このシリーズでは、メインフレームのセキュリティ管理の中心になる、RACFデータベースやSMFデータで確認すべき情報や、その方法について連載します。
さらに、Vanguardソリューションで個々の管理タスクをどのようにシンプルにできるかをご紹介します。
今回のお題はパスワード更新の期限の確認です。
RACFの設定内容を確認するには?
今回はパスワード更新が要求されない変更期限がないユーザーIDを確認するため、パスワード更新の期限を確認します。
パスワード更新が不要なユーザーは、漏洩した際に第三者に悪用される可能性が高い上に、その状態が継続するため、セキュリティアセスメント等で常に問題点TOP10の上位に挙げられています。そのため、こうしたユーザーは必要最低限に制限すべきです。
パスワードに関して、こんな経験があります。
セキュリティ運用管理を担当していた頃、別部署の古株の方からこっそりパスワードリセットを依頼されたことがありました。本来、このような依頼には申請書の提出が必要でした。
依頼者が役職やポジションの高い方である場合、断りにくいことがありますが、リセットはシステム内に記録が残り、定期的に報告する義務があるため、丁重にお断りしました。
RACFでは、管理者が設定した仮パスワードを利用者が最初のログオン時に変更する必要があり、変更後は管理者からパスワードが見えなくなる仕様です。しかし、RACF運用開始当初には、利用者から「パスワードを教えてほしい」という問い合わせがしばしばありました。
RACFの仕様上、管理者にはパスワードが分からないと説明しても、「そんなはずはない、教えてよ!」と言われることがありました。一方で、TopSecretでは管理者がパスワードを確認できましたが、この仕様は今でも変わっていないと思います。
なお、TopSecretからRACFへのコンバージョンにおいては、RACFの仮パスワードにTopSecretのパスワードを設定できるため、移行がスムーズに行えるかもしれません。
さて、本題に入りましょう!
標準のIBM/RACFパネルの場合
IBM標準ISPF/RACFパネルでは、抽出したい対象を明示的に指定する必要があり、ワイルドカード等の指定方法はありません。従って、検索の対象となるプロファイルを1つずつ指定して該当するかを確認する必要があるため作業効率が悪く、ICETOOLバッチ出力方法が作業効率上優れています。
RACFデータベースを順次ファイル形式にアンロードし、順次ファイルを入力としてICETOOLを利用して該当するデータをレポート出力して確認します。
- IRRDBU00ユーティリティをバッチジョブ実行*1
- 該当データを抽出する定義文およびレポート出力する項目、出力フォーマットの定義文を作成*2
- ICETOOLをバッチで実行しレポートを作成*3
- 出力されるレポートの内容を確認
*1IRRDBU00ユーティリティの使い方は「RACFセキュリティ管理者ガイド」マニュアルで 確認します。
*2アンロードされたRACFデータベースの形式は 「RACFマクロおよびインターフェース」マニュアルでフォーマットを確認します。
*3ICETOOLの使い方は、「RACF監査担当者のガイド」マニュアルで確認します。
手順例(各画像をクリックすると拡大表示します。)
1. RACFデータベースをアンロード
2. ICETOOL定義文作成
3. ICETOOLバッチジョブを実行
4. レポート内容を確認
Vanguardを利用した場合
Vanguardパネルから以下の操作で確認できます。
- ユーザーを選択
- パスワードインターバルに 0 を設定
- 表示された内容を確認
手順例(各画像をクリックすると拡大表示します。)
1. ユーザを選択
2. PWD(パスワード)インターバルに 0 を設定
3. 表示内容を確認
いかがでしたでしょうか。
Vanguardを使用すると、セキュリティ管理のタスクも高度な知識を習得する必要なく、容易に実践することが可能になります。
