ORACLE ENTERPRISE MANAGER 10Gによる企業のセキュリティ確保

プラットフォーム管理
ORACLE ENTERPRISE MANAGER 10G による企業のセキュリティ確保
Amir Najmi, Oracle Corporation
要約
多くの一般的なセキュリティ上の脆弱性には、よく知られた修正方法があります。しかし今日の複雑な分散システムの規
模だけを考えても、セキュリティ・ポリシーの実施は大きな課題です。Enterprise Manager (EM) 10g のセキュリティ管理
機能の目的は、一般的なセキュリティのベスト・プラクティスを Oracle Ecosystem 内で実施しやすくし、オラクル上に構
築されたシステムを業界で一番セキュアにすることです。
セキュリティ管理問題
一般に認められたセキュリティのベスト・プラクティスは、今日のデータ・センターであまり広く採用されていません。
新しいコンピュータ・ウィルスによる妨害が起きるたびに、ユーザーであるわれわれはこの事実を思い起こします。
問題のケース: "SLAMMER"事件
2003 年 1 月 25 日の週末頃、Slammer ワームが数千の ATM マシン、航空券発券システム、韓国株式市場をダウンさせ、
ソフトウェア・ベンダーとしての Microsoft 社の評判を失わせました。
「結局、18 カ月のうちで最悪の Web 妨害活動と言える、"Slammer"ワームは世界中の数万のコンピュータに影響を与え、
インターネット関連企業に数百万ドルの損害を与えた、とセキュリティ会社は推定している。」 [CNN]
Slammer ワームは Microsoft 社のデータベース製品にあることが知られている脆弱性を利用しました。Microsoft 社はこの
脆弱性に対処するセキュリティ・パッチを 6 カ月前に公開していましたが、広がった非難から身を守ることはできません
でした。パッチの公開だけではパッチは適用されませんでした。多くのシステム管理者はそのパッチに気づかず、その重
要性を理解せず、脆弱なマシンを特定する簡単な方法を知らず、あるいは単にパッチの適用が面倒だと思った可能性があ
ります。Microsoft 社自体のサーバーも Slammer ワームから防護されず、他のセキュアでないサーバーとともにダウンし
た、という事実は、タイムリーなパッチ適用に対する障害の存在を示しています。
「当社は他の業界各社と同様、当社のパッチ管理に 100%準拠しようと努めている」と Microsoft 社の広報担当者 Rick Miller
氏は述べ、ワームが同社の多くのサーバーに影響を与えたことを認めました。これらサーバーには MSN インフラストラ
クチャの多くの部分が含まれ、このインフラストラクチャはその週末にかけて利用不能となりました。「当社はこの問題
に対処が必要であることを、これまでにも増して強く認識している。また業界他社と同様、当社はその修正作業を行って
いる。」 [CSO-Online]
どんな複雑なソフトウェアも未発見のセキュリティ上の欠陥を持っていることがあり、あるいはユーザーがそのソフト
ウェアをセキュアでない構成で配布してしまうこともあります。しかしきちんと解説された単純な脆弱性に対抗する一般
的なセキュリティのベスト・プラクティスを実施すること自体、今日のデータ・センターにとっては大きな課題です。
ORACLE ENTERPRISE MANAGER 10G による企業のセキュリティ確保
Oracle Corporation 発行「SECURING YOUR ENTERPRISE
1
ORACLE ENTERPRISE MANAGER 10G」の翻訳版です。
Copyright © 2003 Oracle Corporation, All rights reserved
WITH
プラットフォーム管理
最善のセキュリティ慣行はなぜ稀にしか見られないか。
管理者がしばしばセキュリティ上の脆弱性を保護するために必要な対策を取っていないことは明らかです。セキュリティ
が破られた場合に生産性と企業の評判が被るコストは明らなのに、なぜ管理者は、セキュリティのベスト・プラクティス
に従わないのでしょうか。それには多くの理由があり、そのあるものは知識の欠如に、またあるものは補給面での支援の
欠如に由来します。
知識の欠如
脆弱性の知識の欠如。管理者は問題にまったく気づかないことがあります。毎日新しい脆弱性が数多く発見されているこ
とを考えれば、これは大いにあり得ることです。ソフトウェアがますます複雑化していくにつれ、最も新しいセキュリティ
のベスト・プラクティスに遅れずついて行くことは、セキュリティが主な責任ではない管理者にとってますます困難と
なっています。
影響の理解の欠如。管理者が特定のセキュリティ脆弱性の存在に気づいているとしても、だからといって、必ずしも防護
