z/OSに対するセキュリティシステム監査(STC-ID2)

適切なSTC-IDの設定

STCで稼動するタスクは多種多様であり、必要となる権限もタスク毎に異なることから適切な権限を付与されたIDを紐づける必要があります。
しかし、システムによってはほぼ全てのSTCがOPERTAION属性を持つような単一のIDで稼働している場合には次のような問題点があります。

• STCが過剰な権限で実行されることから悪用された場合にセキュリティリスクが高くなる

• SMF等に出力されるログが全て同一IDの処理として出力されることからログの切り分けが難しくなる

そのため、STC-IDはタスク毎（ある程度の用途毎）に異なるIDを紐付け適切な権限を付与する必要があります。

オペレーターによるSTC使用

STCとは”DB2やNetview等のミドルウェア（またそれ以外の個別のシステム機能）のようにシステムに常駐して各種機能を提供する”とご説明しましたが、それ以外の目的でも使用されています。
これは、マニュアル等では記載されていませんがz/OSの運用現場ではよく使用される方法で「オペレーター起動」や「特別処理対応」等の名称で呼ばれています。

通常、オペレーターに付与されたIDは権限を制限をされていますが、特定の作業の場合に限って強い権限が必要な場合があります。そのような場合にSTCを経由することで一時的に強い権限でJCLを実行することが可能です。

実行されるSTCには特定のデータセットのJCLを実行させる内容で作成し、特定データセットにJCLを登録しSTC経由で実行することで権限不足を回避する

このような方式でオペレーターIDに恒常的に権限を付与せずに実施する場合があり、また当該作業で用いられるSTC-IDには強い権限が付与されていることがあります。例えば、STC-IDにOPERTAION属性が付与されている場合には、オペレーターは特権使用申請等なしにOPERATION属性を持つIDを間接的に使用することが可能となります。

そのため、被監査システムの担当者に当該運用を実施していないかを確認した上で、強い権限を持って実施している場合には次のような統制がされているかを確認する必要があります。また、OPERTAION属性等を付与して実施している場合には権限が過剰となっていないかを合わせて確認する必要があります。

• 当該運用に関する事前または事後の申請・承認プロセスがあること

• STCから呼び出されるJCLを格納するデータセットの更新権限付与ユーザーIDを制限されていること

• 申請外の当該運用がないかを確認するモニタリングを実施されていること

監査のポイント

STC-IDの権限が過剰となっていないか。

多数のSTCを単一のIDで稼働していないか。

オペレーターがSTC経由で任意のJCLを実行可能な仕組みが存在していないか。存在している場合には、適切な統制が存在するか。また、該当のSTC-IDの権限は過剰ではないか。