このシリーズでは、メインフレームのセキュリティ管理の中心になる、RACFデータベースやSMFデータで確認すべき情報や、その方法について連載します。
さらに、Vanguardソリューションで個々の管理タスクをどのようにシンプルにできるかをご紹介します。
今回のお題は特権ユーザーによるアクセスの確認です。
特権ユーザーによるアクセスを確認するには?
特権については注意すべき点があります。
SPECIALとOPERATIONS権限の両方を一人の管理者に設定すべきではありません。
理由は「鶏小屋を狐が守る」ことになるからですが、企業のセキュリティ・アセスメントを実施すると、このタイプの管理者が結構多く見られます。酷いケースでは更にAUDITORまで付与していた例もあり、RACFの三権分立が意味を成しません。
データを管理するOPERATIONS、セキュリティ設定のSPECIAL、そしてこれらを監査するAUDITOR権限を分担してこそ正しいセキュリティ管理が実現します。
さて、今回は具体的にはOPERATIONS特権を持つユーザーがアクセスしたデータセットを確認します。本日分のアクセス記録データは稼働中のSMFにあり、標準的な方法では以下の手順が必要です。
- SMFデータをダンプ(この部分は後述の手順には含まれていません)
- SMFダンプデータセットからアンロード形式のファイルを作成
- ICETOOLの制御文をマニュアルを参照して作成
毎日出力しているレポートは全員分のデータが出力されているため、外注先のユーザを特定する定義を追加する必要があります。 - 作成したJCLをサブミット
ここまでで、慣れた人で1日程度でしょうか。
Vanguardは稼働中のSMFデータから直接レポートできます!
今回は、標準の方法の確認と、Vanguardを使用する場合、非常に容易に目的を果たせることをご覧いただきます。
標準のIBM/RACFパネルの場合
IBM標準ISPF/RACFパネルでは、SMFデータからレポートを作成することはできません。従って、RACFレポートライター又はICETOOLを利用してバッチでレポートを作成する必要があります。
SMFデータを順次ファイルにアンロードし、順次ファイルを入力としてICETOOLを利用して該当するデータをレポート出力して確認します。
- IRRADU00ユーティリティ*1をバッチジョブ実行
- 該当データを抽出する定義文およびレポート出力する項目、出力形式の定義文を作成*2
- ICETOOL*3をバッチで実行しレポートを作成
- 出力レポートの内容を確認
*1 IRRADU00ユーティリティの使い方は「RACFセキュリティ管理者ガイド」マニュアルで確認します。
*2 アンロードされたSMFデータファイルの形式は「RACFマクロおよびインターフェース」マニュアルで項目や長さ等を確認します。
*3 ICETOOLの使い方は、「RACF監査担当者のガイド」マニュアルで確認します。
手順例(各画像をクリックすると拡大表示します。)
1. SMFデータセットをアンロード
2. ICETOOL定義文作成
3. ICETOOLバッチジョブを実行
4. レポート内容を確認
ICETOOLの制御文作成にはIBMマニュアルの内容を調べて必要な項目を探して定義を作成する必要があり、ここからご紹介するVanguardを利用して必要な項目を選択する場合と比較すると、1つのレポート作成して結果を得るまでで1日対1週間程度の作業負荷の違いがあります。
Vanguardを利用した場合
Vanguardパネルから以下の操作で確認できます。
- リソースアクセス詳細を選択
- データセットアクセスを選択
- 特権タイプでOPERATIONを指定
- 表示内容を確認
手順例(各画像をクリックすると拡大表示します。)
1.リソースアクセス詳細を選択
2. データセットアクセスを選択
3. 特権タイプでOPERATIONを指定
4. 表示内容を確認
いかがでしたでしょうか。
Vanguardを使用すると、セキュリティ管理のタスクも高度な知識を習得する必要なく、容易に実践することが可能になります。
