IBM i 7.6で提供されるセキュリティ強化はMFAだけではない
多要素認証(MFA: Multi-factor authentication)は、IBMが今週末に出荷開始するIBM i 7.6の大きな目玉機能です。これは善いことでもあり、正しいことでもあると言えるでしょう。IBM i 顧客は、このプラットフォームにMFAを追加するよう、長年にわたってIBMに訴えてきたからです。しかし、新たなIBM i リリースでは、その他にも、顧客も高く評価するであろう、いくつかの大きなセキュリティ強化がもたらされます。たとえば、非セキュア接続を無効化する新たなコマンド、新たな暗号化アルゴリズム、法規制順守の合理化、および適用されているセキュリティ パッチを確認する簡単な方法などです。
IBMは、IBM i プラットフォームのセキュリティを重要視するとの立場を鮮明にしてきました。これはIBM i コミュニティにとっては朗報です。 Fortra社のIBM i 市場調査によれば、IBM i コミュニティは 8年続けてセキュリティを1番の懸念事項に挙げています。IBM i は、地球上で最もセキュアにすることができるシステムの1つであるのかもしれませんが、システムを適切に構成する措置を講じていないIBM i のショップは非常に多く、データおよびアプリケーションは脆弱なままとなっています。
これは、セキュリティの改善にIBMが関与していないということではありません。IBMは、長年にわたってIBM i のセキュリティを改善するべく多くの取り組みを行ってきました。例を挙げれば、パスワード要件の厳格化、セキュアでないデフォルト設定の制限、レベル20のセキュリティ レベルの廃止、TLSをワイヤー暗号化のデフォルトに設定、および監査ジャーナルの分析方法の簡略化などの取り組みです。遡れば1994年の、OS/400 V3R1での出口点の追加も、セキュリティ強化とみなすことができます。
IBM i 7.5の発表では、IBMは、デフォルト パスワードを使用できなくするなど、セキュリティを 大きな重点項目 としていました(パスワードがユーザーIDと同じで構わなかった頃が懐かしいものです)。しかし、IBM i 7.6の発表を目にしてみると、今回のリリースほど、IBMがセキュリティの向上に重点的に取り組んだことはないとも言えるかもしれません。
新リリースには、ネイティブなMFA機能(サインイン時に認証アプリによって生成される時間ベースのワンタイム パスコード(TOTP)パスワードを使用してIBM i ユーザーを認証)の導入を始めとして、セキュリティの機能強化がたくさん詰め込まれています。IBM i セキュリティ アーキテクトのTim Mullenbach氏が 先週のIBM i 7.6の発表に向けて『 IT Jungle 』に述べたように、まさに「大幅なセキュリティ向上」と言えます。
IBM i のネイティブなMFA機能は、多くの有力なユーザー グループ( COMMON Americas Advisory Council(CAAC)、 COMMON Europe Advisory Council(CEAC)、 Large User Group (LUG)、およびIBMのISV Advisory Council)によって長年にわたって何度も何度も要請されてきたものであったため、MFAが片付くまでは、他のIBM i 機能の要望は遅れることを顧客は快く受け入れました。
「これらの機能の一部(MFAもその1つですが)は、オペレーティング システムの至る所に広く浸透しているため、MFAの片を付けるのであれば、他のことは先延ばしにしなければなりません」と、IBM i チーフ アーキテクトとIBM DE(ディスティングイッシュド エンジニア)の肩書きも併せ持つ、IBM i CTOのSteve Will氏は、先週の 「3人のSteve氏」によるIBM i 7.6に関するウェビナー で述べています。「私たちが取り組もうとしているのを目にしたこれらのアドバイザリー カウンシルの面々からは、「間違いなく、正しい判断です。MFAに取り組むべきです。確かに、他のことも大事ですが、私たちが本当に持つべきものはMFAなのです」と口々に言われるのです。」
幸いなことに、MFAを構築して、オペレーティング システムの至る所に行き渡らせるという、総力を挙げての取り組みも、IBMが7.6での他のセキュリティ強化に取り組む妨げにはなりませんでした。そして、IBMは、今週金曜日(聖金曜日(Good Friday)の祝日です)に、IBM i 7.5テクノロジー リフレッシュ6も出荷開始しますが、セキュリティ強化の大半は、7.6への移行を必要とします。
まず初めに、IBMは、新たな「Configure Host Server(ホスト サーバーの設定)」(CFGHOSTSVR)コマンドを提供します。このコマンドは、サポートしているホスト サーバー(セントラル、データベース、データ待ち行列、ファイル、ネットワーク印刷、リモート コマンド、およびサインオンなど)で、非セキュアな接続が許可されるかどうかを管理者が制御することを可能にします。
このコマンドは、これらのサーバーごとに、管理者が個別に非セキュアな接続を有効化するか、無効化するか、またはループバックを許可できるようにします。仮想プリント、転送、およびネットワーク ドライブ サーバーなど、非セキュアな接続のみをサポートするホスト サーバーでは、このコマンドは、LISTENキーワードが有効化されるかどうかを管理者が設定することを可能にします。CFGHOSTSVRの詳細については、IBM Support Webサイトの こちらのページを参照してください。
また、IBMは、*IOSYSCFG特殊権限なしで、入出力システム構成情報を表示する読み取り専用の権利を持つユーザー プロファイルを管理者が作成できるようにする新たな機能も提供します。これは、外部の監査担当者に、システムへのアクセスを許可するが、多くの権限を与え過ぎないようにしたい場合に有用かもしれません(そもそも権限の与え過ぎは、監査に通るためには適切ではないでしょう)。詳細については、IBM Supportの こちらのページを参照してください。
