2021年版PowerTechセキュリティ レポートから分かった3つのこと
明日、PowerTech社は、IBM i セキュリティの現状に関するレポートを正式にリリースします。PowerTech社が、実際のIBM i マシンのセキュリティ スキャンから収集された集約データの公開を行うようになって、今年で18年連続となります。同レポートの代表執筆者で、HelpSystems社のセキュリティ技術担当ディレクターのRobin Tatam氏に話を聞き、レポートの概要を説明してもらいました。
Tatam氏は、 HelpSystems 社のプリンシパル セキュリティ コンサルタントのSandi Moore氏とともに、明日の2回のウェビナー(米中部時間の午前8時からと正午から)で、PowerTech社のセキュリティ調査の結果全体について解説を行う予定です。イベントの詳細および参加登録は、 こちらのリンクから(参加無料)。
その一方で、Tatam氏は、レポートから分かった3つのことを明かしてくれました。それらのうちの2つは心配の種となるものであり、もうひとつは希望の光となるものでした。
ALLOBJ権限の広がり
ここ何年かの間、全オブジェクト(ALLOBJ)権限を持つユーザー プロファイルの数は、IBM i システムの他の7つの特殊権限と比べても、まったく普通と言える数でした。ところがどういうわけか今年、ALLOBJは急増し、ジョブ制御(*JOBCTL)に次いで2番目に多く使用される特殊権限となっています。
IBM i のショップには、ALLOBJを持つユーザー プロファイルが、平均で300以上ありました。「非常に特権的なアカウント権限であることからすると、なかなかショッキングな数」とTatam氏は述べています。
「8種類ある特殊権限のうち、ALLOBJは群を抜いて一番重大な権限です」とTatam氏は付け加えます。「皮肉なことに、これについては、ユーザーにもある程度は思うところがあるようです。ユーザーが必要としていないのにその権限を持っているわけであり、それは良いことではないということは少なくとも分かっているようです。そのため、各マシンに300以上というのは、前年と比べて思いも寄らぬ展開と言えるでしょう。」
PowerTech社の「 2020 State of Security」レポートでは、ALLOBJ権限を持つユーザー数の平均は159でした。この数は1年でほぼ倍増しており、Tatam氏はこの急な増え方に困惑しきっています。
「そうなった理由について、推測の1つも思い浮かびません」と彼は述べています。「やれ、このシステムはセキュアであるとか、やれ、システムはファイアウォール内にあるとか、セミナーでもドキュメント類でも私たちはこれまでいろいろ述べてきましたが、どれもIBM i コミュニティではあまり重要視されてこなかったようです。」
出口点の未対応
調査では、スキャンされたIBM i システムの30%が、1つ以上の出口点プログラムを使用していることが明らかになりました。一方、70%では、システムの27の出口点で起こっていることを監視するためのプログラムを何も使用していませんでした。それらの出口点は、FTP、Telnet、ODBCなどを介して外部からIBM i データへのアクセスを提供しているところです。
出口プログラムが1つあることは素晴らしいことです。そこには、ある程度の投資と配慮がなされているということです。しかし、すべての「標準的な出口点」がカバーされているIBM i システムのパーセンテージに目を向けると、少し気が滅入る話になってきます。標準的な出口点というのは、数年前にIBMが導入したソケット出口点以外のほぼすべての出口点です。IBM i のショップが標準的な出口点をすべてカバーしてあるとすれば、それはたいてい、たとえばPowerTech社製などの、ネットワーク セキュリティ製品が使用されているケースだとTatam氏は述べます。
「すべての標準的な出口点がカバーされている必要があるとすると、達成率は13%となります」と彼は述べます。「要求水準を上げると、誰かが資金を投資したとしても、達成率は30%から13%になってしまいます。」
言い換えれば、2021年版のセキュリティ調査でスキャンされたIBM i システムの87%は、おおむね開けっぴろげの状態ということになります。控え目に言っても、これは気が滅入るような統計データと言えます。
