2007年2月
スペシャル・トピックス
スコット・マクニーリ来日講演
Sun Fun Times 学舎探訪記
~岐阜高専 建築学科 編~
EDU INSIGHT
教育IT分野で最重要事項となったセキュリティおよびアイデンティティ管理
INSIDE TECHNOLOGY
サーバのスライス&ダイス:仮想化とコンテナ化の手引き
KIM'S NOTEBOOK
ゲストエディタ、スコット・マクニーリ:参加の時代の教育に力を
プレスリリース一覧
教育研究機関のページへ
バックナンバー一覧

関連情報
Solaris 10 セキュリティ
Sun Secure Global Desktop Software
シンクライアント
Sun Java System Identity Manager
2006 EDUCAUSEの重要事項トップ10調査(英語)
Toward Systemically Secure IT Architectures(PDF:895KB/英語)
 
EDU INSIGHT
教育IT分野で最重要事項となったセキュリティおよびアイデンティティ管理

2006 EDUCAUSEの重要事項トップ10調査によれば、教育機関のIT基盤の成功を確実にする上で、セキュリティおよびアイデンティティ管理はCIOが解決すべき最重要事項になっています。

教育機関のIT専門家、数百人に対するEDUCAUSEの調査では、過去3年の間1位の座にあったIT資金調達は、初めてセキュリティおよびアイデンティティ管理に1位の座を譲り、2位になっています。2005年度、セキュリティおよびアイデンティティ管理は前年度3位から1つ上がって、2位でした。

テキサス州ダラスで10月10~12日に開かれた教育技術専門家向けの大規模トレードショーの1つ、毎年恒例のEDUCAUSE会議で、セキュリティとアイデンティティ管理の重要性が増大していることが明確にされました。

EDUCAUSEのサンのブースを訪れる多くの出席者は、セキュリティおよびアイデンティティ管理ソリューションを求めていました。驚くことではありません。教育IT専門家は、固有のセキュリティ問題に直面しています。

教育IT専門家固有のセキュリティ問題
ネットワークの
広範な分散
学生寮を敷地内に持つ大学のネットワークのマシンは、大学ではなく、寮に住む学生によって占有されています。大学は、運用管理、パッチ管理が集中化されている企業ネットワークと異なり、アプリケーションやパッチ管理に対する統制がほとんどないISPのような働きをしています。
ウィルス、ワーム
パッチが当てられていない、保護されていない学生のマシンは、ピアツーピアのファイル共有やMP3交換、インスタントメッセージングなどの利用に伴い、ワームやウィルス、スパイウェアの攻撃を受けがちです。
知的プライバシ/
資産の損失
学生/同窓会データに関係するデータプライバシの問題や、研究データ、財務データに関係するIP(知的財産)の問題があります。
サービス妨害の分散
(DDOS)
大学のネットワークがサイバー攻撃の基地として使われています。

組織がそのネットワーク内に、どのようにセキュリティ機能を導入し、組み込んでいるかによって、その組織全体の生産性は大きく左右されます。しかしセキュリティは、物体でも、単なる機能の羅列でもありません。セキュリティは、組織内および組織外で起きていることを監視し、その情報を利用してITリソースの開発および安全な配備を行う、継続的規律なのです。

サンは、体系的なセキュリティ機能を、柔軟でオープンなアーキテクチャ(方針やリスクの動的評価のためのプロセスを含む)に設計段階で組み込むことができれば、適切なセキュリティの複雑さとコストを最低限に抑えられると考えています。あらゆる製品に不可欠な要素としてセキュリティ問題に焦点を当てることによって、サンは、単にセキュリティ問題を解決するだけではなく、防止するための確固たる基礎を提供します。

肝心なのは安全な運用です。Solarisオペレーティングシステム、Sun Secure Global Desktop、Sun Ray シンクライアント、およびSun Java System Identity Managementソリューションは、セキュリティおよびアイデンティティ管理に対するサンの体系的アプローチの4つの主要要素です。

