セキュリティ・レベル40を実装するために考えることとは?

 2024.02.07  三和コムテック

昨年より話題となっているIBM i 7.5のセキュリティ・レベル20の廃止。多くのお客様がOSバージョンアップ後のレベル30、40での運用について懸念されています。IBM iのセキュリティ・レベル40を実装するために考えることについて確認してみましょう。

『自社運用との親和性』がセキュリティ実装における重要なポイント

2023年はサイバー攻撃の多様化や、オープンシステム連携の多用により、IBM i関連製品の脆弱性が高まった年でした。連携先からの脅威の増加により、システムへのログイン部分や、ログイン後の改ざん行為等に対するセキュリティを強化する必要が出てきました。IBM i V7R5からは、セキュリティ・レベル20は廃止され、推奨値であるレベル40にすることで、こういったリスクへの対策を促しています。

Fortra社(旧:HelpSystems社)が刊行している『2023 State of IBM i Security』では、70%を超える組織がセキュリティ・レベル40以上で運用していることがわかりました。最高権限*ALLOBJを持つユーザー数は全体の約11%で、平均30%であった過去2年と比較して、多くの企業で見直しが進んでいることがわかります。

セキュリティ・レベル-2

ユーザー特殊権限-2

引用:Fortra社『2023 State of IBM i Security Study』https://www.fortra.com/resources/guides/state-ibm-i-security-study

一方で、昨年アイマガジン株式会社が国内を中心に行った『IBM iユーザー動向調査2023』によると、運用中のセキュリティ・レベルが40以上という回答は約2割、過半数がレベル20で運用していることがわかりました。レベル20では、サインオン後は全ユーザーが最高権限を持つことができるため、*ALLOBJのユーザー数も多いことが考えられます。

この結果より、国内企業ではこれからIBM iのセキュリティ見直し対応が進んでいくことが考えられます。一方、強固なセキュリティを実装しても、従来の運用が出来なければ本末転倒です。システム管理者にとって、実装したセキュリティ設定の妥当性チェック運用管理がしやすい必要があります。

引用:アイマガジン株式会社『IBM iユーザー動向調査 2023https://www.imagazine.co.jp/ibm-i-user-servey2023-005/

セキュリティ・レベル40の要件は大きく3つ!
『サインオン、オブジェクトへのアクセス、外部アクセス』

廃止されるセキュリティ・レベル20と、推奨値であるレベル40を比較してみます。

システム値表示

つまり、

レベル20では… サインオンのパスワード管理が必要です。

レベル30では…

 20に加え、オブジェクトへのアクセス権限が必要です。
レベル40では… 30に加え外部アクセス経路ユーザー権限の妥当性の管理が必要です。


セキュリティ・レベル20では、『サインオン』さえできればその後の操作には制限がないといった簡単なセキュリティである一方、レベル40では、内部での『オブジェクトへのアクセス』管理と、『外部インターフェースからのアクセス』管理を掛け合わせることで、抜け漏れのないセキュリティを実装することができます。

セキュリティ・レベル40を実装するために考えること

Fortra社(旧:HelpSystems社)が刊行している「2023 State of IBM i Security 」では、IBM iのセキュリティを高めるための最優先事項として、以下をあげています。

  1.  QSECURITY レベルが40 以上であること
  2.  QAUDJRN を有効化し、内容の解釈に役立つツールを使うこと
  3.  FTP や ODBC などの一般的なものから出口点をセットすること
  4.  不要なユーザー権限を減らすこと

前段のとおり、セキュリティ・レベル40で大別される3つの要件『サインオン、オブジェクトへのアクセス、外部アクセス』であることから、今回は③と④に注目してみましょう。

 

③ FTP や ODBC などの一般的なアクセスから出口点にプログラムを登録すること

一般的な『サインオン』『外部アクセス』のセキュリティを見直す方法として、OS提供の出口点を活用することが有効です。見直しの方法を簡単に上げてみます。

  1. 出口点で取得したログから、アクセス元IPや端末、アクセスの種類(FTPODBCTELNETなど)、アクセス先オブジェクトを把握
  2. 不必要なアクセスやコマンド実行を拒否する

⇒三和コムテックが提供するiSecurity Firewallの機能を使うと、出口点を通るアクセスログの監視や、アクセス・コマンド実行の制御ができます。適切な外部アクセス運用の実装を手助けします!

不要なユーザー権限を減らすこと

『サインオン』『オブジェクトへのアクセス』におけるセキュリティ強化には、ユーザー権限の見直しが効果的です。見直しの方法を簡単に上げてみます。

  1. システムログから、重要オブジェクトへの操作を把握
  2. *ALLOBJ権限が必要と、明確に判断できないユーザーから、権限をはく奪する

三和コムテックが提供するiSecurity Auditの機能を使うと、システムログから必要な情報を見やすく表示できます。適切なユーザー権限の見直しを手助けします!

 

IBM iのOSバージョンアップ、セキュリティ・レベル引き上げをご検討の方、自社運用との親和性を考慮しながら、柔軟かつ強固なセキュリティ実装を実現しましょう。

 

© 2024 三和コムテック株式会社
IBM i SCTソリューションブック
  • トピックス:
  • IBM i
業務改善による効果とは? 基本的な流れや効果測定のポイントも解説
業務改善とは?提案を効果的にするポイントやアイデアを紹介

RECENT POST「IBM i」の最新記事

IBM i

2024.04.17

IBM iに多要素認証を実装!不正アクセスの原因、多要素認証のメリット・デメリットとは?
IBM i

2024.02.26

IBM iをオンプレミスからクラウドにする際のデータ移行方法とは?
IBM i

2024.01.05

IBM iサービス運用におけるSQLとセキュリティ対策 ~iSecurity Firewall~
IBM i

2023.12.01

拡大するランサムウェア被害。IBM iで実現する、ウイルス・ランサムウェア対策!
セキュリティ・レベル40を実装するために考えることとは?
ブログ無料購読のご案内

RECENT POST 最新記事

OWASP トップ 10 2023 準拠に関する包括的なガイド

OWASP トップ 10 2023 準拠に関する包括的なガイド
実際にあった!?OSS脆弱性の怖い話

実際にあった!?OSS脆弱性の怖い話
IBM iに多要素認証を実装!不正アクセスの原因、多要素認証のメリット・デメリットとは?

IBM iに多要素認証を実装!不正アクセスの原因、多要素認証のメリット・デメリットとは?
閉域網のビジネスチャットとは?導入するメリット・デメリットを解説

閉域網のビジネスチャットとは?導入するメリット・デメリットを解説
業務自動化とは? 自動化に向いている業務や自動化が実現できるツール

業務自動化とは? 自動化に向いている業務や自動化が実現できるツール

RANKING人気記事ランキング

SEARCHブログ内検索

  • 検索フィールドが空なので、候補はありません。

Copyright ©2024 Sanwa Comtec KK. All rights reserved.

個人情報保護方針 お問い合わせ

PAGETOP