のため必要なすべての対策が取られることを意味しません。これは、生産システムの変更に結びついたリスクが必ず存在
し、これを変更の利点と比較して検討する必要があるためです。管理者がセキュリティ脆弱性の影響を理解しなかった場
合、必要な変更を正当化するに十分な根拠も理解されません。
補給面での支援の欠如
脆弱な設備を特定する容易な方法の欠如。管理者が特定のセキュリティ脆弱性に対処すべきであると決定した場合、どの
設備が脆弱であるかを特定する必要があります。これは大規模な異機種データ・センターでは簡単な作業ではありません。
最小限、インストール済の構成要素とこれらに関連する構成ファイルの全体を検査する必要があります。またインストー
ル済の構成要素との間で手作業あるいはカスタム・スクリプトによる相互作用が必要なこともあります。
修正を管理する便利な方法の欠如。脆弱な構成要素の修正はすべて、パッチを当てて構成するという、エラーの生じやす
い手作業のプロセスです。何らかの誤りがあれば、最善でもシステムには脆弱性が残り、最悪の場合、動作不能となるこ
とがあります。
修正された状態を維持することの困難さ。大部分の企業設備は追加のアプリケーションとサービスをサポートするため恒
常的に更新と変更が行われています。常に流動的であるこのような環境では、ある時点で見られなかったあるいは対処済
の脆弱性が、その後のシステム変更の結果出現しない、あるいは二度と出現しないという保証はありません。
予測不能な個々の管理者の良心に任せるなら、企業のセキュリティ管理は決して効果を上げません。
セキュリティ管理の効果を上げるためには、それを日常的な手続き慣行にすることが必要です。
ORACLE ENTERPRISE MANAGER 10G による企業のセキュリティ確保
Oracle Corporation 発行「SECURING YOUR ENTERPRISE
2
ORACLE ENTERPRISE MANAGER 10G」の翻訳版です。
Copyright © 2003 Oracle Corporation, All rights reserved
WITH
プラットフォーム管理
ENTERPRISE MANAGER による効果的なセキュリティ管理
効果的なセキュリティ管理には標準的な一連の手順の体系的な適用が要求されるため、この管理は自動化するのが最適で
す。したがって、一般にセキュリティの準拠は時間を費やし管理者が支援を求める課題の一つと見られている、というの
ももっともなことです。このようなニーズに直接応えるのが Enterprise Manager 10g のセキュリティ管理機能です。
Enterprise Manager 10g は、Oracle を使用するデータ・センターでの一般的な最善のセキュリティ慣行の実施を容易にしま
す。EM のセキュリティ管理機能は次のものから構成されます。
•
一般的なセキュリティ脆弱性に関する一連の自動試験
•
試験対象の脆弱性の影響情報
•
配布されたどのシステムにリスクが及んでいるかを簡単に特定するメカニズム
•
発見された脆弱性を改善するための情報および自動化
これらセキュリティ管理機能は、次の理由で管理者に恩恵を与えます。
•
オラクル製品に対するセキュリティ・パッチについて明確かつ迅速に通知する。
•
オラクル製品を普通のセキュアでない構成で配布している顧客にアラートを出す。
•
過剰な権限を持つアカウントがないかシステムを検査する。
•
対処措置が取れる場合は必ず自動化する。
要するに Enterprise Manager(EM)の目標は、オラクル社ウェブサイトから最善のセキュリティ慣行に関する PDF 文書のい
くつかを得て、これに従って脆弱性の評価試験を行うことです。EM はこれら文書の豊富なコンテンツを保持する一方、
その利用を自動化します。
企業全体にわたりセキュリティ脆弱性を日常的に検査しやすくするため、EM は管理者に、次のようなセキュリティ評価
の各側面について共通のパラダイムを提供します。
•
ソフトウェアのセキュリティ脆弱性のパッチによる修正を確認する。
•
セキュリティが緩い構成を発見するためインスタンス・ハードニング試験を行う。
•
過剰なユーザー特権を特定する。
これらについて、次に詳細に説明します。ユーザーはこの共通パラダイムにより、試験結果を見、各脆弱性が及ぼす影響
に関する情報を得、可能な改善方法を知ることができます。セキュリティ管理機能は EM の新しいポリシー・フレームワー
クが専門とするものです。
ORACLE ENTERPRISE MANAGER 10G による企業のセキュリティ確保
Oracle Corporation 発行「SECURING YOUR ENTERPRISE
3
ORACLE ENTERPRISE MANAGER 10G」の翻訳版です。
