« OKAMURA シティが手に負えない件 | Main | Time Capsule って便利だな »
Common Ctieria (CC, 情報セキュリティ国際評価基準)というのをご存知でしょうか? コンピュータシステムや製品のセキュリティ要件の国際評価基準のことです。これに照らして Mac OS X をどのように設定すればよいのかという話です。
まず、ことの切っ掛けは「The Mac Security Blog » Post Topic » Apple Releases Common Criteria Tools for 10.5」です。名前だけは聞いたことがある Common Ctieria に関するツールの Leopard 版がリリースされたという内容でした。
よく知らないけれど、自分が普段使っていて大抵のことはこれで済ませている Mac OS X が、そういう基準に照らして客観的にセキュアになるのだったらいいことじゃないですか。僕はセキュリティ専門家ではないのだから、個人でああした方がいい、こうしては駄目だと考えて実施していることにはどこか偏りがあるでしょう。それが国際的な基準で是正されればこれにこしたことはありません。
というわけでその記事のリンク先の Apple のサイトから Common Ctieria Tools for 10.5 をダウンロードしてインストールしてみました。でも何がどうなったのかさっぱりわかりません。ダウンロードした dmg ファイルに入っているインストールパッケージでインストールするのですが、普通は拡張子が pkg の場合はそれはバンドルと呼ばれるもので、ディレクトリがファイルのように見えるものです。そのディレクトリの中を覗いてごにょごにょすればどんなファイルがインストールされるのかを知ることができます。しかしこのパッケージは拡張子が pkg でも本当にファイルでした。
なんか解説はないものだろうかと探してみることにしました。
探すなんて言うほどものではありませんが、Common Ctieria Tools for 10.5 のダウンロードページから「Apple - Support - Security - Common Criteria」というページに Mac OS X の各バージョンに関する解説書が一覧されているのを見つけました。
英語なのでじっくり読む気にもなりませんが、Common Ctieria Tools のインストール手順に続き、Mac OS X をどう設定したらいいかの手順が書いてあります。手順のところは箇条書きになっていて短い文でああしろこうしろと書いてあります。これなら読んで実施することができます。
自分の意に添わないところや実施不可能のように思われるところをスキップして一通りやってみました。なかなかよくできています。皆さんも暇なときに解説書をダウンロードして Mac OS X の設定を見直してみてはいかがでしょうか。
自分の意に添わなかったところはこんなところでした。
ここはパスワードによる認証をしなようにして、ちゃんとパスフレーズを付けた秘密鍵ファイルと公開鍵ファイルのペアを作って、その公開鍵認証だけを許可するようにした方がよりセキュアだと思います。
仕事などの関係上 Apache を使うのでこれはできません。
実施不可能と思われるところはこんなところでした。これは僕の勘違いかもしれません。
当該の操作に書いてある設定項目はありませんでした。
当該の操作に書いてある Directory Access というユーティリティはありませんでした。
他にもあったような気もしますが、とにかく解説書と食い違いがあります。ということは Mac OS X 10.5 に合わない記述があるということです。だから次のところは保留にしています。
5 文字以上のパスワードでないと受け付けないようにする設定なのですが、Mac OS X 10.5 も NetInfo を使っているのかどうかちょっと気になったので実施していません。そもそもこのマシンには僕以外のユーザアカウントを作るつもりはないので、僕のパスワードが 5 文字以上だから設定してもしなくても結果は一緒です。
umask というのはファイルやディレクトリのパーミッションのデフォルト設定みたいなもんです。それを個人個人の設定ではなくシステム全体の設定でデフォルトをちゃんと決めましょうという主旨の項目です。
実施する前に、その操作で書き込まれるファイルの内容を検討してみると、設定項目自体が書いてありません。Mac OS X 10.5 に適合する設定なのかどうか自信がなくなったので実施しませんでした。
因に、実施していないときの umask は 0022 です。これは自分以外は自分のファイルに書き込んでは駄目という値で、読むことは許しています。Mac OS X ではホームの下の共有に供するフォルダ以外は、そもそも他の人が読んだりファイルをブラウズできないパーミッションが付与されています。ですから、ホーム直下におくもののパーミッションに気をつければあとはそれほど気にしなくてもよいかと思います。