Solaris[tm] Secure Shell
Solaris 9 新機能

Secure Shellは従来のrsh, rlogin, rcp, telnetコマンドに対するマルチプラットフォームの代替機能。Solaris OSの対話セッションが暗号化し、強力に認証することにより、企業内のセキュリティを向上。Secure Shellにより、ユーザーIDだけでなく、クライアントとサーバマシン両方の強力な認証が可能。軽量VPNを含む、システムアクセスのセキュリティ保護された手段を提供。

重要なセッションの暗号化により、セキュリティを強化

IPSec & IKE
Solaris 9 新機能

IPSecはIPトラフィックの暗号化であり、VPNの主要テクノロジ。インターネットキー交換(IKE)はIPSecの鍵管理を自動化。IKEにより、IPv4ネットワーク上の手動での鍵割り当ておよび再読込が不要。Solaris 9 OSは、デフォルトで128-bit暗号化を利用。

IPSecはサーバと通信チャネル間のセキュリティを強化するため、承認されたシステムだけが通信可能。IKEは、セキュリティ保護された多数のネットワークの設定と管理を簡素化。

Kerberos v5サーバ
Solaris 9 新機能

Kerberosは、アプリケーションおよびオペレーティングシステム両方のシングルサインオンをセキュリティ保護するための標準に基づくソリューション。Kerberos v5サーバは、主要管理システム、鍵配布センター(KDC)、主要データベース複製システムを含む。Solaris 9 OSでは、Kerberos v5 鍵配布センターとKerberos対応クライアントソフトウェア(telnet, rlogin, rsh, rcpなど)をインストール時に便利なグラフィカルユーザインタフェースで構成可能。

アプリケーションとシステムのシングルサインオンによりシステムセキュリティを強化。従来別途提供していたSun Enterpreise Authentication Mechanism[tm] (SEAM)ソフトウェアの機能をバンドル。標準に基づいているため、MIT KerberosやMicrosoftのActive Directoryと相互運用でき、異機種混在環境での展開を簡素化し、相互運用性を増加。

SunScreen[tm] 3.2ファイアウォール
Solaris 9 新機能

サンのスケーラブルで多機能なエンタープライズクラスのファイアウォールをSolaris 9 に同梱。主な機能:

ステートフル・パケットフィルタ

ステルスおよびルーティングモードのファイアウォールとして構成可能

スタンドアロンIPSec/IKE

集中化された管理機能

フェイルオーバー機能(HA)

ネットワークアドレス変換(NAT)

統合されたファイアウォールにより、ホストに基づくアクセス制御およびネットワークに基づくアクセス制御機能の両方を提供。追加のファイアウォール製品を購入する必要がないため、コストを削減。

Pluggable Authentication Module (PAM) の強化
Solaris 9 新機能

PAMフレームワークの構成はモジュールかされた小さな共有オブジェクトファイルに変更。PAM APIには変更なし。ネーミングサービスとの分離を増大。特に、ユーザーが多くのネーミングサービスや認証の詳細を操作することなく、自分自身のソリューションの開発に専念できるように、フレームワークを拡張。

Solaris OSへのログインの拡張や制御のために、ユーザや開発者が自身のPAMを作成できる柔軟性を提供。拡張例としては、パスワードの辞書チェックや、パスワード履歴など。

乱数発生器
Solaris 9 新機能

カーネルおよびユーザーアプリケーションで/dev/randomをSolaris OSに統合。ハードウェアとソフトウェアに基づく乱数発生器の詳細を隠す実装。カーネルおよび従来のユーザアプリケーションで利用可能なユーティリティを提供。

暗号化とセキュリティの強さは乱数発生器の質に依存しているため、生成する乱数のランダムさが増加することにより、セキュリティが向上。

セキュリティ保護されたLDAPクライアント
Solaris 9 新機能

Solaris LDAPクライアントが強化され、SSLとDIGEST-MD5暗号化をサポート。セキュリティ保護されたLDAPにより、ネーミングサービスへのセキュリティ保護されたアクセスが可能。ディレクトリサーバ経由での完全なパスワード管理サポートのために設計された、柔軟な属性マップスキーマを提供。

