マイナンバー対応で見直すべき IBM i のセキュリティ対策 2015年 年11月 月27日 日 株式会社ソルパック 栃内 勇紀 株式会社ソルパックのご紹介 ホームページ http://www.solpac.co.jp/ 本社 所在地 〒106-0032 東京都港区六本木4-1-4 黒崎ビル8階 TEL 03-3585-4616(代表) 設立 1997年9月17日 資本金 10,000万円 売上高 約23.6億円 従業員数 250名 代表者 代表取締役社長 事業内容 • ソフトウェア製品の販売導入 • ERP導入に関するコンサルティング、開発、運用一貫サービス(SAP : R3, B1 および ORACLE : EBS, JDE, PS) • ITアウトソーシング、ビジネス・プロセス・アウトソーシング(BPO)サービス • 研修サービス(営業研修、SE研修、アカウントプランニング、SQA定着サービス) • UNIX、PC、IBM Power Systems(AS/400)に関するコンサルティング、開発導入、運用管理 • Webシステムの開発 • Global Resource Delivery • 一般労働者派遣事業 • 人材紹介事業 子会社 有限会社ソルパックベトナム(ハノイ) 株式会社ソルパックタイランド(バンコック) 株式会社ソルパック上海 藤田 勉 1 IBM i 関連製品サービス ソフトウェア 販売 StandGuard Anti-Virus セキュリティ Web化 データ活用 データ管理 システム管理 コンサルティング 調達、保守 ・アプリケーション診断 ・コンプライアンス対策 ・ハードウェア、 ソフトウェア販売 ・各種導入 /保守 アプリケーション ・アプリケーション開発 ・アプリケーション保守 アウトソーシング ・ハウジング/ホスティング ・システム構築、運用、監視 2 Agenda 第1章 セキュリティを取り巻く現状 第2章 IBM i とセキュリティ 第3章 Enforcive を使用したセキュリティ対策 第4章 Enforicve について 第5章 暗号化モジュールのご紹介 第6章 まとめ 3 1章 セキュリティを取り巻く現状 4 セキュリティを取り巻く現状 • 個人情報保護法(2005年) • J-SOX(2008年) 企業のセキュリティ対策は一段落したが・・・・ • 多発する個人情報漏洩事故 • 2016年マイナンバー制度開始 自社のセキュリティを見直す時 期がきています 5 セキュリティを取り巻く現状 (2) 出展:セキュリティネクスト http://www.security-next.com/category/cat191/cat25 6 セキュリティを取り巻く現状 (3) 侵入防止(IPS)やデータ流出防止への関心が飛び抜けて高い。 どの企業も情報漏洩のリスクに対してなんらかの対策を行うことを検討しています。 出典:日経コンピュータ2014年8月7日号 7 セキュリティを取り巻く現状 (4) ★マイナンバー制度とは 全国民に、12桁の番号を割り当てる制度 (行政手続き番号法) ☆企業への影響 1) 人事・給与関連事務 所得税の源泉徴収、住民税社会保険料などについて支払い や異動連絡の業務でマイナンバーを使用 2) 経理関係事務 国税に関して、税務署へ提出する法定書類でマイナンバーを 使用 社員だけでなく、一時的な報酬・配当金を支払った相手に対 しても告知を求め、管理 8 セキュリティを取り巻く現状 (5) 罰則対象となる行為 法定刑 正当な理由なく特定個人情報ファイル(個人番号を含む個人情報 をリスト形式などに整備したもの)を提供 4年以下の懲役または 200万円以下の罰金または併料 不正な利益を図る目的で、個人番号を提供または盗用 3年以下の懲役または 150万円以下の罰金または併料 情報提供ネットワークシステムの事務従事者が情報提供ネット ワークシステムに関する秘密の漏洩または盗用 3年以下の懲役または 150万円以下の罰金または併料 特定個人情報保護委員会(番号に関する監督組織)の業務改善命 令に従わなかった場合 2年以下の懲役または 50万円以下の罰金 特定個人情報保護委員会による検査に虚偽報告、検査拒否など をした場合 1年以下の懲役または 50万円以下の罰金 従業員が上記の違反行為を行った法人 同じ罰金刑 マイナンバーを扱う、人事・給与・経理業務を行う全企業、 J-SOXとは異なり、中堅・中小含む全企業が対策の必要あり とは異なり、中堅・中小含む全企業が対策の必要あり 9 2章 IBM i とセキュリティ 10 IBM i とセキュリティ IBM i はOSレベルで高いセキュリティを構築可能です。 