このシリーズでは、メインフレームのセキュリティ管理の中心になる、RACFデータベースやSMFデータで確認すべき情報や、その方法について連載します。
さらに、Vanguardソリューションで個々の管理タスクをどのようにシンプルにできるかをご紹介します。
今回のお題は特権ユーザが発行したRACFコマンドの確認です。
特権ユーザが発行したRACFコマンドを確認するには?
RACFを管理するためのコマンドはSPECIAL権限により可能となりますが、SPECIAL権限があれば誰でも全てのコマンドを発行できます。RACFにはRACF全体に影響を与えるSETROPTSコマンドがありますが、数十年のベテランも、昨日配属された新人も区別がありません。
発行できるコマンドを担当者の技術や経験レベルで区別したいと考える事はありませんか?
もし、そのような課題をお持ちでしたら、是非こちらをご覧ください。
さて本題です。これから特権ユーザが発行したRACFコマンドを確認しますが、本日分のアクセス記録データは稼働中のSMFにあり、標準的な方法では以下の手順が必要です。
- SMFデータをダンプ(この部分は後述の手順には含まれていません)
- SMFダンプデータセットからアンロード形式のファイルを作成
- ICETOOLの制御文をマニュアルを参照して作成
毎日出力しているレポートは全員分のデータが出力されているため、外注先のユーザを特定する定義を追加する必要があります。 - 作成したJCLをサブミット
ここまでで、慣れた人で1日程度でしょうか。
Vanguardは稼働中のSMFデータから直接レポートできます!
今回は、標準の方法の確認と、Vanguardを使用する場合、非常に容易に目的を果たせることをご覧いただきます。
標準のIBM/RACFパネルの場合
IBM標準ISPF/RACFパネルでは、SMFデータからレポートを作成することはできません。従って、RACFレポートライター又はICETOOLを利用してバッチでレポートを作成する必要があります。
SMFデータを順次ファイルにアンロードし、順次ファイルを入力としてICETOOLを利用して該当するデータをレポート出力して確認します。
- IRRADU00ユーティリティ*1をバッチジョブ実行
- 該当データを抽出する定義文およびレポート出力する項目、出力形式の定義文を作成*2
- ICETOOL*3をバッチで実行しレポートを作成
- 出力レポートの内容を確認
*1 IRRADU00ユーティリティの使い方は「RACFセキュリティ管理者ガイド」マニュアルで確認します。
*2 アンロードされたSMFデータファイルの形式は「RACFマクロおよびインターフェース」マニュアルで項目や長さ等を確認します。
*3 ICETOOLの使い方は、「RACF監査担当者のガイド」マニュアルで確認します。
手順例(各画像をクリックすると拡大表示します。)
1. SMFデータセットをアンロード
2. ICETOOL定義文作成
3. ICETOOLバッチジョブを実行
4. レポート内容を確認
ICETOOLの制御文作成にはIBMマニュアルの内容を調べて必要な項目を探して定義を作成する必要があり、ここからご紹介するVanguardを利用して必要な項目を選択する場合と比較すると、1つのレポート作成して結果を得るまでで1日対1週間程度の作業負荷の違いがあります。
Vanguardを利用した場合
Vanguardパネルから以下の操作で確認できます。
- RACFコマンド概要を選択
- 全コマンドを選択
- 検索条件は指定しない
- 表示内容を確認
手順例(各画像をクリックすると拡大表示します。)
1.RACFコマンド概要を選択
2. 全コマンドを選択
3. 検索条件は指定しない
4. 表示内容を確認
↓
いかがでしたでしょうか。
Vanguardを使用すると、セキュリティ管理のタスクも高度な知識を習得する必要なく、容易に実践することが可能になります。
