IBM Navigator for iのメニューから簡単に権限収集・設定変更
澤田 英寿氏
日本アイ・ビー・エム株式会社
システム事業本部
Power Systemsテクニカル・セールス
シニア IT スペシャリスト
権限収集機能により
アクセス権限を確認できる
DX時代において、データを外部に出すことが増加してきている。プログラムをAPI化して外部から照会できる仕組みを作ったり、社内でもデータ中心指向による開発が増えてきた。そのためシステム部門としては、アプリケーションを正常に実行できる最小限の権限をユーザーに付与することがセキュリティ上必要である。
ただし、本番業務で使用しているオブジェクトなので、権限エラーで業務がストップすることは許されない。IBM i 7.4が提供する最新の権限収集機能は、そういうシステム部門の要望に応えるものである。
IBM i 7.3では、本番の業務中に、特定のユーザーがアクセスするすべてのオブジェクトに関する権限情報を収集することが可能となった。IBM i 7.4では、ユーザーがアクセスする特定のオブジェクトに関する権限情報の収集ができるようになった(図表1)。
権限収集を使用することで、あるアプリケーションを正常に実行するために必要な最低限度のアクセス権限を確認することが可能となる。
これまで、実行時の権限エラーを回避するために、過剰な権限を付与するケースも見受けられたが、この最新の権限収集機能により、セキュリティ管理者はアプリケーションを正常に実行するために、オブジェクトごとに必要最小限の権限を決定できる。昨今、セキュリティ対策が一層重要になる中で、より厳格に最適な権限設定の検討をすることができるようなった(図表2)。
すべての機能は、CLコマンドでも可能だが、「IBM Navigator for i」のセキュリティ→「オブジェクト権限収集」メニューから実行できる(図表3)。
利用方法を下記に紹介しよう。
①まず、新しい権限収集変更(CHGAUTCOL)コマンドを使用して、権限を収集したいオブジェクトを指定することができる。収集できるオブジェクトのタイプは、QSYS ファイル・システム、root (/)、QOpenSys、ユーザー定義ファイル・システム、文書ライブラリ・オブジェクトである。
IBM Navigator for iでは、「権限収集の変更」で、オブジェクトを指定する。ここでは、ライブラリ「QEOL」のファイル「HINMSP」を指定した(図表4)。
②次に、メニューから「オブジェクト権限収集の開始」を実行する(図表5)。この後、必要期間稼働して、HINMSPファイルに対する現在の権限情報を収集する。
③図表6のように、オブジェクトごとの権限収集結果を確認できる。
ユーザー:NAKATAは、照会プログラム:IPL010でHINMSPを照会するだけなので、「HINMSPへの*ALL権限は必要ない」と判断できる。
本番業務に影響しないように、セキュリティのレベルを変更するのはリスクが伴うが、オブジェクト権限収集機能を活用すれば、かなりリスクを軽減できるのではないだろうか。外部に直接情報提供するような機会があれば、この新しいセキュリティ機能をぜひ活用し、セキュリティを強化していただきたい。
澤田 英寿氏
1988年、AS/400(IBM i)が誕生した年に入社。以来一貫してIBM iのテクニカル支援を担当。現在は、Power Systemsのパートナーの技術支援に従事している。
[i Magazine 2019 Autumn(2019年8月)掲載]
・・・・・
PART 1 オールインワンの軸は曲げずにDXを支える技術の幅を拡大
三ヶ尻 裕貴子氏
日本アイ・ビー・エム株式会社
システム事業本部Power Systemsテクニカル・セールス 部長
