目次

01.IBM iを取り巻く環境
02.オープン化によるリスク
03.悪意あるユーザーによるリスク
04.正しい構成の難しさ
05.階層的なセキュリティ対策の考え方
06.具体的なセキュリティリスクの例

IBM iを取り巻く環境

IBM iは堅牢なシステムという認識が長らく一般的でした。オブジェクト指向のOSは構造的に深刻な問題が発生し辛く、システムを守るための多様な機密保護機能を有していることも相まって、従来の使用用途に限定した場合であれば、IBM iを正しく構成・運用することで高いセキュリティを実現できるためです。

 

しかし、社会が利便性を求めて変化する中、IBM iとそれを取り巻く環境も大きく変化しました。その過程で、今までに無かった新しいリスクが生まれたり、あるいは今まで軽微だったリスクが大きく脅威度を増したりと、増大する様々なリスクに対応するためにはセキュリティ対策そのものの再考が必要になってきました。

オープン化によるリスク

時代の要請によって、IBM iもオープン系技術の取り込みを拒めません。自社内で完結する閉じた環境で、RPGやCOBOLといった閉じた技術のみを利用することで降りかかるリスクを最小限に抑えることのできたIBM iですが、今ではIFSやPASEなどのオープンな稼働環境を実装し、それらの上で実行可能なJAVAやPHPなどのモダンな言語をはじめ、他社システムやIBM Watsonなどのクラウド・システムといった外部との密接なデータ連携への対応を強めています。現在のところ、それらオープン系技術の取り込みというトレンドは今後も継続していくことが予想されています。

システムの利便性の向上はユーザー企業に多大な恩恵を与えますが、利便性は概ね堅牢性とトレードオフの関係にあります。便利になればなるほど、脆弱性を抱えざるを得ないのが実情です。

セキュリティ脆弱性の年間報告件数を例に取ってみると、かつてIBM iの世界ではほとんど発生していなかったセキュリティ脆弱性の報告が、近年では若干とはいえ発生しています。現状ではMicrosoft Windows Server等に比較するとまだ軽微な報告件数に留まっていますが、たったひとつのセキュリティ脆弱性であっても、一撃で企業の存続を脅かす重大な事故や事件に繋がる可能性が考えられる以上、極論してしまえば報告件数の多寡は直接の安心材料にはなり得ません。

悪意あるユーザーによるリスク

ICT社会の醸成が進むに連れて、変わったのはシステムだけではありません。便利な社会に適応するために、ユーザーもまたICTに対するリテラシーを大きく向上させました。社内ユーザーのICTリテラシーの向上自体は、企業活動をより円滑にする上で歓迎すべきものですが、残念ながら社員や協力会社等の内部人員が引き起こす事件や事故の頻度や規模を必然的に底上げする可能性を併せ持ちます。

統計的に見て、大規模な情報漏洩等はその大半が内部犯行です。システム内のデータを外部へ持ち出すことを例にするなら、以前であれば一般ユーザーがその手順を『知らない』ことをある程度期待できましたが、今はその手順を『知っている』、または少し調べれば『知ることが出来る』ことを前提にセキュリティ対策を構築する必要があります。当然ながら、システム管理者や開発者といった特別なシステム権限を付与されているいわゆるパワーユーザーは、その知見も併せてさらなる潜在的なリスクと捉えることが可能です。

悪意あるユーザーは勿論のことですが、ユーザーが色々なことを『出来てしまう』ということは、重大なインシデントの発生に必ずしも悪意が関与しない可能性もあります。性善説でも性悪説でもない性弱説に基づいたセキュリティ対策の重要性が叫ばれて久しいですが、より一層の深化と徹底が必要となってきているのは言うまでもありません。

正しい構成の難しさ

セキュリティを高める上でIBM iを正しく構成することは大前提と言えますが、この『正しく構成する』ということも、簡単に見えて実は非常に困難でコストがかかります。IBM iは堅牢なシステムを構築することが可能ですが、手放しに堅牢なシステムを得られる訳ではありません。

正しく構成することが困難である一例として、DDM（Distributed Data Management：分散データ管理機能）の設定不備とそれを悪用された場合のリスクを考えてみます。

DDMは主にローカル・システムからリモート・システムのデータ操作を実現するための機能です。そのため、複数のIBM iで構築されるシステム群を運用する際にはとても有用に働きます。しかし、DDMはリモート・コマンドをサポートします。これは設定と手順次第で非常に大きなリスクとなります。

ローカル・システムを『接続システム』、リモート・システムを『標的システム』とすると、仮に『DDM接続にパスワードを要求しない』設定になっていた場合、自らのユーザー・プロファイルを用いてDDM接続した際に適用されるユーザーを、管理者権限のユーザーに変更してしまえば、一般ユーザーであっても標的システムに管理者権限のユーザーとしてパスワードの入力をすることなくDDM接続ができてしまいます。その上でリモート・コマンドを用いると、当然ながら管理者権限のユーザーとして様々なコマンドを標的システム上で実行できてしまいます。その中には、情報セキュリティ上では致命的とも言える管理者権限のユーザー・プロファイルの作成も含まれます。

 

ちなみに、一般ユーザーにコマンドの実行を禁止する設定にして、5250エミュレーターのコマンド・ラインからDDM接続コマンドが発行できないようにしていたとしても、5250接続以外の手段で接続してしまえば、接続システムに対してリモート・コマンドが発行できてしまいます。そこでDDMコマンドを内包したリモート・コマンドを接続システムに対して発行できてしまえば、上記の例と同様に標的システムに管理者権限のユーザー・プロファイルを作成することができます。

勿論、上記の例であれば、『DDM接続にパスワードを要求する』設定にすることで一定のリスクは回避できますが、その設定を施すことで運用中のシステムにどの様な影響が生じるか等も考慮する必要があります。

