アセスメントの必要性
セキュリティアセスメントは以下の目的のために必要なデータを収集します。
- RACF環境についての一般的な情報を収集する
- 潜在的なシステム利用の問題点を認識する
- 潜在的なリソースアクセス上の問題点を認識する
- 潜在的な不適切なRACF実装を認識する
AUDITデフォルト設定とは?
データセットなどのリソースプロファイル定義では注意が必要です。監査に必須なアクセス記録ですが、デフォルトはAUDIT(FAILURES) となっており、デフォルトのままだとアクセス違反のデータしか収集されません。アクセス違反はある意味正しく保護されている証ですが、肝心なのは、誰が(業務上必要ないのに)アクセスできているかです。
セキュリティの基本はNeeds to knowが原則です。業務上必要な人にのみアクセス権を設定します。リソースプロファイルはUACC(NONE)を指定し、アクセスが必要な人にPERMITで許可を与えます。UACC(NONE)はシステムにアクセスできない人も含めています。
PERMITで許可を与えなくても、データセットなど殆どのリソースにアクセス可能な人が存在することをご存じでしょうか。それがOPERATIONS特権を所有する人です。この特権所有者は保護リソースに対してPERMIT許可を得なくてもアクセスが可能です。
同じ特権でもSPECIAL特権所有者の場合、標準のAUDIT設定では収集されない情報が存在するため、特権所有者の完全な記録を収集するにはUAUDIT属性を設定する必要があります。この設定によりRACFコマンド発行記録、保護リソースに対するアクセス記録、USS内からのRACF利用などが記録されます。但し、UAUDIT属性はAUDITOR特権所有者のみが発行できます。
このようにRACFでは設定上注意しなければならない箇所が多数あり、自社のRACF設定が正しく行われているかについて、一度アセスメントの実施をお薦めします。
複雑なRACFの管理、正しくできていますか?Vanguard RACF研修コース
AUDIT設定の確認方法
AUDITが正しく設定されているかはセキュリティ監査の基本です。現在定義されているデータセットのAUDIT設定がどのようになっているか確認されることをお薦めします。
確認は容易ではありません。データセットプロファイルを表示するLISTDSD(LD) コマンドはデータセットプロファイル名に*を指定できないため、明示的にプロファイル名を指定しなければなりません。どのようなデータセットプロファイルを登録したか台帳管理が必要になります。
RACFデータベースから情報抽出
RACFデータベースから定義されている情報を抽出するには、いくつかの方法があります。
バッチユーティリティ
RACFデータベース・アンロードユーティリティ(IRRDBU00)を利用して順次データセットに出力し、出力結果からユーザプログラムまたはRACFICEツールで必要なデータを抽出します。
Vanguardツール
Vanguard Administrator製品はRACFデータベースから様々な登録情報を検索できる強力なツールで、AUDIT(SUCCESS) となっているデータセットプロファイルのみを台帳無しで抽出しリストできます。以下はAdministrator画面サンプルで英語版と日本語版が利用できます。
参考 Vanguard Administratorについてはこちらもご参照ください。(ブロードHP)
参考 RACF関係の記事