z/OSに対するセキュリティシステム監査（RACFとは？）

そもそもRACFとは何か？

Resource Access Control Facility（リソース・アクセス管理機能）を略して「RACF」と呼び、IBMが提供するz/OSのセキュリティを集中管理する製品の１つです。

z/OSがIBM製品だからRACFもIBM製品で当たり前なのですが、z/OSにおいて同様の機能を提供するサードベンダー製品が存在しており「CA Top Secret」と呼ばれる製品が存在します。一番最初の投稿にて、「z/OSのセキュリティシステム監査」を対象としますと述べましたが、正確には「z/OSのセキュリティシステム監査（RACF)」を対象として記載しています。

ただし、z/OS側の挙動は同じであり、Top Secretもほぼ同じような機能を提供していることから参考になると思います。

RACFの読み方

日本語では、一般的に「ラクフ」と発音します。ネイティブの方は「ラックエフ（エフの発音強め）」と発音します。

RACFの主要な４大機能

RACFに下図の①〜④の主要な機能があります。
（実際には他にもかなりたくさんの機能がありますが省略しています）

①ログオン制御機能

z/OS（TSOやNetview等）にログインする場合などに、入力されたIDとパスワードがRACF側に連携され、RACFはRACF-DBの登録情報と照合を行いログインの可否を問合せ元に対して回答を行う。

②データアクセス制御機能

 問合せ元からIDとアクセス先のデータセット（※1）情報、アクセスレベル（参照、更新）等の情報が連携され、RACFはRACF-DBの登録情報と照合を行いアクセス可否を問合せ元に回答を行う。

（※1）データセットとは、z/OS固有の用語であり分散系のファイルに該当します。

③その他資源制御機能

問合せ元からIDと権限検査を行いたい内容が連携され、RACFはRACF-DBの登録情報と照合を行い、可否を問合せ元に回答を行う。

具体的な例としては、OS関連のコマンド発行権限やミドルウェアの特定機能の使用等を制御出来る。

④ログ出力機能

RACFは問合せ内容と回答した内容を時系列順でSMF(ログ集中管理を行うサブシステム）に出力を行う。また、最終ログイン日や特定資源へのアクセス回数などの情報は、RACF-DB側に統計情報として保存する。

補足

上記の図のようにRACFは、各システムからの問い合わせに対してRACF-DBの情報と照合して回答を行い、ログを出力する製品です。この部分をそっくり「Top Secret」に置き換えることが可能です。
私の先輩方の時代には、「Top Secret」のシャアがあったようですが、以降RACFへの移行を行っているシステムも多く私の体感では「Top Secret」で稼働しているシステムは、10％程度のイメージです。