z/OSに対するセキュリティシステム監査(RACF以外のID管理)

z/OSのセキュリティはRACFに集約されているものの全てのIDや権限がRACFで管理されているわけではありません。z/OSのセキュリティシステム監査を行う場合には、RACFでの管理範囲を把握する必要があります。

UADSにおけるユーザーID管理

RACFはz/OS(含むOS360等）の最初期から存在していたわけではなく、RACF以前には、UADSデータセットと呼ばれるシステムデータセットにIDおよびパスワード情報を定義していました。現在でもUADSデータセットは存在しており次のような用途で使用されています。

• システム（TSO）へログインできるIDを定義する。

• RACF等のトラブル発生時に緊急使用するIDを定義する。

TSO の考慮事項

TSO の考慮事項

UADSには緊急時に使用するIDを登録しておく必要があり、また該当データセットにはIDおよびパスワード（平文）が含まれていることから該当データセットへのアクセス権（参照・更新）を制限する必要があります。また、z/OSにおけるユーザーID棚卸しを実施する場合にUADSに定義されているユーザーIDも含めて実施する必要があります。

システム・データ・セットのセキュリティー

Netviewに関するID管理

Netviewはコンソールに出力されたメッセージに基づいて特定の処理を実施するz/OSの代表的なミドルウェアです。NetviewはRACF側でID・パスワードを管理する設定もありますが、Netview側でID・パスワードを独自管理する設定も存在します。

NetviewのID・パスワードの設定は、DSIPARM データ・セットの CNMSTYLEを確認する必要があります。
(DSIPARMデータ・セットはシステムによりデータセット名が異なることから被監査システム担当者に確認をしてください）

CNMSTYLEは、Netviewに関する初期パラメーターが定義されておりり、”SECOPTS.OPERSEC”にてNetviewのユーザーIDおよびパスワードをどのように管理するかを定められています。当該設定値を元に被監査システム担当者にヒアリングを行いNetviewにおけるIDおよびパスワード管理の実装方法を確認してください。

SECOPTS.OPERSEC

例えば「SECOPTS.OPERSEC=NETVPW」の場合には、IDおよびパスワードはRACFの定義を使用せず「DSIOPF」の定義情報を使用します。このような場合には、「DSIOPF」の定義情報をユーザーID棚卸し時に対象として実施する必要があります。また、「DSIOPF」にはIDおよびパスワード（平文）で含むことから「DSIOPF」を含むデータセットへのアクセス権（参照・更新）を制限する必要があります。
（DSIOPFを含むデータセットはシステムごとにデータセット名が異なることから被監査システム担当者に確認してください）

NetView プログラムを使用したパスワード許可

DB２における権限管理

DB2は、z/OSにおける代表的なリレーショナルデータベース製品です。DB2における権限検査ではRACFが管理するIDを使用しますが、DB2における権限はDB2内のテーブルおよび初期設定パラメーターにて管理されています。

Db2 13 - セキュリティー - 管理権限

そのため、RACF内の定義だけで権限の棚卸しを行うとDB2側の権限を適切に棚卸しすることは出来ません。そのため、次のようなDB2側の権限設定を追加で取得する必要があります。

DB2の権限テーブル内の特権

DB2内の「SYSIBM.SYSUSERAUTH」テーブルにはシステム特権に関連する定義情報が収められています。DB2特権を確認する場合には、当該テーブルの定義情報を被監査システム担当者に依頼してSQLを実行して取得してください。また、DB2の権限テーブルに定められている権限のうち特権とすべき対象は各社の特権に関する定義に判断してください。

Db2 13 - Db2 SQL - SYSIBM.SYSUSERAUTH カタログ表

DB2の初期導入特権

DB2内の特権情報は全てが「SYSIBM.SYSUSERAUTH」テーブルに含まれているわけではありません。「インストール SYSADM」および「インストール SYSOPR」はサブシステム初期設定パラメーターを含むモジュール (通常は DSNZPARM)に定義されています。
そのため、DB2特権を網羅的に確認する場合は「SYSIBM.SYSUSERAUTH」の定義情報だけではなくサブシステム初期設定パラメーターを含むモジュールの定義情報を被監査システム担当者に依頼して取得する必要があります

Db2 13 - セキュリティー - インストール・システム SYSADM

Db2 13 - セキュリティー - インストール SYSOPR

RACF管理範囲の把握

z/OSにおいてID等がRACFに管理されていない、またはその可能性がある領域についてご説明いたしました。z/OSには上記以外のミドルウェア等も存在していることから監査を行う場合には、被監査システムに導入されているz/OS機能やミドルウェアを確認し独自のID、パスワード、権限管理を行なっている対象をマニュアルの確認等を行い把握してください。

監査のポイント

RACF障害等に備えてUADSに障害対応IDを定義していますか。

ユーザーID棚卸し時にUADS定義を含めて実施していますか。

UADSデータセットのアクセス権を適切に設定していますか。

NetViewの設定を確認しユーザーID棚卸しを適切に実施していますか。

NetViewにてパスワード情報を管理している場合に該当のデータセットのアクセス権を適切に設定していますか。

ユーザーIDに紐づいた権限の棚卸し時にDB2権限を漏れなく含めて実施していますか。

RACF管理下にないID/パスワード/権限管理を把握していますか。