「出口プログラムは、一番多く攻撃を受けるドアです」とTatam氏は述べます。「そして、お分かりの通り、それらは一番保護されていないドアでもあります。」
レベル40
もっとも、PowerTechレポートから見て取れるのは、悲観的な事柄ばかりではありませんでした(ほとんどは悲観的でしたが、すべてというわけではありません)。調査では、IBM i システムの「圧倒的多数」がレベル40のセキュリティ レベルを使用していることが明らかになりました。これは「肯定的」に捉えられるとTatam氏は述べます。
IBM i サーバーをレベル40で稼働することは、デフォルトのセキュリティ設定に影響が及ぶため、良いことだとTatam氏は述べています。
「たとえば、レベル20でユーザー アカウントを新規作成した場合、そのアカウントには、ALLOBJが与えられますが、レベル40でユーザー アカウントを新規作成した場合は、デフォルトでALLOBJは与えられません」と彼は述べます。「また、セキュリティ レベルは、稼働環境の統合性にも影響を与えます。レベル40では、暗黙的な形で作用するセキュリティ機能が非常にたくさんあります。」
たとえば、セキュリティ レベル40では、他の誰かの許可でジョブを実行することはできませんが、セキュリティ レベル30では実行できます。オペレーティング システムは違反として記録しますが、それが行われること自体は許可されるとTatam氏は述べます。
もっとも、セキュリティ レベル40以上での稼働も、万能薬というわけではありません。
「名目上は素晴らしく見えるものの、実質的にはレベル20のマシンのように稼働している、レベル40または50のマシンもあり得ます」とTatam氏は述べます。「レベル50のマシンですべてのユーザーにALLOBJを与えている場合、実質的にはレベル20のマシンを稼働しているのと同じことになります。多くのユーザーは、こうした様々な属性の間での相乗作用が、どのように全体的なセキュリティにつながるかという微妙な違いを理解していません。」
骨折り損のくたびれもうけ
前述したように、PowerTech社(現HelpSystems社)がこの調査の結果をまとめるのは、今年で18年連続となります。『 IT Jungle』では、それらのレポートを毎年取り上げてきました。もっとも、このセキュリティ レポートから良い知らせが見て取れることはめったにありません。
1993年の映画『Groundhog Day』(邦題:恋はデジャ・ブ)でビル・マーレイが演じたフィル・コナーズのように、PowerTech社およびHelpSystems社のセキュリティ専門家たちは、毎年毎年、同じことを繰り返し言うので、マンネリ化してしまっているようです。
そこで、セキュリティの質問で無駄な試みを続ける代わりに、Tatam氏は今年、新たな取り組みを行うこととしたようです。
「全体的におそらく非常によく似た問題をテーマにして繰り返し行われた18回目の調査ということになります。したがって、人々がその問題について何かを行うようになるくらいまで、そうしたメッセージをもっと響き渡らせる方法を考え出す必要があります」と彼は述べます。
「私が行いたいのは、単に話題として提供していることから、対処可能な状況への移行を支援することです」とTatam氏は続けます。「現時点で、私たちがIBM i のDNAの一部となって30年以上になります。一夜のうちに解決しようというわけではありません。しかし、どのようなことに取り組むことができるでしょうか。どのようなリスクを軽減することができるでしょうか。デフォルト パスワードのように、容易に解決できる問題にはどのようなものがあるのでしょうか。」
IBM i プロフェッショナルが自身のシステムのセキュリティ構成がどれほど不適切なのかを認識したとき、そのひどさに当惑してしまうことがあります。Tatam氏は、そうしたプロフェッショナルが、恐怖で固まった状態から脱却し、ポジティブな方向へ向かう支援をしたいと考えています。彼が行おうとしているやり方は、対処が必要な事項を少し提案して、そこからスタートする、すなわち簡単なことから始めるやり方です。
「レポートの意図として顧客に伝わってほしいことは、理論的に圧を掛けようとしているわけではないということです」と彼は付け加えます。「改善の余地があり、少しずつ取り組んで行ける領域を一目で把握してもらうことが目的です。」
うまく行くことを願います。20年近く経っても、これらのIBM i システムはまだ開けっぴろげの状態のままだからです。
