第1章 セキュリティーの概要
ビジネスの運営や個人情報の把握ではネットワーク化された強力なコンピューターへの依存度が高まっていることから、各種業界ではネットワークとコンピューターのセキュリティーの実践に関心が向けられています。企業は、システム監査を適正に行い、ソリューションが組織の運営要件を満たすようにするために、セキュリティーの専門家の知識と技能を求めてきました。多くの組織はますます動的になってきていることから、従業員は、会社の重要な IT リソースに、ローカルまたはリモートからアクセスするようになっています。このため、セキュアなコンピューティング環境に対するニーズはより顕著になっています。
ただし、多くの組織(個々のユーザーも含む)は、パフォーマンス、生産性、便利さ、使いやすさ、および予算面の懸念事項に反し、セキュリティーをよりよく考慮しています。適切なセキュリティー実装は、無許可の侵入が発生し て はじめて後続的なものになることがよくあります。多くの侵入の試みを阻止する効果的な方法は、インターネットなどの信頼できないネットワークにサイトを接続する前に、適切な措置を講じることです。
注記
本ガイドでは、
/lib
ディレクトリー内のファイルへの参照が複数作成されます。64 ビットシステムを使用する場合は、上述のファイルの一部がにある可能性があり /lib64
ます。
1.1. セキュリティーの概要
1.1.1. コンピューターセキュリティーとは
コンピューターセキュリティーは、コンピューティングと情報処理の幅広い分野で使用される一般的な用語です。コンピューターシステムとネットワークを使用して日々の業務を行い、重要な情報へアクセスしている業界では、企業データを総体的資産の重要な部分であると見なしています。総保有コスト (Total Cost of Ownership: TCO)、投資利益率 (Return on Investment: ROI)、サービスの品質 (Quality of Service: QoS) などの用語や評価指標は日常的なビジネス用語として用いられるようになっています。各種の業界が、計画およびプロセス管理コストの一環として、これらの評価指標を用いてデータ保全性や可用性などを算出しています。電子商取引などの業界では、データの可用性と信頼性は、成功と失敗の違いを意味します。
1.1.1.1. コンピューターセキュリティーのサポート状況
情報セキュリティーは、パブリックネットワークへの依存度が高くなり、個人、商取引などの制限された情報を開示しないことから、情報セキュリティーが進化しました。Mitnick などのインスタンスが多数あります。[1] and the Vladimir Levin[2] すべての業界の組織に対し、送信や開示など、情報の処理方法を再調査するよう促したケースです。インターネットは最も重要な開発開発の 1 つで、データセキュリティーの集約にあふれる努力を促しました。
個人コンピューターを使用して、インターネットが提供する必要のあるリソースへのアクセスを取得する場合が常に多数あります。電子商取引や商取引のトランザクションに関する調査および情報から、インターネットは 20 つ目の最も重要な開発の 1 つとして取り上げられました。
ただし、インターネットとその以前のプロトコルは 信頼ベース のシステムとして開発されました。これは、インターネットプロトコル(IP)自体を保護するように設計されていませんでした。承認されたセキュリティー標準は TCP/IP 通信スタックに組み込まれず、ネットワーク全体で悪意のあるユーザーやプロセスに開放されます。最近の開発では、インターネット通信がより安全になりましたが、いくつかのインシデントに注意を向け、完全に安全でないという事実に警告します。
1.1.1.2. Security Today
2000 年 2 月、分散型サービス拒否(DDoS)攻撃がインターネットで最も高速なサイトの一部に取り消されました。この攻撃でレンダリングされた yahoo.com、amazon.com、Amazon.com、および他のいくつかのサイトは、通常のユーザーに完全に到達できません。これは、高速バイトの ICMP パケット転送( ping フラッド とも呼ばれる)がルーターを関連付けられているためです。この攻撃は、特別に作成された、脆弱なネットワークサーバーをスキャンする幅広く利用可能なプログラムを使用する不明な攻撃者によって引き起こされました。このプログラムは、サーバー 上 にトールの木車と呼ばれるクライアントアプリケーションをインストールします。その後、すべての大幅なサーバーで攻撃を阻止し、それらを利用不可能にしました。使用するルーターやプロトコルの方法において、基本的な欠陥に対する攻撃の多くが、パケットの目的や送信先の場所に関係なく、すべての受信データを受け入れられるように構造化されます。は削除される可能性があります。
2009 年に、Wired Equivalent Privacy(WEP)ワイヤレス暗号化プロトコルの広く知られた特性を悪用すると、グローバルの盗難に、45万以上のクレジットカード番号の盗難が発生しました。
