IBM i のウンチクを語ろう
~ その83:IBM i の最大の懸念事項はセキュリティ
皆さん、こんにちは。世間の状況を見るにつけ、IBM i に対する様々な評価の中で、これだけはいかがなものかと思うものが一つあります。IBM i の「セキュリティ神話」です。誤解いただきたくないのですが、IBM i は危険なシステムだと主張したいわけではありませんし、セキュリティ耐性は他のシステムと比べても圧倒的に高いのは紛れもない事実です。ただそれも正しく設定されていればこそであり、さらにシステムだけではどうしようもない側面もあります。神話を単に「信奉」するだけではなく、強さと限界を知り、正しく対策を打っていただきたい、というのが今回のコラムの狙いです。
まずは現状理解のために統計値を眺めるところから始めていきましょう。米国政府の支援を受けて構築されているCVE(Common Vulnerabilities and Exposures) Detailsという、ベンダーやプラットフォームを横断的に見る脆弱性データベースを参照してみます。2014年以来当コラム執筆時点(2023年4月21日)に至るまでの脆弱性報告の累積数は、Windows Server 2019では2,458件に達するのに対して、IBM i の全バージョン合計はわずか15件に留まっておりその差は圧倒的です。これを見る限りでは「神話」は立派に生きています。一方でFortra社が毎年公表している、世界のIBM i ユーザーのサーベイ結果「2023 IBM i Marketplace Survey Results」を見ると、最も多くの関心を集めているシステムの課題はサイバーセキュリティだとされています。(What are your top 5 concerns as you plan your IT environment?)
IBM i だけがいつまでも「無風状態」にある保証は無い、世間は「暴風雨」に見舞われているので、実害が生じる前に手を打つべきだという意識の表れなのでしょうか。ここでセキュリティ犯罪の統計として、米FBIによる「Internet Crime Report 2022」ページ7のグラフ「Complaints and Losses over the Last Five Years」を参照してみましょう。計算してみると、2018年から2022年にかけて、セキュリティ犯罪の被害を申告した人の数は年率平均で22.8%、被害額は同様に39.8%の伸びを続けていることが示されています。
一時よく話題になったのはランサムウェアですね。サーバーなどを人質に取り、すなわちウィルスを仕掛けるなどして使用不能にしておいて、復旧させたかったら身代金を支払えと要求する犯罪です。これをサービス化したRaaS(Ransomware as a Service)なる闇のビジネスモデルまで存在する、という物騒なニュースも目にします。参考までにランサム(ransom)とは身代金のことです。
アメリカのブロックチェーン分析会社であるChainalysis社のブログサイトによると、2022年には身代金支払総額は下降に転じており(Total value received by ransomware attackers, 2017-2022)、2021年から約40%減少しています。どうやらその理由は被害者が支払いを拒絶ケースが増加する傾向(The big story: Ransomware victims are paying less frequently)にあるからのようです。攻撃者による脅迫の「成功率」は低下しており、2019年の身代金支払率は76%だったのに対して、2022年は41%にまで落ち込んでいます。身代金を支払っても復旧につながる保証はないという認識が広まった、または、被害を受けても自力でデータを復旧できるようになった、ことがその背景にあると思われます。その時には例えばIBMのストレージ製品だと、Safeguard Copyという機能がおそらく役立つでしょう。複数世代のバックアップを取得しておいて、いざという時は過去の汚染されていないバックアップ・データを特定してリストアするわけです。
逆に一件あたりの身代金支払い額は大きくなる傾向にあります。攻撃者からすると、脅迫の成功率は低下しているので、その分身代金の額を釣り上げて元を取ろうとするのでしょう。サイバーセキュリティを手がける米Coveware社のブログによると、2021年1-3月期の身代金支払額平均は220,298ドル(約2,900万円)で、2020年10-12月期のそれを43%上回っているそうです。
