IBM iのセキュリティーの脅威に備える
IBM iサーバーはセキュリティーに関しては周知のとおり異種のプラットフォームです。Windows、Linux、Unixシステムを脅かす同種のマルウエア攻撃には影響は受けません。しかしながら、ユニークなアーキテクチャーであるがゆえに、セキュリティーの点で、重大ではありませんが独自の欠点を持っており、このプラットフォームの強さと弱点を理解することはセキュリティーに遅れを取らないために重要な意味を持ちます。Skyview Partner社が開発した新しいツールはIBM iサーバーのセキュリティー特性を把握するうえで役に立ちます。
多くの組織で、IBM iサーバーは記録用のアプリケーションを稼働させており、それ自体が組織の維持に関わる最も重要なデータを保管しています。このために、データを金銭に変えようとする犯罪者の格好の標的になります。このようにIBM iサーバーとそのデータベースが狙われているにもかかわらず、一部のショップはファイアーウオールの前面のネットワークにこれらを置いています。他方WindowsあるいはLinuxボックスはウエブサイトのホストとして、あるいはファイル及びプリントサーバーとして使われる傾向が強まっています。このことはサインオン・スクリーンを極めて難しくしており、データを盗み出すのを困難にしていることは言うまでもありません。
IBM iサーバーのバックオフィス機能としての役割が意味するところは、異なる脅威に晒されているということです。フロントエンドのWindowsとLinuxサーバーがインターネット上でハッカーの侵入を受けやすい一方で、IBM iサーバーは内部の脅威に影響を受けやすい環境に置かれています。中国とロシアのスーパー・ハッカーたちがマスコミで多く取り上げられていますが、セキュリティー侵害の4分の3は会社に不満を抱いている従業員及びの認証情報を得ている社員の犯行に因るのが事実です。これはIBM iサーバーが危険域に直接置かれているということです。
IBM iのセキュリティーのエキスパート、Robin Tatamは、内部の脅威を軽視してはならないと警告しています。「大きな脅威は、あらゆるハッカーが追い求めているログオンのためのIDとパスワード等の認証情報を既に得ている人々である」と言います。彼はPowerTech社のセキュリティー・テクノロジーのディレクターで「我々は入社した社員に通常、入社して数日以内にこれらの情報を与えてきた」と述べています。
最近の大きなセキュリティー侵害のいくつかは正当なユーザーIDとパスワードを入手したハッカーの犯行になっています。Target社で2013年に発生した大規模なデータ漏洩はTarget社で常時作業を行っていた冷暖房とエアコンディショナーの下請業者からe-mailのフィッシングプログラムを使ってサインオンの情報を盗み取って内部ネットワークに侵入したサイバー犯罪に因るものでした。
外部のハッキング・スキルと下請業者のセキュリティーに対する認識の欠如が絡み合い、巧妙な偽装マルウエアがTarget社の堅固なPOSシステムに潜入しました。この結果数千万人の顧客のカードデータが流失してTarget社は数億ドルの損害を被りました(CEOの解雇は言うまでもありません)。これ以来、我々は他の多くの大規模企業における機密漏洩事件を耳にしてきました。Home Depot、Anthem、JP Morgan Chase、Office of Personnel Management(OPM)などです。OPMは政府から機密情報取扱許可を得た連邦従業員たちの詳細な履歴を保有していました。
なお、Tatamはセキュリティー侵害の疲労に屈服してはならないと警告しています。「いま人々は耳にすることに慣れている。OK、今日はどんなセキュリティー事件?という風に、無頓着になる危険性がある」と言います。事件のショックが徐々に弱まってゆくことで、なかには自社のブランドが事業を行うためのありふれたコストで苦しむ瞬間的な悪評に過ぎないと考える企業があります。その結果、それらの企業はセキュリティー強化に向けての時間と資源の投資を行わなくなる危険性があります。
セキュリティー侵害に対する疲労は事実かも知れませんが、多くの産業の各企業はITのセキュリティーを管理する新しい規制が厳格になってきているために無頓着ではいられなくなっています。
内部システムを監査する監査人が諸規制の順守状況に関して甘い判定を下して、IBM iの管理者が監査は恐れるに足りないと感じてしまえば、管理者は規制の順守に多分注力しないでしょう。しかしながら、IBM iのショップは規制の順守を監査する立ち入り検査がいっそう強化されてきている事実を報告しています。
最近HelpSystemsに買収されてPowerTech社の姉妹会社になったSkyviews Partner社はIBM iのショップが監査への周到な準備に取り組むために役立つソフトウエア、Risk Assessorを新たにリリースしました。このソフトはIBM iのショップがセキュリティーに対する対応姿勢を改善して監査を乗り切るのを支援します。
またRisk Assessor 2.5はユーザーがIBM iのプラットフォーム上で保有している諸々の許可を詳細に調査する新機能を有しています。
ロール・ベースのアクセス制御(RBAC)はIBM i7.2の新しい強力なセキュリティー機能であり、ユーザーが見ることのできるデータを制限し、誰が見ることができ、何を見ることができないかを監査人が行うように正確に見極めます。
SSL on IBM i
Secure Socket Layer (SSL)は普及している暗号化テクノロジーですが、重大な脆弱性が顕在化して大きな打撃を受けました。IBMは先を見越してSSLの後継であるTLSへ移行していたおかげで、IBM iのショップはこの脆弱性の問題による影響を大きく被らずに済みました。しかしながらIBM iのショップはこの問題から完全に防御されているわけではありません。多くのサードパーティーのソフトウエアベンダーが依然としてまだSSLを越えてTLSに移行していなからです。
Skyviewは、アップデートされたツールにはSSLで最近発見された脆弱性を容易に検出して修正する新たなレポート機能が追加されていると説明しています。関連法規(PCI DSS)の最新バージョンは、組織にSSLの使用停止を要求しているので、このツールの新しいレポート機能は時宜を得ていると説明しています。
Skyviewの共同創立者Carol Woodburyは、新レポート機能は顧客が詳細にIBM iのセキュリティー設定を検査してPCI DSSの監査を乗り切るのを支援すると述べています。
「セキュリティーは多くのCIOにとって最重要課題であるが、そのゴールは常に移り変わる。顧客は、我々が最新の法規・法令に精通していることを要求しており、我々は顧客のこの強い要求に基づいて新しいレポート機能を提供している。Risk Assessor 2.5は、組織が変化するコンプライアンスの要求に対応してIBM iの先進セキュリティー機能を活かすことを可能にする」とWoodburyは説明しています。Woodburyは以前IBMにおけるOS/400のセキュリティー・アーキテクトで現在HelpSystemsのグローバル・セキュリティー・サービス部門のバイスプレジデントです。
