z/OSに対するセキュリティシステム監査(STC-ID2)
適切なSTC-IDの設定
STCで稼動するタスクは多種多様であり、必要となる権限もタスク毎に異なることから適切な権限を付与されたIDを紐づける必要があります。
しかし、システムによってはほぼ全てのSTCがOPERTAION属性を持つような単一のIDで稼働している場合には次のような問題点があります。
STCが過剰な権限で実行されることから悪用された場合にセキュリティリスクが高くなる
SMF等に出力されるログが全て同一IDの処理として出力されることからログの切り分けが難しくなる
そのため、STC-IDはタスク毎(ある程度の用途毎)に異なるIDを紐付け適切な権限を付与する必要があります。
オペレーターによるSTC使用
STCとは”DB2やNetview等のミドルウェア(またそれ以外の個別のシステム機能)のようにシステムに常駐して各種機能を提供する”とご説明しましたが、それ以外の目的でも使用されています。
これは、マニュアル等では記載されていませんがz/OSの運用現場ではよく使用される方法で「オペレーター起動」や「特別処理対応」等の名称で呼ばれています。
通常、オペレーターに付与されたIDは権限を制限をされていますが、特定の作業の場合に限って強い権限が必要な場合があります。そのような場合にSTCを経由することで一時的に強い権限でJCLを実行することが可能です。
このような方式でオペレーターIDに恒常的に権限を付与せずに実施する場合があり、また当該作業で用いられるSTC-IDには強い権限が付与されていることがあります。例えば、STC-IDにOPERTAION属性が付与されている場合には、オペレーターは特権使用申請等なしにOPERATION属性を持つIDを間接的に使用することが可能となります。
そのため、被監査システムの担当者に当該運用を実施していないかを確認した上で、強い権限を持って実施している場合には次のような統制がされているかを確認する必要があります。また、OPERTAION属性等を付与して実施している場合には権限が過剰となっていないかを合わせて確認する必要があります。
当該運用に関する事前または事後の申請・承認プロセスがあること
STCから呼び出されるJCLを格納するデータセットの更新権限付与ユーザーIDを制限されていること
申請外の当該運用がないかを確認するモニタリングを実施されていること