Next Topic

Previous Topic

Book Contents

システムセキュリティ

我々は、総合的なセキュリティを徹底させてシステムを設計しました。当社の設計チームは、50年以上に渡って政府向けアプリケーションや商用アプリケーションのセキュリティを設計してきた経験を導入しました。この経験を、使いやすさと高度なセキュリティというユニークな組み合わせに適用しました。

プラットフォームのアーキテクチャは、最大のセキュリティを提供できることを中心にしています。エージェントが、すべてのサーバーへの通信を起動します。エージェントは一切のインバウンドの接続を受け入れないので、サードパーティのアプリケーションがネットワークからエージェントを攻撃することは実質的に不可能です。システムでは、管理されたマシンで入力ポートを開く必要はありません。このため、インバウンドポートのプローブの感染や新たなネットワーク攻撃を招くことなく、エージェントは実質的にどんなネットワーク構成でも機能できます。

VSA は、サーバーがエージェントと通信するたびに移動するキーを使用して、エージェントと 256-ビット RC4 を備えたサーバーの間のすべての通信を暗号化することで中間者攻撃を防御します。通常は、1日に最低1度です。単純テキストのデータパケットがネットワークに流れることはないので、攻撃者が利用できるものはありません。

安全なログオンプロセスの後、ユーザーはウェブインターフェースによって VSA にアクセスします。このシステムではパスワードがネットワークで送信されることもなければ、データベースに保存されることもありません。それぞれのユーザーだけが、自分のパスワードを知っています。クライアント側では、パスワードを VSA が各セッションに対して発行したランダムチャレンジと組み合わせて、SHA-1 でハッシュします。サーバー側では、この結果をテストしてアクセスを付与するかどうかを決定します。独自のランダムチャレンジによって、中間者攻撃がネットワークを探索し、ランダムビットをキャプチャし、後でそれを使って VSA にアクセスすることを防いでいます。

ウェブサイト自体は、VSA サーバーで毎日 Hotfix Checker ツールを実行することで保護されています。新しい IIS のパッチが利用可能になると、VSA はマスターの役割を持つユーザーに警報を送信します。これによって、最小の手間で VSA ウェブサーバーを常に最新のパッチレベルに保ちます。最終的に、ウェブのセキュリティを最高にするために、VSA ウェブページは SSL ウェブサイトとしての動作を完全にサポートしてます。