OSレベルでセキュリティを高めるには ◆システム値 ◆ユーザープロファイル ◆オブジェクト権限 の3 つが重要です。 11 IBM i とセキュリティ (2) ) ◆システム値 セキュリティに関わるシステム値 WRKSYSVAL SYSVAL(*SEC) で確認が可能な、セキュリティ関連のシステム 値の見直し 例) QSECURITY : システム保護レベル QMAXSIGN : 認められる最大サインオン試行回数 など パスワードに関わるシステム値 ログイン時のパスワード制限は細かく制御可能 例) QPWDMINLEN : 最小パスワード長 QPWDEXPITV : パスワード有効期間 など 12 IBM i とセキュリティ (3) ) ◆ユーザープロファイル ユーザープロファイルの管理 部署・業務ごとのユーザーから、個別ユーザーへ ユーザープロファイルのパラメーター パスワード ユーザークラス 初期メニュー・プログラム 制限機能 特殊権限 ※特に*ALLOBJに注意 13 IBM i とセキュリティ (4) ) ◆オブジェクト権限 重要情報データベースへのアクセス制御を実施する には、オブジェクト権限が有効です オブジェクト権限 オブジェクトの属性変更や削除などオブジェクト全体に対する操作権限 オブジェクト名の変更、ライブラリの移動、オブジェクトの保管・復元所有者の変更等 データ権限 DBファイルなどオブジェクトに含まれるレコードの読み取りや変更操作に関する権限 データの読み取り、追加、変更(更新)、削除等 フィールド権限 DBファイルなどに含まれる個々のフィールドに対して実行可能な操作を行うための権限 フィールド(カラム)に対するデータの読み取り、変更、追加等 14 IBM i とセキュリティ (5) ) 重要情報(機密・個人)保護という観点において システム値 システム値 ユーザープロファイル ユーザープロファイル オブジェクト権限 オブジェクト権限 初期メニューで制限 初期メニューで制限 コマンドの使用を制限 コマンドの使用を制限 オブジェクトへのアクセスを制限 オブジェクトへのアクセスを制限 など 重要情報を保護 メニューで制限されない開発者・管理者 開発者・管理者は? 開発者・管理者 オブジェクト権限が適用されない高権限 高権限(*ALLOBJ) ユーザーは? 高権限 ユーザー 外からのアクセスは? メニューに依存しない、5250外からのアクセス 外からのアクセス 15 3章 Enforcive を使用したIBM i の セキュリティ対策 16 Enforcive を使用したIBM i セキュリティ対策 を使用した Process 1 パワーユーザーの監視 Process 2 通信の監視・制御 17 パワーユーザーの監視 昨今の漏洩事件は内部犯行によるものが多数 情報漏洩対策においてパワーユーザーの監視は重要な ポイントです。 パワーユーザー監視のポイント Point 1 : ユーザープロファイルの権限の見直し Point 2 : 監査ジャーナル(QAUDJRN)の使用 18 パワーユーザーの監視 (2) ) Point 1 : ユーザープロファイルの見直し Point • 不特定多数の高権限(*SECOFR 等) ユーザーが存在している • 開発会社などに貸与した、または退職者のユーザープロファイルが残っている など 高権限ユーザーは全て監視の対象になります 既存ユーザープロファイルの見直し、定期的なユーザープロファイルの棚卸を 19 パワーユーザーの監視 (3) ) Point 2 : 監査ジャーナル(QAUDJRN) の使用 監査ジャーナル →5250操作履歴をほぼ全て取得 【ログ例】 – コマンド履歴 (指定ユーザーのみログ取得) – ライブラリー、ファイル操作 (作成、削除、読取、変更、移動、保管、 復元) – プログラムソース操作 (作成、削除、アクセス、読取、変更、移 動、保管、復元) – ユーザープロファイル操作 (作成、削除、変更、復元) – 権限違反 – 不正ユーザー、パスワード履歴 – スプールファイル操作、印刷履歴 – ジョブ開始、終了、ENDJOB履歴 – SST操作、応答ファイル操作履歴 情報漏洩事故発生時の追跡 コマンド履歴・オブジェクト操作全般の履歴 なりすましの兆候の把握 不正ユーザー、パスワード履歴 QSECOFRの不正使用 の不正使用 20 パワーユーザーの監視 (4) ) Point 2 : 監査ジャーナル(QAUDJRN) の管理 監査ジャーナル →5250画面での管理 監査ジャーナル参照例 DSPJRN コマンドで - ジャーナル - レシーバー - 日付範囲 - 項目 など多数のパラメータで絞り込み 表示された一覧から、項目を表示する 21 パワーユーザーの監視 (5) ) Enforcive には監査ジャーナルの管理をサポートする多彩な機能があります には監査ジャーナルの管理をサポートする多彩な機能があります ! GUI画面表示、フィルター機能、イベント詳細の表示 など フィルター機能 22 パワーユーザーの監視 (6) ) 様々な形式に対応したレポート出力 PDF形式 HTML形式 CSV/Excel形式 監査ジャーナルの日々の管理、不正操作追跡時のワークロードを削減 23 Enforcive を使用したIBM i セキュリティ対策 を使用した Process 1 パワーユーザーの監視 Process 2 通信の監視・制御 24 OS/400階層 階層 通信の監視・制御 Internal IBM i 接続 (メニュー)はセキュア IBM i IBM i ユーザー IBM i へのネットワーク経由の接続は へのネットワーク経由の接続は 対策が必要 Application階層 階層 初期 メニュー メニュー Menu 初期 メニュー Sales 販売 Process 処理 Financial 財務 Process 処理 Customer 顧客 Process 処理 メニュー Menu System i サーバー Windows サーバー Interface 表示 Process 処理 ネットワーク FTP –ODBC –リモートコマンド –IFS アクセスがアクセスし放題 顧客 Customer Sales 販売 Financial 財務 Interface Iインター フェース PC 25 通信の監視・制御 (2) ) PCOMM、クライアントアクセスは ファイル転送機能を持っている 5250接続を使用しているユーザー はだれでも使用可能 なんらかの対策をしないと、 機密・個人情報をダウンロードされてしまう 26 通信の監視・制御 (3) ) 各種通信へのセキュリティ対策 サービスの停止 サービスの停止 ポートを閉める ポートを閉める 出口点にプログラムを配置 出口点にプログラムを配置 ◆出口点とは(例: 例:FTP出口点 出口点) 例: 出口点 FTP 出口プログラムを、ファイル転送プロトコル (FTP) サーバー出口点、およびク ライアント出口点に追加することにより、 システムに対する FTP アクセスをさらに 制限してセキュリティーを強化できます。 FTP サーバー要求の妥当性確認出口プログラムを作成して、 ユーザーがアクセ スできる CL コマンドおよび FTP サブコマンドを制限することができます。 サーバー・ログオン出口点の出口プログラムを利用すれば、TCP/IP アプリケー ション・サーバーへのユーザー認証を 制御できます 27 通信の監視・制御 (4) ) Enforcive では 出口点にプログラムを配置することで、各種通信を監視可能 各種通信ログを取得 5250ログイン、ログオフ FTP ODBC/JDBC DDM、パススルー ファイル転送、IFS、他TCP/IP通信 ユーザーコマンド履歴(ライブラリ、オブジェクトも記録) FTPでのQSECOFR不正アクセス履歴 フィルターで検索 5250サインオンサインオフ履歴 28 通信の監視・制御 (5) ) ログ取得のみならず、制御が可能! ログ取得のみならず、制御が可能 対象 ユーザープロファイル グループプロファイル ユーザープロファイル総称 名 IPアドレス範囲 グループ(Enforcive 独自) システム全体 29 通信の監視・制御 (6) ) 機能ごとに制御可能 操作可能な ライブラリ/ファイルを限定 ライブラリ ファイルを限定 業務上必要な操作に影響を与えず 不正なアクセス・ダウンロードを予防 30 4章 Enforcive について 31 Enforcive について ●開発元紹介 • 開発元 : Enforcive Systems Ltd.