【メインフレームニュースとは】
メインフレームは今なお、グローバルで企業の基盤として高い信頼性や大量のトランザクション処理が求められるシステムで使用されています。1987年の創業以来メインフレームの運用効率化、セキュリティ強化を実現してきた弊社からメインフレーム関連のお役立ち情報をご案内させていただきます。
z/OS Integrityとは
システム整合性とは、オペレーティングシステムがデータと自身を不正な変更から保護する能力です。
- z/OS は、あるプログラムが意図的または偶発的に別のプログラムの意図された結果に影響を与えるのを防ぐように設計されています。
- これには、システムによって許可されない限り、不正なアプリケーションプログラム、サブシステム、およびユーザーがシステムセキュリティーを回避したり、主要なシステムプロセスおよびリソースにアクセス、回避、無効化、変更、または制御を取得したりすることを防ぐことを目的とした、複数の関連する制御が含まれます。
「システム整合性ステートメント」は、システムへの侵害が実際のオペレーティングシステムから隔離されることを保証しており、脆弱性対策などのセキュリティ対策は、システム整合性を前提として実施しています。
メインフレームが脆弱な理由
- OSレベルに常駐する設計が不十分なコードは侵害を引き起こす可能性があり、実際に侵害を許した事例もあります。
- ベンダーのソフトウェアは、整合性よりも運用に重点を置き、急いでリリースされます。
- 経営陣は、メインフレームは本質的に安全だと考えています。
- 侵害は必ずしも公表されるわけではありません。
- 又、すべての脆弱性が国家脆弱性データベース(NVD)に記録されているわけでもありません。
導入先の責任
IBM MVS 認定アセンブラーサービスガイドには、次のように記載されています。
「…システムの整合性が確実に有効であり、システムで提供される整合性制御が損なわれないようにするために、導入先のシステムは、システムへの独自の変更や追加によって整合性が損なわれないようにする責任を負う必要があります。導入先のシステムで作成されたすべての許可コード(導入先システムに追加した SVC など)は、システムが整合性を維持するために使用するのと同じ、または同等の妥当性検査と制御を実行する必要があります。」
許可コードを追加した z/OS システムが、整合性を維持するために使用するのと同じ高レベルの標準に準拠していることは、導入先の責任です。
DORA(デジタルオペレーショナルレジリエンス法)は、脆弱性評価の一環としてコードスキャンを義務付けています。特に金融機関やサードパーティプロバイダーにおいては、この義務が重くのしかかっています。PCI(ペイメントカード業界)コンプライアンスのためのコードスキャンには、ソースコードの分析が含まれており、ペイメントカードデータのセキュリティを侵害する可能性のある脆弱性を特定します。
メインフレームの脆弱性管理
多くの組織では、メインフレームシステムを脆弱性スキャンプログラムに含めておらず、資産としてさえ認識していません。ほとんどのリスク管理チームは、z/OSオペレーティングシステムにどのような脆弱性が存在するかを把握していません。
貴社のシステム環境について、整合性要件を満たしているかを確認できますか?
z/OS メインフレーム脆弱性管理プログラムは、メインフレーム環境をセキュリティリスクと脆弱性から保護することを目的としています。z/OS システム全体のコード、構成、サードパーティ製ソフトウェアなどの脆弱性を特定、評価、軽減することで、システムの整合性とデータ保護を確保します。
次回は、z/OS 上の重大なセキュリティコードの脆弱性を発見できる、z/Assure 脆弱性分析プログラムについてご紹介します。