Vanguard
z/OS Security Serverのセキュリティ管理と運用効率を大幅に向上するエンタープライズ・サーバ・セキュリティ
世界最大の金融、保険、政府機関、そして小売業者がセキュリティをVanguard Integrity Professionals社に委託しています。
Vanguardはなぜ選ばれるのでしょうか?その理由はここにあります。
- Vanguardは、世界中の重要なインフラストラクチャを保護します。
- Vanguard Cybersecurity Solutionsは財務上のリスクを軽減するのに役立ちます。
- Vanguard Solutionsは包括的なCyber Attack Resiliencyを提供します。
メインフレームも思われているほど安全ではない
メインフレームも他のプラットフォームと同じように、悪意をもつ行為者にとって攻撃経路になるアクセス方法が存在します。
多様な攻撃経路を認識する必要があり、また、システムのインフラや許可されたユーザについても把握が必要です。
メインフレーム上で実行されている全てのサービスがシステム露呈の脅威に悪用される可能性があると認識しなくてはいけません。
メインフレームへの攻撃
-
メインフレーム攻撃面
メインフレームを利用する手段(プロトコル)の例。
- CICS: オンラインシステムからバッチジョブを実行する手段
- NJE: リモートからバッチジョブを実行する手段
- TN3270: 3270端末エミュレータ(80文字x24行のスクリーン)をTCP/IP経由で通信
-
z/OS上の特権昇格(SpecialやOperations権限へ)
ソフトウェアの脆弱性により、許可されていないユーザが最終的には特権所有者と同等の操作が可能になる恐れがあります。
- APF許可ライブラリ: 権限のあるプログラムが保管されている
- サロゲート権限: 代理権限
- BPXスーパーユーザ: UNIX上のスーパーユーザと同じ
- PaasTicket: RACFパスワードやパスフレーズの代替手段
- DASDVOL: ディスクボリュームのダンプやデータセットの名前変更などの権限
z/OSに於ける特権とは?
-
APF(Authorized Program Facility)
z/OSシステム上での基本的な特権はAPFです。APF許可ライブラリーに保存されたプログラムをAPF許可プログラムと呼び、システムのセキュリティーおよび保全性に影響を与える可能性のあるシステム機能にアクセスできるため、APF許可ライブラリーを適切に保護し、システム・セキュリティーと保全性の露出を回避しなければなりません。
-
システム機能
システム機能とは、特殊な命令(LPSWなど)の使用やシステムモードへの昇格、ストレージキーを設定できるため、システムや他のプログラムが所有するストレージの内容を自由に参照・変更することが可能になり、他人になりすましたり、重要なデータへのアクセス権を得ることが可能になります。
-
PPT(Program Property Table)
このテーブルはIEFSDPPTと言う名前で、特殊な権限設定に利用するプログラム名のリスト(SYS1.LINKLIBデータセットに保存)です。さらにPARMLIBデータセットにSCHEDxxメンバでプログラム名の追加や変更が可能です。PPTはパスワード保護バイパス、特権命令の使用、システムタスク、プログラムキーなどが設定できます。
-
スーパーユーザ
USS環境で使用する特権はUID(0)で表すスーパーユーザがあります。このスーパーユーザ権限を利用してメインフレーム上のセキュリティ機能であるRACFに対してコマンド発行が可能な事をご存知でしょうか。例えばユーザIDのパスワードリセットや特権設定、RACF全体に影響するSETROPTSコマンド発行が可能なため、UID(0)を持つユーザIDに対しても監視する必要があります。
深刻で怖い脆弱性
分散系同様に新しい脆弱性が年々認識され続けています。グラフはKRIリサーチの調査範囲であり、これが現実を全て網羅されているとは限りません。コードが書かれる限り脆弱性は存在し続けるものとの認識が必要です。
z/OSのゼロディ脆弱性の移り変わり(年次)
特権を保護するために
セキュリティ対策と運用に関する課題の多くは特権管理と強く結びついています。特権を保護するために実施すべきことは以下の3点に集約できます
ライブラリー / データセットの保護
RACF等のセキュリティ製品で最初に実施することは、APF許可ライブラリーやPARMLIBなどのシステム関連データセットへのアクセスをRACFで保護することにより、非対象者による権限使用を防止し、正しい使用かを検証するためにアクセス履歴を保存します。
UID(0)スーパーユーザの管理
スーパーユーザはRACF上のOMVSセグメントを持つユーザで、且つUID=0であるユーザを管理します。
RACF特権の制御
RACFにはセキュリティ上の特権としてSPECIAL、OPERATIONSおよびAUDITOR権限があり、これらのRACF特権を使用することで、システム内のデータセットを自由にアクセス可能となるため、RACF特権の付与、発行するコマンドについても使用を制御し監視する必要があります。
Vanguard — RACF管理に特化した製品群
セキュリティ管理・監査とコンプライアンス全般を支援
Vanguard製品はセキュリティ管理、監査とコンプライアンス全般を支援するツール群で、セキュリティ管理業務を支援し、作業負荷を軽減します。
- 設定業務をパネルから操作することでコマンドに対する知識を不要にし、誤りを防止
- z/OS未経験者向けにWindowsライクのGUIから作業が実施できる
- 運用管理や監査に必要な100種類以上の標準レポートを提供
- z/OSシステム監査向けの専門家知識ベースを提供
- 設定変更の予行練習環境の提供や棚卸作業の自動化
Vanguardが提供するソリューション
Vanguard Administration
プロセスを自動化し、リアルタイム管理で強力なレポートを提供し、時間、リソースおよび経費を節約してポリシー管理を制御する強力なサイバーセキュリティソリューションです。
-
Administrator -
Offline -
ez/Integrator -
Password Reset -
Security Center -
Security Manager
Vanguard Audit & Compliance
最新の規格とデータセキュリティポリシーを使用して構成、調整、および継続的な監視を行い、規格への準拠を決定、分離および保証することを可能にする堅牢なサイバーセキュリティソリューションです。
-
Advisor 
Analyzer-
Compliance Manager -
Configuration Manager -
Enforcer - ez/Integrator
-
InCompliance 
Cleanup-
Policy Manager
Vanguard Authentication
企業がITインフラストラクチャ全体へのアクセスを制御および保護することを可能にする、スケーラブルでモジュール式の統合認証ソリューションです。Vanguardは企業の認証とアクセス制御を簡素化します。
-
Authenticator - ez/Integrator
-
ez/PIV Card -
ez/Sign On -
ez/Token -
Tokenless Authentication
サイバーセキュリティソリューション
z/OS - RACF, ACF2, z/Linux, and Top Secret
記載内容はVanguard Integrity Professionals社に帰属します。