデバイスのセキュリティー保護 のベリファイドブートの使用を参照してください。
自動インストール (AI) では、インストールサーバー、指定されたクライアントシステム、指定されたインストールサービスのすべてのクライアント、およびその他の AI クライアントのインストールを、証明書と鍵によってセキュリティー保護できます。セキュアな AI では、Oracle Solaris パッケージのシステムへの転送が保護されます。Oracle Solaris 11.2 システムのインストール の自動インストールのセキュリティーの向上を参照してください。
新規グループインストールパッケージ、pkg:/group/system/solaris-minimal-server が利用可能です。説明およびグループのパッケージの内容の比較については、Oracle Solaris 11.2 Package Group Lists を参照してください。
AI を使用して Kerberos クライアントをインストールすると、そのクライアントは最初のブート時に Kerberos システムになります。Oracle Solaris 11.2 システムのインストール のAI を使用して Kerberos クライアントを構成する方法を参照してください。
このリリースでは、不変大域ゾーンと呼ばれる物理的な大域ゾーンと Oracle Solaris カーネルゾーンと呼ばれる仮想的な大域ゾーンを、読み取り専用にすることができます。不変大域ゾーンはカーネルゾーンよりやや強力ですが、どちらもシステムのハードウェアや構成を永続的に変更できません。読み取り専用ゾーンは、書き込みを許可するゾーンよりブート速度とセキュリティーが向上します。
不変大域ゾーンには、保守のためにトラステッドコンピューティングベース (TCB) と呼ばれる特別なプロセスのセットが定義されています。これは、トラステッドパスと呼ばれる保護されたログインを介して構成できます。詳細は、Oracle Solaris ゾーンの作成と使用 の第 12 章不変ゾーンの構成と管理を参照してください。ゾーン構成のリソースについては、Oracle Solaris ゾーンの紹介 を参照してください。mwac(5) および tpd(5) のマニュアルページも参照してください。
Oracle Solaris カーネルゾーンは、準拠するシステムを配備するのに役立ちます。たとえば、準拠するシステムを構成し、統合アーカイブを作成し、そのイメージをカーネルゾーンとして配備できます。詳細は、solaris-kz(5) のマニュアルページ、Oracle Solaris カーネルゾーンの作成と使用 、Oracle Solaris 11.2 仮想化環境の紹介 のOracle Solaris ゾーンの概要、およびOracle Solaris 11.2 でのシステム復旧とクローン を参照してください。
ユーザーとプロセスの権利の新機能として、次のものがあります。
PAM サービスに対する時間ベースおよび場所ベースのアクセス制御
事前定義された ARMOR (Authorization Roles Managed on RBAC) 役割
特権アクションの実行前にユーザーにパスワードの提供を強制する権利プロファイル
特権を使用し、かつ root になることなく ipstat、tcpstat、snoop、intrstat の各診断コマンドを実行するための Network Observability および Network Observability 権利プロファイル
詳細は、Oracle Solaris 11.2 でのユーザーとプロセスのセキュリティー保護 のOracle Solaris 11.2 での権利の新機能を参照してください。
IKE Version 2 (IKEv2) は、IPsec で保護されたネットワークパケットの自動鍵管理のために、最新の IKE プロトコルを提供します。詳細は、Oracle Solaris 11.2 でのネットワークのセキュリティー保護 のOracle Solaris 11.2 のネットワークセキュリティーの新機能を参照してください。
Oracle Hardware Management Pack (HMP) には、ファームウェアの構成と更新に使用するコマンド行ツールが用意されています。HMP をほかの Oracle ハードウェア製品 (ネットワークスイッチやネットワークインタフェースカードなど) でセキュアに使用する方法については、Oracle Hardware Management Pack for Oracle Solaris セキュリティーガイド を参照してください。