キャロル・ウッドベリー著

最近新車を買いました。どの型やモデルに一番納得がいくか数ヶ月に渡って熟考しました。でもたった一つだけ決めていたことがありました。車を選んで後から機能を追加するという買い方はしたくなかったのです。自分が欲しい機能を備えた型やモデルを見つけたかったのです。

また付属品をあれこれと買うのも嫌でした。車の装備一覧に羅列されるような役立たずの付属品は文字通り役立たずであるか、数ヶ月も使うと壊れてしまうものです。もう一つの条件は信頼性でした。深夜に道路脇で立ち往生することだけは絶対に嫌でした。そんなわけで私はいろいろ探し回ったり試乗したりして、ワクワクするような車をようやく見つけたのです。

キャロル、新車を買えて良かったね。でもこれがセキュリティーとどんな関係があるの。

新車を購入するという私の実体験はビジネス用のコンピュータを購入する際に皆さんが体験することに似ています。強力で統合された機能が欲しいでしょう。補修部品市場で売られている追加機能を頼りにしないと使えないシステムなど買いたくはないでしょう。備わっている機能は購入してすぐに動くものでなければなりません。最後に、備わっている機能は信頼性が高いものでなくてはならず、修正やパッチが頻繁に出される（そのためダウンタイムが生じて不便である）ようなものは受け入れられません。

ではOS/400のセキュリティーを試運転してみましょう。

統合セキュリティー

ご存知かも知れませんが、OS/400にはセキュリティーが備わって（統合されて）います。他社製のソフトウェアを購入してセキュリティー・システムを導入する必要はありません。セキュリティーはオペレーティング・システム全体に渡って統合されています。アクセス権のチェックはシステムの最低レベルで行われるので、OS/400のセキュリティーは健全であり、これをバイパスするのは不可能とは言わないまでも大変困難です。

OS/400にはビジネス・コンピューティング・システムに求められるすべてのセキュリティー機能が備わっています。

識別
OS/400では、各ユーザーが個別のプロファイルを作成でき、すべてのジョブとトラッキングはこのプロファイルの下で実行されます。
認証
OS/400では、ユーザーは自分が本当にユーザー本人であることを証明する必要があります。最も汎用的で良く知られているOS/400の認証機構はユーザーIDとパスワードです。
アクセス権
オブジェクト・レベルのセキュリティーにより誰が何にアクセスできるのかを（非常に細かいレベルまで）制御することができます。
監査
監査は健全なセキュリティーの実装の中でも重要な部分であるにもかかわらず、これを使用しているユーザーはほとんどいません。いつ、どのようにオブジェクトにアクセスしたかなどといったセキュリティー関連のアクションを、システム全体に対してでもユーザー・レベルでも監査することができます。

V5R2では、監査対象オブジェクトの外部記憶プールや、要求を出しているユーザーのTCP/IPアドレスなどといった詳細な情報も監査ジャーナルに含まれています。パス名を使用しているオブジェクトに関連した監査エントリも容易に解読できます。従来はオブジェクトのファイルID（FID）しか入手できませんでしたので、APIを使用してFIDを実行してオブジェクトのパス名を取得しなければなりませんでした。V5R2では、パス名の最初の5,002文字が監査ジャーナル・エントリの最後に含まれています。
統合性
OS/400は不正なプログラムが決してシステムの統合性をバイパスできないように設計されて（そしてそのための機構を提供して）います。つまり、あるユーザーがあるファイルにアクセスできないようにした場合、そのユーザーがいかなる手段を使用してそのファイルにアクセスしようとしたとしても確実に拒否されるため、安心です。

パスワード制御

パスワードのシステム値を使用すると、パスワードを定期的に、しかも簡単には推測できないものに変更するように要求できます。たとえば、パスワードには必ず数字を使い、最低でも7文字の長さにしなければならないといったような要求ができます。

