IBM、5250エミュレーターのセキュリティを強化
IBM は、Host Access Client Packageのバージョン12のリリースに伴い、幅広く使用されているIBM iサーバー向けの端末エミュレーション ソフトウェアについて、セキュリティの改善を行いました。7年間で最初のメジャー リリースであり、大きな変更点としては、JavaベースのHost On-Demand(HOD)およびPersonal Communications for Windows(PCOMM)の両製品で、トランスポート レイヤー セキュリティ(TLS)暗号化プロトコルが幅広く使用されるようになっている点が挙げられます。
2月26日、IBMはHACPバージョン12をリリースしましたが、HODバージョン12とPCOMMバージョン12がバンドルされています。これは、2009年に IBMがHACPバージョン7をリリース した以降で最初のHACPパッケージの完全リフレッシュになります。HACPバージョン7のパッケージには、HODバージョン11とPCOMMバージョン6がバンドルされており、PCOMMは6回分の完全リリースを飛ばした形でバージョン12となり、HODとHACPとでリリース番号が同じになりました。
いずれにしても、HODおよびPCOMM 12の機能強化は、一見したところ使ってみる価値がありそうに思われます。主な変更点としては、セキュリティが強化されたことが挙げられ、セキュア ソケットレイヤー(SSL)技術はデフォルトで無効化されるようになりました(ただし、5250ファイル転送機能でまだSSLを使用)。SSL暗号化技術は、ホストのセキュリティ脆弱性の要因となるために、セキュリティの専門家からは時代遅れとみなされるようになっています。 最近見つかった脆弱性 では、後継となるTLSに影響を及ぼしかねないものもありました。
HODおよびPCOMM 12において機能強化された点の一覧については、 IBM United States Software Announcement 216-117 (pdf)に詳しく記載されています。ここでは重要なものをいくつか紹介します。
HOD 12
Host On-Demandはブラウザベースの端末エミュレーターであり、従来の3層アーキテクチャを使用し、別個のHODサーバーを介してIBM iサーバー、メインフレームまたはその他のホストへのログオンを可能にします。
今回のリリースではいくつかのセキュリティ強化がなされています。もっとも重要なものは、TLS 1.1および1.2のサポートであり、それとともにデフォルトでSSL 3.0が無効化されています(ただし、5250ファイル転送機能ではまだSSLをサポート)。IBMでは、HODリダイレクターのJava Secure Socket Extension(JSSE)を介してTLSをサポートしています。HODリダイレクターはTelnetプロキシーとして動作し、HODクライアントとターゲットTelnetサーバーとの間のバリアとなります。HOD リダイレクターでは現在、TLS 1.0、1.1、または1.2を使用でき、これはTLS 1.3の出荷以前では最もセキュアなバージョンのTLSです。また、ブランク パスワードが無効化され、extended key usage(拡張鍵用途)のサポートなど、暗号化キーの管理方法も改善されています。
JavaのNimbusルック アンド フィールが採用されたため、HODの外観は以前とは異なったものになっています。また、テキストの選択方法、セッションの終了方法、グリーンスクリーン表示スペースのすべてまたは一部をコピーする機能、およびグラフィックスの印刷方法についても変更がなされています。
HODクライアントには新たに「スタンドアロン」モードが導入され、HODサーバーに依存することなく、ユーザーはセッションを構成およびアクセスできるようになっています。また、このソフトウェアはJavaプラグインをサポートしていないブラウザ上で、Windows 10マシン上で、そして64ビットのプロセスとして動作する64ビット オペレーティング システム上で動作できます。
PCOM 12
PCOMMは、5250、3270、および他のエミュレーション プロトコルを介してIBM iサーバー、メインフレーム、および他のサーバーにアクセスできるようにする、Windowsベースのエミュレーション クライアントです。
PCOMM 12におけるもっとも重要なセキュリティ関連の機能強化の1つはTLS 1.1および1.2暗号化プロトコルのサポートです。また、 2014年後半にIBM i顧客およびISVに影響を及ぼしたPOODLE攻撃の防止のため、SSLバージョン3は無効化されています。また、FIPSモードでの処理を強制できるようになっています。これは約1年前に 顕在化した Bar Mitzvahセキュリティ脆弱性に対処するためのものです。
また、SNI(サーバー名表示)のサポートのためにTLSの拡張機能が組み込まれました。この機能により、PCOMMクライアントは「Client Hello」要求の間にサーバー名を指定できるようになる、とIBMは言います。これにより、1つのIPアドレスを複数のサーバーで共有している場合に、サーバーはそのサーバー名に対応する証明書を提示することができるようになります。また、PCOMMは、IBM iホストでのパスワード変更を検出し、新しいパスワードへの更新を促すプロンプトをユーザーに出すようになりました。
PCOMM 12はWindows 10オペレーティング システムをサポートしています。ただし、アプリケーション データの場所、「標準のプライベート(Classic Private)」は削除されました。これは、アプリケーション データをプログラム ファイルのパスの外に置くという Microsoft の方針に合わせるためだとIBMは言っています。
SNA(システムネットワーク体系)ネットワーク サポートに対して若干の変更が加えられています。64ビットWindowsコンピュータ上で稼働するPCOMMからは、SNAネットワーク ソフトウェア スタックが除去されましたが、クライアントがSNAセッションを開始することはできるようになっています。これはRemote API ClientとPCOMMを統合したためです。現在、IBMではRemote API ClientをPCOMM 12に組み込み中です。
詳細については、 IBM United States Software Announcement 216-117 (pdf)を参照してください。