(イスラエル) •創立 : 1983年 • System iセキュリティー関係パテント所有: No 0001326452 • IBM Server Proven™ certification / IBM に「Product No. 5620DLJ」として登録 • 全世界にわたるIBMとの再販契約 • Search400.comで2003年のセキュリティ製品部門で「Products of the year」を受賞 ●導入事例一例 32 Enforcive について (2) ) 制御 ロギング 警告 IBM i への各種通信を制御し、重要情報の漏えいを防止 への各種通信を制御し、重要情報の漏えいを防止 だれが、いつ、なにをしたのかを追跡可能。セキュリティ事故時の 後追いを可能にします。 禁止されている操作が起こったときのリアルタイムアラートが可能。 レポート IT監査に必要なレポートもスケジュールで自動作成 監査に必要なレポートもスケジュールで自動作成 管理 CLコマンドを使用しなくてもユーザー管理が可能に コマンドを使用しなくてもユーザー管理が可能に ユーザービリティ •GUIベースの管理端末から直感操作で、 ベースの管理端末から直感操作で、High Securityを実現 を実現 ベースの管理端末から直感操作で、 ・セキュリティ強化に必要な多くの機能を1パッケージで提供! ・複雑なセキュリティ設定も、直感操作で簡単に構築可能! ・セキュリティ強化に併せて日々の運用管理も効率化! 33 Enforcive について (3) ) Enforcive の特徴1 画面による設定・管理 の特徴 : 全てGUI画面による設定・管理 全て 34 Enforcive について (4) ) Enforcive の特徴2: 標準機能をサポートする多彩な機能 の特徴 OS標準機能をサポートする多彩な機能 監査ジャーナル ファイルジャーナル その他 - ユーザープロファイル管理 - メッセージキュー - ヒストリーログ など 35 Enforcive について (5) ) Enforcive の特徴3: コマンドの制御 の特徴 CLコマンドの制御 *ALLOBJの特殊権限を 持ってるユーザーも・・・ 登録したシステム提供の コマンドを簡単に制御!! ユーザー権限・ オブジェクト権限に依存しない コマンド制御が可能に!! 最高権限ユーザーに対しても、コマンド単位での制御が 可能になり、より高いレベルのセキュリティを実現 36 Enforcive について (6) ) Enforcive の特徴4: の特徴 強力なレポート機能 全てのログレポートのスケジュール が可能! 全てのレポートがPDF, HTML, CSVに対応 GUI上でクエリを直感的に定義して、 簡単に複雑な各社に沿ったレポー ト出力に対応! 監査に必要なレポートも簡単に、要件に沿った出力が可能 37 5章 暗号化モジュールのご紹介 ※追加ライセンス 38 暗号化モジュールのご紹介 効果 シンプル / 使いやすい (全てGUI画面による管理) プログラムの改修が不要 セキュリティ要件に対応 (PCI-DSS 等) 機能 2つのキーを使用 (データキー、マスターキー) フィールドレベルで暗号化 7つの暗号化アルゴリズムに対応 - AES128, 192, 256, - DES, - TDES8, 16, 24 ユーザー単位で復号化指定 (フルコントロール、閲覧許可/更新不許可) ジョブ名による制御が可能 対話型ジョブ → 暗号化、 バッチジョブ → 復号化 マイナンバー、クレジットカード番号の暗号化におススメです! マイナンバー、クレジットカード番号の暗号化におススメです 39 暗号化モジュールのご紹介 暗号化の設定・管理は全てGUI画面から 画面から 暗号化の設定・管理は全て 暗号化するファイル・ フィールドを選択 暗号化するデータキー、 アルゴリズムを選択 不正アクセス時のアクション (警告/拒否) アクセス時のログ取得設定 40 暗号化モジュールのご紹介 権限のあるユーザー 権限のない(暗号化 権限のない 暗号化)ユーザー 暗号化 ユーザー 詳細は弊社ブースまたは、お問い合わせ窓口へ ブースではデモを交えたご紹介を行っております。 41 まとめ 42 まとめ 漏洩事故が多発し、セキュリティに対する世間の目が厳しくなっている 自社のポリシーの見直しを行う必要がある OS機能だけでは対処しきれないので、セキュリティツールを推奨 43 ありがとうございました。 ご質問はお気軽にお問い合わせください。 株式会社ソルパック http://www.solpac.co.jp/ サービスマネジメント事業部 栃内 勇紀 [email protected] TEL 03-3585-2739 44
© Copyright 2024 ExpyDoc
