ネイティブ セキュリティの拡張

内容
capamsc141
内容
以下の
Privileged Access Manager
の機能により、ネイティブ セキュリティが拡張されます。
スーパーユーザ アカウントの制限
通常、オペレーティング システムを管理するユーザは、事前定義されたアカウントのメンバです。これらのアカウントは、システムのセットアップ時に自動的に作成されます。これらのアカウントの例としては、UNIX システムの root アカウントや Windows システムの Administrator アカウントがあります。事前定義された各アカウントは、一連のシステム機能のセットを実行します。
たとえば、root または Administrator として作業しているユーザは、ユーザの作成、削除、変更を実行でき、サーバのロック、再設定、シャット ダウンを実行できます。
セキュリティ上の主なリスクの 1 つは、権限のないユーザがこれらのアカウントの制御を手に入れる可能性があることです。そうなった場合、そのユーザはシステムに重大な損害を与えることができます。
Privileged Access Manager
では、これらのアカウントに与える権限を制限し、これらのアカウントをメンバとして持つユーザ グループに属するユーザの権限を制限することができます。これらの制限により、オペレーティング システムの脆弱性をカバーします。
Privileged Access Manager
管理者
Privileged Access Manager
のインストール時には、1 人以上の製品管理者の名前を設定する必要があります。管理者には、ルール データベースのすべてまたは一部を変更する権限があります。すべての権限を持つ管理者が最低 1 人必要です。この管理者は、アクセス ルールを自由に変更または作成することができ、管理者のレベルを指定できます。
システムのユーザを定義した後、管理者以外のユーザに ADMIN 属性を割り当てることによって、管理者権限を割り当てます。
ADMIN 属性が割り当てられたユーザには、強力な権限が与えられます。そのため、ADMIN ユーザの数は制限してください。ネイティブのスーパーユーザの役割と管理者の役割を分離することをお勧めします。
Privileged Access Manager
のセキュリティ管理者を 1 人以上設定した後に、スーパーユーザから ADMIN 属性を削除します。
Privileged Access Manager
では最低 1 人のユーザがデータベースを管理する権限を持つ必要があるため、ADMIN 属性を持つ最後のユーザを削除することはできません。
製品の管理者がこのワークステーションから他のホストを管理する可能性がある場合は、そのホスト上のデータベースに、このワークステーションからの READ アクセス権と WRITE アクセス権の両方を管理者に与えるルールが定義されていることを確認してください。
サブ管理
Privileged Access Manager
には、
サブ管理機能
があります。管理者はこの機能を使用して、一般ユーザが特定のクラスを管理できるようにする特定の権限を与えることができます。このようなユーザをサブ管理者といいます。
たとえば、特定のユーザに対して、ユーザとグループを管理できる権限を与えることができます。
また、より高いレベルのサブ管理を指定することもできます。このレベルを指定するには、特定のクラスに対してだけではなく、そのクラスの指定されたレコードに対するアクセス権を付与します。
一般ユーザに与える管理者権限
Privileged Access Manager
では、Administrators グループのメンバでなくても管理タスクを実行できるように、必要な権限を一般ユーザ(管理者以外)に与えることができます。このようにきめ細かな方法でタスクを委任できる(つまり、管理権限を付与できる)機能は、
Privileged Access Manager
の最も重要な機能の 1 つです。
  • SUDO クラスのレコードには、コマンド スクリプトが格納されています。ユーザは、付与された権限でそのスクリプトを実行できます。
  • data プロパティの値はコマンド スクリプトです。この値は、省略可能なスクリプト パラメータ値を追加して変更することができます。
  • SUDO クラスの各レコードは、あるユーザが別のユーザの権限を借用できるようにするためのコマンドを識別します。
  • SUDO クラス レコードのキーは、SUDO レコードの名前です。この名前は、ユーザが SUDO レコードでコマンドを実行する際に、コマンド名の代わりに使用されます。
ファイル保護の強化
Privileged Access Manager
では、論理ファイル名と絶対ファイル名の両方の形式がサポートされています。たとえば、ファイル foo.txt が論理ドライブ D の \tmp ディレクトリに格納されており、論理名「D:」が物理ディスク 1、パーティション 0 に割り当てられている場合は、以下のように、論理ファイル名か絶対ファイル名のいずれかを使用して、製品のデータベースに対してファイルを定義できます。
nr file D:\tmp\foo.txt
または
nr file \Device\HardDisk1\Partition1\tmp\foo.txt
2 番目の形式を使用する場合は、ディスクの論理名が変更されても、ファイルは保護されたままになります。絶対ファイル名形式は、
Privileged Access Manager
の汎用ファイル保護でもサポートされます。
サポートされている Windows オペレーティング システムで現在使用されているすべてのファイル システムが保護されます。最も一般的に使用されるファイル システムは、Windows File System(NTFS)と File Allocation Table(FAT)の 2 種類です。
また、CDFS (特に CD 用のファイル システム)もサポートされています。
File Allocation Table (FAT)に対する総合的なセキュリティ ソリューション、および NTFS や CDFS などその他のファイル システムに対する特別なセキュリティ レイヤが提供されます。
汎用ファイル保護
Privileged Access Manager
では、論理ファイル名と絶対ファイル名の両方がサポートされています。絶対ファイル名形式は、
Privileged Access Manager
の汎用ファイル保護でもサポートされます。
汎用ファイル保護により、指定したワイルドカード パターン(正規表現)に適合するすべてのファイルを保護できます。指定したワイルドカード パターンに一致する名前のリソースが、指定した包括的なアクセス ルールによって保護されます。この製品により、ファイルを包括的に保護できます。
