このシリーズでは、メインフレームのセキュリティ管理の中心になる、RACFデータベースやSMFデータで確認すべき情報や、その方法について連載します。
さらに、Vanguardソリューションで個々の管理タスクをどのようにシンプルにできるかをご紹介します。
今回のお題は特権が付与されたユーザーIDの確認です。
RACFの設定内容を確認するには?
RACF管理者として一番多い仕事は、やはりユーザーIDの登録でしょうか。
ユーザーIDを定義して、システム上で誰が誰かを識別できるようにしなければなりませんが、皆さんのシステムでは、どのようにユーザーIDを決めていますか。
私の以前の職務では、従業員番号をそのまま使っていました。しかし、メーカーの方に聞いてみますと「従業員番号にもう一桁追加するといい」とのこと。
その理由は「他人のユーザーIDが判ると、悪戯する人が出てくるからなんです。嫌いな相手のユーザーIDを使って、わざとパスワードを間違えてリボーク(アカウント利用停止)させるそうです。」
似たような話を監査担当の方からも聞いたことがありますが、リボークされる人って、もしかして人気者ってことなんでしょうか?
さて、本題ですが、今回は特権が付与されたユーザーIDを確認します。
標準のIBM/RACFパネルの場合
IBM標準ISPF/RACFパネルでは、抽出したい対象を明示的に指定する必要があり、ワイルドカード等の指定方法はありません。従って、検索の対象となるプロファイルを1つずつ指定して該当するかを確認する必要があるため作業効率が悪く、ICETOOLバッチ出力方法が作業効率上優れています。
RACFデータベースを順次ファイル形式にアンロードし、順次ファイルを入力としてICETOOLを利用して該当するデータをレポート出力して確認します。
- IRRDBU00ユーティリティをバッチジョブ実行*1
- 該当データを抽出する定義文およびレポート出力する項目、出力フォーマットの定義文を作成*2
- ICETOOLをバッチで実行しレポートを作成*3
- 出力されるレポートの内容を確認
*1IRRDBU00ユーティリティの使い方は「RACFセキュリティ管理者ガイド」マニュアルで 確認します。
*2アンロードされたRACFデータベースの形式は 「RACFマクロおよびインターフェース」マニュアルでフォーマットを確認します。
*3ICETOOLの使い方は、「RACF監査担当者のガイド」マニュアルで確認します。
参考 DSMON(データセキュリティモニター)を実行して出力する方法もあります。
手順例(各画像をクリックすると拡大表示します。)
1. RACFデータベースをアンロード
2. ICETOOL定義文作成
3. ICETOOLバッチジョブを実行
4. レポート内容を確認
表示内容 ①ユーザーID ②ユーザー名 ③SPECIAL権限有無 ④OPERATIONS権限有無 ⑤AUDITOR権限有無
ICETOOLの制御文作成にはIBMマニュアルの内容を調べて必要な項目を探して定義を作成する必要があり、ここからご紹介するVanguardを利用して必要な項目を選択する場合と比較すると、1つのレポート作成して結果を得るまでで1日対1週間程度の作業負荷の違いがあります。
Vanguardを利用した場合
Vanguardパネルから以下の操作で確認できます。
- ユーザーを選択
- 検索条件指定のため拡張モードにYを指定
- 検索条件を論理式で指定(AUDITOR=Y | ROAUDITOR=Y | OPERATIONS=Y | SPECIAL=Y)
- 表示された内容を確認
手順例(各画像をクリックすると拡大表示します。)
1. ユーザを選択
2. 検索条件指定のため拡張モードにYを指定
3. 検索条件を論理式で指定
4.表示された内容を確認
表示内容 ①ユーザーID ②ユーザー名 ③SPECIAL権限有無 ④OPERATIONS権限有無 ⑤AUDITOR権限有無 ⑥特権以外の属性も同時に表示
いかがでしたでしょうか。
Vanguardを使用すると、セキュリティ管理のタスクも高度な知識を習得する必要なく、容易に実践することが可能になります。
