第1章 セキュリティ侵害の脅威
1.6 Interstage ディレクトリサービス
1.5.4.5 データの破壊への対策
OLTPアプリケーションの動作環境内には環境定義ファイルなどが存在しています。これらのファイル内容が不正に書き換 えられると、OLTPアプリケーションが動作しなくなるなどの様々な問題が発生し得ます。このような脅威に対しては、ファイルに 適切なアクセス権を設定することが有効です。
また、定期的にバックアップを行うことも有効です。バックアップについては、「運用ガイド(基本編)」の「メンテナンス(資源の バックアップ/他サーバへの資源移行/ホスト情報の変更)」を参照してください。
1.5.4.6 ファイル自体の破壊への対策
OLTPアプリケーションの動作環境内には環境定義ファイルなどが存在しています。これらのファイル内容が不正に書き換 えられると、OLTPアプリケーションが動作しなくなるなどの様々な問題が発生し得ます。このような脅威に対しては、ファイルに 適切なアクセス権を設定することが有効です。
また、定期的にバックアップを行うことも有効です。バックアップについては、「運用ガイド(基本編)」の「メンテナンス(資源の バックアップ/他サーバへの資源移行/ホスト情報の変更)」を参照してください。
1.6.2 保護すべき資源
Interstage ディレクトリサービスを使用する際に保護すべき資源について説明します。
1.6.2.1 Interstage ディレクトリサービスの機能と保護対象資源
Interstage ディレクトリサービスは、クライアントからの認証要求に応じて結果を返します。
以下の機能で構成されています。
・ ユーザ認証機能
・ エントリ検索機能
・ エントリ操作機能
・ Interstage ディレクトリサービスに対する操作
・ ログ機能
・ 動作環境定義
各機能で使用する保護対象資源を示します。
機能 保護対象資源
ユーザ認証機能 ・ 登録ユーザ(エントリ)の認証情報(パスワード)
・ Interstage ディレクトリサービスの管理者用
DN(識別情報)の認証情報(パスワード)
エントリ検索機能 ・ 検索結果に含まれるパスワード
エントリ操作機能 ・ エントリに含まれるパスワード
Interstage ディレクトリサービスに対する操作 ・ Interstage ディレクトリサービス
ログ機能 ・ ログに関する設定ファイル
・ ログデータ
動作環境定義 ・ 環境定義ファイル
1.6.3 考えられる脅威
Interstage ディレクトリサービスが保護対象とすべき資源に対して想定されるセキュリティ上の脅威を以下に示します。
保護対象資源 脅威
登録ユーザ(エントリ)の認証情報(パスワード)
Interstage ディレクトリサービスの管理者DNの認
証情報(パスワード)
・ パスワードの解読
・ パスワードの搾取 検索結果に含まれるパスワード ・ パスワードの解読
・ パスワードの搾取 エントリ、およびエントリに含まれるパスワード ・ エントリの漏洩
・ エントリ、およびパスワードの改ざん
保護対象資源 脅威
・ エントリ、およびパスワードの削除 ログに関する設定ファイル ・ ファイルに設定されている情報の改ざん
・ ファイル自体の破壊
ログデータ ・ ログデータに記録されている情報の改ざん
・ ログデータ自体の破壊
環境定義ファイル ・ ファイルに設定されている情報の改ざん
・ ファイル自体の破壊
1.6.4 脅威と対策
Interstage ディレクトリサービスでは、以下の対策を実施することにより、セキュリティ侵害に対する防衛が可能です。
脅威 対策
パスワードの解読 パスワードの搾取
・ パスワードの暗号化
・ 通信データの暗号化
・ パスワードの定期的な変更
・ アクセス制御の設定 Interstage ディレクトリサービスの不正運用
エントリの漏洩
エントリ、およびパスワードの改ざん エントリ、およびパスワードの削除
・ ユーザを限定した運用
・ アクセス制御の設定
ファイルに設定されている情報の改ざん ログデータに記録されている情報の改ざん
・ 定期的なデータバックアップの実施
ファイル自体の破壊 ログデータ自体の破壊
・ ファイルに対するアクセス権の設定
1.6.4.1 パスワードの暗号化
クライアントからリポジトリに対して、エントリを検索した場合、検索結果に含まれるパスワード(userPassword属性)は、暗号化 されたパスワード文字列で取得できます。パスワードの暗号化により、第三者から解読される脅威に対抗できます。