公開されたSolaris 10 OSは、サンのOSの中でもっとも包括的なセキュリティ対応OSです。Solaris 10 OSの大部分のバイナリはデジタル署名されているため、管理者は容易に変更履歴を追跡できます。あらゆるパッチやアップグレードはデジタル署名付きで埋め込まれるため、アップグレードまたはパッチ時の、ファイル整合性検査ソフトウェアに関連した誤診は排除されます。

Solaris Fingerprint Databaseプロジェクトの一部として、Solaris OSで出荷されるすべてのファイルにデジタル署名が提供されます。これらの署名により、Solarisファイルの整合性を検査し、重要なシステムファイルがハッカーによって変更されていないことを確認できます。Solaris 10は独自のユーザ権限管理(「roll-based access control(RBAC)」ともいう)およびプロセス権限管理(「privileges」ともいう)を提供します。

これらの技術は、ユーザやアプリケーションに、その職務を果たすために必要な最低限の機能を付与することによって、セキュリティリスクを軽減するものです。市場の他のソリューションとは異なり、これらのセキュリティ強化を利用するためにアプリケーションを変更する必要はありません。長年の間、Solaris OSには、出荷されるその1つ1つに、個々のシステムを攻撃から守るためのファイアウォール保護技術が組み込まれています。

Sun Secure Global Desktop Softwareは、仮想化されたデスクトップ環境を利用して、デスクトップやラップトップ、シンクライアント、モバイル機器に、情報やデータ、アプリケーションを移送します。このソリューションは、広範囲のクライアントデバイス側から、広範囲にわたる様々なアプリケーションへの安全なアクセスを容易にすることによって、要求の厳しいモビリティ安全性要求に対応し、さらにそれらの要求を超えるセキュリティを実現することができます。

Sun Secure Global Desktopソフトウェアを使用することによって、Microsoft WindowsやSolaris OS、Linux、Mac OS Xが動作するデスクトップPCのすべてを1つのネットワーク上で使用し、混在させて、複数のプラットフォームで動作する複数のアプリケーションにアクセスすることができます。機密に関わるアプリケーションはデスクトップPCから集中化されたサーバに移すことにより、生産性を損なうことなく、より厳重に監視、管理できます。このモデルにより、ユーザの自由度を制限することなく強力なセキュリティポリシを維持できるのです。

サポート下にあるクライアントデバイスは、WindowsやSolaris、Linux、その他UNIX環境上のアプリケーションばかりでなく、大型汎用および中域システム上のアプリケーションにもアクセスできます。スタンドアロンのデスクトップやラップトップに、機密情報が保存される心配する必要もありません。また、ユーザは簡単に別のデバイスに移ることができ、それがWindowsのモバイルPocket PCデバイスであっても、セッションが追随します。

何よりも、Sun Secure Global Desktopは、複雑なハードウェアまたはソフトウェアのVPNソリューションに取って代わるものです。VPNソリューションと異なり、データがデータセンタを離れることはありません。ユーザは、教室にいるときも、キャンパスの反対側に建物に移動するときでも、あるいは地球の裏側にいるときでも、すべて揃った豊富なグラフィカル機能を使ってアプリケーションやデータにリアルタイムでアクセスできます。

従来のthickクライアントデスクトップは、サービスへのアクセス場所を問わない種類のもの(ユビキタスアクセスとしては、高費用のソリューションです。また、ソフトウェアの著作権侵害やデータ盗用、データ紛失、破壊ソフトウェア感染や伝搬など、よく知られた多くのセキュリティリスクの原因でもあります。thickクライアント技術を利用することは、今日、組織が直面しているセキュリティの問題を拡大します。

配備されている台数のシステムに対してだけでも、整合性や準拠性、安全性の面で運用に問題がないようにするのは、困難で多大なコストを要ることがしばしばです。また、意図していたかどうかを問わず、しばしば、エンドユーザが自身のプラットフォームにインストールするソフトウェアに対して、組織側は十分な統制がとれないこともあります。同様に、しばしばデータがデスクトッププラットフォームにコピーまたキャッシュされ、組織のセキュリティポリシが求めるレベルの安全対策がとられていません。

thickクライアントはクライアントそのものに価値があり、盗難やハードウェアおよびソフトウェアの違法再販の対象になります。thickクライアントが盗まれた場合、そのクライアントに保存されていた情報がアクセス、使用、または販売される可能性があり、その場合、そのマシンの本来の価値をはるかに超える損害をもたらす可能性があります。

