モダンを極める:IBM i のハッキングを防ぐために重要なこと
IBM i のセキュリティのスペシャリストとして、私は組織と協働して、組織のセキュリティ態勢を強化したり、脆弱性を発見したり、内部および外部脅威の迅速な検知に役立つ自動化ソリューションを実装したりする業務に従事しています。データ窃盗がどれほど悪辣で悪影響を及ぼし得るか、そして、サイバー犯罪者がシステムをハッキングしたり、データを盗んだりするためにはどれほど労を厭わないかを、私はまさに目の当たりにしてきました。IBM i は強力なセキュリティ対策で知られていますが、対処する必要がある脆弱性や、見直しが必要な従来の作業習慣はまだまだあります。実際、適切に構成されていなかったり、十分に防護策が講じられていなかったりするせいで、危険なほどに脅威に晒されているIBM i サーバーは数多くあるようです。
IBM i 環境のセキュリティを適切に確保するためには、IBM i のセキュリティが機能する仕組みや、機能しない仕組みについて、しっかりと理解しておくことが極めて重要です。この記事では、IBM i のセキュリティの様々な構成要素についてそれぞれ見て行き、システムを保護する上でそれらが果たす役割について説明しようと思います。これらの対策を理解して実装することで、不正なアクセスのリスクを大幅に減らすことができます。
実証済みの主要なセキュリティ戦略の1つは、多層的にセキュリティ対策を講じることです。鍵や警報器を複数設置して自宅を保護するのと同様に、IBM i システムのセキュリティを確保するには、多面的な取り組みが必要となります。以下に示す手法を組み合わせて実装することによって、内部および外部脅威の両方に対する包括的な防御策を生み出すことができます。
IBM i のセキュリティで重点を置くべき主要な領域には、以下のものがあります。
ネットワーク セキュリティと出口点:1994年の出口点の導入により、顧客は、FTP、Telnet、およびODBCのようなプロトコルを介してインターネットへ接続することが可能となり、新たなeビジネスの機会が切り開かれることになりました。しかし、これにより、悪意のある攻撃者およびソフトウェアがシステムにアクセスするための経路も生み出され、セキュリティ リスクが大幅に高まることにもなりました。
このような問題に取り組むために、IBMは、メニュー ベースのセキュリティ システムと連携するセキュリティ手法を実装しました。出口点プログラムにより、IBM i ユーザーは、IPアドレスおよびソケット レベルまで、それぞれの出口点経由のアクセスを制御できるようになっています。
IBM i 上のネットワーク セキュリティ ソフトウェアは、悪意のあるユーザーやマルウェアを阻止する上でも、内部ユーザーからの望ましくないアクセスを防ぐ上でも極めて重要です。残念ながら、出口点の重要性や、ネットワーク接続のセキュリティを確保する上で出口点が果たす役割に気付いていないIBM i ユーザーは多いようです。
ネットワーク セキュリティ ソフトウェアを配備して出口点のアクティビティを監視していない場合、IBM i のショップは受信トラフィックおよびその送信元を把握することができません。その場合、サーバーは外部および内部ユーザーに対して無防備な状態になります。インターネット上での悪意のあるアクティビティの増加や、サイバー犯罪者が新たな脆弱性をどれほど素早く悪用するかを考えると、出口プログラムおよびネットワーク セキュリティを甘く見ることは、IBM i のセキュリティにとっての大きなリスクになりかねません。
IFSとオブジェクト権限:IFS(統合ファイル システム)は、PDFやストリーム ファイルなど、IBM i で伝統的でないデータを保管するための有用な手段となっています。オープンソース言語の隆盛とともに、IFSは、ますます幅広く使用されるようになりました。しかし、すべてのIBM i管理者が認識している必要がある、IFSに関する重要なセキュリティ上のリスクが2つあります。
まず、IFSというのは、サイバー犯罪者にとっては蜂蜜壺のようなものです。侵入者は、ネットワーク セキュリティを何とか迂回しようとする場合、おそらく、IFSを狙って利用価値のあるディレクトリーを探索します。IFSに対するユーザー許可が適切に構成されていないと、サイバー犯罪者は企業固有の機微なデータにアクセスでき、企業に重大な損害を引き起こす可能性があります。
次に、従来のQSYS.LIBファイル システムとは異なり、IFSは、マルウェア、特にWindowsおよびUnixベースのマルウェアに感染しやすいと言えます。このため、特に、IFSとの直接的な接続があるリモート ユーザーのデバイスが侵害された場合、IFSは、ランサムウェア攻撃に対してとりわけ脆弱になります。
これらの脅威に対処するためには、IBM i の管理者は、IFSファイルおよびディレクトリーへのアクセスを入念に制限する必要があります。このプロセスには、時間も掛かり、労力を要することもあります。それぞれのユーザーに個別に注意を払う必要があるからです。機微なファイルおよびディレクトリーに対しては、適切な読み書きアクセス制限が確実に設定されていることが不可欠です。ルート ディレクトリーは、それによってIFS全体のアクセスが制御されるため、対応には特別な注意が必要です。
アクセス管理:IBM i におけるアクセス管理は、多数の防御層から成り、管理者がシステム上のユーザー アクセスおよびアクセス許可を制御することを可能にします。
ユーザーがIBM i に登録されるときに、管理者はユーザーにユーザー プロファイルを割り当てます。このプロファイルは、個別のプロファイルであれ、グループ ベースのプロファイルであれ、ユーザーがシステム上で何にアクセスできるかを決める上で極めて重要です。特定のプログラムまたはメニューにアクセスを制限するようにユーザー プロファイルを構成することで、内部および外部脅威の両方のリスクを最小限に抑えることができます。