ユーザパスワード暗号化方式については、「ディレクトリサービス運用ガイド」の「概要」-「Interstage ディレクトリサービスの主 な機能」-「パスワードの保護」を参照してください。
1.6.4.2 通信データの暗号化
クライアントからリポジトリに対して、処理要求を行う場合、初期設定では、識別名(DN)、認証情報(パスワード)、およびその他 の通信データが暗号化されずに使用されます。
クライアントとリポジトリ間の通信データを、SSL通信で暗号化することにより、通信を傍受されたとしても解読・搾取の脅威に 対抗することができます。
SSL通信については、「第22章 Interstage ディレクトリサービスでSSLを利用する方法」を参照してください。
1.6.4.3 パスワードの定期的な変更
伝送路内に悪意のある人(マシン)による不正アクセスによって、パスワードが推測・解読される可能性があります。運用規約 にユーザ認証で使用するパスワード設定規約を設け、利用者に遵守させることを推奨します。
パスワード設定規約の具体例
・ パスワードは他人が予想できないものを設定する。
- 英大小文字・特殊文字・数字を混在させる。
- 個人情報(名前、ニックネーム、電話番号、生年月日など)を使用しない。
- 8文字以上とする。
・ パスワードは定期的に変更する。例えば、1年に4回(3ヶ月ごとに)変更し、今までに使用したパスワードとは異なるものに 変更しなくてはならない。
1.6.4.4 ユーザを限定した運用
パスワードの解読や搾取によるなりすましの脅威がない状態でも、エントリ管理ツールをInterstage ディレクトリサービスの管 理者DNでログインしたままで離席した際に、同じフロア内に悪意のある人がいる場合、以下のような不正運用を行われる可 能性があります。
不正運用の例
・ エントリのパスワードを改ざん、削除する。
このような脅威に対抗するために運用規定にユーザを限定した運用規定を設け、利用者に遵守させることを推奨します。
ユーザを限定した運用規約の具体例
・ エントリ管理ツールの運用場所および利用場所は、入退室が管理され、許可された人のみが出入り可能な場所にする。
・ 離席する場合は、エントリ管理ツールをログアウトまたは終了させる。
・ 離席後、使用しているマシンのスクリーンロックアウト機能を有効にする。
1.6.4.5 アクセス制御の設定
悪意ある人の不正アクセスによって、パスワードを含むエントリデータが漏えい、改ざんされる可能性があります。このような 脅威に対抗するために、特定のエントリデータに対して、アクセス制御を設定することで、ユーザごとに操作を限定するこ とができます。アクセス制御の設定方法については、「第6章 Interstage ディレクトリサービスのアクセス制御の設定」を参照し てください。
1.6.4.6 定期的なデータバックアップの実施
定期的なバックアップを実施することにより、不正アクセスによって情報が改ざんされた場合でも、環境を復元することが可能 です。定期的なバックアップにより以下の脅威に対する防衛が可能です。
・ Interstage ディレクトリサービスのデータの破壊および削除
・ ファイルに記録されている情報の改ざん
・ ファイルの破壊
バックアップコマンド(irepbacksys)、またはデータベース(RDB)のバックアップ機能を利用して、定期的にバックアップを実施 します。バックアップを定期的に実施することで、保護対象資源が破壊される前の情報を保存し、破壊された場合にも必要な 世代をリストアすることが可能となります。バックアップ方法については、「運用ガイド(基本編)」の「メンテナンス(資源のバッ クアップ/他サーバへの資源移行/ホスト情報の変更)」-「資源のバックアップとリストア」を参照してください。
1.6.4.7 ファイルに対するアクセス権の設定
Interstage ディレクトリサービスを構成するプログラムファイル、リソースファイル、Interstage ディレクトリサービスを構成する
データやファイルなどが破壊または削除されると、Interstage ディレクトリサービスのサービスが停止したり、プログラムが起動 できなくなります。このようなファイルに対する破壊の脅威に対しては、ファイル自体に適切なアクセス権限を設定することが 有効です。初期設定のアクセス権のレベルを不当に下げないようにしてください。