z/OSに対するセキュリティシステム監査（ミドルウェアに対する監査）

ミドルウェアの監査

z/OSには多数のDB2/Netview等のミドルウェアが存在しているがここではごく初歩的なセキュリティ監査について説明を行います。
当該項目については、製品に対する前提となる知識等が必要であることから各ミドルゥエア等で考えるべき事項等を列挙するに止める。

DB2のセキュリティ

DB2にはIDの記事で説明したとおり、特権情報（SYSADM等）をDB2側で管理を行なっている場合があることRACFだけでなくDB2側の特権情報を確認する必要があります。
また、DB2の製品プログラム、初期パラメーターおよびログ等が保管されたデータセットは適切に保護される必要があります。

Db2 13 - 入門 - Db2 システム・オブジェクト

NetViewのセキュリティ

NetViewにはIDの記事で説明したとおり、IDおよびパスワードをRACF側でなくNetview側で管理を行なっている場合があることから、IDおよびパスワード管理方法を確認する必要があります。また、NetViewは一定の”システムメッセージ”が出力された場合に自動対応するミドルウェアであることから自動対応処理に悪意のある処理が組み込まれることを防ぐ必要があります。
さらに、NetViewの製品プログラム、初期パラメーターおよびログ等が保管されたデータセットは適切に保護される必要があります。

ジョブ管理システムのセキュリティ

特定日時にJCLを実行したり、先行処理が終了した後に後続処理を開始するなどジョブの運行全般を担うミドルウェアが存在しています。IBM製品ではTivoli Workload Scheduler等がありますが、サードベンダー製品や場合によっては自社で作り込みを行なっている場合があります。このような製品の場合、ジョブの登録や削除、変更等が不正に実施されないように抑止される必要があります。また、実行されるJCL（ジョブ）そのものも改竄されないように保護する必要があります。

IMS/CICS/MQなどのセキュリティ

個々の製品プログラム、初期パラメーターおよびログ等が保管されたデータセットは適切に保護される必要があります。また、製品特性に合わせてコマンドの投入や機能制限等が実施される必要があります。

監査のポイント

ミドルウェアのセキュリティは正しく実装されていますか。