この様に、設定一つを取っても、システムや機能に対する相応の知識や理解、場合によっては入念な調査が必要になることはご理解いただけると思います。

階層的なセキュリティ対策の考え方

IBM iに迫るリスクには様々な種類があります。そのためIBM iを正しく構成できたとしても、それで全てのリスクが完全に回避できる訳ではありません。仮にIBM iの構成を完璧にできたとして、それは確かに既知のシステムの脆弱性を突いた不正アクセスを防ぐことはできるかも知れませんが、マルウェアの侵入まで防げるとは限りません。

リスクマネジメントおよびリスク分析の有名なモデルに『スイスチーズモデル』と呼ばれるものがあります。スライスしたスイスチーズに空いているの『穴』をリスク対策の『漏れ』に見立てて、穴の大きさや位置の異なる複数枚を重ねることで穴が貫通しない様にすることをリスクの顕在化を防ぐイメージとして捉えたモデルです。そして、このモデルの指し示すものは情報セキュリティの分野でも有効です。

スイスチーズモデルの様に階層化したセキュリティ対策には、主に入口対策、内部対策、出口対策の三階層で防御する『多層防御』や、入口対策などの同じ階層で複数の防御策を組み合わせる『多重防御』の一部なども含まれると思いますが、ここではもっと大まかな括りとして、様々なリスクを回避するためにセキュリティ対策を幾層も重ね合わせて施すことが重要であると考えます。

様々なリスクが存在する以上、単一の対策だけで降りかかる全てのリスクに対応することは困難です。基本的には対象とするリスクごとに対応策を講じる必要があります。それらの個々の対応策は担当範囲以外には無力かも知れませんが、たとえリスク対策の『漏れ』が残っていたとしても、『漏れ』の異なる複数の対策を多層的に重ねることで、総合的に多くの事件や事故の発生を未然に防ぐことが可能です。

具体的なセキュリティリスクの例

 

1) FTPの使用

FTP（File Transfer Protocol）は、IBM iでも利用される機会の多いファイルの送受信用の通信プロトコルです。このFTPはインターネットの初期から存在する歴史あるプロトコルですが、古い規格なため転送データはおろか、認証時に使用されるユーザーIDやパスワードすら暗号化されていません。

 

そのため、第三者にFTP転送を行っているスクリプト・ファイルを見られた場合にユーザーIDやパスワードといった認証情報を容易に知られてしまうのは勿論のことですが、通信時のパケットを覗き見された場合には、復号すら必要とせずに認証情報も転送したファイルの内容も知られてしまいます。

FTPによるファイル転送は簡単かつ便利ですが、現代では非常にリスクの高いデータ転送手段と言わざるを得ません。

 

2) ウイルスの脅威

一般的にIBM iはウィルスに強いと言われますが、それはOSのネイティブな領域に感染・動作するウィルスが報告されていないだけで、IFS（統合ファイル・システム ）領域は他システムと同様にウィルスの感染を許します。

IFSはIBM i/OSの拡張的な一部として実装されており、オープン系の様々な機能を実現するために日々利用範囲が広がっていますが、ユーザーの利用認識で言えばネットワーク上の共有フォルダという感覚が一般的です。そのネットワーク上の共有フォルダと言えるIFS領域にウィルスが感染した場合、当然ながらIFS領域を参照するネットワーク上の他のサーバー及びクライアント資源にウィルスを拡散する恐れがあります。

今のところIBM i上で動作するマルウェアは確認されていませんが、IBM iには標準機能としてのマルウェア除去機能がありませんので、日々進化・巧妙化するウィルスの適切な発見と除去には、専用のソフトウェアを利用するか多くの時間と手間をかける必要があります。

なお、対策が不十分な場合、一旦感染を許すと潜伏状況の発見が遅れる傾向があり、その結果、米国の企業の報告ではありますが、実際にマルウェアによるネットワーク・トラフィックの増大等が原因で共有フォルダがダウンし、長時間に渡るエンドユーザーの業務不全を経験したという事例があります。

 

3) パワーユーザーの不正

4) 外部通信の危険性

5250エミュレーターでIBM iにログインして、メニューから各プログラムを利用する従来の使用法は比較的安全性が高いと言えます。ですが、それ以外の方式でIBM iに接続して行う様々な処理は、お世辞にもセキュリティ・レベルが高いとは言い難いのが実情です。

例えば、IBMパーソナル・コミュニケーションズやクライアント・アクセスには、アプリケーションの標準機能としてファイル転送機能がありますが、5250接続を使用しているユーザーであればこの機能は誰でも使用できます。
つまり、これは何らかの対策を施さない限り、多くの一般ユーザーが機密情報をダウンロード出来る可能性があることを示唆します。

上記の例を含めて、5250接続以外にIBM iへの接続方式として一般的なものとして、FTP、ODBC、RMTCMD等が挙げられますが、これらはいずれも、状況と利用次第によっては重要なデータのダウンロードや更新、システム値やユーザー権限の変更など、セキュリティ的に重大な操作を行うことが可能です。

そして、残念ながらIBM iはこれらのアクセスに対して、監視・制御の機能を標準では有していないため、アクセスに対する監視目的の為だけであっても、専用のプログラムを作り込む必要があります。

まとめ

オープン技術を取り入れたIBM i に必要なセキュリティ対策の第1回目として、今回は近年のIBM iを取り巻く環境と、そこに潜むセキュリティリスクの一例について紹介させて頂きました。第2回目となる次回は、具体的なセキュリティリスクとして挙げた『FTPの危険性』と『ウイルスの脅威』に焦点を絞り、一般的な対応策とその問題点、及び弊社の提案するソリューションをご紹介いたします。