今再考するIBMi情報漏洩対策

今再考するIBMi情報漏洩対策

今こそセキュリティ見直しの時期

個人情報保護法(2005年)
J-SOX(2008年)
などにより多くの企業ではセキュリティ対策を行っていると思います。
しかし近年多発する個人情報漏洩事故、2016年に始まるマイナンバー制度により各社様のセキュリティを見直す時期が来ています。

IBM i での情報漏洩対策

IBM i での漏洩対策を行うにあたって3つのプロセスを紹介させて頂きます。

■Process 1

セキュリティを高めるためにOSの機能として以下3つが考えられます。

  • ・システム値
  • ・ユーザープロファイル
  • ・オブジェクト権限

導入・アプリケーションのリリース時のままで使用されてはいませんか?
まずはここを見直すことで、セキュリティを高めることが可能です。

詳細な対策はこちら

 

■Process 2

昨今の漏洩事故大半は内部犯行によるもです。
システムを熟知し、多様な操作を行うことができる管理者・開発には情報漏洩の潜在的なリスクがあります。
OS機能である監査ジャーナル(QAUDJRN)を使用し、パワーユーザーのアクティビティを監視することが求められます。

詳細な対策はこちら

 

■Process 3

IBM i は高いセキュリティを実現できるシステムですが、外からのアクセス(TCP/IP経由)へは対策が必要です。
TCP/IP経由の外からアクセスはセキュアでなく、監視もできません。(図1参照)

IBM i ユーザの誰もが使用する Client Access、パーソナルコミュニケションズにはファイル転送の機能がついています。 
なんらかの対策をしないと、気づかぬうちに機密情報をダウンロードされてしまいます。

詳細な対策はこちら

プロセス1の対策方法

■① システム値

確認すべきシステム値(抜粋)

セキュリティに関わるシステム値は多く用意されています。
WRKSYSVAL SYSVAL(*SEC)でセキュリティに関わるシスム値の一覧が確認可能です。
確認すべきパスワード関連のシステム値(抜粋)

セキュリティ関わるシステム値の中でもパスワード関連のものが多く用意されております。
すべてを細かく設定すると、パスワードの変更が通らなくなる危険性もありますが、少なくとも有効期限や、数字が必要、再利用のサイクルは設定することを推奨します。<

■② ユーザープロファイル

業務ごとのユーザーをまだ使用されている場合には、個人ごとの付与にすることを強く推奨します。
その上で、注意すべきユーザープロファイルのパラメーターがいくつかござ合います。

その中でも特殊権限には特に注意が必要です。

少なくとも*ALLOBJはユーザー、開発者に付与しないことを推奨します。

■③ オブジェクト権限

IBM i ではそれぞのオブジェクトにアクセス可能かどうかの権限を細く付与することができるようになっています。 オブジェクト権限には3つの種類があります。

■オブジェクト権限
オブジェクトの属性変更や削除などオブジェクト全体に対する操作権限
オブジェクト名の変更、ライブラリの移動、オブジェクトの保管・復元所有者の変更等

■データ権限
DBファイルなどオブジェクトに含まれるレコードの読み取りや変更操作に関する権限データの読み取り、追加、変更(更新)、削除等
オブジェクト名の変更、ライブラリの移動、オブジェクトの保管・復元所有者の変更等

■フィールド権限
DBファイルなどに含まれる個々のフィールドに対して実行可能な操作を行うための権限
フィールド(カラム)に対するデータの読み取り、変更、追加等

業務やユーザー(開発者・管理者)に合わせて最小限の権限付与を行う必要があります。

それぞれの権限の詳細は以下を参照ください。

プロセス2の対策方法

IBM i 上で行われたアクティビティを確認する方法として、監査ジャーナル(QAUDJRN)が用意されています。

取得ログ例
コマンド履歴、ライブラリ・ファイル操作、プログラムソース変更、ユーザープロファイル操作、権限違反、不正ログイン履歴

たとえば、QSECODRのコマンド履歴を取得することで操作履歴の確認を行うことができます。

またログを取得するだけでなく、監査レポートして出力し、アクティビティを可視化することも重要です。

高権限ユーザーのアクティビティを監視することで、不正使用の好調を発見、セキュリティ事故時の後追いが可能になります。

プロセス3の対策方法

IBM i への各種通信のセキュリティ対策として、
① サービスの停止
② ポートを占める
が考えられます。

しかし①は全ユーザーが共通して使用できなくなり業務への影響が大きくなりえます。
また、②は有効な手法ですがネットワーク管理者とそれに関わる知識も必要になり管理も大変になります。
そのため、IBM i で用意されている出口点にプログラムを配置し対策をすることを推奨します。

EnforciveではIBM i 出口点用のプログラムが用意されています。
Enforciveでプログラムを配置することで、5250のログインやFTPなどのアクセスを監視し、制御を行うことが可能です。