Copyright © 2003 Oracle Corporation, All rights reserved
WITH
プラットフォーム管理
概要: ポリシー、ルール、および違反
セキュリティ管理機能は Enterprise Manager 10g 内のポリシー・フレームワークの上に構築されます。したがって、セキュ
リティ・ポリシーはポリシー・フレームワークに属する一連の画面と手順を通じて管理者に提示されます。
この他 Enterprise Manager 10g 内のポリシー・フレームワークは Database Configuration Management および Storage
Management ファシリティでも使用されます。
企業のセキュリティ・ポリシーは、企業内の設備が従わなければならないセキュリティ・ルールの集合から構成されます。
他の種類のルールとともに、セキュリティ・ルールは Enterprise Manager の Policy Library に格納されます。各ルールは、
特定の EM ターゲット・タイプに特定の種類のセキュリティ脆弱性がないか試験します。個々のセキュリティ・ルールを
適用した結果、ルールの違反が生ずることもあります。たとえば、"remote_os_roles"構成オプションの使用はデータベー
ス・セキュリティ・ルールで禁止されることがあります。したがって、このルールの違反数は、この機能を使用禁止にし
ていない企業でのデータベース・インスタンスの数となります。同様に、1 ターゲットが同一のセキュリティ・ルール違
反を複数引き起こすことがあります。たとえばホストのセキュリティ・ルールは、企業内のホストに telnet、ftp、rlogin
などのセキュアでないサービスの実行を許さないことがあります。これらサービスのどれかが存在する場合、当該ホスト
によるこのルールの一意的違反が生じます。
各セキュリティ試験の実施に必要な情報は各ターゲットから収集されます。ターゲットと関連付けられた EM エージェン
トがこの情報を定期的に、通常は 1 日 1 回収集します。 この情報が EM リポジトリにアップロードされるとともに、セ
キュリティ・ポリシー・ルールの評価が行われます。セキュリティ・ルールに由来する違反が存在するのはすべて該当の
ターゲット・ホーム・ページ上です。試験対象のセキュリティ脆弱性の重要性に応じ、各ルールにはその違反と関連付け
られた重大度があります。違反には重大、警告または参考のマークが付けられます。
通常の使用方法
Enterprise Manager に内蔵されたセキュリティ管理機能の利点は、管理者側の追加的作業がいっさい不要なことです。
EM はすでに各管理ターゲットについて資格証明と管理情報へのアクセスを持っているため、セキュリティ脆弱性につい
ていつでも試験が行えます。管理者はポリシー・ライブラリで、各ターゲット・タイプの一連の試験が正確にどの試験に
含まれているか、知ることができます。
どのセキュリティ・ルールも、1 日 1 回の頻度をデフォルトとして各ターゲットについて試験が行われます。これは大き
な利点です。セキュリティ・ルールの違反があった場合、当該のターゲットのホーム・ページ上にセキュリティ・ポリシー
違反として表示されます。これら違反はまた、累積され、重大な違反および警告すべき違反の総数としてターゲット・グ
ループのページおよび EM のホーム・ページに表示されます。管理者は違反があった各ルールにドリルダウンして、その
影響と推奨事項を見ます。
場合によっては、EM は推奨された改善を適用するための自動化対策を提示することもあります。この場合、違反の記述
にはリンクが含まれており、管理者はこれをクリックして改善が適用できます。
また場合によっては、管理者は特定ルールの違反あるいは特定のターゲットでの違反が重要でないと判断することもでき
ます。この場合管理者は違反の無視を選択できます。違反の無視は検索インタフェースを通じて個別的にまたは一括して
行うことができます。
ORACLE ENTERPRISE MANAGER 10G による企業のセキュリティ確保
Oracle Corporation 発行「SECURING YOUR ENTERPRISE
4
ORACLE ENTERPRISE MANAGER 10G」の翻訳版です。
Copyright © 2003 Oracle Corporation, All rights reserved
WITH
プラットフォーム管理
セキュリティ準拠の諸側面
ソフトウェアのセキュリティ: ORACLE ソフトウェアの脆弱性への対処
Enterprise Manager により、インストール済の Oracle は常に最新のセキュリティ・パッチを持ちます。このために EM は
次の手順を実行します。
1.
