監査に欠かせないアクセス情報 デフォルトだと肝心なデータが未収集!

アカウントイメージ

アセスメントの必要性

セキュリティアセスメントは以下の目的のために必要なデータを収集します。

  • RACF環境についての一般的な情報を収集する
  • 潜在的なシステム利用の問題点を認識する
  • 潜在的なリソースアクセス上の問題点を認識する
  • 潜在的な不適切なRACF実装を認識する

AUDITデフォルト設定とは?

データセットなどのリソースプロファイル定義では注意が必要です。監査に必須なアクセス記録ですが、デフォルトはAUDIT(FAILURES) となっており、デフォルトのままだとアクセス違反のデータしか収集されません。アクセス違反はある意味正しく保護されている証ですが、肝心なのは、誰が(業務上必要ないのに)アクセスできているかです。

セキュリティの基本はNeeds to knowが原則です。業務上必要な人にのみアクセス権を設定します。リソースプロファイルはUACC(NONE)を指定し、アクセスが必要な人にPERMITで許可を与えます。UACC(NONE)はシステムにアクセスできない人も含めています。

PERMITで許可を与えなくても、データセットなど殆どのリソースにアクセス可能な人が存在することをご存じでしょうか。それがOPERATIONS特権を所有する人です。この特権所有者は保護リソースに対してPERMIT許可を得なくてもアクセスが可能です。

同じ特権でもSPECIAL特権所有者の場合、標準のAUDIT設定では収集されない情報が存在するため、特権所有者の完全な記録を収集するにはUAUDIT属性を設定する必要があります。この設定によりRACFコマンド発行記録、保護リソースに対するアクセス記録、USS内からのRACF利用などが記録されます。但し、UAUDIT属性はAUDITOR特権所有者のみが発行できます。

このようにRACFでは設定上注意しなければならない箇所が多数あり、自社のRACF設定が正しく行われているかについて、一度アセスメントの実施をお薦めします。

AUDIT設定の確認方法

AUDITが正しく設定されているかはセキュリティ監査の基本です。現在定義されているデータセットのAUDIT設定がどのようになっているか確認されることをお薦めします。

確認は容易ではありません。データセットプロファイルを表示するLISTDSD(LD) コマンドはデータセットプロファイル名に*を指定できないため、明示的にプロファイル名を指定しなければなりません。どのようなデータセットプロファイルを登録したか台帳管理が必要になります。

RACFデータベースから情報抽出

RACFデータベースから定義されている情報を抽出するには、いくつかの方法があります。

バッチユーティリティ

RACFデータベース・アンロードユーティリティ(IRRDBU00)を利用して順次データセットに出力し、出力結果からユーザプログラムまたはRACFICEツールで必要なデータを抽出します。

Vanguardツール

Vanguard Administrator製品はRACFデータベースから様々な登録情報を検索できる強力なツールで、AUDIT(SUCCESS) となっているデータセットプロファイルのみを台帳無しで抽出しリストできます。以下はAdministrator画面サンプルで英語版と日本語版が利用できます。

Administrator画面サンプル(日本語)

Administrator画面サンプル(英語)


参考 Vanguard Administratorについてはこちらもご参照ください。(ブロードHP)

参考 RACF関係の記事

シェアする

  • このエントリーをはてなブックマークに追加

フォローする