目次

01.パワーユーザーの不正への対応
02.外部通信の危険性への対応
03.まとめ

パワーユーザーの不正への対応

1)パワーユーザーの問題点



システムの内部を管理・構築するシステム管理者や開発者といったパワーユーザーは、一般的に通常のユーザーよりも自由度の高い特別なシステム権限を持ちます。
IBM iの世界であれば、システム内資源に対して全オブジェクト (*ALLOBJ) 特殊権限を持ち、CLコマンドを自由に操ることができ、様々なファイル操作やシステム設定の変更が可能です。
彼らは、その担当するシステム内において、原則的にいかなるデータの閲覧・改ざん・削除・入手も可能です。

それらパワーユーザーが悪意を持ってシステムに触れた瞬間、システムに何の対策も講じていない状態であれば、それこそ何の痕跡も残さずに大量の顧客情報を社外に持ち出したり、財務に関わる重要なデータを改ざんすることも容易に行えます。

特別なシステム権限を持つパワーユーザーは一般的には企業にとって信頼の篤いスタッフですし、そうでなくては重要な業務を任せられません。
ですが、会社に対する不満（悪意）、上司からの命令（善意）、金銭的な誘惑（弱さ）、あるいはそれら以外の様々な理由から、重大な事件や事故を引き起こす可能性があります。

残念ながら、パワーユーザーの信用度や信頼性だけでは安全の担保として不十分です。

2)パワーユーザーの問題点に対する一般的な対応策



パワーユーザーは、与えられた様々な業務を遂行する上で必要であるからこそわざわざ特別な権限を付与されています。
当たり前の話ですが、パワーユーザーがシステム上で実行可能な行動を全て禁止にすることは現実的ではありません。
まずは不正行為の『抑止』を前提として考え、次に重要な部分を『保護』するための対策を考えます。

不正行為の『抑止』については監視することが一番シンプルな対策になります。
その行動が悪事であるという自覚がパワーユーザー本人にあるのであれば、行動を常に監視することで一定の抑止力として効果します。
つまり、『見られているから悪いことはできない』と思わせることで不正行為の実行を回避するというロジックです。



IBM iには、操作や活動の履歴を残す『ジャーナル』という機能があります。
データベース・ファイルに生じた様々な操作の履歴を残すデータベース・ジャーナルは非常によく知られている機能ですが、もうひとつの種類のジャーナルとして、ユーザーがシステム上で行った行動を履歴として残す『機密保護監査ジャーナル』が存在します。
機密保護監査ジャーナルは、IBM i OSが提供しているセキュリティ機能のひとつで、内部で行われた操作をほぼ全て取得可能です。
それを適切に設定・運用している状態であれば、監視していることを公開・通達することで不正操作に対して一定の予防効果が見込めます。

次に、重要な部分の『保護』として重要ファイルの暗号化が考えられます。
例えば顧客情報でもクレジットカード番号を含んだ与信情報やマイナンバーなどは、取り扱いに際して特に繊細な注意が必要です。
これらの情報はパワーユーザーであっても安易に閲覧を許す訳にはいきません。これらの情報を暗号化して保護することは、係るリスクを大きく低減します。



IBM iでは、OS V7R1からフィールド・レベルでの暗号化が可能になりました。
さらにIBM i OS V7R2からはRCAC(Row and column access control)を使用することで、フィールド単位のマスキングが可能です。
これらの機能を十全に活用することで、パワーユーザーによる情報漏洩に対しても一定の無力化を計ることが可能となります。

3)一般的な対応策の問題点



機密保護監査ジャーナルは強力な監査機能を提供してくれますが、5250エミュレーター上の操作では管理が難しく、特殊なコマンドを扱う専門的なスキルが必要になります。
また、情報が膨大なため、有事の際の追跡・分析には多くの時間がかかる可能性が高くなります。



また、フィールド単位での暗号化についても、機能はOSによって提供されているものの、暗号化のロジックは自社で作成する必要があり、誤ったコーディングでデータが破損してしまう危険性もあるため、高いセキュリティと柔軟な設定がを実現するためにはコーディングの難易度が高くなるのが問題です。



特に、IBM i OS V7R2より実装されたRCAC(Row and column access control)は、設定、管理、運用のすべてがSQLベースであり、マスキングする対象フィールドや、利用権限を与える対象ユーザーの設定、さらに一覧をどの様に出力するかといった要件が増えるごとに管理工数が非常に大きくなります。

