IBM i で高まるセキュリティへの関心、しかし一層の向上が必要
まずは、良い知らせです。「2020 State of IBM i Security Study」によれば、IBM i のショップは、セキュリティに対してより注意を払うようになっており、セキュリティを最優先に考えるようになりつつあるようです。けれども、そのことが必ずしもセキュリティの向上につながったわけではなく、非常に多くのデータが脆弱なままであると、この新たなレポートは結んでいます。
「リスクについて、そしてこのOSに組み込まれているセキュリティ制御についての理解が深まったことで、IBM i においてサイバーセキュリティの問題を優先させることへの関心が高まっています」と、 HelpSystems社のセキュリティ技術担当ディレクターであるRobin Tatum氏は、今年で17年目を迎える「 2020 State of IBM i Security Study」で述べています。
毎年、実施されているHelpSystems社の「IBM i Marketplace Study」によれば、過去4年間、IBM i のショップの最大の懸念事項はセキュリティとなっているということです。 最新版のレポートでは、調査の対象となったIBM i のショップの77%が、セキュリティを最大の懸念事項に挙げており、この数字はこれまでで最も高いものでした。
「サイバーセキュリティの優先順位はますます高くなっています」とTatum氏は記しています。「しかし、まだIBM i のセキュリティ制御を実装する初歩の段階にある組織は多いようです。」
セキュリティに関する懸念が高まっているという結論は、 Precisely 社(旧Syncsort社)が実施した、もうひとつのIBM i のセキュリティに関する最新のレポートと符号するところがあります。そのレポートからは、セキュリティ侵害の防御に関して あまり自信がない、または、まったく自信がないと感じている IBM i のショップの数が大幅に増えていることが見て取れます。その前の2年間においては、IBM i のショップは、セキュリティ侵害の防御に関して、もっと自信があったようです(根拠はなさそうですが)。
「 2020 State of IBM i Security Study」でHelpSystems社は、255のIBM i サーバーおよびLPARからのデータを調査しました。それらのシステムは、HelpSystems社にセキュリティ構成の分析を依頼した組織が所有する本番システムです。より大規模なセキュリティ ソフトウェアまたはサービスのための業務の一環で、セキュリティ構成の分析が行われることがよくあります。また、ミネソタ州を本拠とするこの企業は、IBM i システムのセキュリティ スキャンも無償で実施しています。
このセキュリティ レポートでは、懸念事項となっているいくつかの領域が取り上げられています。まずは、調査対象となったシステムの1/4を超えるシステムに、デフォルト パスワード(ユーザーIDと同一のパスワード)のままのユーザー プロファイルがあるようです。これは、セキュリティについて真剣に考えている人にとっては、重大犯罪とも思える行為です。
IBM i のセキュリティにとって、もうひとつの問題となる領域は、特殊権限です。HelpSystems社によれば、特殊権限を関連付けるユーザー プロファイルは、10未満またはユーザー数の3%未満とするのがベスト プラクティスとされているようです。しかし実際には、特殊権限はそれよりもはるかに多く付与されており、同レポートによると、平均で300以上のユーザー プロファイルに、ジョブ制御(*JOBCTL)およびスプール制御(*SPLCTL)特殊権限が付与されているということです。
また、もうひとつの問題は、企業の生命線であるデータへのアクセスに関するものです。IBM i サーバーの工場出荷時のデフォルト構成では、名前の欄が空白のユーザー(または*PUBLICユーザー)に対して、システム上の任意のデータまたはプログラムを読み取り、書き込み、さらには削除するのに十分な権限が与えられています。ライブラリーへの*PUBLICアクセスを制限することによって特定のライブラリーおよびプログラムを封鎖することについては、ユーザーにお任せということのようです。
HelpSystems社のレポートによれば、ライブラリーの55%は*CHANGEに設定されているとのことです。*CHANGEの場合、一般ユーザーがライブラリーに新たなオブジェクトを配置し、いくつかの特性を変更することができます。また、25%は*USEに設定されています。*USEの場合、システム上の一般ユーザーが、ライブラリー内のすべてのオブジェクトのカタログを取得することができます。そして、8%が*ALLに設定されています。*ALLの場合、一般ユーザーがライブラリーを管理、名前変更、および削除できることになります。*EXCLUDEに設定されているライブラリーは10%のみで、2%が*AUTLに設定されていることがこのレポートで明らかにされています。
