IBM i のセキュリティについて学びたい
Question
監査向けの資料提供の一環として、社内のIBM i V7R3のセキュリティに関して調査をし、情報を纏めるよう指示がありました。何を参照し、自社のシステム調査の参考とすればよいか教えていただけませんでしょうか。
またIBM i 自体のウィルスについてはあまり耳にする事はありませんが、 IFS領域などは、Windowsライクな形態ですと各方面からマルウェアに遭遇するリスクがあると考えています。
Windowsのウィルスなどが進入した場合にはシステム全体に問題が波及してしまうのでしょうか。
Answer
基本的なIBM i のセキュリティに関する情報は、メーカーナレッジにトピックされています。
参考: https://www.ibm.com/support/knowledgecenter/ja/ssw_ibm_i_73/rzamv/rzamvmanagesec.htm
一概にセキュリティといっても、
- 外部からの攻撃
- 内部の不正行為
- 悪意あるソフトウェアによる被害
等、様々な問題が浮上します。ご懸念いただいている通り、簡単に説明できるものではない為、お客様にて十分にご理解いただく必要がございますが、 まずは走りとして、これらのトピックをお読みいただくとよろしいかもしれません。
また、IFSとウィルスについては、メーカーのIFSに関するマニュアルをご一読いただくとよろしいかもしれません。
参考: https://www.ibm.com/support/knowledgecenter/ja/ssw_ibm_i_73/ifs/rzaaxpdf.pdf?view=kc
IBM i ではIFS領域のオブジェクトをスキャンする事ができます。 QIBM_QP0L_SCAN_OPEN -オープン時の統合ファイル・システム・スキャン出口プログラム この出口点では、一定条件のもとで統合ファイル・システム・オブジェクトがオープンされるとき、オープン時の統合ファイル・システム・スキャン出口プログラムが呼び出されて、スキャン処理が実行されます。
QIBM_QP0L_SCAN_CLOSE -クローズ時の統合ファイル・システム・スキャン出口プログラム この出口点では、一定条件のもとで統合ファイル・システム・オブジェクトがクローズされるとき、クローズ時の統合ファイル・システム・スキャン出口プログラムが呼び出されて、スキャン処理が実行されます。
※スキャン対象となるオブジェクトは、*TYPE2ディレクトリーに完全に変換済みのファイル・システム内のオブジェクトだけです。
ウィルスは基本的にWindowsに対する脅威である場合が殆どとなります。 この出口プログラムはウィルスをスキャンし、適切な処理を行う事ができますが、IBM i プラットフォーム自体がウィルスに感染することは考えられないため、このスキャンの目的は、システム間でのウィルスの波及を抑止することです。
つまり、IFS領域に置かれたマルウェア感染したオブジェクトが、IBM i のシステムに影響を及ぼす事は考えにくいですが、サーバーとしての特性がある以上、IFS領域に接続するユーザーがマルウェアを受け取ってしまう危険性があるため、対策を取っている。という事です。
スキャンに関するシステム値としては、 QSCANFSおよびQSCANFSCTLのシステム値を使用して、ご使用のシステムに適したスキャン環境を設定することができます。
また、オブジェクト保全性の検査、CHKOBJITG コマンドのSCANFSパラメーターの値が*YESに指定されている場合に、スキャンを要求することができます。
ファイルをオープンせずに内容を判別する場合には、この方法が便利です。
SCANFS (*STATUS)を指定した場合、以前にスキャンが失敗したすべてのオブジェクトに関して、スキャン障害違反がログに記録されます。
IBM i のセキュリティも大切です。 季節がらオシャレなビーチで過ごしている人もいらっしゃると思います。 そんな時につい開放的にしすぎると、付け入られてしまうリスクが高まります! 楽しいバカンスが、苦い思い出にならないよう、各個人のセキュリティ対策も気を付けてください。
by 大熊猫橋
