z/OSに対するセキュリティシステム監査(IDの特権属性)

一般的にRACFにおける特権と呼ばれる属性は大きく「SPECIAL」、「OPERATIONS」および「AUDITOR」があります。特権の付与状況については、「DSMON」の「選択されたユーザー属性報告書」を参照してください。

ここに挙げた3種類の属性は特権の一例となりますのでユーザー属性等を参考に権限の仕様を確認の上、各社において特権とすべきものを定めてください。また、UNIX環境におけるUID(0)やDB2におけるSYSADM等も存在しますが当該項目はミドルウェア側の記事でご説明します。

ユーザー属性

SPECIAL属性

ユーザーIDの追加・削除・権限変更、パスワードの強制変更、データセット等の権限設定・追加・削除、RACF基本設定変更を行うことが可能な特権です。主に付与される対象としては、システム変更を行うセキュリティ担当者IDとなります。
（ID登録・削除をワークフローと連動して自動化している場合にはシステム処理系のIDに付与する場合もあります）

SPECIAL 属性

SPECIAL 属性を持つユーザーは、 すべての RACF® コマンドを実行できます。 SPECIAL 属性によって、ユーザーには、RACF データベース内のすべての RACF プロファイルに関する 全制御権が与えられます。

Security Server RACF セキュリティー管理者のガイド

マニュアルには上記のように記載されていますが、”SETROPTS”コマンドは発行が可能ですが該当コマンドのオプションにて監査関係の設定（例えばSPECIAL属性で発行されたコマンド取得設定）は、変更できないことから注意が必要です。

「SPECIAL」、「OPERATIONS」および「AUDITOR」の３つの特権属性の付与にはSPECIAL属性が必要であることから必ず使用できる状態でSPECIAL属性のユーザーIDが必要です。そのため、SPECAIL属性は連続パスワード誤入力等によるREVOKE（使用不可）を防ぐために、連続回誤入力を行なっても直接REVOKEされることはありません。下記のメッセージがオペレーター画面に表示され明示的に選択を行わない限りREVOKEしません。

ICH301I

ICH302D

このような安全策が取られていますが、SPECIAL属性を持つユーザーIDがパスワード忘れ等で使用できなくなるとRACFに関連する全ての定義を変更できなくなります。
（RACF-DBを切り替える等を行なって強制的にSPECIAL属性を取り戻す必要があります）

SPECIAL属性の権限はRACF関連の設定をほぼ全て変更できる強力な特権です。そのため、付与されているユーザーIDの業務上の必要性の確認とモニタリング等の牽制を行う必要があります。一方で、SPECIAL属性のIDが全て使用出来なくなることを防ぐ運用を設計することも大切です。

緊急時のみに使用する少なくとも 1 つのユーザー ID の定義

OPERATIONS属性

データセット等に関する強いアクセス権を持っておりほぼ全てのデータセットにアクセス可能な特権です。（※）主に付与される対象としては、バッチ等の処理IDやシステム変更/トラブル対応用の臨時貸出IDです。業務データ等にもアクセス可能であることから本番環境の個人IDに常時付与することは通常考えられません。

（※）OPERAITONS属性は全てのデータセットに対する無条件アクセスや権限検査バイパスではありません。アクセス権限検査の詳細についてはグローバルアクセステーブル等も含めてまとめてご説明します。

OPERATIONS 属性

OPERAITONS属性はデータに対する強いアクセス権限を持つ強力な特権です。そのため、付与されているユーザーIDの業務上の必要性の確認とモニタリング等の牽制を行う必要があります。

AUDITOR属性

RACFにおける定義確認コマンド（SETROPTS LIST/LISTUSER）および監査設定変更コマンド（例：SPECIAL属性のコマンドログ取得設定変更など）を発行できる特権です。AUDITOR属性から権限変更コマンドを無くしたROAUDT属性があることから監査においてシステム変更のリスクを減らすためにROAUDT属性を使用することも１つの手段です。

AUDITOR 属性

ROAUDIT 属性

また、「SETROPTS LIST」の実行はSPECIAL属性およびAUDITOR属性にて発行が可能ですが、SPECIAL属性で実行した場合には一部の設定情報が出力されないことから注意が必要です。そのため、「SETROPTS LIST」の依頼を行う場合はAUDITOR属性にて実行することを明示的に依頼してください。
（被監査システム担当者も当仕様を認識していない場合があります）

REVOKE属性

IDの特権ではありませんが、IBMマニュアルでは、上記の特権と見なされる属性と同じ項目で説明されていることから当記事にて説明します。REVOKE属性とは、IDを使用不可（ログイン/JCL等の実行不可）となる属性です。
REVOKEとなるのは、SPECIAL属性を持つIDのコマンドにより明示的に属性を付与するか、連続パスワード誤入力等によりシステム側にて自動的に変更される場合があります。REVOKE属性の解除はSPECIAL属性等を持つIDのコマンドにて実施する必要があります。当該属性のみコマンド実行時に別途日付指定することにより自動付与・解除が可能な属性です。

z/OSの仕様によりID定義を削除できない場合には、ID定義の削除ではなくREVOKE設定とすることがあります。

REVOKE 属性

監査ポイント

全てのSPECIAL属性IDについて業務上の必要性が確認されていますか。また、SPECIAL属性の不正利用を抑止する運用を行なっていますか。

SPECIAL属性のIDが全て使用出来なくなることを防ぐ運用を行なっていますか。

全てのOPERATION属性IDについて業務上の必要性が確認されていますか。また、OPERATION属性の不正利用を抑止する運用を行なっていますか。

全てのAUDITOR属性（含むROAUDT属性）について業務上の必要性が確認されていますか。また、AUDITOR属性の不正利用を抑止する運用を行なっていますか。

その他特権として扱うべきID種別があれば業務上の必要性が確認されていますか。該当ID種別の不正利用を抑止する運用を行っていますか。