Sun Ray シンクライアントは、デスクトップユーティリティ環境を効果的に構築することによって、セキュリティ問題の多くに対処します。そこでは、従来のデスクトップとしてのthick クライアントではなく、小さなステートレスネットワークデバイスが機能しています。シンクライアントがローカルに構成やストレージ、状態を持つことはなく、サーバ環境と連結し、デスクトップユーティリティとして使用されます。

Secure Desktopを利用すれば、構成やポリシ適用が集中管理されるため、デスクトップの1つ1つにセキュリティ管理機能を導入する必要はありません。収集、解析する監査ログも少なくてすみます。結果として、シンクライアントデバイスを使用することによって、全体的な管理上の負担や経費を削減でき、人員やリソースをより戦略的で防御活動に向けることができます。

Secure Desktop Services戦略に支えられたシンクライアントそのものとしての価値は低くなり、そのため、次の理由から盗難の対象になる可能性は小さくなります。

  • 既存のシンクライアント環境から離れ、単独の能力でシンクライアントを使用することはできない。
  • データが盗難に遭った場合も、データのコピーや引き渡し、削除が可能な状態のまま、データがシンクライアントに残されることがない。
  • 効果的にネットワーク接続されたディスプレイ端末であるため、エンドユーザの操作性に影響を与えることなく、従来の低速のプロセッサや小さなメモリパッケージを利用でき、ハードディスクドライブなしでも動作できる。このことは、シンクライアントを構成しているパーツにも高い再販価値を持たせないことを意味する。

数百人、数千人の教員や管理者、学生が機関のネットワークにアクセスして、そこに含まれるアプリケーション、データを利用する環境では、誰がどのシステムに対するアクセス権を持っているのかを管理することは、単にコストおよび時間がかかるだけではありません。機密情報への不正なアクセスへとつながる、重大なセキュリティリスクがあることを意味します。

サンのアイデンティティ管理ポートフォリオに含まれるSun Java System Identity Managerなどのソリューションは、ばらばらにアイデンティティ管理を行っていたときの時間とコストを削減する一方で、セキュリティを大幅に強化することを可能にする包括的なソリューションを提供します。

新しく発表されたサンのIdentity Manager 7.0は、ユーザプロビジョニングとアイデンティティ監査の両方を、1つのソリューションにまとめた業界初のアイデンティティ管理製品です。これにより、IT組織は、集中管理された自動ユーザプロビジョニングを通じて、ユーザとアプリケーションへのアクセス権の管理を省力化できます。ユーザのプロビジョニング解除にも対応しており、IT管理者は、元職員や取引先、あるいは学生が組織を離れた後でも重要なシステムへのアクセス権を持ち続けるという、重大な問題に対応することも可能です。

また、ポリシに基づく監査により、コンプライアンス違反を明示した例外に基づくレポート機能や、防御的および検出的コンプライアンスのための強力な監査機能を利用できます。つまり、教育機関は、大きな費用のかかる手作業アプローチを排除して、ヘルプデスクや運用負荷を軽減し、さらに、総保有コストを削減して、レビューする必要があるユーザアカウント数を減らすこともできます。

ITの展望をまっさらな状態から始めて、一から組織のセキュリティを構築できる余裕がある組織はほとんどありません。たいていの組織は、より組織的にセキュリティとコンプライアンスに対応できるように、従来システムを適応し、変更する必要があります。

全体のITセキュリティ計画に組み込んでしまえば、ちょっとした調整ですむくらいの簡単な話だという組織もあるでしょう。逆に、時間やお金、リソースや組織全体の力を絶え間なく投入する必要のある、漸進的なプロセス以上のものになるのかもしれません。あなたの組織がこの一連の内どの過程にいるとしても、サンはキャンパスのITセキュリティを向上するリソースを備えています。

ご質問・ご意見はSite-TKY@sun.comにお寄せください。

ページ先頭へ