今こそセキュリティ見直しの時期

IBM i での情報漏洩対策

■Process 1

セキュリティを高めるためにOSの機能として以下3つが考えられます。

• ・システム値
• ・ユーザープロファイル
• ・オブジェクト権限

導入・アプリケーションのリリース時のままで使用されてはいませんか？
まずはここを見直すことで、セキュリティを高めることが可能です。

詳細な対策はこちら

■Process 2

昨今の漏洩事故大半は内部犯行によるもです。
システムを熟知し、多様な操作を行うことができる管理者・開発には情報漏洩の潜在的なリスクがあります。
OS機能である監査ジャーナル(QAUDJRN)を使用し、パワーユーザーのアクティビティを監視することが求められます。

詳細な対策はこちら

■Process 3

>IBM i は高いセキュリティを実現できるシステムすが、外からのアクセス(TCP/IP経由)へは対策が必要です。
TCP/IP経由の外からアクセスはキュアでなく、監視もできません。(図１参照)

IBM i ユーザの誰もが使用する Client Access、パーソナルコミュニケションズにはファイル転送の機能がついています。 
なんらかの対策をしないと、気づかぬうちに機密情報をダウンロードされてしまいます。

詳細な対策はこちら

プロセス１の対策方法

■① システム値

■② ユーザープロファイル

業務ごとのユーザーをまだ使用されている場合には、個人ごとの付与にすることを強く推奨します。
その上で、注意すべきユーザープロファイルのパラメーターがいくつかござ合います。

■③ オブジェクト権限

IBM i ではそれぞのオブジェクトにアクセス可能かどうかの権限を細く付与することができるようになっています。 オブジェクト権限には３つの種類があります。

■オブジェクト権限
オブジェクトの属性変更や削除などオブジェクト全体に対する操作権限
オブジェクト名の変更、ライブラリの移動、オブジェクトの保管・復元所有者の変更等

■データ権限
DBファイルなどオブジェクトに含まれるレコードの読み取りや変更操作に関する権限データの読み取り、追加、変更(更新)、削除等
オブジェクト名の変更、ライブラリの移動、オブジェクトの保管・復元所有者の変更等

■フィールド権限
DBファイルなどに含まれる個々のフィールドに対して実行可能な操作を行うための権限
フィールド(カラム)に対するデータの読み取り、変更、追加等

業務やユーザー(開発者・管理者)に合わせて最小限の権限付与を行う必要があります。

それぞれの権限の詳細は以下を参照ください。

プロセス２の対策方法

IBM i 上で行われたアクティビティを確認する方法として、監査ジャーナル(QAUDJRN)が用意されています。

取得ログ例
コマンド履歴、ライブラリ・ファイル操作、プログラムソース変更、ユーザープロファイル操作、権限違反、不正ログイン履歴

たとえば、QSECODRのコマンド履歴を取得することで操作履歴の確認を行うことができます。

プロセス３の対策方法

IBM i への各種通信のセキュリティ対策として、
① サービスの停止
② ポートを占める
が考えられます。

しかし①は全ユーザーが共通して使用できなくなり業務への影響が大きくなりえます。
また、②は有効な手法ですがネットワーク管理者とそれに関わる知識も必要になり管理も大変になります。
そのため、IBM i で用意されている出口点にプログラムを配置し対策をすることを推奨します。

EnforciveではIBM i 出口点用のプログラムが用意されています。
Enforciveでプログラムを配置することで、5250のログインやＦＴＰなどのアクセスを監視し、制御を行うことが可能です。