また、パスワードは最長128文字で大文字、小文字、すべての特殊文字、空白文字、句読点を含んでも良い、などといったパスフレーズを実装するオプションもあります。

最後に、OS/400のパスワード・レベル機能により暗号化の弱いMicrosoftのパスワードをシステムから除去することができます。

セーフティ機能

V5R1およびV5R2で追加された三つの機能はシステムの統合性を制御するのに役立つ機能です。
パラメータの妥当性確認はセキュリティー・レベル40と50の両方で実行されるようになりました。つまり、デフォルトのセキュリティー・レベル（40）はAPIを呼び出している、ユーザーが作成したすべてのプログラムが、ユーザー記憶域ではなくシステム記憶域を指すことによってシステムのセキュリティーを破ることができないようにチェックします。パラメータの妥当性の確認は、ユーザーがそれを意識しているか否かにかかわらずシステムの統合性を保つための重要な機能です。（V5R1以前のシステムでIBMがレベル50に上げるようにお勧めしていたのはこうした理由です。）

ディジタル署名はシステムの統合性をさらに確実なものにします。V5R1以降、OS/400のシステム・オブジェクトはそのほとんどがディジタル署名されています。つまり、CHKOBJ ITG（Check Object Integrity）コマンドを実行することによって、オペレーティング・システムのプログラム、サービス・プログラム、モジュール、SQLパッケージ、保存ファイル、コマンドなどが変更されていないかどうかを簡単に検証できます。これによって、トロイの木馬として活動するような悪性プログラムが忍び込んでいないか、システム・コマンドが変更されていないかを検証できます。

OS/400ではシステム・オブジェクト自身が署名されているだけでなく、独自に作成したオブジェクトに開発者やそのビジネス・パートナーが署名したり検証したりできるようなAPIが備わっています。たとえば、ディジタル署名APIを使用して、作成したアプリケーションに署名することができます。こうすることで、アプリケーションが一旦製造部門に渡されれば、誰もアプリケーションを変更できないということが保証できます。

オブジェクトの復旧はQVFYOBJRST、QFRCCVNRST、QALWOBJRSTを使用して厳重に制御できます。このシステム値（上記の順番に評価される）の設定を正しく行えば、ディジタル署名が検証され、OS/400のプログラムを装った変更されたオブジェクト（プログラムなど）やプログラムが検知されずにシステムに復旧されることは確実になくなります。

生まれつき備えているセキュリティー

OS/400は一部のオペレーティング・システムとは異なり、セキュリティーを補足的なものとして扱っていません。iSeriesの利用部門は、市場で数年ビジネスしてきた後に突然システムにセキュリティーを組み入れる設計をする必要はありません。OS/400のアーキテクチャにはオブジェクト・レベルでのアクセス権とハードウェアによる保護が常に備えられており、これらは現在でも他のシステムではほとんど見られない機能です。そのため、eServerに携わる人は長年に渡ってセキュリティーに注力してきたのです。

OS/400のセキュリティーの安定性と信頼性を説明するために、他社が発行したセキュリティーのパッチ数とそれらの重大度を、IBMがOS/400用に発行した統合PTFの数と比較してみてください。

定期保守

セキュリティーに対する最善の対策はベンダーのパッチをすぐに適用して確実に最新の修正をすることです。最近のウィルスやワームは、修正が利用可能になっているにもかかわらず、それを適用していない既知の問題を攻撃し、復旧に莫大な費用を要することになります。

管理者がオペレーティング・システムに対して最新のパッチを適用していれば、ほとんどの重大な障害を回避できていたはずです。残念ながら、一部の会社が発行するパッチ数が余りに多いのでパッチの適用は大変骨の折れる作業になっています。

OS/400の「統合」PTF（すぐに適用する必要のあるセキュリティー・パッチ）をご覧になることはあまりないでしょう。ですからOS/400では定期保守の他に時折セキュリティー関連のPTFを適用すれば、システムを最新の状態に保つことができます。

オーナー・マニュアル

車に分厚いマニュアルが付いてくるのと同じで、OS/400のセキュリティーについても有益な情報が掲載されているマニュアルが数冊付いてきます。これには、iSeriesセキュリティー・リファレンス・マニュアルとiSeriesのセキュリティーのためのヒントとツールが含まれます。

上記のマニュアルおよびその他のマニュアルはIBMのInfoCenter、http://www.iseries.ibm.com/infocenter で入手できます。地域を選択し、V5R2を選んでください。V5R2には他のリリースにはないマニュアルがいくつかあります。前述のセキュリティーに関する2冊のマニュアルのPDF版は、左側のナビゲーション・バー中にある「セキュリティー」タブを開いてください。