業界標準のディレクトリサービスをセキュリティ保護された方法で提供

システム最小化
Solaris 9 新機能

オペレーティングシステムのコンポーネントが小さなパッケージに細分化。telnetやFTPのような注意が必要なユーティリティパッケージは、Solaris OSのその他の部分に影響することなく簡単に削除可能。

セキュリティに関連するパッケージを削除できる柔軟さを提供することにより、セキュリティ保護された環境を簡単に実現可能

拡張ファイル属性
Solaris 9 新機能

任意のデータタグをファイルやシステムオブジェクトと関連付けることが可能

新たなセキュリティ機能やその他の機能をファイルに追加可能

TCP Wrappers
Solaris 9 新機能

TCP Wrappersをクライアント・サーバの関係の中間に導入することで、ほとんどのTCP/IPアプリケーションに必要なクライアント・サーバ関係を利用。認証ホストへのアクセス制御機能を利用し、クライアント/ホストを(アクセス制御機能を使って)認証するまでサーバとして動作。TCP WrappersアプリケーションをSolaris 9オペレーティングに完全に統合。

systat, finger, FTP, Telnet, rlogin, rsh などのネットワークサービスに対するネットワーク要求の監視およびフィルタリングとして最も効果的な方法を提供。

スレッド対応BSM
Solaris 9 新機能

基本セキュリティモジュール(BSM)がSolaris 9オペレーティングシステムのカーネルイベントに対する監査トレールの生成をサポート。従来はシングルスレッドのアプリケーションだが、Solaris 9プラットフォームではマルチスレッド版の監査デーモンを提供。監査ファイルは請求書、侵入検出、システム使用率レポートなどに使用可能。Solarisオペレーティングシステムの監査機能は、CおよびJava[tm]プログラミング言語を完全にサポートし、Solaris Management Consoleで動作。

監査対象によっては、以前のバージョンのSolarisソフトウェアに比べて大幅なパフォーマンス向上を期待可能

バッファオーバーフロー悪用防止の強化 (スタック実行の無効化)
Solaris 9 新機能

Solaris 9 オペレーティングシステムは、悪意のあるコードの実行やスタック上の情報アクセスを防ぐことにより、システムの脆弱性を減少。スタック上のアドレスの戻り値を使って実行可能コードをスタック上に書き込んで実行する、というアクセスを防ぐ機能を提供。

セキュリティの強化により、スタックベースのバッファオーバーフローを使った、スタック上でのコード実行およびルートアクセス取得の可能性を減少。

パスワード暗号化の拡張
将来のリリースで提供

パスワード暗号化(通常は'crypt'で提供)をユーザ提供のモジュールで置換可能

パスワード保管に関する強力な暗号化を必要とする官公庁や業界規定などで重要

役割に基づくアクセス制御 (RBAC)

RBACにより特定の操作の実行権を割り当て可能。RBACはシステム権限とは別に、個々のユーザへの特権操作の委託を制御。これにより、個々の信頼されたユーザーは限定された管理機能を実行する特権を引き受け、管理者グループ間でroot特権を分割することが可能。

ユーザーが専門知識の範囲を越えたり、不注意で(または故意に)変更してしまうことによる、システム停止やセキュリティ違反が発生する機会を最小化

Generic Security Services Application Programming Interface (GSS-API)

GSS-APIはセキュリティのフレームワークで、アプリケーションは伝送データの保護が可能

アプリケーションに認証、完全性、機密性を提供。セキュリティ管理者は、このテクノロジを使い、スマートカードでのユーザー認証を要求することにより、コンピュータデスクトップや個々のアプリケーションを保護可能。

スマートカードサポート

Solarisのスマートカード機能はOpen Card Framework (OCF) 1.1標準を実装

アプリケーションに認証、完全性、機密性を提供。セキュリティ管理者は、このテクノロジを使い、スマートカードでのユーザー認証を要求することにより、コンピュータデスクトップや個々のアプリケーションを保護可能。