4)『Enforcive』を利用した対応策



『Enforcive』は、5250エミュレーターで機密保護監査ジャーナルを扱う際の鬼門となる大量のジャーナル項目の選択が、GUIによる操作画面で直感的に行えます。
フィルター・メニューも用意されていますので、必要とするジャーナル項目だけの抽出も容易ですし、それらを簡単かつ柔軟にセキュリティ・レポートとして出力することも可能です。



また、フィールド単位での暗号化の設定と管理についても、『Enforcive』であればGUIでの簡単な操作を行うだけで、コーディングを必要とせずに、既存のアプリケーションの変更もなく実現できます。

外部通信の危険性への対応

1)外部通信の問題点



IBM iは5250エミュレーターによる5250接続以外にも様々な通信手段で利用が可能です。



5250接続以外の『外部通信』の例として、IBMパーソナル・コミュニケーションズやクライアント・アクセスには、アプリケーションの標準機能としてデータ転送機能について考えてみます。
この機能は5250エミュレーター・アプリケーションに付属するものですが、5250接続とは異なる通信手段を用いてその処理を実現しています。
使用している通信手段に対してシステム側で何の対策もなされていない通常の状態であれば、IBMパーソナル・コミュニケーションズでIBM iにログインできるユーザーであれば、誰でもシステム内のファイルをダウンロードできてしまうことになり、さらにはどの様な通信が行われているかの実態もシステム管理者には把握できません。



この様に、外部通信によるIBM iの利用は、便利である反面、非常に危険な状態であるとも言えます。

2)外部通信の問題点に対する一般的な対応策



様々な外部通信のリスクに対応する手段としては、サービスそのものを停止することや、ポートを閉めて通信そのものを拒絶するなどの方法が考えられますが、機能の喪失を余儀なくする手段はいずれも現実に即した対策とは言い難いものです。
実際には機能を喪失せずにリスクを低減する対策が望まれます。

IBM iには提供するサービスのそれぞれに対して『出口点』と呼ばれる通信の窓口が用意されています。
その窓口には、そこを通過する通信が生じたタイミングで実行するようにセットアップ可能なプログラム『出口プログラム』を配置することができます。

この仕組みを利用して、対応する各外部通信の出口点ごとに出口プログラムを配置して、通信を監視・制御することが外部通信のリスクを低減する対策としては標準的な考え方となります。

3)一般的な対応策の問題点

IBM iは外部通信を利用した様々なサービスを提供していますので、対策を施すべき出口点は非常に多くなります。
当然ながらそれは多数の出口プログラムを用意する必要があることを意味します。



自社で全ての出口プログラムを開発・配置・運用しようとすると、柔軟で高い自由度を得られる反面、非常に高いコストを負担する必要に迫られるという問題が生じます。

4)『Enforcive』を利用した対応策



『Enforcive』には様々な出口点に対応した出口プログラムがあらかじめ用意されています。
独自で出口プログラムの開発を行うことなく、出口点に適切な出口プログラムを配置することが可能な上、監視・制御したい通信に対して出口プログラムの活動/停止をGUI画面上のチェックボックスをクリックするだけで簡単に切り替えることが可能です。



また、各種通信の制御はGUIの管理画面から容易に行えるようになっており、同様に各種通信の履歴もGUIの管理画面で管理・閲覧できる仕組みになってもいます。



さらに、許可範囲を逸脱した不正操作や操作ミス等が検知された際には、リアルタイムで画面上にポップアップを表示したり、管理者へメールで通知することも可能で、それらの履歴もGUI管理画面から簡単に確認できます。

まとめ

オープン技術を取り入れたIBM i に必要なセキュリティ対策の第3回目として、今回は具体的なセキュリティリスクである『パワーユーザーの不正』と『外部通信の危険性』についてご説明いたしました。

今回、3回のコラムに分けて、昨今のIBM i に迫る様々なセキュリティ・リスクの一部とその対応策をご紹介させていただきました。
安全と思われがちなIBM iであっても油断できない現状であることを再認識していただいた上で、セキュアな環境を低コストで実現するための選択肢のひとつに私どもの提案するソリューションを加えていただけましたら幸いです。