ActiveAlerts監視機能のご紹介

「ActiveAlerts」監視機能でSIEM製品、Eメール、システムコンソールへのメッセージ通知およびSNMPへの連携などが可能です。アクセス違反、特権の権限付与、連続パスワード違反および特定ユーザのログオン追跡など多数あり、z/OSで稼動するRACF/ACF2/TSSを対象に、約20種類から選択して適用できます。

QuickGenレポートのご紹介

QuickGenレポートはAdministrator、Advisor、AnalyzerおよびOffline製品で利用できるレポート作成機能です。標準レポートのデータを自由に加工してレポート作成できるだけでなく、CSVやEメールによる出力も可能です。タグ言語(QGTL)が拡張されレポート機能が便利なツールに成長しました。

どんなに素晴らしい防御システムも “人間”という脆弱性を忘れると砂上の楼閣になる

特権を管理する必要性は理解しつつも、なぜそれ程問題視するのか理解できないと考える方もいらっしゃると思います。ここでは、特権を管理しないことによって発生しうる問題点やシステムへの影響について考察してみましょう!z/OSシステムはインターネット経由ではないため安全と言われてきました。しかしコロナ禍でリモートワークが増え、z/OSシステムもリモート作業が増加しているためオープン系同様に脆弱なネットワーク環境となっています。

RACF不要定義を一掃:残したままだとセキュリティホールに!

RACF不要定義とは、必要のないプロファイルや設定情報をさし、あっても役に立たない定義を言います。長い間の運用管理によって消し忘れたプロファイルと考えられ、放置しておくとセキュリティホールにもなり得るため、悪用される恐れがあるばかりか、資源の無駄遣いにもなり、早めに対処しておく必要があります。

RACFパスワードルールの設定

TSOを利用してシステムにログインする場合、ユーザーIDとパスワードを入力しますが、ユーザーIDは利用者が誰なのかを知らせるため、パスワードは本人であることを証明するために利用されます。入力されたパスワードはRACFデータベース内の値と比較してログオンが許可されます。尚、RACFデータベースには利用者が入力したパスワードがそのまま保存されている訳ではなく、ユーザーIDを入力したパスワードを使用し、一方向関数アルゴリズムにより暗号化した値が保存されています。

Administrator新機能 SURROGAT権限の抜け穴を塞ぐ

SUBMIT権限は許可されたユーザがバッチジョブを利用して許可元の権限で業務を代行するための便利な機能ですが、この機能に意外な盲点がありました。米国企業が監査でこの問題を指摘され改善命令を受けたため、Vanguard社が新機能を強化して対応しました。SUBMIT権限を利用した問題の例を考えてみましょう!

RACFグループ構造上の秘密: SYS1権限ですべてのデータセットにアクセス

RACFグループは大変便利な機能です。グループは組織、業務、データ資源などを分類するために利用でき、グループに権限を付与することにより、ユーザ個別に権限を管理する必要がなくなるため、業務効率向上に寄与します。グループの先頭はRACF仕様によりSYS1から始まる階層構造になっていますが、意外な盲点が存在します。先ずはグループ作成の注意点から紹介します。

監査に欠かせないアクセス情報 デフォルトだと肝心なデータが未収集!

データセットなどのリソースプロファイル定義では注意が必要です。監査に必須なアクセス記録ですが、デフォルトはAUDIT(FAILURES) となっており、デフォルトのままだとアクセス違反のデータしか収集されません。アクセス違反はある意味正しく保護されている証ですが、肝心なのは、誰が(業務上必要ないのに)アクセスできているかです。

2021 Gartner Magic Quadrant for Privileged Access ManagementでBeyondTrustを3年連続でリーダーに選定

2021年のGartner Magic Quadrant for Privileged Access Management が発行され、BeyondTrustは3年連続で「リーダー」に選定されました。10社のPAMベンダーの実効性の能力、ビジョンの完成度などが評価され、何十もの項目での詳細評価レポートがされています。

特権アクセス管理(PAM)を用いたセグメンテーション手法

セグメンテーションは基本的なアーキテクチャ上の手法であり、資産、身元情報、アプリケーション、クラウドサービスなどの隔離を行い、水平方向に移動する脅威を軽減し、境界をまたぐ境界線を減らします。コンプライアンス戦略の多くが、データや他のリソースを保護する主な制御方法としてセグメンテーションを義務付けており、セキュリティのためのネットワークセグメンテーション、マイクロセグメンテーション、ゾーン手法は、その場のセキュリティを無条件に信用しないゼロトラストの環境とアーキテクチャを実現するための基本原則です。