z/OSに対するセキュリティシステム監査(システム系データセットの保護)

システムにおけるデータセットの保護

システム稼働を行うデータセットは、一般ユーザーID等が参照または更新を行った場合にセキュリティ上のリスクとなることから保護を行う必要があります。IBMマニュアルにおいて、システム稼働等で使用するデータセット保護について次のようなガイドラインを示されており参考となります。
また、システムデータセットを適切に対してアクセス権限設定を行うことはセキュリティ上だけなく誤った操作によりシステム障害を防ぐフェールセーフの役割もあります。

システム・データ・セットのセキュリティー

当該ガイドラインには、”RACF-DB（セキュリティー定義データ・セット）のような非常に重要なデータセットから”SYS1.SAMPLIB”のようにJCL作成時のサンプル雛形のような直接システム稼働等に影響を与えないデータセットが含まれています。当該ガイドラインに記載されているデータセットの中で保護する必要があると考えられる対象を検討の上、監査を実施する必要があります。
保護する重要度が高いと考えられるデータセットを検討する上で「DSMON」の「選択されたデータ・セットの報告書」で出力されるデータセットについても参考となります。また、当該ガイドラインにはz/OSに関連するデータセットのみが記載されていることから同様にNetViewやDB2等のミドルウェアについても保護すべきデータセットを検討する必要があります。

データ・セキュリティー・モニター (DSMON)

以降で私が理解している範囲でいくつかのデータセットについて説明を行う。また、多くのデータセット名はIPL関連のパラメーターを順次追っていけば把握可能であるが、z/OSに関する詳細な知識が必要であることからDSMONに出力されている以外のデータセットについては被監査システム担当者にヒアリングして確認を行うことが望ましい。

SYS1.LINKLIB

システム稼働において重要なプログラムが収められたライブラリーであることから不正に更新された場合にシステム的なリスクがある。対象データセット名は、「DSMON」の「選択されたデータ・セットの報告書」の「LNKLST」および「LNKST-APF」にて確認することが出来る。
（LNKST-APFの場合は、”LINKLIB"でもあり”APF”であることを示す）

APF ライブラリー

当該データセットに保管されているプログラムは特別な権限にて実行することが可能である。そのため、不正なプログラム等が当該ライブラリーに登録され実行された場合にはシステム的なリスクがある。対象データセット名は、「DSMON」の「選択されたデータ・セットの報告書」の「APF」および「LNKST-APF」にて確認することが出来る。
（LNKST-APFの場合は、”LINKLIB"でもあり”APF”であることを示す）

APFライブラリーに動的追加されている対象は表示されません。そのため、DSMONの確認と合わせて被監査システム担当者にAPFライブラリーへの動的追加を実施しているかをヒアリングにて確認する必要があります。
（パラメーターを司るデータセットにハードコーディングを行うことを”静的”と呼び、システム起動後にコマンド等を用いて一時的に追加することを”動的”と呼びます。）

マスター・カタログ

全てのシステムに存在する一番大元となるカタログ（データセットが存在するDASDVOLを紐付けしているデータセット）である。当該データセットには、IPL（z/OSで言うところシステム起動）時に読み込むべきデータセットが含まれており、例えばオペレータ等が誤ってアンカタログを行った場合にはIPLが失敗する可能性がある。
対象データセット名は、「DSMON」の「選択されたデータ・セットの報告書」の「MASTER CATALOG」にて確認することが出来る。

ユーザー・カタログ

マスターカタログから紐付けられる一部のデータセット命名範囲を管理するカタログである。当該データセットを誤って削除した場合には、一部のデータセットのDASDVOL名を明示的に知っていなければアクセス出来なくなる可能性がある。また、システム・データ・セットのガイドラインでは、「UPDATE」が許可されているが、ミドルウェア等のシステムデータセットが登録されているユーザー・カタログが誤って更新されてしまうとミドルウェア等の稼働に支障をきたす可能性があることから、全てのユーザーカタログのUACC値を「UPDATE」とするのではなく、必要に応じて「RAED」等を検討することが望ましい。
対象データセット名は、「DSMON」の「選択されたデータ・セットの報告書」の「USER CATALOG」にて確認することが出来る。

