セキュアなシステム管理

SSH社によって開発された Secure Shell (SecSh v2) プロトコルは、レガシーのログイン、リモートコマンド実行やファイル転送ツールを、機密性・完全性・認証を統合することによりセキュアな機能にアップグレードすることができる、標準のリモートアクセス メカニズムです。システム管理者が SSH Tectia を実行しているサーバにアクセスしたり管理したりするためのセキュアな端末及びファイル転送機能を提供します。

SSH Tectia とセキュアなシステム管理に関する FAQ (よくある質問とその回答) を以下に示します。

  1. SSH Tectia によるセキュアなシステム管理とは、どのようなことを指すのですか?
  2. SSH Tectia でセキュアなシステム管理を行うには、どの製品が必要ですか?
  3. システム管理を保護するために SSH Tectia で使用されているセキュリティ技術とはどのようなものですか?
  4. Rlogin や Telnet などの他のリモート管理ツールを使用しない方が良い理由は何ですか?
  5. オープン ソースをベースとする Secure Shell ではなく、SSH Tectia を導入した方が良い理由は何ですか?
  6. どのプラットフォームがサポートされていますか?
  7. 大規模な SSH Tectia 環境を効率的に管理するにはどのようにすればよいですか?
  8. SSH Tectia は、X11 ベースのアプリケーションと共に使用できますか?
  9. SSH Tectia がサポートする認証方式にはどのようなものがありますか?
  10. Secure Shell エージェントとは何ですか? また、このエージェントは何を転送しているのですか?
  11. SSH Tectia には他社製の Secure Shell 実装との互換性はありますか?






Q1. SSH Tectia によるセキュアなシステム管理とは、どのようなことを指すのですか? 

SSH Tectia を利用すると、大企業が異機種混在型のネットワーク内でシステム管理を保護することができます。レガシーのログイン (Telnet や Rlogin) およびリモート コマンド実行メカニズムを強力な暗号化セキュリティに置き換えることで、SSH Tectia は一般的なネットワーク セキュリティのリスクに対する効果的な保護を提供します。SSH Tectia は、マルチプラットフォームをサポートする Secure Shell ベース製品の完全なセットと、ソフトウェアおよび設定の一元管理機能を提供する、業界における最初でかつ唯一のソリューションです。これらの機能によっ て、異機種混在のいかなる大規模ネットワーク環境においても、経済的に非常に優れた方法で SSH Tectia を展開し、運用することができます。




Q2. SSH Tectia でセキュアなシステム管理を行うには、どの製品が必要ですか?

クライアント側には SSH Tectia Client 、サーバ側には SSH Tectia Server をインストールする必要があります。SSH Tectia Client は、SSH Tectia Server または標準をベースとする別の Secure Shell 実装を実行しているサーバや他のネットワーク デバイスにシステム管理者がアクセスし、管理するためのセキュアな端末機能とファイル転送機能を提供します。SSH Tectia Client の Windows バージョンには、高度な設定オプションを備えた直観的な GUI が用意されており、マルチプラットフォーム環境に適した互換性のある使いやすい製品です。

 

 

SSH Tectia Manager では包括的なセキュリティ管理プラットフォームが提供されるので、SSH Tectia client/server ソリューションが使用されるシステム環境を容易に構築し、保守することができます。SSH Tectia Manager ではセキュリティが一元的に管理されるため、設定ミスが発生しにくくなり、セキュリティ ポリシーと監視の一元的な機能強化が可能になります。面倒な設定とソフトウェア管理の作業が自動化され、一元化されるので、運用コストが大幅に減少します。



Q3. システム管理を保護するために SSH Tectia で使用されているセキュリティ技術とはどのようなものですか?

SSH Tectia では SSH 社が開発した Secure Shell プロトコル (SecSh v2) を使用しています。Secure Shell プロトコルは、世界各地の数百万ものユーザに使用されている標準のリモート アクセス メカニズムです。このプロトコルは、セキュアではないログイン、リモート コマンド実行、およびファイル転送のツールを、暗号化された機密性、整合性、および認証を実装することによってセキュアな機能にアップグレードします。 SSH Tectia の Secure Shell 実装には、AES、3DES、DSA、RSA アルゴリズムなどの標準をベースにした強力な暗号手法が採用されています。基本となる暗号手法ライブラリは FIPS 140-2 で認定されたものであり、SSH Tectia は最も要求の厳しい政府関係機関や企業の環境に対しても非常に適しています。

SSH Tectia の広範囲に及ぶ認証サポートには、パスワード、公開鍵認証、電子証明書や、PKI、GSS-API、RADIUS、PAM、Kerberos などがあります。技術的な仕様の詳細については、SSH Tectia client/server ソリューション データシートを参照してください。



Q4. Rlogin や Telnet などの他のリモート管理ツールを使用しない方が良い理由は何ですか?

Telnet や、Rlogin、RSH、RCP などの UNIX の r 系プログラムは、ネットワーク経由でコンピュータにリモート アクセスするために使用されるオリジナルのツールです。ただし、これらのツールにはセキュリティやパスワードが備わっておらず、データの内容がプレーンテ キストとして送信されるため、情報がネットワーク上を通過するときに簡単に盗聴される可能性があります。

また、インターネットから難なく入手可能な標準的攻撃ツールを使用すれば、IP アドレスの傍受や悪意のあるスプーフィングは簡単なことです。リモート プログラム実行などのシステム管理作業で高レベルの権限の実行が必要になれば、保護されていないリモート管理でセキュリティのリスクが内在することは明白 です。




Q5. オープン ソースをベースとする Secure Shell ではなく、SSH Tectia を導入した方が良い理由は何ですか?

