セキュリティ レポートで指摘された、IBM iのデータの脆弱性
先月、HelpSystems社は15回目となる年次レポート「State of Security Report」を発表しました。その中では、同社のクライアントおよび潜在クライアントのIBM iサーバーに対して、年間を通じて実施しているセキュリティ チェックの調査結果をまとめています。今年のレポートでは158のシステムが調査対象となりましたが、その結果をIBM iインストール ベース全体に当てはめてみるとしたら、脆弱なデータがあちらこちらに数多く存在しているということになるようです。
長年に渡って、 HelpSystems社およびPowerTech社のレポートをご覧になってこられた方であれば、IBM iセキュリティの中心部に根差している皮肉な事象については、すでにお察しのことと思われます。すなわち、IBMは著しくセキュアに設定できるサーバー アーキテクチャーを開発してきたにもかかわらず、大多数の実際のIBM i実装はセキュアになっていない、ということです。
実際に今回のレポートで示されたのは、これらのIBM iシステムの多くが、大きく露出した状態になっているという現状でした。デフォルト パスワードが使用されていたり、通常のユーザー プロファイルに管理特権が付与されていたり、ネットワークの出口点が監視されていなかったり、明らかに監査機能が実行されていなかったり、といった状況のせいで、IBM iのショップのセキュリティ部門には、多くの宿題が山積しています。
もちろん、すべてのシステムが露出状態というわけではありません。一部には、強力なパスワード、出口のロックダウン、制限的なユーザー プロファイル、および高いセキュリティ レベル(40以上)によってセキュリティが確保されていることを確認できたシステムもありました。また、HelpSystems社の調査方法においては選択バイアスが働いている点について指摘しておくことは意義があることと思われます。つまり、そもそもセキュリティ評価を受けてみようとする組織というのは、もともとセキュリティを強化する必要があると認識している組織が多いということです(もっとも、そうしたセキュリティの認識が逆向きのバイアスをデータに与える場合もあるかもしれませんが)。
完璧ではないものの、HelpSystems社の年次レポートは、平均的なIBM iユーザーのセキュリティに対する姿勢の現状を一瞥するには最適のレポートと言えそうです。そのような訳で、今年のレポートから得られた知見について、以下で見て行こうと思います。
セキュリティ レベル
セキュリティ レベル(QSECURITY)を設定することは、セキュリティ強化のためにIBM iのショップが行うことができる最も簡単な対策のうちの1つです。HelpSystems社によると、調査対象となったシステムのうち、セキュリティ レベル40または50で稼働しているシステムは72%、セキュリティ レベル20または30で稼働しているシステムは28%とのことでした。セキュリティ レベル10のシステムは見つからず、これは朗報でした。
オブジェクトを復元するための重要なシステム値を強化するなど、他の設定値を改善するためにIBM iのショップが行えることもあります。HelpSystems社によれば、大多数のサーバーが、復元におけるオブジェクトの検査(QVFYOBJRST)および復元時の強制変換(QFRCCVNRST)システム値の設定が推奨値以下で稼働しているようです。
ユーザー プロファイルおよびパスワード
特殊権限を持つユーザーは、平均的なユーザーよりも多くの力を持っているため、そのようなユーザーの数を減らすことは意義のあることです。しかし、HelpSystems社によれば、*ALLOBJのような権限が「容認できないほど多数のユーザーに付与されている」とのことです。さらに、調査対象となったユーザーの約45%が、*JOBCTL権限(付与されることが最も多い特殊権限)を持っていました。
また、非アクティブなユーザー プロファイルがリスクをもたらすこともあります。HelpSystems社の調査では、すべてのユーザー プロファイルの平均32%が過去30日以上の間サイン オンしておらず、その半数以上が有効化されていて、すぐに使用できる状態になっていたことが示されています。
デフォルト パスワードの使用は、IBM iサーバーではしてはいけない行為とされています。ハッカーは皆、デフォルト パスワードとユーザーIDとは同じであることを知っているからです。けれども、HelpSystems社の調査で調べられたユーザー プロファイルのうち、デフォルト パスワードが使用されていたプロファイルは9%以上ありました。さらに、デフォルト パスワードのままのプロファイルが100件以上あるシステムは、調査対象となったシステムの約30%に上りました。
「あるシステムには、デフォルト パスワードのままのユーザー プロファイルが全部で1,122件もあり、うち898件は有効化された状態でした」とHelpSystems社はレポートに記しています。
*PUBLICデータ アクセス
IBM iサーバーの管理作業に従事しているすべてのシステム管理者(あるいはセキュリティ面で先進的な企業ではセキュリティ管理者)は、IBMがデフォルト アクセスを設定する独特な方式について把握しておく必要があります。
他のシステムはオブジェクトまたはタスクへのアクセスをロック ダウンするのに対してIBM iシステムは、デフォルトの*PUBLIC設定にフォール バックします。
