z/OSに対するセキュリティシステム監査(DSMON)

RACF-DBの情報だけではなくz/OSの関連セキュリティ情報を含めて収集し、監査等で使用できるフォーマットで出力されたのがデータ・セキュリティー・モニター (DSMON)です。そのため、他のSETROPTS LISTおよびRACF-FLATとは異なり、RACF-DBを共有している場合においては、システムごとに実行結果が異なります。DMSONは10以上の報告内容をまとめて1ファイルに出力されています。当記事でセキュリティシステム監査に直接関係する項目のご説明を行います。

データ・セキュリティー・モニター (DSMON)

システム報告書の項目

システム報告書には、以下の情報が含まれています。
-プロセッサー複合体の ID 番号と モデル
-オペレーティング・システムの名前、バージョン、およびリリース
-システム常駐ボリュームの通し番号
-SMF が使用するシステム ID (SMF-ID)

z/OS Security Server RACF 監査担当者のガイド

当項目ではDSMONを取得した該当システムの概要が記載されています。依頼したシステムのDSMONであることを確認してください。

グループ・ツリー報告書

RACFにおけるグループには親子関係が存在しておりそれを樹形図の形式で示しています。

RACF クラス記述子表報告書

SETROPST LISTの項目で説明したACTIVEクラス等の情報を表形式で表しています。SETROPST LISTよりも可読性があり、かつ監査クラス等の状況も整理されています。

RACF 出口ルーチン報告書

パスワードルールやパスワード結果の暗号化（ハッシュ化）等で使用されるRACF関連のEXITが表示されます。別途、EXITについては説明を行う記事を作成しますが監査の最初の段階で導入されているEXITおよびその仕様を確認することが重要です。

RACF グローバル・アクセス検査表報告書

SETROPTS LISTでもご説明したグローバル・アクセス検査に関する項目です。グローバル・アクセス検査に登録され権限検査がバイパスされる範囲があれば当該項目に記載されます。

RACF 開始済みプロシージャー表報告書

RACF開始済みプロシージャー（STCタスク）に関連する項目が記載されています。STCタスクについては、別の記事でご説明します。

選択されたユーザー属性報告書

RACF-DBに存在する特権属性のステータスが表形式で記載されています。RACF-FALTファイルでも同様の情報を確認できますが、特権属性についてのみの確認であれば当該項目が確認しやすいです。

選択されたデータ・セットの報告書

システム系のデータセットについては、マニュアルにて設定のガイドラインが示されています。ただし、DSMONの当該項目に下記マニュアルで記載されている全てのデータセットが含まれていないことから不足している分については別途対象データセットを被監査システムの担当者に確認の上、RACF-FALTファイルまたはLISTコマンド等により確認する必要があります。
（データセット保護については別記事にてご説明予定です）

システム・データ・セットのセキュリティー