このシリーズでは、メインフレームのセキュリティ管理の中心になる、RACFデータベースやSMFデータで確認すべき情報や、その方法について連載します。
さらに、Vanguardソリューションで個々の管理タスクをどのようにシンプルにできるかをご紹介します。
今回のお題はデータセットのデフォルトアクセス権の確認です。
RACFの設定内容を確認するには?
今回は特定データセットのデフォルトアクセス権がNONEより大きいプロファイルを確認してみます。
標準のIBM/RACFパネルの場合
IBM標準ISPF/RACFパネルでは、抽出したい対象を明示的に指定する必要があり、ワイルドカード等の指定方法はありません。従って、検索の対象となるプロファイルを1つずつ指定して該当するかを確認する必要があるため作業効率が悪く、ICETOOLバッチ出力方法が作業効率上優れています。
RACFデータベースを順次ファイル形式にアンロードし、順次ファイルを入力としてICETOOLを利用して該当するデータをレポート出力して確認します。
- IRRDBU00ユーティリティをバッチジョブ実行*1
- 該当データを抽出する定義文およびレポート出力する項目、出力フォーマットの定義文を作成*2
- ICETOOLをバッチで実行しレポートを作成*3
- 出力されるレポートの内容を確認
*1IRRDBU00ユーティリティの使い方は「RACFセキュリティ管理者ガイド」マニュアルで 確認します。
*2アンロードされたRACFデータベースの形式は 「RACFマクロおよびインターフェース」マニュアルでフォーマットを確認します。
*3ICETOOLの使い方は、「RACF監査担当者のガイド」マニュアルで確認します。
手順例(各画像をクリックすると拡大表示します。)
1. RACFデータベースをアンロード
2. ICETOOL定義文作成
3. ICETOOLバッチジョブを実行
4. レポート内容を確認
Vanguardを利用した場合
Vanguardパネルから以下の操作で確認できます。
- データセットを選択
- UACCにNONE以外の条件を指定
- 表示された内容を確認
手順例(各画像をクリックすると拡大表示します。)
1. データセットを選択
2. UACCにNONE以外の条件を指定
3. 表示内容を確認
Vanguardの場合は更に、プロファイルを選択するとアクセス権限者まで確認する事ができます
ちなみに:
アセスメントを実施していると、このような設定が良く見られますが、これでは誰が更新したのか、肝心な記録が取れません。
従って、Vanguard社RACF研修コースAdministration-Iでは以下の設定を推奨しています。
- AUDIT設定:FAILURE(READ) SUCCESS(UPDATE) を推奨
いかがでしたでしょうか。
Vanguardを使用すると、セキュリティ管理のタスクも高度な知識を習得する必要なく、容易に実践することが可能になります。