攻撃者は何を手掛かりにシステムへの侵入を試みるのでしょうか。上記Coveware社のブログによると(Ransomware Attack Vectors)、2022年10-12月期に最多だったのは電子メールによるフィッシング、次が不明となっています。これらは長期的には増加傾向にあることが見て取れます。3番目のRDPすなわちリモート・デスクトップ・プロトコル、4番目のソフトウェア脆弱性は減少ないし伸びていません。「不明」については何とも言えませんが、全体的にはシステムによる対策は進んでいる一方で、各個人の対応が弱点として露呈する傾向にあるように感じます。e-BELLNETに掲載されている翻訳記事に「従業員のセキュリティ意識は、ITにおける重要なファイアウォールとなる」というものがありますが、言い得て妙という感じです。
フィッシングに関しては、「フィッシング対策協議会」から月次報告書が公開されていますので見てみましょう。報告件数を年間でまとめてみると、2021年は前年に比べて85%増の59万件、2022年は同様に63%増の96万件と激増しています。ついでながら最も悪用されたブランドも公表されており、2023年3月の報告書ではトップがAmazonで、三井住友信託銀行、三井住友銀行、えきねっと、イオンカードと続きます。個人的にもこれらを騙るメールを頻繁に受け取るので、来るはずの無いものは「またか」とばかりに中身も見ずにゴミ箱に放り込んでおります。中にはフィッシングではない「本物」も混じっているかもしれませんが、今のところ運良く実害は生じていないようです。
カバーする機能範囲が違うので、フィッシングに対する直接的な防護策を IBM i が用意するものではありませんが、万が一に備えてIBM i に対する各個人のアクセス権限を管理しようという動きは顕著に見られます。先に引用した「2023 IBM i Marketplace Survey Results」の中で、実装済みと実装予定の合計が最も多いセキュリティ対策は、特権ユーザー管理(Privileged user management)であることが示されています。(Which security solutions do you have in place or plan to put in place across your IBM I servers?)プログラムやデータベース・テーブルなどのシステムの様々なオブジェクトにユーザーがアクセスする際に、付与されている権限が必要最低限に絞られていれば問題はありません。実際にはそうなっていない現実を是正しようという動きです。
例えばFortra社がIBM i のセキュリティ事情のサーベイ結果をまとめた別のレポート「2022 State Of IBM i Security Study」では、*ALLOBJ権限を持つユーザー数が多過ぎる点を指摘しています。サーベイ対象全186システムの平均ユーザー数825に対して、約30%にあたる平均244ユーザーが*ALLOBJ権限を持つそうです。(Users With Powerful Authorities)確かに無制限の、Windowsで言うとAdministrator権限を持つユーザーが、これほど数多くいるというのは尋常ではありません。
下手に権限を制限すると、オブジェクトにアクセスできなくなるケースが生じる、すなわちアプリケーションが利用できなくなってしまう可能性があるのも事実です。かつてのIBM i では、ユーザーIDとパスワードによる認証をクリアしたらシステムへのフルアクセスを許容する、システム値QSECURITY = 20を設定するのが一般的だった時代があります。全ユーザーが*ALLOBJ権限を持つ状態です。その後QSECURITYをより上位の値に設定しながらも、ユーザー権限を旧来のままに据え置いている、というのが現状なのでしょう。システム全体として権限管理が厳しくなされているかのように見えながら、個々のユーザーについては実はそうなっていない、というわけです。
これを解決するには権限を適正なレベルに変更、おそらくそのほとんどは権限を削除することになるのですが、最初に過剰権限を見極めなくてはなりません。この判定に役立つのが権限収集(Authority Collection)という、バージョン7.3以降でサポートされるIBM i の標準機能です。ベル・データの「安心パック for i 」という、ヘルプデスク・サービス契約をお持ちの会社所属の方のみを対象としているのですが、手順書「権限収集(Authority Collection)を活用してセキュリティを高めよう」も公開されていますので、可能な方は適宜ご活用ください。
IBMの製品マニュアルを参照されるにせよ、手順書を参照されるにせよ、IBM i のセキュリティ対策にも是非目を向けていただきたいと考えております。面倒と思われるかも知れませんが、安全を「買う」ための作業です。残念ながら安全は無料ではありません。それでもIBM i の場合は他サーバーに比べればかなり「格安」なはずです。
ではまた。