モダンを極める:IBM i の不適切なセキュリティ対策6つを今すぐ見直す
数多くのエンタープライズIT環境の支えとなっているIBM i プラットフォームは、その堅牢性、信頼性、および安全性で知られています。しかし、たとえ最も強靱なシステムであっても、適切に管理されていなければ、脆弱性に対して安全とは言えません。
強力な機能にもかかわらず、IBM i 環境は、組織を重大なリスクに晒し得る、旧態依然のセキュリティ対策のせいで、被害に悩まされることもよくあります。この記事では、最もよく見られるIBM i での不適切なセキュリティ対策について取り上げ、すぐに実施可能なリスク軽減戦略を紹介します。
最もよく見られるIBM i セキュリティ上の課題
-
最新でないオペレーティング システム
IBM i 環境をセキュアにするための対策のうち、最も簡単でありながら最も見落されているものの1つは、オペレーティング システムを最新の状態にアップデートすることです。最新でないシステムは、後のリリースでパッチが当てられている脆弱性にとって格好の隠れ場となります。これらのアップデートを蔑ろにすると、組織は既知の脆弱性に晒されることになり、セキュリティ体制全体の有効性が低下してしまいます。IBM i オペレーティング システムを最新バージョンに定期的にアップデートすることが極めて重要です。
解決策:堅固なアップデート ポリシーを確立する。
- 保守ウィンドウのスケジューリング:定期保守ウィンドウでアップデートを適用するように計画を作成する。運用に支障を来たすことのないように注意が必要。
- パッチ管理の自動化:PTFの確認および適用を自動化するツールを使用する。
- アップデートのテスト:アップデートを展開する前に、互換性および安定性が確保されるように、ステージング環境でテストを行う。
-
ユーザー プロファイルの管理
ユーザー プロファイルを作成する際に、管理者がデフォルト設定をそのまま容認することがよくあります。その結果、パスワードは脆弱なものになり、特権が過剰に付与される状況になってしまいます。ユーザー プロファイル名が忠実に反映されるデフォルト パスワードは特に危険であり、権限のないユーザーの容易な侵入地点を提供することになります。また、ユーザー プロファイルをコピーする習慣によって、必要のないユーザーに対して、意図せずして管理アクセスが許可されてしまうこともあります。
解決策:厳格なユーザー プロファイル ポリシーを適用する。
- 強力なパスワード ポリシー:複雑なパスワード要件を課し、パスワードの変更を定期的に実施させる。
- 最小特権の原則:ユーザーが役割を果たすために必要となる最小限の許可を割り当てる。
- 定期的な監査:セキュリティ ポリシーの遵守が確保されるように、ユーザー プロファイルおよび許可の見直しを定期的に実施する。
-
寛容過ぎるファイル サーバー/共有設定
これらの設定によって、IBM i環境がランサムウェアおよびマルウェア攻撃に晒されることがあります。厳格に設定されていない場合、これらの許可によって無制限のアクセスが認められることがよくあるため、悪意のあるソフトウェアがデータを窃取または暗号化するのを許してしまうことになります。
解決策:ファイル サーバーおよび共有許可の監査を定期的に実施する。
- アクセス制御:権限リストを利用して、誰がファイルのアクセスまたは修正を行えるかを指定する。
- 最小特権の原則:機微なデータへのアクセスは、アクセスする必要があるユーザーのみに厳格に制限する。
- 許可の定期的な見直し:許可が依然として適切であることを確認するために、定期的な見直しをスケジューリングする。
-
無制限のオブジェクト/データ アクセス
開発者は、デフォルト設定または寛容過ぎる設定で、オブジェクトまたは表を作成することがよくあり、その場合、パブリック ユーザーに過剰なアクセス権が付与されることになります。こうした無制限のアクセスは、不正なデータ改竄または盗難を引き起こす原因となることがあります。
解決策:すべてのオブジェクトおよびデータ表に対する許可の見直しを行って厳格化する。
- ロールベースのアクセス制御(RBAC):グループ プロファイルを通じてRBACを実装し、権限を与えられているユーザーのみが機微な情報にアクセスできるようにする。