EM は最新のセキュリティ・アラート・メタデータをフェッチする。
2.
自動的にソフトウェア・セキュリティ・ルールへの追加が行われる。
3.
ターゲットが脆弱であると判明した場合、EM はこれに対処する既知のパッチをリストにする。
4.
パッチの準備(場合によっては適用)を助ける。
5.
さらに、EM はソフトウェア・セキュリティ・ルールの一環として脆弱性の試験を行う。
動作原理
Enterprise Manager により、オラクル製品へのセキュリティ・パッチのタイムリーな適用が容易になります。また、パッ
チが存在する既知のセキュリティ脆弱性が、Oracle ホームのいずれかにないか、管理者はセキュリティ・ルール 1 つのみ
で判定できるようになります。ソフトウェアのセキュリティ脆弱性が発見され、そのパッチが入手可能となるたびに、
EM は Oracle のウェブサイトからメタデータをダウンロードし、一連のソフトウェア・セキュリティ試験を自動的に強化
します。この情報は通常 1 日に 1 回ダウンロードされます。このようなソフトウェアの脆弱性の検査は、EM の Enterprise
Configuration Management (ECM)機能を拡張したものです。
次に述べるモデルはソフトウェアのセキュリティを試験するメカニズムで採用されています。Oracle ソフトウェアの各製
品リリース番号 は多くの既知のセキュリティ・バグを持っています。どのパッチ・コンポーネント (パッチ・セットま
たはワンオフ・パッチ)でも 1 つ以上のセキュリティ・バグを修正します。どのセキュリティ・バグも多数のワンオフ・
パッチまたはパッチ・セットのうちの 1 つで修正できます。どのセキュリティ・バグによりどのターゲットが影響を受け
るかを判定するため EM が使用するソフトウェア・セキュリティ・ルールは次のとおりです: 各 Oracle ホームに含まれる
全製品リリースと関連付けられたセキュリティ・バグすべての論理和を計算する。この集合中の各セキュリティ・バグに
ついて、これを修正するパッチ・コンポーネントが少なくとも 1 つ存在する必要があります。もし存在しない場合、Oracle
ホームおよび関連付けられたターゲットはこのセキュリティ・バグに対して脆弱であると判定されます。
ソフトウェアの脆弱性が新たに発見されるたびに、オラクル社はセキュリティ・アラートまたはメタリンク・ノートをお
客様あてに発行し、これにより危険性について警告し、防護のため適用すべきセキュリティ・パッチがあることを知らせ
ます。ソフトウェア・セキュリティ試験のために使用されるメタデータは、実際にはオラクル社のセキュリティ・アラー
トから派生します。このようにして、Enterprise Manager のお客様は EM の管理下にあるインストレーション済ソフトウェ
アの脆弱性について、迅速かつ自動的に通知を受け取ります。違反の重大度は Oracle セキュリティ・アラートの重大度
と同じです。改善には脆弱性を修正するパッチ・コンポーネントの 1 つを適用します。各セキュリティ違反について EM
は、ターゲットとセキュリティ・バグの両方が都合よく事前に選択されている、ECM パッチ・ツールへのインコンテキ
スト・リンクを管理者に提示します。パッチ・ツールはオラクル社ウェブサイトからパッチをダウンロードし適切に準備
する機能があります。EM エージェントに対するパッチの場合、パッチ・ツールはパッチの適用も実行できます。
ORACLE ENTERPRISE MANAGER 10G による企業のセキュリティ確保
Oracle Corporation 発行「SECURING YOUR ENTERPRISE
5
ORACLE ENTERPRISE MANAGER 10G」の翻訳版です。
Copyright © 2003 Oracle Corporation, All rights reserved
WITH
プラットフォーム管理
いったんソフトウェア脆弱性に関するメタデータがオラクル社ウェブサイトで提供されると、このメタデータはソフト
ウェア・セキュリティ・ルールにその一部として取り込まれます。このようにして、EM を利用するお客様の管理下にあ
るインストレーション済ソフトウェアは、各ソフトウェア脆弱性について継続的に試験され、お客様の側で心配する必要
はありません。
インスタンス・ハードニング: セキュリティを考慮した ORACLE の構成
オラクル製品は様々なお客様のニーズに合わせて、多種多様な構成オプションを備えています。
運用と管理が最も柔軟な構成は、より制約的な構成よりもセキュリティが劣る傾向があります。したがって管理者はセ
キュリティと柔軟性とのトレードオフを考慮する必要があります。
稼働中のインスタンスを控えめに再構成するプロセスはインスタンス・ハードニングと呼ばれます。
