RACF不要定義を一掃:残したままだとセキュリティホールに!

RACF不要定義を一層(イメージ)

RACF不要定義とは?

必要のないプロファイルや設定情報を言い、あっても役に立たない定義を言います。長い間の運用管理によって消し忘れたプロファイルと考えられ、放置しておくとセキュリティホールにもなり得るため、悪用される恐れがあるばかりか、資源の無駄遣いにもなり、早めに対処しておく必要があります。

不要定義の確認・判断方法

一般的には退職者や出向者、登録して一度も使われていないユーザIDなどが挙げられます。更に、ユーザIDを削除する時に消し忘れた権限情報なども含まれます。ユーザIDを削除する場合には、最初に関連する権限を削除してから最後にユーザIDを削除しますが、この順序を間違えると不要な権限情報だけが残り、同一ユーザIDを再登録した場合自動的に権限が付与されてしまうため注意が必要です。

不要なプロファイルを判断するために一般に広く利用されている方法は、未参照期間が挙げられます。一年以上も使用されていないユーザIDプロファイルや権限情報などは不要なプロファイルと判断できます。人事異動のデータなどと連動させる方法が不要なユーザIDを確認するきっかけとして最適です。

RACFでは一定期間未使用である場合、自動的に該当するユーザIDをINACTIVEにするSETROPTSオプション設定が利用できます。また、ユーザIDプロファイルの最終アクセス日がUnknownであれば、登録後一度も使用した実績がないことになり、不要対象に挙げられます。

重複定義をご存じでしょうか。例えばデータセットなどのアクセス権限が同一ユーザIDに対して複数設定されていることを言います。業務上の都合で一定期間特定のリソースに対して高いアクセス権限を設定したり、人事異動などで業務内容が変更された場合に正しい権限設定に変更しますが、グループ経由で得られる権限を見落としがちです。

RACFでは重複権限が存在する場合、最も高いアクセス権限が有効になりますが、運用上実施された重複権限が業務終了後も残ってしまうことは十分起こりえます。RACFがリソースを中心としたセキュリティであり、当該ユーザIDから使用可能なリソース権限を確認する方法がありません。

定期的な棚卸の必要性

不要な定義を定期的に確認しクリーンアップすることはRACF運用管理で重要な業務の一つです。棚卸の対象であるプロファイルがRACFデータベースにどのくらい登録されているかを確認するには、RACFデータベースから該当のデータを抽出しなければなりません。

一方、RACFに登録したユーザID、データセットやトランザクションなどのリソースを台帳化して管理しますが、台帳と実際に登録されているリソースが一致している保証がありません。そのため定期的な台帳の更新も運用業務の一つになります。

RACFデータベースから情報抽出

RACFデータベースから定義されている情報を抽出するには、いくつかの方法があります。

ISPFパネル

RACFで標準に用意されているISPFパネルで該当情報を表示させて記録する。画面に表示させ記録するのは大変な手間がかかります。

RACFコマンド

比較的良く利用されている方法で、ユーザID、データセットおよび一般資源などリソース毎にRACFコマンドで表示させ、出力結果を記録する。出力結果を入力にしたプログラムが必要になります。特にデータセットプロファイルはプロファイル名に*表示ができないため、何が登録されているか確認することも大変な作業です。

バッチユーティリティ

RACFデータベース・アンロードユーティリティ(IRRDBU00)を利用して順次データセットに出力し、出力結果からユーザプログラムまたはRACFICEツールで必要なデータを抽出します。

Vanguardツール

Vanguard Administrator製品はRACFデータベースから様々な登録情報を検索できる強力なツールですが、自由なレポート出力が可能な優れものです。

Vanguard Administrator 1

Vanguard Administrator