z/OSに対するセキュリティシステム監査(RACF以外のID管理)
z/OSのセキュリティはRACFに集約されているものの全てのIDや権限がRACFで管理されているわけではありません。z/OSのセキュリティシステム監査を行う場合には、RACFでの管理範囲を把握する必要があります。
UADSにおけるユーザーID管理
RACFはz/OS(含むOS360等)の最初期から存在していたわけではなく、RACF以前には、UADSデータセットと呼ばれるシステムデータセットにIDおよびパスワード情報を定義していました。現在でもUADSデータセットは存在しており次のような用途で使用されています。
システム(TSO)へログインできるIDを定義する。
RACF等のトラブル発生時に緊急使用するIDを定義する。
UADSには緊急時に使用するIDを登録しておく必要があり、また該当データセットにはIDおよびパスワード(平文)が含まれていることから該当データセットへのアクセス権(参照・更新)を制限する必要があります。また、z/OSにおけるユーザーID棚卸しを実施する場合にUADSに定義されているユーザーIDも含めて実施する必要があります。
Netviewに関するID管理
Netviewはコンソールに出力されたメッセージに基づいて特定の処理を実施するz/OSの代表的なミドルウェアです。NetviewはRACF側でID・パスワードを管理する設定もありますが、Netview側でID・パスワードを独自管理する設定も存在します。
NetviewのID・パスワードの設定は、DSIPARM データ・セットの CNMSTYLEを確認する必要があります。
(DSIPARMデータ・セットはシステムによりデータセット名が異なることから被監査システム担当者に確認をしてください)
CNMSTYLEは、Netviewに関する初期パラメーターが定義されておりり、”SECOPTS.OPERSEC”にてNetviewのユーザーIDおよびパスワードをどのように管理するかを定められています。当該設定値を元に被監査システム担当者にヒアリングを行いNetviewにおけるIDおよびパスワード管理の実装方法を確認してください。
例えば「SECOPTS.OPERSEC=NETVPW」の場合には、IDおよびパスワードはRACFの定義を使用せず「DSIOPF」の定義情報を使用します。このような場合には、「DSIOPF」の定義情報をユーザーID棚卸し時に対象として実施する必要があります。また、「DSIOPF」にはIDおよびパスワード(平文)で含むことから「DSIOPF」を含むデータセットへのアクセス権(参照・更新)を制限する必要があります。
(DSIOPFを含むデータセットはシステムごとにデータセット名が異なることから被監査システム担当者に確認してください)
DB2における権限管理
DB2は、z/OSにおける代表的なリレーショナルデータベース製品です。DB2における権限検査ではRACFが管理するIDを使用しますが、DB2における権限はDB2内のテーブルおよび初期設定パラメーターにて管理されています。
そのため、RACF内の定義だけで権限の棚卸しを行うとDB2側の権限を適切に棚卸しすることは出来ません。そのため、次のようなDB2側の権限設定を追加で取得する必要があります。
DB2の権限テーブル内の特権
DB2内の「SYSIBM.SYSUSERAUTH」テーブルにはシステム特権に関連する定義情報が収められています。DB2特権を確認する場合には、当該テーブルの定義情報を被監査システム担当者に依頼してSQLを実行して取得してください。また、DB2の権限テーブルに定められている権限のうち特権とすべき対象は各社の特権に関する定義に判断してください。
DB2の初期導入特権
DB2内の特権情報は全てが「SYSIBM.SYSUSERAUTH」テーブルに含まれているわけではありません。「インストール SYSADM」および「インストール SYSOPR」はサブシステム初期設定パラメーターを含むモジュール (通常は DSNZPARM)に定義されています。
そのため、DB2特権を網羅的に確認する場合は「SYSIBM.SYSUSERAUTH」の定義情報だけではなくサブシステム初期設定パラメーターを含むモジュールの定義情報を被監査システム担当者に依頼して取得する必要があります
RACF管理範囲の把握
z/OSにおいてID等がRACFに管理されていない、またはその可能性がある領域についてご説明いたしました。z/OSには上記以外のミドルウェア等も存在していることから監査を行う場合には、被監査システムに導入されているz/OS機能やミドルウェアを確認し独自のID、パスワード、権限管理を行なっている対象をマニュアルの確認等を行い把握してください。