「セキュリティー」、「エンタープライズ識別マッピング（EIM）」の下に、EIMやプランニング、実装、管理ガイドなどの一般的な情報があります。

最後に、「セキュリティー」−「保守ツール」の下には保守ツールIDの説明があります。保守ツールIDは専用保守ツール（DST: Dedicated Service Tools）やシステム保守ツール（SST: System Service Tools）にサインオンするために必要となります。保守ツールIDのマニュアルは大変わかりやすく書かれています。

私の車のオーナー・マニュアルには調整やタイヤのローテーションの推奨時期が記載されています。それぞれのシステム値（および実行すべきセキュリティー･ツール）に関するIBMの推奨設定時期については、以下の二つのリソースから選択することができます。

一つ目は、Windows版iSeriesナビゲーターからたどります。システム名をクリックし、「セキュリティー」を右クリックして「構成」を選択します。「セキュリティー」ウィザードが起動します。質問に回答を入力すると推奨時期が表示され、接続しているシステムにそれらの設定値を実際に適用することもできます。

もう一つのリソースはhttp://www.ibm.com/server/security/planner にあるWebベースのセキュリティー・プランナーです。このインタフェースには、OS/400だけでなくAIXやWindowsの推奨設定値を得られるなどといった利点があります。各オペレーティング・システム用の推奨ネットワーク設定値も入手できます。

新しいスタイリング

私が車を選んだ理由の一つは、それが今年発表されたモデルの新しいボディ・スタイルだったからです。プライドが高いと言われるかもしれませんが、古い安物に見える車は嫌だったのです。

OS/400は古くて流行おくれのテクノロジーであるという不満をよく耳にします。こうした批判をする人がOS/400に関する発表に注意していないことは明白です。たとえば、「古くて安物」という表現は、ロチェスターのセキュリティー・チームが開発した業界先端のエンタープライズ識別マッピング（EIM）テクノロジーには当てはまりません。EIMは有名なKerberos標準と並んで、共にシングル・サインオンを可能にする重要なテクノロジーです。他社がシングル・サインオン・ソリューションを実現しようと努力していますが、いずれも独自の認証テクノロジーを使用しており、膨大な数のアプリケーションやオペレーティング・システムの使用を不可能にしてしまいます。

EIMではそのようなことはありません。EIMは認証機構にKerberosを使用しているので、Kerberosチケットを受け付ける任意のネットワーク（Windows 2000のネットワークを含む）に実装することができます。OS/400のほとんどのサーバー（FTP、Telnet、LDAPなど）はKerberosチケットを受け付けることができるようになっており、これは他のeServerオペレーティング・システムのサーバーでも同様です。

独自のソリューションを使用した場合と異なり、シングル・サインオン環境でアプリケーション・プロバイダがしなければならないことは、一般に公開されているEIM APIを使用して、Kerberosチケットを認証方法として受け付けるようにすることだけです。独自のテクノロジーを購入したり実装したりする必要はありません。これでも古くて安物ですか。私はそう思いません。

秘密の部屋

私のビジネス・パートナーのお子さん達は私の新車の中のカップ・ホルダーの数を見て驚きました。いくつかの「秘密の」カップ・ホルダーも見つけ出したのです。

OS/400のセキュリティーにもいくつか秘密の宝石があります。その一つがセキュリティー・ツールです。セキュリティー・ツールはV3R7から同梱されているツールで、以来ずっとOS/400の秘密兵器の一つです。セキュリティー・ツールはどのコマンド・ラインからもGO SECTOOLSと入力すれば使用可能で、これを使用すると管理者はユーザーの管理、今までなら心配しなければならないということすら気づかなかったようないろいろなオブジェクトのセキュリティー属性の把握、監査ジャーナル中にある情報を簡素化するためのレポートの作成などが行えます。

最近のリリースにはPRTPUBAUT（Print Public Authority）とPRTPVTAUT（Print Private Authority）という二つのコマンドがあり、これを使用するとルート（／）ファイル・システムでの権限を管理できます。つまり、パス名に関する作業が行えるのです。この二つのツールにはシステムの現在のセキュリティー構想の全体像を把握するのに十分な機能が備わっています。場合によってはこれらのツールだけでセキュリティー構成全体を管理するのに十分な場合もあります。