ただし、システムおよびネットワークのセキュリティーは難しくなる可能性があり、組織が情報をどのように検討するか、使用、操作、および送信を行う方法について厳密な知識が必要です。適切なセキュリティープランの実装には、組織(および組織を構成している人)がどのようにビジネスを行うかを理解することができます。
1.1.1.3. セキュリティーの標準化
企業はどの業界でも、米国医師会 (AMA: American Medical Association)、米国電気電子学会 (IEEE: Institute of Electrical and Electronics Engineers) などの標準化推進団体が作成する規制やルールに従っています。情報セキュリティーにも同じことが当てはまります。多くのセキュリティーコンサルタントやベンダーが 機密性 (Confidentiality)、保全性 (Integrity)、可用性 (Availability) の頭文字をとった CIA として知られる標準セキュリティーモデルを採用しています。この 3 階層モデルは、機密情報のリスク評価やセキュリティー方針の確立において、一般的に採用されているモデルです。以下でこの CIA モデルを説明します。
- 機密性 - 機密情報は、事前に定義された個人だけが利用できるようにする必要があります。許可されていない情報の送信や使用は、制限する必要があります。たとえば、情報の機密性により、権限のない個人が顧客情報や規制情報が悪意のある目的(ID 盗難やクレジットカードなど)で取得されないようにします。
- 保全性 - 情報は、改ざんして不完全または不正確なものにすべきではありません。承認されていないユーザーが、機密情報を変更したり破壊したりする機能を使用できないように制限する必要があります。
- 可用性 - 情報は、認証されたユーザーが必要な時にいつでもアクセスできるようにする必要があります。可用性は、合意した頻度とタイミングで情報を入手できることを保証します。これは、パーセンテージで表されることが多く、ネットワークサービスプロバイダーやその企業顧客が使用するサービスレベルアグリーメント (SLA) で正式に合意となります。
1.1.2. SELinux
Red Hat Enterprise Linux には SELinux と呼ばれる Linux カーネルの拡張機能が含まれており、システム内のファイル、プロセス、ユーザー、アプリケーションに対する詳細な制御レベルを提供する Mandatory Access Control(MAC)アーキテクチャーを実装しています。SELinux の詳細は、本書の範囲外になりますが、SELinux と Red Hat Enterprise Linux でのその使用の詳細については、『 『 Red Hat Enterprise Linux SELinux ユーザーガイド』を参照してください。』SELinux で保護されているサービスの設定および実行の詳細は、『SELinux 『Managing Confined Services Guide』を参照してください』。SELinux で利用可能なその他のリソースは、に記載されてい 11章リファレンス ます。
1.1.3. セキュリティーコントロール
多くの場合、コンピューターセキュリティーは、一般的に以下の 3 つのマスターカテゴリーに分類されます。 Controls(制御):
- 物理的
- 技術的
- 管理的
この 3 つのカテゴリーは、セキュリティーの適切な実施における主な目的を定義するものです。このコントロールには、コントロールと、その実装方法を詳細化するサブカテゴリーがあります。
1.1.3.1. 物理的コントロール
物理的コントロールは、機密資料への非認証アクセスの抑止または防止のために、明確な構造でセキュリティー対策を実施します。物理的コントロールの例は以下のとおりです。
- 有線監視カメラ
- 動作または温度の感知アラームシステム
- 警備員
- 写真付き身分証明書
- 施錠された、デッドボルト付きのスチールドア
- バイオメトリクス (本人確認を行うための指紋、声、顔、虹彩、筆跡などの自動認識方法が含まれます)
1.1.3.2. 技術的コントロール
技術的コントロールでは、物理的な構造物やネットワークにおける機密データのアクセスや使用を制御する基盤となる技術を使用します。技術的コントロールは広範囲に及び、以下のような技術も含まれます。
- 暗号化
- スマートカード
- ネットワーク認証
- アクセス制御リスト (ACL)
- ファイルの完全性監査ソフトウェア
1.1.3.3. 管理的コントロール
管理的コントロールは、セキュリティーの人的要素を定義します。これは組織内のあらゆるレベルの職員や社員に関連するもので、誰がどのリソースや情報にアクセスするかを、次のような手段で決定します。
- トレーニングおよび認識の向上
- 災害準備および復旧計画
- 人員採用と分離の戦略
- 人員登録とアカウンティング
1.1.4. まとめ
これで、セキュリティーの起点、理由、および機能について理解したので、Red Hat Enterprise Linux に関する適切なアクションコースを簡単に判断できます。適切なストラテジーを計画および実装するには、どのような要素や条件がセキュリティーを構成するかを理解することが重要です。この情報は公式化でき、セキュリティープロセスの詳細に明確化されるため、パスは明確になります。