Kerberos(シングル サインオン(SSO)環境で幅広く使用されているネットワーク認証プロトコル)を使用する際に、強力なAES暗号化アルゴリズムがデフォルトで有効化されるようになりました。エントリー新規作成時のデフォルトの暗号化タイプは、現在はAES256およびAES128になっています。以前は、Kerberosを構成する際に、管理者はAES暗号化アルゴリズムに加えて、Cipher Block Chaining with Data Encryption Standard(CBCDES: データ暗号化標準での暗号ブロック連鎖)、CBCDES3、DESHMAC、およびArcfourなど、様々な暗号化タイプから選択することができました。詳細については、 こちらを参照してください。
IBMは、IBM i Cryptographic Services API(IBM i 暗号化サービスAPI)の下で使用される暗号化アルゴリズムをアップデートしました。まず、IBMは、Password Based Key Derivation Function 2(PBKDF-2: パスワードベースの鍵導出関数2)と呼ばれる、NIST推奨のパスワード ハッシュ化のためのアルゴリズムを使用する、新たな「Key Derivation Function(鍵導出関数)」(QC3KDF)APIを作成しました。 IBMのQC3KDFに関するドキュメントによれば、このアルゴリズムは、パスワード、マスター鍵、または他のシークレット値から鍵作成材料を導出するということです。
IBMは、DCM(デジタル証明書マネージャー)アプリケーション定義を使用した構成時に、IBM i 7.6でTLS v1.3をサポートするようにIBM i デバッガー サーバーを機能強化しました。「IBM i デバッガーの各クライアント ユーザーは、サーバーの身元を検証するために、発行元の認証局(CA)証明書のローカル コピーを保存するための設定作業を1回だけ実行します」とIBMはソフトウェア発表レターで記しています。「次に、クライアント ユーザーはサインオン操作を行う際に、「Transport Layer Security(トランスポート レイヤー セキュリティ)」チェックボックスを選択します。」
IBMは、長年、ASP(補助記憶域プール)の暗号化をサポートしてきました。そしてようやく、ユーザーはシステムASP(ASP1)に保管されているデータを暗号化できるようになりました。これはシステム保守ツール(SST)のディスク構成オプションを通じて行われます。これが機能するのに必要となる、「オプション45(Encrypted ASP Enablement: 暗号化ASPの有効化)」をユーザーがインストールしていることが前提です。
暗号化鍵はLIC内に保管されており、ASP1暗号化のオン/オフの切り替えに伴うダウンタイムはないと、 Rowton IT Solutions 社マネージング ディレクターでIBM ChampionでもあるSteve Bradshaw氏は述べています。「これは、私が個人的にずっと譲れなかったことでした」と、Bradshaw氏は「3人のSteve氏」ウェブキャストで付け加えています。
また、IBMは、PowerVMのプラットフォーム鍵ストア(PKS)に、iSCSI CHAP(Challenge-Handshake Authentication Protocol: チャレンジ ハンドシェイク認証プロトコル)認証情報を保存するためのオプションも追加しています。これにより、仮想テープ ライブラリー(VTL)など、iSCSI接続のデバイスに保存された機密情報を保護するための、暗号化によるさらなる保護層が加わります。ユーザーは、他とは分離されたPKSリポジトリを作成し、論理区画(LPAR)別にデータへのアクセスを割り当てることができます。詳細については、 こちら および こちらを参照してください。
IBM i 7.6限定のセキュリティ強化の最後は、PTF(プログラム一時修正)、特にセキュリティPTFに関するものです。IBMは、特定のセキュリティPTFが顧客のシステムにいつ適用されたかを確認する簡単な方法を提供します。
「セキュリティPTFの追跡がますます重要になるにつれて、最新のセキュリティPTFグループがいつ適用されたかを報告することも重要な情報になります」とIBMは発表レターで述べています。「PTFグループの適用日は、「Display PTF Group(PTFグループの表示)」(DSPPTFGRP)画面に表示されるようになりました。これにより、グループ内の個々のPTFを追跡することなく、適用日の追跡作業が簡素化されます。PTFグループの適用日は、「List PTF Group Details(PTFグループの詳細のリスト)」(QpzListPtfGroupDetails)APIを使用して取得することもできます。
IBM i 7.5 TR6でも、セキュリティ強化が加えられています。すなわち、DCM(デジタル証明書マネージャー)の機能強化です。
DCMは、内部ネットワークを介してTLSを使用する通信を要求するように機能強化されました。また、証明書階層の表示方法の改善、秘密鍵付きのサーバー/クライアント証明書を秘密鍵を含めずにPKCS12ファイルにエクスポートする機能、パスワードのログイン ページへの「表示/非表示」アイコンの追加、新たなMFA「Additional Factor(追加要素)」フィールド、および「証明書の割り当ての追加と削除」のアクションへの一括操作を実行するための新たな選択ボタンおよびフィルターの追加といった機能強化もなされています。これらの機能強化は、7.6でも利用可能です。
IBM i の新リリースの詳細については、IBM Support Webサイトの「 IBM i Technology Updates 」ページを参照してください。IBM i 7.6の発表レターは こちらで、IBM i 7.5 TR6の発表レターは こちらで参照できます。
