z/OSに対するセキュリティシステム監査（一般クラスの保護）

一般クラスとは

例えば、データセットを保護する場合には「DATASET」クラスにプロファイルを作ることで保護を行います。同様にz/OSおよびミドルウェアの各機能を保護するために、一般クラスと呼ばれる沢山のクラスが用意されています。

z/OS システム用に提供されるリソース・クラス

例えば、コマンド保護の場合

例えば、z/OSには多くのコマンドがありそのコマンドを投入することで各種機能のアクティブ等が実施できます。そのため、コマンドを発行できる対象者を限定していない場合、システム障害等を発生する可能性があります。そのため、コマンドを発行する対象を制限した場合には「OPERCMDS」クラスが用意されています。

「OPERCMDS」クラスを使用してコマンドを制限するには、当該クラスをアクティブ化されている必要があります。クラスのアクティブ化は、「SETROPTS LIST」の「ACTIVE CLASSES」にて確認することができます。

また、次の項目を参考にして対象のコマンドが正しく保護されているかを「RACF-FLATファイル」の0500レコードまたは、「RLIST」コマンドにて確認してください。

オペレーター・コマンド使用の管理

RLIST (一般リソース・プロファイルのリスト)

その他一般資源にて実施できること

FACILITYクラス

「FACILITY」クラスは、非常に雑多なクラスで一部コマンド発行権限からマイナー製品等のセキュリティ管理までも担っています。代表的な機能としては、「SPECIAL」属性が必要な他のユーザーIDのパスワードリセット権限を譲渡するなどがあります。
（個別の一般クラスを作るには満たない対象がFACILITYクラスに集約されています）

任意のユーザーのパスワードをリセットする権限を委任する手順

SDSFクラス

SDSF (システム表示および探索機能)において発行できるコマンドの制御等を担っています。

SDSF および RACF

STARTEDクラス

開始済みプロシージャーにて説明したSTCタスク名とSTC-IDを紐づけるために使用するクラスです。

SURROGATクラス

IDに関連する項目で説明した代理ジョブ実行権限にて使用するクラスです。

その他クラスについて

RACFにはミドルウェア向けを含めて多数の一般クラスが用意されており、非常に緻密にセキュリティ制御を行うことが可能です。そのため、RACFだけでなく製品側のマニュアルも参考にして必要な一般クラスをアクティブ化した上でセキュリティ管理を行う必要があります。

監査のポイント

MVSコマンド、JESコマンド等について必要なメンバーのみに制限されていますか。特にシステム変更系のコマンドについては厳格に付与されていますか。