2006年2月1日の新製品発表により、iSeries は「IBM System i」と名称が変更になりましたので当シリーズのタイトルも変更させていただきます。
今回は すべてのi5/OS(OS/400)のバージョンで共通なi5/OSのセキュリティー見直しの必須箇所を確認してみましょう。
5250端末の注意事項
ここでは5250エミュレーター使用時の注意点について記述しています。
5250端末使用時のセキュリティー上のチェックポイントです。以下の点は必ず見直しをしましょう。
- 自動サインオン機能 の見直し
5250端末はユーザーの利便性を高めるために自動サインオン機能を備えています。
これはユーザーID/パスワード入力を省略することが出来る、便利な機能です。
反面、パスワードを知らなくても重要なデータを表示、変更できてしまいます。
セキュリティー面から考えると、非常に危険度が高くなるため、自動サインオン機能の使用は推奨されません。
- アプリケーション実行中(サインオン中)の画面放置
画面を放置したまま、離席してしまうケース。データの漏洩、改ざん等の危険があります。
使用中の画面を放置しないようユーザー教育・運用を徹底します。
または次項にあるようなセッションタイムアウト用のシステム値を見直します。
ベンダー製セキュリティー・パッケージを利用すればさらに細かい制御も可能になります。
- PC(パソコン)上に保管されるサーバー構成情報(エミュレーター構成定義)
PCのエミュレーター定義(PCOMの*.WSファイルや*.BCHファイル等)から
IPアドレス等のサーバー情報を盗まれる危険性。
本来使用不可のはずのPCからエミュレーター・アクセスされてしまう危険性があります。
エミュレーター製品をHATSやHost On Demand(HOD)に変更し、パソコン側に設定ファイルを置かない、という方法が有効です。
- マクロ定義
エミュレーターのマクロ機能を使用すると、アプリケーションの実行手順や入力値を自動化でき、ユーザーの利便性が高くよく利用されています。
しかしユーザーID/パスワードや操作方法を盗まれる危険性があります。
マクロ定義にはユーザーID/パスワードがテキストで記録されてしまうためID/パスワードの漏洩の危険性が非常に高く、セキュリティー面から使用は推奨されません。
5250セッション・タイムアウトの設定
システムに共通の設定です。サインオンしていない端末の処置と、サインオン後に一定時間操作のない端末の処置が設定できます。
- サインオンしていない端末を制御
- セッション・キープ・アライブ
- ジョブごとに指定。端末との通信が切断されたかどうかを判定するKeepAlive間隔を指定します。切断が確認されると、QDEVRCYACNシステム値に指定されているアクションがとられます。
- サインオン後に一定時間操作のない端末の制御
- システム値:QINACTITV、QINACTMSGQ
- 使用中に放置した端末を自動的に切断することができます。
- QINACTITVに指定された時間中に対話型ジョブの応答がない場合に、MSGQに指定されたアクションがとられます。アクションとしては*ENDJOB、*DSCJOBのほか、指定したMSGQにメッセージを送ることもできます。
- QPADEVxxxxの仮想装置を使っている場合には、DSCJOBの指定であってもENDJOBの処置がとられます。
- ベンダー製ソリューション・パッケージ
- ユーザーグループやサブシステム毎に、タイムアウト時間や処置を変えたい場合には他社製のツールを利用します。
セキュリティー面で危険度の高い運用ケース
一般によく観察される、セキュリティー面でリスクが高いと考えられる運用ケースとその対策をまとめています。
運用ケース
危険性
対 策
ケース1 QSECURITYシステム値が低い
QSECURITY = 20に設定している
ユーザー、パスワードを知っているユーザーであれば誰でも、システムの全オブジェクトを削除可能、全データへのアクセス、改ざんも自在に可能
QSECURITY = 30 または 40 にする
ケース2 管理者ユーザー(*SECOFRクラス)の多用
*SECOFRクラスのユーザー権限を外注先や取引先を含む多数のユーザー・プロフィールで使用している
*ALLOBJ権限を持つ為、システムの全オブジェクトを削除可能、全データへのアクセス、改ざんも自在に可能
業務を実行するのに最小限度の特殊権限をもつユーザー・プロフィールに変更する