ブルン、ブルン

今回選択すべきだったかもしれないのに選択しなかった機能の一つがV6エンジンです。そのスピードとパワー。皆さんなら選択したかもしれませんが、私はV6エンジンでなくても良かったのです。OS/400の場合も同じことが当てはまります。

たとえば、SSLを使用して大量の暗号化されたトランザクションを行うとしたら、スピードとパワーが欲しいと思うでしょう。2058暗号化アクセラレータ・カードはプロセッサ集約型のSSLセッションの初期化フェーズ処理により、SSLトランザクションの性能を大幅に向上させます。標準テストによってこのカードは非常に競争力があることが証明されました。2058暗号化アクセラレータ・カード（およびその他のOS/400暗号化機能）の詳細についてはIBMのInfoCenterのV5R2−セキュリティー−暗号化ハードウェアをご覧ください。

いくつかの弱点

私の新車は完璧な状態で届いたわけではありませんでした。助手席側のドアをしっかりと閉めないと「ドア半開き」のランプが消灯せず、後部ドアの一つのガードが剥がれかけていました。何千ドルも支払ったのになぜ私の車は完璧な状態で届かなかったのでしょうか。それは人間が設計して組み立てたものだからです。これを念頭に置いてOS/400のセキュリティーの限界について正直に説明しましょう。

まず、IBMのマーケティング担当者が宣伝に良く使う神話を払拭しておきましょう。それは、OS/400はハッキング不可能だという神話です。そんなことはありません。私を異端者だと訴える前に、ハッキング不可能なコンピュータなどないということを理解しなければなりません。というのも、コンピュータは人間が設計し、プログラムし、構成しているからです。設計者はコンピュータのあらゆる構成を見越しているわけでも、知っているわけでもありません。また、まだ生まれていないテクノロジーを見越すこともできませんし、すべてのユーザーがシステムを誤って構成しないようにすることもできません。

しかし、完璧なコンピュータはないということを前提にすれば、OS/400はかなりそれに近いと思います。OS/400は、ビジネス・リスクを理解した上でそのシステムを使用してビジネスを行うのに十分安心できるレベルまでシステムを保証するツールと構成オプションを備えています。

私の新車にはいくつか失望した点がありました。しかしそれを考慮しても、もう一度同じ車を選ぶでしょう。OS/400のセキュリティーがあらゆる面で完璧だと私が思っていると思いますか。いいえ、思っていません。セキュリティー・ツールがリリースされたとき私はまだIBMでチーム・リーダーをしていました。今や私はそのツールを使ってお客様を支援していますが、できることなら1〜2点は違ったように設計したかったと思っています。Windows版iSeriesアクセスは多くのOS/400取扱店に対してセキュリティーの課題を多く投げかけ過ぎたとも感じています。（しかしそれでも、Web 版iSeriesアクセスではそうした課題が減っていることを願っています。）

安全注意事項

私の新車にはエアバッグが搭載されていますが、運転するときはシートベルトを締めています。同様に、OS/400のセキュリティーがシステムの深いレベルで統合されているからといって注意を怠ってはいけません。

たとえば、私ならOS/400上で稼動しているWebサーバーの前面にはファイヤーウォールを立てます。オブジェクト・レベルのセキュリティーを使用します。重要なシステム値の設定を監視して、ベンダーのコードや不満をもった社員がその値を変更しないようにします。ユーザー・プロファイルの管理をきちんと行って、退社したユーザーのユーザー・プロファイルがシステム上に残らないようにします。アパッチWebサーバー上で実行されているサイトをスキャンします。

考慮すべき機能、課題、注意事項などすべてのことを考えてもOS/400のセキュリティーは今日市場で一番のお買い得ですので、私はこれに一票入れます。

著者キャロル・ウッドベリーは、セキュリティーのコンサルティングおよびサービスを専門とするSkyView Partners社の共同創立者の一人です。キャロルは、IBMロチェスターでAS/400のセキュリティー・アーキテクトを10年勤めるなどセキュリティー業界で13年もの経験を有しています。！