IBM iのセキュリティ機能は、統合されたデータベースを内包する唯一のOSとして、基幹系データの保護に非常に重要な役割を果たしている。
とくに、クレジットカード番号や個人番号(マイナンバー)などの機密データに対する高いセキュリティ・レベルが求められる現代において、その重要性はますます増している。
IBM iは、Apple社のMac OSと同様にベンダー開発OSであり、内部構造が非公開であるため、セキュリティの強固さが際立っている。WindowsやLinuxのようなセキュリティ事故が発生しないのは、IBM iのアーキテクチャ自体にセキュリティ機能が基本設計の一部として組み込まれているからである(図表1)。
セキュリティ機能の概要
IBM i のセキュリティは、システム値、ユーザー・プロファイル、オブジェクト権限、監査機能など、複数のレイヤーで構成されている。
セキュリティ関連システム値
IBM iのセキュリティ設定は、システム値を通じてカスタマイズ可能であり、システム全体のセキュリティ設定を定義できる。とくにシステム保護レベル (QSECURITY)のシステム値を設定することで、OSが提供する複数のセキュリティ・レベルのいずれかでシステムを稼働させられる。
またサインオンの試行回数、パスワードの変更頻度、パスワードの長さと構成、非活動状態のワークステーションの自動サインオフなど、システムの用途やセキュリティ要件に合わせて柔軟に設定することが可能である(図表2)。
ユーザー・プロファイル
IBM iでは、システムを使用するためにユーザーID(ユーザー・プロファイル)が必要である。ユーザー・プロファイルには、対話型ジョブ情報、許可された機能やオブジェクトへのアクセス情報が含まれている。
管理者は、ユーザー・プロファイルに関連する多数のパラメータを定義でき、特殊権限、初期メニューと初期プログラム、制限機能などの重要なセキュリティ属性を設定できる。
オブジェクト権限
IBM iのオブジェクトに対するアクセス権限は、ユーザー・プロファイルごとに定義される。ライブラリーやファイルなどのオブジェクトに対するアクセス権を適切に設定することが、システムのセキュリティを保全する上で非常に重要である。
またグループ・プロファイルや権限リストを活用することで、複数のユーザーに対する権限設定を効率化することも可能である。
監査/JSOX
セキュリティ管理では、設定したセキュリティが正しく守られていることを監査する必要がある。監査ジャーナルは、システムに対するセキュリティ設定の遵守状況を確認するために使用され、不正アクセスや情報漏洩などのセキュリティ違反の検出に役立つ。
また監査ジャーナルの情報を活用することで、J-SOX対応帳票の生成も可能である。
最新の機能拡張
IBM iの最新のセキュリティ機能拡張の中で、とくにシステム管理者に身近なものとして以下が挙げられる。
システム保護レベル20の廃止
セキュリティ・レベル20は、システムにサインオンする際にユーザー・プロファイルとパスワードを必要とするが、それ以上のセキュリティ機能はない。セキュリティ・レベル20ではオブジェクトレベルの制御がなく、すべてのユーザーが特殊権限*ALLOBJのアクセスと同等の権限をもち、システムは公開されたままとなる。
セキュリティ・レベル30がオブジェクト権限を制御するための最小レベルであり、IBMが現在出荷しているマシンのデフォルトのセキュリティ・レベルは40である。
セキュリティ・レベル20で設定されたシステムをリリースアップした場合、引き続きセキュリティ・レベル20で実行できるが、セキュリティ・レベル30以上で新規に導入したシステムの場合、レベル20に戻すことはできなくなる。
NetServerおよび共有ファイルへのユーザーアクセス制限
IBM i 7.5では、権限リスト(*AUTL)を割り当てることで、NetServerや特定の共有ファイルへのユーザーアクセスを制限できるようになった。これにより、共有ファイルにアクセスできるユーザーを詳細に管理でき、Windows環境と親和性の高いIFS(統合ファイルシステム)をランサムウェアなどの脅威から守れる。
ユーザー単位のサインオン最大試行回数設定
IBM i 7.5より以前は、システム値(QMAXSIGN)によって不正なパスワードの試行回数が制御され、システムはすべてのユーザーに同じ最大数のサインオン試行回数を提供していた。
これに対してIBM i 7.5では、ユーザー・プロファイルごとに最大サインオン試行回数(MAXSIGN)というパラメータが追加され、ユーザーごとに誤ったサインオンの試行回数を設定できるようになった。これにより、たとえば一般ユーザーにはサインオン試行回数を多く設定し、システム管理者には低い回数を設定するといったことが可能となる。
ユーザー・プロファイル作成時のデフォルトパスワードの変更
IBM i 7.4以前では、新しいユーザー・プロファイルが作成される際、パスワード値に任意の値が割り当てられない場合、パスワードは特殊値*USRPRFとなる。パスワードが*USRPRFに設定されたままの場合、ユーザー・プロファイルのパスワードはユーザー名と同じ文字列に設定されることになり、セキュリティが脆弱になる。
これに対してIBM i 7.5では、ユーザー・プロファイル作成時にパスワードに値を入力しない場合は、パスワードが*NONEに設定されるように仕様変更された。機密保護管理者は、必ずユーザーに適切なパスワードを設定する必要がある。
上記以外にもIBM i のセキュリティ機能は日々進化しており、最新の脅威に対応するための対策が講じられている。これらの機能を最大限に活用することで、より安全で信頼性の高いシステムを構築することが可能になるだろう。
著者
小林 直樹氏
キンドリルジャパン株式会社
中部・西日本デリバリー・中部第一サービス
新・IBM i入門ガイド[操作・運用編]
01 IBM iの実行環境
02 IBM iのストレージ管理
03 IBM iのログ
04 IBM iのユーザー管理
05 IBM iのセキュリティ
06 IBM iの印刷機能
07 IBM iの保管/復元
08 IBM iの基本操作 [コマンド編]
09 IBM iの基本操作 [ツール編]
10 IBM iの監視 基本
11 IBM iサービス
12 IBM iのトラブルシューティング
13 操作・運用編 FAQ
[i Magazine 2024 Winter号掲載]