ケース3 同じユーザーIDを多くのユーザーが共用している
ユーザー・プロフィールを全社、部門全体など極めて大勢で共用している
全員が同じようにシステムの資源にアクセスできる為、アクセス不要な人物までアクセスが可能になる。情報漏えいの危険性。問題発生時のデータ流出のトラッキング等が困難に
ユーザー・プロフィールを個人単位、または少人数のグループ単位に変更する
ケース4 System i ナビゲーター、Netサーバーのアクセス制限がされていない
一般のユーザーがSystem i ナビゲーターやNetサーバー経由でシステム・オブジェクトにアクセス可能
例えば、誤ってQSYS上のシステムコマンドを削除,移動などしてしまい、OSコマンドが実行できなくなる。
System i ナビゲーター、Netサーバーなどでアクセスする必要があるオブジェクトだけにアクセス権限を付与する
ケース5 サインオン試行回数のシステム値が適切でない
ユーザーの利便性を重視し、最大サインオン試行回数の制限を無制限(*NOMXAX)に変更している
Windows上のキー入力をログするツールなどからパスワードを盗まれ、パスワードをクラッキングされる。結果データの漏洩、改ざん等が発生する危険性大
最大サインオン試行回数のシステム値(QMAXSIGN)を適切な回数に制限する
ケース6 System i をファイルサーバーとして使用してる場合
NetサーバーでSystem i をファイルサーバーとして利用している
クライアントPCからIFS上のASCIIファイルなどにウィルスが感染する危険性
PCにウィルス対策S/Wを導入、パターンファイルの更新。IFS上のウィルススキャン用ソフトウェアを利用する(他社製のみ)
ケース7 TELNETを使用している
TELNETを使用している
システムへのハッキング、クラッキングなどの入り口になりやすく危険
極力TELNETを使用しないようにする。あるいはTELNETのポート番号を変更する。
ケース8 インターネット上のシステムとの通信している
インターネット上のシステムと通信をしている
インターネット上のデータの盗聴、改ざんの危険性
SSL通信を使用する、VPNを使用する等ネットワークレベルのセキュリティーを実施する
システム全体の機密保護レベル設定=QSECURITY システム値
システム値QSECURITYにより機密保護のレベルを設定します。
10
セキュリティー機能オフ
システムにサインオン時、パスワードが必要ありません。ユーザーは、すべてのシステム資源をアクセスすることができます。(OS/400 V4R3以降では使用不可)
20
パスワードによる機密保護のみ
システムにサインオン時、ID/パスワードを必要とします。ただしオブジェクト操作時にユーザーの持つ操作権限のチェックは実行されません。全てのユーザーが、すべてのシステム資源にアクセスすることができます。
30
パスワードとオブジェクトによる機密保護
システムにサインオン時、ID/パスワードを必要とします。ユーザーIDに対して、資源保護機能が働き、ユーザーの持つアクセス権限に応じてオブジェクトへの操作が制限されます。現在のコンピューティング環境では最低でも30以上にする事を強く推奨。
40
パスワード、オブジェクト、およびオペレーティング・システムの保全性
レベル30の機能が有効になります。さらにシステム保全性機能が働き、サポートされていないインターフェースを介してオブジェクトにアクセスしようとした場合には、プログラムは正常に実行されません。インターネット接続や、Windows PCなどからのデータベースアクセスなどを許可する、現在の一般的な利用環境においてはレベル40以上を推奨。i5/OSの出荷時デフォルトは40になっています。
50
パスワード、オブジェクト、および拡張オペレーティング・システムの保全性
レベル40の機能が有効になります。さらに、サポートされているインターフェースに対して、サポートされていないパラメーター値を渡そうとしたり、あるいはサポートされていなインターフェースを介してオブジェクトにアクセスしようとした場合には、プログラムは正常に実行されません。US国防総省のC2セキュリティー機能要件を満たすシステム保全性が提供されます。
* Midrange Server Magazine誌 Vol.24 に QSECURITY値 20 → 30 への変更事例が紹介されています。Midrange Server Magazine誌はアマゾンでも 購入する事ができます。