メインフレーム使用に関するネットワークレベルの把握が不十分です。
従来の仕組みでは、誰がアプリを使っているかは分かっても、実際のネットワーク活動までは十分に可視化できません。
- ネットワーク活動の把握不足
利用者IDは分かるが、経路や暗号化状況は見えにくい。 - 暗号化状況の確認の複雑さ
アプリ・機器・セグメントの接続関係を把握しづらい。 - 送信接続の制御欠如
受信側制御はあっても送信側は自由で、バックドア悪用の温床。
z/OSネットワークの可視化と統制なら …
ZTRUST™ for Networks が解決
ネットワークアクセスの検出・監視・制御を自動化し、
規制準拠と監査コスト削減を実現します。
ネットワークリスクを可視化・制御
ZTRUST™は、z/OS環境におけるネットワークアクセスの検出・監視・制御を自動化し、以下を実現します。
- コンプライアンス基準(PCI DSS など)への対応
- 監査コストと作業工数の大幅削減
- セキュリティリスクの低減とデータ保護の強化
多くのメインフレーム環境では、ユーザーIDの利用状況は把握できても、実際のネットワーク活動の詳細は見えにくいのが現状です。
ZTRUST™は暗号化の有無を判別し、潜在的なバックドア接続を特定します。
主要機能
暗号化状況の識別
- 未暗号化/暗号化された受信・送信接続を検出
- ネットワークセグメント単位でアクセス状況を把握
ネットワーク・マイクロセグメンテーション
- PCI DSSなどの規制要件に対応
- 特定アプリケーションをセグメントに隔離し、監査範囲を縮小
- コスト・時間を削減
ESM(RACF, ACF2, TSS)との統合
- ESMリソース定義と標準コマンドでセグメントを管理
- ポリシーエージェントACLを自動生成
- 管理負荷を軽減し、セキュリティチーム主導で統制可能
導入ステップ
1. Network Discovery
ネットワークナレッジベースの構築。
2. ESM Resource Generation
リソース定義・アクセスリストの自動生成。
3. Build Security Profiles
セキュリティプロファイルの構築。
4. Monitor & Manage
ネットワーク監視と違反警告。
5. Report for Compliance
監査対応に有効な定期レポート。
ZTRUST™ for Networksがシステムと事業を守る仕組み
送受信の可視化
送信経路と外部宛先を把握、リスクの早期発見。
暗号化の徹底
平文通信の可視化と撲滅を推進。
セグメント隔離
PCI DSS対象を分離、監査範囲を最適化。
ESM統制
RACF/ACF2/TSSの定義で統制一元化。
- ネットワークアクセスの検出・監視・制御を自動化し、リスクの早期発見と抑止を実現。
- ESMリソース定義と標準コマンドを活用し、Policy Agent ACL を自動生成。
- マイクロセグメンテーションにより監査範囲を縮小し、監査準備工数を削減。
Case Study(国際銀行)
数百万人の顧客を抱えるこの国際銀行は、広範なメインフレーム環境と国境をまたぐネットワークインフラを運用しています。 サイバーセキュリティとデータ保護は最優先事項であり、決済口座データ保護を含む国際基準への準拠が求められていました。
背景・課題
世界中の複数のメインフレームデータセンターが「フラット」なネットワークで相互接続されており、あらゆる拠点から任意のシステムにアクセス可能な状態でした。そのため、ある国で予定されたPCI DSS監査には、全世界の相互接続されたシステムすべてが範囲に含まれる必要があり、監査の規模とコストが増加していました。
独立監査人はセグメンテーションによる範囲縮小を推奨しましたが、クライアントには膨大なネットワークをどのように分割すべきかを判断する知識やリソースが不足しており、実現は困難に思われました。
導入と実装
ZTRUST™による自動化されたネットワーク検出とセグメンテーションを導入し、SAF定義を基にしたポリシーを安全に適用しました。
成果
監査範囲を大幅に縮小し、PCI DSS要件の効率的な達成を実現しました。平文通信の撲滅が促進され、ESMとの統合によって統制の一元化も可能となりました。