オープン ソースをベースとする Secure Shell (OpenSSH) には、一元的な管理、一般的な企業内身分証明管理システムとの統合、セキュリティ認定 (FIPS 140-2 など)、スケーラブルなユーザ認証 (二要素認証など)、Windows プラットフォームのサポート、プロフェッショナルなサポート サービス、契約書による保証、製品の信頼性といった、大規模な金融機関や政府関係機関で必要とされる最重要の機能やサービスがありません。



Q6. どのプラットフォームがサポートされていますか?

SSH Tectia は、Windows、Linux、UNIX など様々なオペレーティング システムをサポートしており、異機種混在型ネットワーク環境全体での SSH Tectia の導入を可能にします。特定プラットフォームのサポートに関する詳細については、SSH Tectia Client / Server 製品ページを参照してください。



Q7. 大規模な SSH Tectia 環境を効率的に管理するにはどのようにすればよいですか?

SSH Tectia は、一元的な管理機能を備えており、大企業、金融機関、および政府関係機関でのサーバ管理においては経済的に非常に優れた選択肢です。SSH Tectia client/server 環境を一元的に管理する SSH Tectia Manager 製品の主な機能には、次のものがあります。

  • SSH Tectia client/server ソフトウェアの一元的な展開とアップグレード
  • SSH Tectia client/server 設定の一元的な管理と配布 
  • SSH Tectia Server の一元的な認証鍵管理 
  • 環境監視機能 (監査、ログ、統計)

SSH Tectia Manager によって可能になる一元管理のメリットには次のものがあります。

  • 大規模な展開でインストールし、アップグレードするためにかかる時間と費用が削減される
  • 大規模な展開で設定を管理するために使用される時間とリソースが削減される 
  • 監査の信頼性がより高くなり、法規制への遵守も強化される 
  • 強化されたセキュリティ ポリシーの一貫性によって、システム セキュリティが向上する 
  • システム管理の総コストが削減される


Q8. SSH Tectia は、X11 ベースのアプリケーションと共に使用できますか?

はい。SSH Tectia は、X11 プロトコルの透過的かつセキュアなトンネリングをサポートしています。



Q9. SSH Tectia がサポートする認証方式にはどのようなものがありますか?

SSH Tectia は、サーバー認証として公開鍵 (PKI なし) と電子証明書 (PKI あり) をサポートしています。ユーザの認証には、次のものをサポートしています。
  • パスワード
  • 公開鍵 
  • PKI (X.509v3 証明書) 
  • MSCAPI と PKCS #11 によるスマート カードとハードウェア トークン 
  • GSS-API (Windows ドメイン認証)
  • RADIUS 
  • Kerberos 
  • Pluggable Authentication Modules (PAM) 
  • RACF 認証(IBM z/OS プラットフォーム)
また、SSH Tectia は、RSA SecurID、Entrust Authority、Aladdin eToken などの先進的で広く採用されている認証システムとの相互運用性が実証されています。



Q10. Secure Shell エージェントとは何ですか? また、このエージェントは何を転送しているのですか?

SSH Tectia の典型的な使用例として、多数のリモート サーバに定期的に接続する必要のあるシステム管理者がいます。たとえば、システム管理者によっては、1 台のワークステーションから数十台、数百台のリモート サーバを管理しなければならないことがあります。SSH Tectia の認証エージェント機能では、サーバへのセキュアな接続が確立されるたびにユーザの認証情報を入力する必要がないので、使いやすさとシステム管理者の 生産性が向上します。公開鍵認証 (電子証明書がある場合とない場合の両方) が使用中である場合、SSH Tectia Client は、次の 2 種類の主要な認証エージェント機能を提供します。

  • 認証鍵キャッシュの 機能によって、システム管理者は SSH Tectia Client 用のセキュリティ ポリシーを設定して、セッション中にメモリ内に認証鍵を格納できます。その結果、最初の接続時に (秘密鍵の暗号化に使用される)パスフレーズ の入力が必要なのは 1 回だけになります。その後に他のサーバーに接続するときに、ログインのやりとりは必要ありません。
  • エージェント転送の機能によって、システム管理者が 1 つのサーバーから別のサーバーに "ホップ" する必要がある場合に、複数のサーバーに秘密鍵を格納する必要がなくなります。秘密鍵を 1 つのワークステーションのみに格納し、認証はエージェントによって 1 つのサーバーから別のサーバーに "転送" されます。実際の秘密鍵はネットワーク経由では送信されないため、とてもセキュアな方法なのです。


Q11. SSH Tectia には他社製の Secure Shell 実装との互換性はありますか?

はい。SSH Tectia には、OpenSSH やReflection for Secure ITなどの他社製の Secure Shell 実装との相互運用性があります。SSH 社は、Secure Shell の最初の開発会社であり、SSH Tectia のプロトコル実装は厳密に IETF SecSh Working Group のプロトコル仕様をベースにしています。