z/OSに対するセキュリティシステム監査(業務データセットの保護)
システムにおいて絶対不可侵なデータが業務データとなっており、不正なアクセスによる漏洩やデータ改竄による被害はあってはならない事象です。
そのため、業務データを含むデータセットの保護は厳格に実施する必要があります。
業務データセットの特定
業務データの多くは本番DB(DB2やIMS等)に格納されています。また、本名DB以外にも処理の中間ファイル(転送データ等)が存在しています。そのため、被監査システム担当者にヒアリングを行い本番DBのVSAMファイル(DBの実データが保管されているデータセット)を特定すると共に業務データを含む中間ファイル等のデータセット体系を確認する必要があります。正しく管理されている本番システムであれば業務データが格納されている可能性あるデータセットは一定の体系(HONBAN.〜等)で作成されているのが一般的です。
例えば、アプリケーション開発側の権限が強く本番システム管理側の権限が弱い場合にアプリケーション開発側の要望に沿って業務データを含むデータセットが作成されてしまうことで、業務データが正しく保護されていない可能性があります。そのため開発等のマニュアルを閲覧し、中間処理ファイル等を含む業務データを含むデータセット命名規則が定められ、本番システム管理側にて命名規則に沿ったデータセット体系以外は受け入れを拒絶する運用を行なっていることを確認する必要があります。
業務データセットの保護
業務データセットの体系を確認したら該当する業務データセットを保護するプロファイルを確認し正しく保護されていることを確認してください。
業務データセットにアクセスできるID
システム障害の復旧や業務データの手動変更処理など特別な用途向けに限定されたID以外では業務データセットへのアクセス(参照・更新等)を認めることは通常考えられません。
そのため、業務データセットを保護するプロファイルのUACC値だけでなく、個別の権限付与(PERMIT)されているユーザーIDについても適切であるかを確認する必要があります。