|
OSならびにRACF環境アセスメント報告書
|
| |
|
|
| 1.概要 |
| Vanguard社は、ABC株式会社殿のOSおよび構築されているRACF環境についてアセスメント調査を行いました。本レポートは、その分析結果、評価、ならびに是正措置につて言及しています。 |
| |
|
| |
本アセスメントは以下の方法で実施しました。 |
| |
・ |
アセスメント環境を借用し、Vanguard製品ならびにRACFを使用して情報収集を行いました。 |
| |
・ |
Vanguard社、御社ならびに当社の間で会議を行い、運用方法などの聞き取り調査を行いました。 |
| |
| また、アセスメントは以下のような観点で行っております。 |
| |
1. |
御社のアセスメント対象環境にはどのような不正侵入に関する問題が存在するか |
| |
2. |
ベストプラクティス*1なセキュリティ環境を提供するために、OSとRACFが正しく実装されているか? |
| |
|
| |
1番目の問題は、オペレーティングシステム環境とそのリソースへのアクセス能力に関するものです。
|
| |
2番目の問題については、業務を継続的に遂行するためには、不注意により発生する新たな侵入に対しいかに対応するかについて言及します。また、そのためのセキュリティ管理組織・管理者能力はいかにあるべきかについても論じます。ここでいうセキュリティ管理組織・管理者能力とは、Vanguard社の過去の経験・見解に基づき考察されています。 |
| |
|
| |
上記の2つの課題に答え、現実に存在する侵入に対する危険をいかに取り除くか、そしてVanguard社の考えるベストプラクティスなセキュリティ環境を提供するためにOSとRACFのセキュリティ実装をいかに向上させていくかについて、提案しています。 |
| |
| 1.1
アセスメント環境環境について |
| |
調査した環境は以下の通りです。
ハードウェア: XXXXXX
ソフトウェア: XXXXX バージョンX.X
特記事項: XXXXXX環境
このアセスメントは、・・・
|
*1 ベストプラクティスとは最も効果的、効率的な実践方法 |
| |
|
| 1.2
調査項目 |
| |
1.2.1 聞き取り調査項目 |
| |
重要な技術アセスメント結果についても考慮しなければならない一方で、御社は、将来の法令遵守の監査に備えてポリシ*2や手続きの問題にも対応しなければなりません。そのために、御社のITの運用組織、運用方法について聞き取り調査を行いました。
|
| |
|
| |
1.2.2
実機による調査項目 |
| |
既に記述したアセスメントの観点により、以下のような項目を設定し調査を行いました。評価結果に記述のない評価項目は問題となる事象がなかったことを意味しています。 |
| |
|
| |
【ユーザ環境調査データ】 |
| |
|
対象
|
調査項目
|
調査データ
|
| ユーザID |
ユーザID
無期限パスワード
・ ・ ・ |
XXXXX
XXXXX
XXXXX
|
| グループ |
グループ
未使用グループ
・ ・ ・ |
XXXXX
XXXXX
XXXXX
|
| データセット |
・ ・ ・ |
XXXXX
|
|
| |
|
| |
【評価項目と結果】 |
| |
|
調査項目
|
評価項目
|
評価結果
|
関連問題番号
|
| ユーザID |
・特権XXXX
・パスワードXXXX
・ ・ ・
|
STCユーザにXXXXXXXX
・ ・ ・ ・ ・ ・
|
XXXX,
XXXX,
XXXX, |
| グループ |
・未使用XXXX
・SYS1XXXX
・ ・ ・ |
明確な目的を持たない・・・・
|
XXXX,
XXXX,
XXXX, |
| データセット |
・個別プロファイルXXX
・UACCXXXX
・ ・ ・ |
PROTECTALL
が ・ ・ ・ ・ ・
|
XXXX,
XXXX,
XXXX, |
|
| |
|
| |
これらのアセスメント項目より、問題点を以下のように分類しました。 |
| |
|
| |
1. |
不正侵入による危険 |
| |
|
・
システムエントリ*3の危険 |
| |
|
・
リソースアクセスによる危険 |
| |
2. |
ベストプラクティスセキュリティと整合性実装に関する問題 |
| |
|
|
*2 方針とか指針
*3 システムに入るため必要となるユーザに定義する情報。バッチ、TSOなどのユーザIDの管理を指す。 |
| |
| 1.3 アセスメント結果 |
| |
1.3.1 総合結果と是正措置 |
| |
この種のアセスメントを行ってきたVanguard社のこれまでの経験からすると、御社は、・・・・・・・・
是正措置については、以下・・・・・・
|
| |
1.3.2 御社セキュリティポリシと是正措置
|
| |
(1) セキュリティ管理体制
・・・・・・・
(2) データセットの保護
データセットを保護するために・・・・
(3) ユーザ管理
・・・・・・・
|
| |
|
| |
1.3.3 実機を使用した技術アセスメント結果 |
| |
現状分析結果
実機による技術アセスメントは以下の通りです。ここでは、・・・
以下はアセスメント結果の詳細です。 |
| |
|
| |
| 検査項目 |
項目数
|
重大 |
高い |
中程度 |
| 不正侵入による危険 |
XXX |
XXX |
XXX |
XXX |
| ベストプラクティスセキュリティと整合性実装に関する問題 |
XXX |
XXX |
XXX |
XXX |
|
| |
|
| |
重大:直ちに是正措置が必要
高い:早い時点で(3ヶ月以内)是正措置が必要
中程度:適切な次期(1年以内)に是正措置が必要 |
| |
|
| 2
侵入による危険の問題と推奨される対応 |
| |
次に挙げるのは、御社のZ/OSとRACFで見直された環境に、現在存在する侵入による危険です。 |
| |
システムエントリの危険
|
危険レベル
|
|
SA01
|
開始タスクと本番バッチユーザIDに、・・・
・・・・・・ |
重大
|
| |
問題
|
これらのユーザIDは通常、データセットやその他の・・・
・・・・・・
・・・・・・ |
|
|
|
対応
|
RACFのコマンドを使って、これらの・・・
・・・・・
・・・・・
|
|
|
| |
|
| |
リソースアクセスの危険
|
危険レベル
|
|
RA01
|
RACFのシステム・ワイドオプションの・・・
・・・・・・
|
重大
|
| |
問題
|
データセットがDATASETクラスと・・・
・・・・・・
・・・・・・ |
|
|
|
対応
|
まずPROTECTALLオプションを・・・
・・・・・・
・・・・・・
|
|
|
| |
|
| 3 ベストプラクティスなセキュリティおよび整合性の実装に関する問題と推奨される対応 |
| |
次に挙げるのは、実装に関する問題です。 |
| |
実装に関する問題
|
危険レベル
|
|
BP01
|
データセット保護が・・・
|
重大
|
| |
問題
|
RACFでは、データセット保護にかんする・・・
・・・・・・
・・・・・・ |
|
|
|
対応
|
これは主として・・・
・・・・・・
・・・・・・
|
|
|
| |
|
コンサルティング
