【メインフレームニュースとは】
メインフレームは今なお、グローバルで企業の基盤として高い信頼性や大量のトランザクション処理が求められるシステムで使用されています。1987年の創業以来メインフレームの運用効率化、セキュリティ強化を実現してきた弊社からメインフレーム関連のお役立ち情報をご案内させていただきます。
CISベンチマークは、OS・ミドルウェア・クラウド・ネットワーク機器などに対して、「安全な設定(Secure Configuration) の最低ライン」を示した設定基準書で、以下の特徴があります。
| 観点 | 内容 |
|---|---|
| 目的 | 攻撃されやすい設定を排除し、リスクを最小化 |
| 形式 | 推奨設定項目のチェックリスト |
| 実装 | 手動チェック/自動評価(CIS-CAT等) |
| レベル | Level 1(業務影響が少ない) Level 2(より厳格・影響あり) |
2020年当時、IBM Zの「業界ベストプラクティス」は、米国DoD の DISA STIG、IBM社内部の非公式RACF 設定集(cookbook)、メーリングリストやカンファレンス情報に散在していましたが、体系化されていませんでした。顧客からの要望とCISのコミュニティ主導モデルを受け、IBM 社が中心となり、約2年かけて200以上の推奨事項(Recommendations)を整理しました。従来CISはWindows、Linux、Cloud、ネットワーク機器が中心でしたが、z/OSもCIS Benchmarkの世界に正式に組み込まれました。
各推奨事項(Recommendations)では以下のように構成されます。
- Description:何を求めているか
- Rationale:なぜ重要か
- Impact(任意):導入時の影響
- Audit:監査時の確認方法
- Remediation:具体的な設定手順
更に、デフォルト値、DISA STIG / CIS Controls とのマッピング、自動化可否(Assessment Status)も含まれます。
さて、当社のパートナー企業が主催するメインフレーム・セキュリティに特化したカンファレンスイベントでの講演の1つで、RSH ConsultingによるRACFに関するアンケートが紹介されていました。
次のような設問ですが、貴社ではどのような対応をされているでしょうか?
- SETROPTS INACTIVE は何日に設定されていますか?
- SETROPTS INACTIVE に加えて、または代わりに、非アクティブまたは退職したユーザーのID を特定して取り消すプロセスはありますか?
- 現在も従業員である非アクティブユーザーのID を削除していますか?
- 現在の従業員の非アクティブID を削除するポリシーに関して、以下のうち最も適切なものはどれですか?
- 監査人が要求した場合、この要件は負担になりますか(例:使用頻度の低いユーザーのID を削除して再作成するという無駄な作業が発生するなど)?
(以下の各画像はクリックすると大きく表示されます。)
規制コンプライアンスのためのCIS が、Vanguard Compliance Manager for RACF で利用可能になりました。ご興味がありましたら、弊社営業までお問合せください。