「*PUBLICアクセス権を制限するために事前措置が講じられていない場合、オブジェクトまたはタスクへの特定の権限が付与されていないユーザーが、データを読み取り、変更、および削除することができてしまいます」とHelpSystems社は記しています。
HelpSystems社の調査では、44%のユーザーが*CHANGE権限(ユーザーはライブラリーに新たなオブジェクトを追加できる)を持っており、その一方で、26%が*ALL権限(ユーザーはライブラリーを管理、名前変更、セキュリティの指定、または削除できる)を持っていることが示されています。
「弊社の調査結果は、IBM iのショップでは相変わらず非常に多くのライブラリーが平均的なユーザーにとってアクセスしやすい状態になっていることを示しています」とHelpSystems社は記しています。「DB2ライブラリーについての統計情報では、データに対する管理が十分なされていないことが示されており、そうしたデータの中には、重要な企業財務情報が含まれていることもしばしばです。」
ネットワーク アクセス
IBM i OSは当初、ユーザーがグリーン スクリーン インターフェースで行えることを制限するのに十分であった、メニュー-レベルのセキュリティ管理で開発されましたが、TCP/IP、FTP、およびODBCなどのネットワーク プロトコルの出現とともに、IBM iサーバーに入出力する新たなインターフェースが増えて行きました。
IBMは、誰が/何がネットワーク アクセス ポイントを通じて行き来できるかをIBM iのショップに管理させる出口点を設けることで、これらの開口部を基本的には「パッチ」しました。ただし、どのような理由であれ、それらを使用しているIBM iのショップは少数のようです。HelpSystems社の調査によれば、ショップの約70%には、アクセスを記録および管理するための出口プログラムが備えられていませんでした。
また、出口プログラムが備えられていても、たいていの場合、それらでは不完全だと同社は述べます。ネットワーク アクセスの出口点のすべてにプログラムを登録していたショップは6%のみでした(このことは、HelpSystems社の営業担当者が自社の出口点ソフトウェアのライセンスを販売しようとする際に、営業トークの良いきっかけにできるでしょう)。
監査制御
QAUDJRNは、データ侵害または悪意のある活動が疑われる事象など、重要なセキュリティに関連する事象をシステムが記録できるようにする「改ざん不可能な」監査証跡です。良い報告としては、HelpSystems社の調査によると、ほとんどのIBM iのショップ(83%)で監査ジャーナルが使用されているということです。
しかし、この一見明るい面の裏には影の面があります。すなわち、すべてのそのデータから有益な情報を取り出すことは、非常に骨の折れる作業だということです。「IBMセキュリティ監査ジャーナルで膨大な量の生データが収集されているとすれば、システム管理者が定期的に手作業でログのレビューを行うことを想定するのは現実的でありません」とHelpSystems社は述べます。「また、タスクのレポートを自動化および単純化するために利用可能であるツールを活用しているのはごく少数のように思われます。」
マルウェア
「IBM iサーバーは、ウイルスを寄せ付けない(virus-proof)マシンである」という言葉は耳にしたことがあったでしょうか。さて、IBM iが「ウイルスに耐性がある(virus-resistant)」マシンであることは分かるのですが、それは決してウイルスを寄せ付けない(virus-proof)ことまで意味するわけではありません。実際、IBM iはIFS(統合ファイルシステム)内では、Windowsウイルスを宿して、拡散させてしまうことがあるため、感染がないかIFSを定期的にスキャンすることは重要なことです。
良い知らせとしては、そうした認識が知れ渡りつつあるようだということです。「多くのIBM iのショップは、ようやく重い腰を上げてウイルスの脅威に対する取り組みを始めつつあるようです」とHelpSystems社は述べています。しかし、ウイルスをはじめとする様々なデジタル世界のならず者に対するスキャンを行っている人々の大多数は、バッチベースでのスキャンを行っており、IFSがファイル オープン要求に応答するときにマルウェアがないかチェックしているのは7%のみと報告されています。
さらに言えば、完全にセキュアなシステム、さらには完全にセキュアに設定できるシステムというものはありません。データおよびプロセスを公開するというシンプルな作業(もちろん業務の運営上必要なことです)で、セキュリティ侵害のリスクは高まります。したがって、セキュリティへの最良のアプローチというのは、セキュリティを終わりのない旅と考えること、と言えそうです。セキュリティの改善に継続的に取り組んでいるのだとしたら、それが正しい姿勢です。
そして、HelpSystems社によれば、改善の余地は大いにあるということです。「一夜にして脆弱化してしまうシステムはありませんし、1日であらゆるセキュリティの問題を解決することもできません」と締め括ります。「重要なのは、どこかの時点で第一歩を踏み出し、より強力なセキュリティ プロファイルを目指して継続的に前進して行くことです。」
HelpSystems社は、近いうちに「2018 State of Security Report」を刊行するだろうと思われます。また、ウェビナーの開催も見込まれています。詳細については、同社のWebサイト(www.helpsystems.com)にて、ご確認ください。