「調査結果から分かったのは、IBM i のショップでは相変わらず非常に多くのライブラリーが平均的なユーザーにとってアクセスしやすい状態になっているということです。ライブラリーには、重要な企業情報が含まれていることが多いものですが」と同社は述べています。「ほとんどすべてのシステム ユーザーが、明らかな必要性をはるかに超える形でデータにアクセスしているため、管理者はIBM i データへのアクセスを制御するためのより適切なプロセスを必要としています。」
HelpSystems社によれば、ライブラリーに権限レベルを設定することは、データへのアクセス制限における防御の第一歩と考えられます。そうすることが実際的でない場合は、出口監視ツールを使用して、FTP、ODBC、TCP/IPなど、よく利用されるアクセス(または出口)ポイントを通じたデータへのアクセスを監視および管理する必要があります。
しかし、HelpSystems社の調査の対象となったIBM i のショップで、1つ以上の出口プログラムを導入していたのは31%のみでした。また、それらのショップのうち、1つまたは2つの出口プログラムを導入していたのは10%です。IBM i プラットフォームには27の出口ポイント インターフェースがあることからすると、これは非常に残念な数字だとHelpSystems社は述べています。
「出口プログラムの採用は、ここ数年、着実に増えてきましたが、このような大きく露出した状態のネットワーク アクセスの問題について認識していない企業はまだまだ多いようです」と同社は述べます。
HelpSystems社が明らかにしたもうひとつの懸念事項は、無制限のコマンド ライン アクセスに関するものでした。以前なら、AS/400のショップは、コマンド ラインへのアクセスを制限することによって、機微なデータおよびプログラムへのユーザー アクセスを制御することができました。けれども、そうした手法は、インターネットの登場と出口点の増加によって、妥当性は低くなってきました。
コマンド ラインへのアクセスを制限することによってセキュリティを確保しようとするこの旧式の手法は、今でも広く用いられています(76%のユーザーがコマンド ライン アクセスを制限)が、一部には、コマンド ラインにアクセスできる(24%)だけでなく、すべての権限を有するユーザー プロファイルも持っているというケースもあるようです。HelpSystems社によると、調査の対象となったユーザー プロファイルのうち、コマンド ラインにアクセスでき、かつ、すべての権限を有するユーザー プロファイルを持つものは17%ありました。これは「極めて明確なリスク」と言えます。
「いくつかのネットワーク インターフェースは、ユーザー プロファイルで構成されたコマンド ライン制限を認識しないため、別の方法で制御する必要があります」とHelpSystems社はレポートに記しています。「つまり、システム管理者がその意図を持ってコマンド ラインの使用を制限するための予防措置を講じていても、ユーザーはリモートからコマンドを実行できるということです。」
このプラットフォームにおけるもうひとつの懸念事項は、マルウェアです。IBM i が「腸チフスのメアリー(無症状感染者)」問題を抱えていることはよく知られています。すなわち、IBM i は、Windowsウイルスの宿主となり、自身は感染することなく、接続しているマシンに拡散させてしまうことがあるということです。もっとも、今のご時世からすれば、 無症候性のCOVID-19スーパー スプレッダーと呼んだほうが通じやすいかもしれません。
マルウェアの侵入を防ぐために必要な予防措置を実際に講じているIBM i のショップは、残念ながら少数です。HelpSystems社のレポートによれば、IBM i のショップの86%は、IFSからのファイル オープン時のアンチ ウイルス保護の対策が講じられておらず、インターネット経由でシステムに忍び込むウイルス、トロイの木馬、およびその他のタイプのマルウェアに対して無防備な状態となっています。
IBM i のショップがセキュリティを(ようやく)現実的な懸念事項として認識するようになりつつあるという良い兆しも見受けられます。世間を騒がす大きなセキュリティ侵害事件が何度も起きたことや、セキュリティ関連の法令が制定されたことが、人々の注目を集めるのに一役買っている面もあるでしょう。しかし、問題を認識しているというだけでは十分でありません。HelpSystems社のレポートが示しているのは、平均的なIBM i のショップが「セキュアである」と自認できるようになるためには、まだまだ行うべきことがたくさんあるということなのです。
「2020 State of IBM i Security Report 」は、 www.helpsystems.com/cta/download-state-ibm-i-security-study-guide.からダウンロードすることができます。
