Bitis ブログ

ITの安全性は ~IBM iでの更新ログ確認時の注意点~

[fa icon="calendar"] 2017/06/07 16:06:46 / by ビーティスブログ編集部

ビーティスブログ編集部


GettyImages-669884956.jpg

20175月に世界各地で同時多発した大規模なサイバー攻撃が発生しました。日本国内では約600カ所以上、2000端末以上がウイルスに感染した可能性があるとのことです。海外含めると150か国以上となり今後、企業での被害がさらに表面化する恐れもあります。

 

個人のセキュリティはパソコン、スマートフォンの活用で当事者意識は高いのですが企業などで利用している特定のIT環境ではどうでしょうか。中小企業で多く利用されているIBMiを長年使用していても、セキュリティツール、セキュリティポリシーを導入していない企業がまだまだあるのが実態です。これは、例えば生産管理業務などは会計に直接の影響がなく監査証跡ログが必要ないと判断されたり、IAサーバーでは監査証跡ログを取得していたとしても、IBMiは扱いにくく、IBMi環境のセキュリティログ取得が後回しになり、構築されていないケースも多々あるようです。

 

中小企業の情報漏えい等のインシデント又はその兆候を発見した場合の対応方法を規定の傾向

z1.jpg

IPA抜粋

IBMi市場ではベンダー数社からIBMi上で稼働するセキュリティツールが販売されており、それらのセキュリティツールを導入している企業も多く見られます。しかし導入をしているだけで、それ以上なにもしていない企業や、思いのほかツールの活用に手間がかかり運用に窮している企業もあります。



セキュリティツールの運用について

セキュリティツールには様々な機能が搭載されていますが、監査証跡ログ取得機能はどのセキュリティツールにも搭載されています。ただし、セキュリティツールを導入しただけでは、企業の必要とする要件を満たすわけではありません。

 

実際に実現をしなくてはならないことは監査証跡ログを確認し、不正な使用がないかを確認することにあります。

 

監査証跡ログを確認する方法は各セキュリティツールによって異なりますが、どのツールもツール自体を使用してレポートを出力するか、検索画面からログを都度検索する必要があります。

ツールによっては検索条件を決めて保存できるものもありますが、細かい設定での検索ができなく、膨大な監査証跡ログから該当するログを抽出するまで時間を要し、ツールで必要な時に都度検索するため効率は良くありません。

この様なことから単純作業を条件化してしまい、自動運用をするのが望ましいと考えています。

 



①検証してみました ~IBM i環境で更新ログの運用工数は~

検索条件は各社によって異なりますが、IBMi環境で監査証跡を検証するうえで一般的な企業でよく使われる検索条件として、会計に関わる重要なデータ(オブジェクト)が保存されているライブラリで更新ログの確認する作業があります。

 

そこでその運用工数を検証してみました。不正が行われる場合には、業務メニューからの不正ではなく*ALLOBJなどの特殊権限を持っているユーザープロファイルが使用されます。メニューからではなく直接物理ファイルを更新して不正を行う事が懸念されるためUPDDTAコマンドの使用につい

ては特に監視が必要です。物理ファイルへ直接更新する際には事前に許可制として書面に変更の記録を残し、更新された内容と付け合せる運用をすることで不正な更新を見つけ出すことができます。そのため、これらの監査証跡を確認している企業は多くあります。

 

物理ファイルへの更新についても、業務プログラムからの更新は正として、それ以外からの更新をすべて抽出する条件も監査としては有効となります。

ただし、この条件の場合にはOSからの書き込みやミドルウェアからの書き込みも監査証跡ログとして残るので、実際の環境で監査証跡を取得し、不要なログについては抽出時に除外条件を追加していきます。セキュリティツールの機能ではこの追加する細かい条件を指定できない場合が多く見られます。例えば、Qから始まるライブラリに格納されているプログラムからの更新を除外するケースが考えられます。この場合には監査証跡ログの中のフィールドに更新に使われたプログラムが格納されたライブラリ名のフィールドがあり、条件として指定する事で除外できます。

  

次回は、セキュリティツール標準の機能で監査証跡ログを確認する場合と、監査証跡ログを物理ファイルに出力しログの抽出を自動化した場合の比較をご紹介します。

 

Topics: IBMi関連

あわせて読みたい