また、特殊権限もユーザー プロファイルで指定されます。特殊権限は数種類ありますが、一番強力なものは、*ALLOBJ(全オブジェクト権限)です。これは、実質的に、システムでユーザーに完全な自由裁量権を与えるものです。多くのユーザーのユーザー プロファイルに*ALLOBJが付与されているケースは珍しいことではありませんが、それは極めて悪しき習慣であり、多くの潜在的なセキュリティ脆弱性の元となっています。
認証は、もうひとつの重要な側面です。通常、ユーザーはサイン インする際にユーザー名とパスワードが求められます。IBM i では、管理者が、パスワードの複雑性ポリシーおよび有効期限ポリシーを定義することができます。セキュリティを強化するために、多くのIBM i 顧客は、多要素認証(MFA)を採用しています。MFAでは、携帯電話に送信されたPINコードの入力をユーザーに求めることによって、または認証アプリケーションを通じて、セキュリティ層がさらに加われることになります。また、MFAは、ゼロトラスト セキュリティ アプローチを実現する上でも極めて重要な役割を果たします。
監査と規制準拠:IBM i サーバーには、すべてのシステム アクティビティを記録する強力な監査機能が備わっています。ユーザーとデータベースとのやり取りや、パスワード変更、機微なシステム アクセスの要求などのアクティビティが記録されます。これらのレコードは、変更不能なQAUDJRNジャーナルに保管されています。
監査を有効にすることは、いくつかの理由で極めて重要です。まず、潜在的なハッキングの試み(インサイダーおよび外部からの脅威の両方)を検知および調査する際の貴重なリソースとなります。サイバー犯罪者は、痕跡を隠しつつIBM i システム内を動き回ることもできますが、QAUDJRNをオンにしておくことにより、そうしたアクティビティの隠蔽は格段に難しくなります。
QAUDJRNのセキュリティ ログは、緻密で解釈しづらい場合もありますが、攻撃の追跡や、それらの影響の診断には不可欠な生のデータを提供します。そのようなデータがなければ、攻撃の調査や、損害の程度の見極めを適切に行える可能性は大幅に低くなります。
セキュリティ上のメリットに加えて、監査機能は法規制の順守との関連でも極めて重要です。GDPR、HIPAA、またはPCI DSSのような規制の順守が求められる場合、QAUDJRNを活動化することは、最初に行うステップの1つであるべきです。QAUDJRNの活動化は、IBM i のショップにとっての簡単かつ費用効果が高い保護手段となります。
SIEMとフォレンジック アカウンティング:今日のような複雑かつ異種雑多なIT環境では、何が起こっているのか解明することが困難になることもよくあります。データベース、アプリケーション、およびファイル サーバーが別々のシステムで稼働していて、ネットワーク経由でやり取りしている場合は特にそうです。混乱を切り分けて、潜在的な犯罪アクティビティのデータを拾い集めるのに役立てるべく、多くの組織は、SIEM(Security Event and Information Management: セキュリティ情報およびイベント管理)ソリューションを導入しています。
IBM i サーバーは、他のシステムと同様に、セキュリティ イベント データをSIEMシステムに送信するように構成することができます。Splunk、Graylog、ArcSight、QRadar、およびElasticなど、SIEMとの統合を促進するために、多くのIBM i のショップが、IBM i にログ アグリゲーター製品を実装して、関係のない項目を除去し、syslogのような共通のフォーマットにイベント データを変換しています。SIEMを介して他のシステムに接続されると、IBM i は、炭鉱のカナリアの役割を果たすことができます。IBM iで、複数回のサインイン試行の失敗や、機密ファイルに対する権限障害のようなセキュリティ イベントが検知された場合は、ITネットワークで何か不具合があることの早めの徴候かもしれません。
IBM i 顧客は、ハッキングされたことがないと思っているため、より厳しいセキュリティ対策の実装に抵抗するかもしれません。しかし、QAUDJRNをオンにしていなければ、IBM i 顧客は、ハッキングされたことに気付かず、フォレンジック解析を実施することもできないかもしれません。また、ハッカーがIBM i システムにすでに侵入しているものの、潜伏しているだけという可能性もあります。こうした、いわゆるサイバー犯罪者の「滞在時間」は、数か月間にも及ぶことが知られています。
QAUDJRNまたはログ収集のようなツールをオンにしていない場合、IBM i のショップはハッキングされたことを知ることもないかもしれません。
まとめると、IBM i のセキュリティは、その複数の防御層のおかげで、非常に効果的なものとなっています。こうした複数の防御層は、1つの防御層が失敗した場合でも、データおよびアプリケーションへの不正アクセスを阻止するのに極めて重要な役割を果たします。システムのセキュリティを強化し、セキュリティ侵害のリスクを最小限に抑えるのに役立てていただけるように、この記事では、最も重要なIBM i のセキュリティ層について取り上げました。IBM i の保護のために、よくあるセキュリティ脆弱性を識別し、対処することで、システムのセキュリティを掌握し、強化することが可能となります。
【 訳注:以下は当記事著者が属するFresche Solutions社からの9/11付けお知らせです 】
先日、Fresche社が、 TGSecurity Suite 全体の サブスクリプションを開始 (月額833ドルで、セキュリティ、トレーニング、およびサポートのすべての層をカバー)したことで、事態は一変しつつあります。最新のお手頃なセキュリティ ソリューションが、世界中のすべてのIBM i のショップにとって利用しやすいものになったのです。
興味をお持ちの方向けに、10月4日に、臨時の実演型ワークショップを開催する予定です。そこでは、 Fresche TGSecurity Suiteのトライアル版 を使用して、システムのロック ダウンの実演をご覧いただけます。ご案内はすぐにお送りします。詳細をお知りになりたい場合は、 info@freschesolutions.com までメールをお送りください。リストに追加させていただきます。