セキュリティー定義データ・セット

RACFにおいては、全てのセキュリティ定義情報が含まれているRACF-DBが該当する。暗号化（ハッシュ化）されているとは言えパスワード情報を含むこと、全てのアクセス権限等の詳細情報が含まれることから参照された場合には、セキュリティ上のリスクが存在する。
対象データセット名は、「DSMON」の「選択されたデータ・セットの報告書」の「RACF PRIMARY」および「RACF BAKUP」にて確認することが出来る。

SYS1.PARMLIB

システムにおいて最も重要なパラメーターが収められているデータセットで当該データセット内のパラメーターを変更された場合、システム運用等に支障をきたす可能性がある。システム・データ・セットのガイドラインでは通常であればUACC値を（READ）としているが、一部のパラメーターにパスワードを含む可能性があることからパスワードを含む場合にはUACC値を（NONE）とする旨、ガイドラインに記載されている。
そのため、被監査システム担当者に対してSYS1.PRMLIB（TSOKEYxx）の提供を依頼し、該当パラメーターにパスワードが含まれていないことを確認する必要がある。
対象データセット名は、「DSMON」の「選択されたデータ・セットの報告書」の「SYSTEM」にて確認することが出来る。（※）

（※）「SYSTEM」と記載されているデータセットにはいくつかの種別のデータセットが含まれていることから最終的なデータセット名は被監査システム担当者に確認を行うことが望ましい。

SYS1.UADS

RACF以前のセキュリティ定義情報が収められているデータセットであり、一部緊急用のIDおよびパスワード（平文）が定義されている可能性がある。

対象データセット名は、「DSMON」の「選択されたデータ・セットの報告書」の「SYSTEM」にて確認することが出来る。（※）

（※）「SYSTEM」と記載されているデータセットにはいくつかの種別のデータセットが含まれていることから最終的なデータセット名は被監査システム担当者に確認を行うことが望ましい。

ページ・データ・セット

過去の歴史においてメモリーとは非常に高価であった時代に、メモリー上で一時的に使用しないデータをDASDVOL上のページデータセットに一時的に展開する機能があった。そのため、ページデータセットにはメモリー情報が展開されることから処理中の業務情報等が一時的に保存される可能性がある。

SYS1.DUMPxx

システム障害等が発生した場合に、メモリー上の情報をダンプデータセットに出力を行う。出力されたダンプ情報を詳細に調査することで障害等の原因を究明する。ダンプデータセットにはメモリー情報が展開されることから処理中の業務情報等が一時的に保存される可能性がある。
また、当該データセットは開発環境等との共有DASDVOL上に作成される可能性が高い（※）ことから存在するDASDVOLを確認し、共有DASDVOL上に作成されている場合は他システム側でのアクセス制限を合わせて確認する必要がある。

（※）本番環境でシステム障害が発生している場合には対象のダンプデータセットを速やかに開発環境で取得して解析することが想定される。

SYS1.MANx

RACFのアクセスログ等を保管するSMFがログを出力する。SMFにはセキュリティ関連のログを含むことから第三者によりログを解析されることはセキュリティ上のリスクやログの改ざん・削除を防ぐ必要がある。
SYS1.MANxは3つ程度のデータセットが存在しており(SYS1.MAN1〜SYS1.MAN3）、容量が一定水準を超えると次のデータセットに切り替えを行う。切り替えと同時に当該データセットに収められているログの吸い上げを行い別のデータセットに保管を行う。そのため、SYS1.MANxのような直接ログが出力されるデータセットだけでなく、吸い上げ先のデータセット、長期保管を行うデータセットに対しても同様のアクセス制御を行う必要がある。

その他プロダクト関係のデータセット

z/OSやNetviewおよびDB2のようなミドルウェア稼働に必要なプログラムや初動設定パラメーター等が保管されたデータセットについては、プログラム破壊や改竄を防止するために、必要に応じてアクセス制御をする必要がある。当該データセット群については通常被監査システムの命名規則にそって作成されていることから個別のデータセット名ではなく、プロダクト関連のデータセット命名規則をヒアリングを行い保護状況を確認する。

監査のポイント

システム系のデータセットについて用途毎に必要なアクセス制御が実施されていますか。