退職者のユーザID削除に始まるRACFデータベースの棚卸作業を定期的(少なくとも半年に一度)実施されているでしょうか?
棚卸の時に忘れてはいけない事に権限レコードの削除があります。
棚卸作業はユーザIDを削除するだけでは終了しません。既に存在しないユーザIDへの許可レコードを削除する必要があります。それを実施しないと新しく追加したユーザIDや別会社に出向されていた方が復帰された場合に自動的に権限情報が紐づく危険があります。
ユーザIDに付与する権限はRBAC(Role Base Access Control:以前はNeeds to knowの原則とも言いました)に基づいて実施する必要があります。
解析を開始する前にルールを確認
最初に棚卸のルールを考える必要があります。企業コンプライアンス等で規定されていればそれに従います。不要なユーザIDやグループを選択する基準はどのように決めますか?
ユーザIDであれば以下の基準で選択することが可能です。
- 一定期間未使用(最終ログオン日より決定)
- 登録後一度も使用されていないユーザID(初期状態で判断できます)
- 休眠ユーザID(例:長期間社外に出向して未使用となる場合)
- リボークユーザID(この状態のまま回復しないユーザIDは必要ないと想定できます)
では、グループIDはどう判断すればいいでしょうか?
権限レコードはグループIDを経由する場合でも最終的にはユーザIDで判断されます。従って、ここでは対象グループに接続しているユーザIDが1つも無い場合が該当します。そのグループIDは作成する必要が無かったと考えられます。将来的に必要となる場合でも、必要となった時点で定義しても問題はありません。
最後に残る権限レコードが一番面倒です。何故ならば、権限情報は各リソース(データセット・一般資源)にアクセス権限として定義されているためです。リソースに設定されているアクセス権限に定義されているユーザID(含むグループID経由)が存在しているか、同一ユーザIDに同一リソースのアクセス権限が複数登録されているかなどを調査して要不要を判断する必要があります。尚、この調査はコマンドを1つ1つ入力する方法で実施するのは煩雑になるため、ツールを利用する方法で対応します。
RACFユーティリティを使った削除
RACFには削除ユーティリティが提供されています。
一般的な削除ユーティリティの利用方法はSYSINで削除したいユーザIDやグループIDを指定して削除コマンドを生成しますが、今回のようなRACFデータベースの棚卸には、SYSINをDUMMYにして利用することでRACFデータベース全体を対象にクリーンアップを実施できます。
また、ルール上不要となったユーザIDやグループIDを削除するには、明示的にSYSINで指定して削除コマンドを生成する必要があります。
尚、このユーティリティはRACFデータベースの情報を直接読む方法ではなく、RACFデータベースのアンロード形式を入力とします。どのような流れで削除ユーティリティを利用するかは以下の図を参考にしてください。
生成されたRACFコマンドを編集し実行する
削除ユーティリティで生成されるコマンドは権限削除が中心のため、ルール上別途不要と判断されたユーザIDやグループIDなどはSYSINで明示的指定し削除コマンドを追加で生成する必要があります。
削除ユーティリティを実行して生成された複数の削除コマンドを編集し、削除コマンドを実行してRACFデータベースの棚卸を実施します。
削除は一度実行するとリカバリーは再登録となるため慎重に判断する必要があります。
削除後は再度削除ユーティリティでクリーンアップされたかを確認したり、RACFデータベースの内容を確認して誤りが無かったかを検証します。定期的なRACFデータベースの棚卸を実施することで、RACFの健全性を証明します。
Vanguard Administratorには情報検索と分析サービスに不要定義分析機能があり、削除ユーティリティより高度な機能をパネル選択で実施できます。
更に定期的なクリーンアップ作業のルールを事前に定義してクリーンアップ作業を自動化するツールも提供しており、運用管理業務の削減に役立てることができますので、ご興味のある方は是非ご確認下さい。