リソースが複数の包括的なアクセス ルールに一致する場合は、
Privileged Access Manager
によって、ファイルに対して最も厳密に一致するルールが選択されます。
汎用ファイル保護の機能を使用すると、ほんのわずかなセキュリティ ルールを定義するだけで、保護の必要な多数のファイルを保護できます。
パスワード保護機能
Windows ネイティブ セキュリティにより、さまざまな方法でパスワードを保護し、パスワードの品質を強化できます。Windows では以下の機能が提供されています。
  • パスワードの最長有効期間の指定
  • パスワードの最低文字数の指定
  • ユーザのパスワード履歴を最大 24 件まで保存できます。
  • ログインに繰り返し失敗した場合のアカウントのロックアウト
  • パスワード変更前の Windows へのログインの強制
Privileged Access Manager
では、同じルールが独自のメカニズムによって適用されます。さらに、メインフレーム コンピュータとの双方向のパスワード同期機能が実装されています。
パスワード保護の強化
Windows ネイティブ セキュリティによるユーザ パスワード保護は、かなり強力です。さらに、
Privileged Access Manager
では、パスワード保護が大幅に拡張されているため、ハッカーによるパスワード盗用の可能性は極めて低くなりました。
Privileged Access Manager
を使用すると、より安全で確実なパスワードをユーザが選択するように、追加のルールを作成できます。たとえば、最低限必要な英字、数字、特殊文字、小文字、または大文字の数を選択するようにユーザに要求できます。また、置き換えられる旧パスワードと、ユーザが選択した新しいパスワードで、前者の文字列が後者の文字列に含まれないようにすることもできます。
Program Pathing
Program Pathing
は、ファイルにアクセスするには特定のプログラムを介さなければならないことを要求する、ファイルに関連するアクセス ルールです。Program Pathing により、機密ファイルのセキュリティを大幅に強化できます。
Privileged Access Manager
の Program Pathing を使用すると、システム内のファイルに対する保護を強化できます。
B1 セキュリティ レベル認証
Privileged Access Manager
には、セキュリティ レベル、セキュリティ カテゴリ、およびセキュリティ ラベルという 「Orange Book」の B1 レベルの機能があります。
  • データベース内のアクセサとリソースには、
    セキュリティ レベル
    を割り当てることができます。セキュリティ レベルは、1 から 255 までの整数です。アクセサのセキュリティ レベルが、リソースに割り当てられたセキュリティ レベル以上である場合にのみ、アクセサはリソースにアクセスできます。
  • データベースのアクセサとリソースは、1 つ以上の
    セキュリティ カテゴリ
    に属することができます。リソースに割り当てられているすべてのセキュリティ カテゴリにアクセサが属している場合のみ、そのアクセサはリソースにアクセスできます。
  • セキュリティ ラベル
    は、特定のセキュリティ レベルを 0 個以上のセキュリティ カテゴリのセットに関連付けるための名前です。ユーザをセキュリティ ラベルに割り当てると、セキュリティ ラベルに関連付けられたセキュリティ レベルおよびセキュリティ カテゴリの両方がユーザに設定されます。
Orange Book の B1 レベルの機能の詳細については、「
実装ガイド
」を参照してください。
監査手順の設定
Privileged Access Manager
では、データベースに定義されている監査ルールに基づいて、アクセス拒否とアクセス許可のイベントに関する監査レコードが保存されます。特定のイベントをログに記録するかどうかの決定は、以下のルールに基づいて行われます。
  • すべてのアクセサおよびリソースに AUDIT プロパティがあり、このプロパティを設定すると、アクセスの成功または失敗、あるいはその両方のイベントをログに記録するかどうかを指定できる。さらに、アクセサの AUDIT プロパティでは、ログインの成功または失敗、あるいはその両方のイベントをログに記録するかどうかを指定できる。
  • リソースまたはアクセサに AUDIT (ALL)属性が割り当てられている場合は、
    Privileged Access Manager
    によって保護されているリソースに関するすべてのイベントが、アクセスが失敗したか成功したかにかかわらず、ログに記録される。
  • Privileged Access Manager
    によって保護されているリソースへのアクセスが成功し、ユーザまたはリソースに AUDIT (SUCCESS)が割り当てられている場合、イベントがログに記録される。
  • Privileged Access Manager
    によって保護されているリソースへのアクセスが失敗し、ユーザまたはリソースに AUDIT (FAIL)が割り当てられている場合、イベントがログに記録される。
システム監査担当者(AUDITOR 属性が割り当てられているユーザ)のみが、ユーザおよびリソースに割り当てられた監査属性の変更などの監査タスクを実行できます。
リソースが警告モードの場合に、リソースのアクセス ルールに違反するアクセスが発生すると、警告モード監査レコードが生成されます。このレコードには、
Privileged Access Manager
がリソースへのアクセスを許可したことが記述されます。
監査レコードによって、
監査ログ
(seos.audit)というファイルが構成されます。監査ログの場所は、エラー ログの場所と同様にレジストリで指定されます。
監査ログ(およびエラー ログ)は、以下のレジストリ キーで指定されます。
HKEY_LOCAL_MACHINE\Software\ComputerAssociates\AccessControl\logmgr
監査ログはバイナリ ファイルであるため、編集または変更することはできません。ただし、
Privileged Access Manager
エンドポイント管理を使用して、記録されたイベントの表示や、時間制限またはイベント タイプによるイベントのフィルタ処理などを行うことができます(また、seaudit ユーティリティを使用しても、同様のタスクを実行できます)。
後からイベントを調査できるように、古い監査ログおよびエラー ログをアーカイブ(バックアップ)することをお勧めします。