Enterprise Manager は、オラクル製品およびホストを構成する上で、セキュリティのベスト・プラクティス準拠について
自動試験を容易にします。そのような試験は数多く存在し、これらはソフトウェアの構成パラメータの変更で改善が可能
な脆弱性を発見するよう意図されています。
次にインスタンス・ハードニング・ルールの例を、いくつか示します。
•
ホストは不必要にポートを空けてはならない。
•
ホストはセキュアでないサービス、たとえば rlogin、rsh、ftp、telnet などを実行してはならない。
•
データベース・リスナーはパスワードで保護されねばならない。
•
データベース・リスナーは直接的管理を許してはならない。
•
データベース・インスタンスはリモートの OS のロールと認証を許してはならない。
•
データベース・インスタンスはリモートのパスワード・ファイルの使用を許してはならない。
データベース・セキュリティ: 過剰な権限からの防護
企業セキュリティのもう一つの側面は、Oracle データベース中のユーザー・アカウントが過剰な権限を持たないようにす
ることです。これは DBA により作成されたユーザー・アカウントだけでなく、Oracle データベースに標準で付随してい
るデフォルト・アカウントにも該当します。予防原則によれば、各アカウントには、その一連の正規の諸機能を実行する
ために必要な最小限の権限しか与えるべきではありません。過剰な権限は多くの場合、DBA がアカウントを作成するた
めに使用したスクリプト中の見落としによります。Database Configuration Assistant (DBCA)は、いくつかのケース、とく
にデフォルトおよびデモ・アカウントに関して過剰な権限から防護します。しかし現実には、データベースが作成された
後そのセキュリティのため必ず DBCA が使用されるわけではありません。多くの特権試験は Oracle データベースのイン
ストール後のチェックリスト[9i Checklist]に由来します。
また DBA がロールとプロファイルを割り当てる方法から、過剰な特権が生じることもあります。Oracle RDBMS 製品の
新バージョンでは、より細分化されたロールがサポートされています。 DBA は細分化されたロールに限定的な特権を割
り当てる必要があります。
ORACLE ENTERPRISE MANAGER 10G による企業のセキュリティ確保
Oracle Corporation 発行「SECURING YOUR ENTERPRISE
6
ORACLE ENTERPRISE MANAGER 10G」の翻訳版です。
Copyright © 2003 Oracle Corporation, All rights reserved
WITH
プラットフォーム管理
下に過剰な特権から防護するためのルールの例をいくつか示します。
•
インストール・アカウントとデモ・アカウントはすべてロックされ排除されねばならない。
•
どのアカウントにもデフォルト・パスワードを許してはならない。
•
PUBLIC ロールの特権を制限せねばならない。
•
各アカウントへのログインの試みの失敗数を制限せねばならない。
結論
ソフトウェア・システムが複雑になるにつれ、ウィルス、ハッカー、そして悪意あるユーザーからの攻撃を受ける機会も
増えてきます。Oracle Enterprise Manager 10g は管理者が、最善のセキュリティ慣行に準拠するのを容易にします。
この慣行には、パッチが不適切に当てられたソフトウェア、セキュアでない構成、あるいはデータベース・アカウントの
過剰な特権により生じたセキュリティ脆弱性の試験が含まれます。日常的な自動試験により、Oracle Enterprise Manager
は企業内部のセキュアでない配布に対して常に警戒を怠りません。
参考
1. [CNN] http://www.cnn.com/2003/TECH/internet/01/27/worm.why/
2. [CSO Online] http://www.csoonline.com/news/index.cfm?id=809
3. [9i Checklist] http://download-west.oracle.com/docs/cd/B10501_01/server.920/a96521/secure.htm#8495
ORACLE ENTERPRISE MANAGER 10G による企業のセキュリティ確保
Oracle Corporation 発行「SECURING YOUR ENTERPRISE
7
ORACLE ENTERPRISE MANAGER 10G」の翻訳版です。
Copyright © 2003 Oracle Corporation, All rights reserved
WITH