z/OSに対するセキュリティシステム監査（RACF-DBアンロードファイル）

RACFにおけるユーザーID定義情報（パスワード情報を含まず）、データセットのアクセス定義およびコマンド等の権限定義はRACF-DBアンロードファイルに含まれています。
RACF-DBをIRRDBU00を使用して可読できる形に変換しています。ただし、RACFコマンドの”LISTUSER”等の実行結果とは異なり１行で１定義情報が記載されています。
RACF-DBアンロードファイル（以下、RACF-FLATファイルと呼ぶ）は、最初の4桁によりレコードの種別を表しています。

IRRDBU00 レコード・タイプ

例えば、0200レコードは「ユーザー基本データ・レコード」を表しています。そこで0200レコードに関するマニュアルを確認すればカラム毎にどのような情報を指名しているかを確認できます。

ユーザー・レコード形式

0200レコードの6〜13カラムは定義されたユーザーIDを意味し、同じ行の40〜43カラムは該当IDに「SPECIAL 属性」の特権が付与されているかを意味します。

このようにRACF-DBに収められた全情報がレコード形式と付き合わせることで具体的にどのような定義となっているかを監査することが可能です。

RACF-FLATファイルの利用法

RACF-FLATファイルを被監査部門より受領したらエクセルに読み込みを行います。その後、例えばユーザーIDの定義を確認したいのであれば”0200で始まる”ルールにて対象レコード抽出し、対応するマニュアルのカラムルールにより分割することで確認することが可能です。
（昔はエクセルの行数限界に悩まされましたが新しいバージョンであれば対応可能でしょう）

おすすめの方法

RACF-FLATファイルにはすべてのRACF-DB情報が含まれていることから被監査部門に対して一度提出を行うだけで完結することから被監査部門への負荷が少ない方法です。
しかしながらRACF-FLATファイルを解析するには前提となる知識が必要となることが多いことからデータセット等の保護状況の確認はコマンド発行を行いより可読性が高い形式で提出をいただくと良いでしょう。
（ユーザーID等の定義はRACF-FLATファイルでも可読出来ますが、データセットの保護プロファイルは多少ハードルが高いと思います）