- 定期的な監査:監査を頻繁に実施して、寛容過ぎるアクセス設定を確認して修正する。
-
共通サービスや非共通サービスに対する監視の未実施
IBM i 環境では、ODBCやTelnetのような、よく使用されるサービスの監視が行われていないことがよくあります。デフォルトでは、IBMは、これらのサービスを監視するための出口点を提供していないため、重大なセキュリティの欠陥が残されることになります。さらに、これらの環境は、デフォルトで監視されない様々なテクノロジーを使用して、オープンソース ソリューションを稼働することがよくあります。このように監視が行われないことで、脆弱性の検知も適切に行えなくなる場合もあります。
解決策:監視の取り組みを拡張する。
- 包括的な監視ツール:IBMのソケット出口点や、 Fresche IBM i Security Suite のようなサードパーティの監視ソリューションを利用して、アクセスの制御および監視を行う。
- ログの定期的な確認:不審なアクティビティがないか、ログを定期的に確認する処理を実装する。
- アラート システム:普通ではないアクセス パターンまたはセキュリティ侵害の可能性のあるアクティビティに対するアラート システムをセットアップする。
-
ロギングおよび監査が最小限
ロギングおよび監査が十分に行われていないと、セキュリティ インシデントの追跡や、規制要件の遵守は難しくなります。十分なログがない場合、セキュリティ侵害の根本原因を識別することは、ほぼ不可能になります。
解決策:IBM i 環境全体にわたる詳細なロギングおよび監査機能を有効化する。
- 詳細なログ設定:アクセスおよび変更についての詳細な情報をロギングするようにシステムを構成する。
- ストレージをセキュアにする:ログが安全に保管され、改竄できないようにする。
- 定期的な確認:定期的にログを確認し、異常を検知したら即座に対応する。
- 自動化ツール:効率的にログ データを解析して詳しく調べるために自動化ツールを利用する。
これらの不適切なセキュリティ対策に対処するための先進的な戦略
-
ゼロ トラスト アーキテクチャー
このセキュリティ モデルは、内部からか外部からかを問わず、リソースにアクセスしようとするすべてのユーザーおよびデバイスに対して厳密な検証を要求します。このアプローチでは、本来的に信頼できる内部または外部ユーザーはいないものとしています。
ベスト プラクティス:
- ID検証:すべてのユーザーおよびデバイスに対して厳格なID確認プロセスを適用する。これには、多要素認証(MFA)および継続的ID評価などが含まれる。
- マイクロセグメンテーション:ネットワークをより小さいセグメントに分割して、脅威のラテラル ムーブメント(横方向への移動)を制限する。ネットワークの別の部分を隔離することによって、セキュリティ侵害を封じ込めて、極めて重要なリソースを保護することができる。
-
ポリシーおよびテンプレート
IBM i 環境全体で一貫したセキュリティ設定が確保されるように、ポリシーおよびテンプレートによってセキュリティ構成を標準化します。これにより、構成ドリフトのリスクが低減し、統一されたセキュリティ標準が適用されます。
ベスト プラクティス:
- ポリシー フレームワーク:業界のベスト プラクティスおよび規制要件に適合する包括的なセキュリティ ポリシーを策定して適用する。これらのポリシーは、IBM i環境のすべての側面をカバーする必要がある。
- 構成テンプレート:テンプレートを使用して、すべてのシステム全体で一貫したセキュリティ構成を適用する。これにより、管理が簡素化し、すべてのシステムが同じセキュリティ標準を遵守することができる。
- 定期的な見直し:セキュリティ脅威およびビジネス ニーズの進化に対応するために、定期的にポリシーおよびテンプレートの見直しと更新を行う。
-
出口点ソリューション
出口点ソリューションは、IBM i 環境内の極めて重要なサービスへのアクセスを監視し、制御します。これらのソリューションはファイアウォールの働きをして、不正アクセスをブロックし、監査で使用できる詳細なログを提供します。
ベスト プラクティス:
- カスタム出口プログラム:独自のセキュリティ ニーズに合わせたカスタム出口プログラムを開発する。これらのプログラムはアクセス要求をインターセプトおよび制御することができ、権限を与えられたユーザーのみが特定のアクションを実行できるようにする。
- サードパーティのソリューション:機能およびサポートが強化されているサードパーティの出口点ソリューションの導入を 検討 する。これらのソリューションは、包括的な監視および制御機能を提供できるため、より効果的に重要なサービスのセキュリティを確保することができる。
- 詳細なロギング:アクセスの試みおよびアクティビティがすべて詳細に記録されるようにする。これにより、コンプライアンスおよびフォレンジック調査に使用できる貴重な監査証跡が提供される。
-
IBM i NavigatorおよびSQL
IBM i Navigatorは、IBM i システムを管理し、監視するための強力なWebベースのインターフェースです。これにより、管理作業が簡素化され、システム パフォーマンスおよびセキュリティ設定の視認性が向上します。
ベスト プラクティス:
- 一元集中管理:IBM i Navigatorを使用することにより、一元化された場所から、ユーザー プロファイルの管理、システム アクティビティの監視、セキュリティ設定の構成を行うことができる。
- カスタム照会:特定のセキュリティ関連の情報(ユーザー アクセス ログ、許可の設定、構成変更など)を抽出するカスタムSQL照会を開発する。
- 自動化されたレポート:自動化されたSQLレポートをスケジューリングすることにより、極めて重要なセキュリティ メトリクスを定期的に確認し、ポリシーへの準拠が確保されるようにする。
最新のセキュリティ対策をIBM i に統合する際の諸課題
IBM i システムに最新のセキュリティ対策を実装する際には、様々な課題が生じます。システム環境をセキュアにする効果的な戦略を開発するためには、これらの課題についての理解が不可欠です。
IBM i のユニークさ
IBM i のユニークなアーキテクチャーは、最新のセキュリティ プロトコルを実装する際に生じる課題の原因となります。こうした統合性は、他のプラットフォームとは大きく異なり、従来のセキュリティ対策を適合させ、先進的なセキュリティ ツールを統合することを難しくしています。互換性の問題によって、スクリプトおよび構成のカスタマイズが必要となることがよくあるため、IBM i のアーキテクチャーについての深い理解が求められます。
スキル セットの不足
IBM i システムでの経験が豊富なプロフェッショナルの不足は、最新のセキュリティ対策の統合における最大の課題の1つとなっています。若手のITプロフェッショナルの多くは、IBM i に触れる機会がほとんどなかったことから、広範囲にわたるトレーニングおよび技能開発が必要となります。これは、時間とリソースを要するだけでなく、経験豊富なIBM i プロフェッショナルを確保することも難しくしています。彼らには高度な専門性が求められており、継続的な教育や専門的能力の開発を必要とするためです。
コンプライアンスおよび規制上の課題
業界標準および規制要件の遵守は、継続的に対応することが必要な課題です。規制は常に進化するものだからです。こうした変化に遅れることなく対応するためには、専用のリソースで定期的にセキュリティ ポリシーおよびプラクティスを見直して更新することが必要となります。詳細なコンプライアンス レポートは、とりわけ煩雑になる場合があり、オートメーションの導入が必要となることもよくあります(ただし、オートメーション自体が、複雑で大量にリソースを消費する場合もあります)。
IBM i 環境をセキュアにする
セキュアでないシステムは、ランサムウェア、不正アクセス、およびデータ漏洩に対して脆弱であり、それらのせいで運用停止に追い込まれたり、法的および財務的に良からぬ影響が生じたりすることもあります。IBM i環境の防御を強化するには、よくあるセキュリティの落し穴に対処すること、そして先進的なセキュリティ戦略、 Fresche IBM i Security Suiteのようなサードパーティ ソフトウェア、およびIBM i NavigatorやSQLのようなツールを活用することが極めて重要です。
プロアクティブな対策を取ることにより、潜在的な脅威から身を守り、規制要件の遵守が確保され、ITインフラストラクチャーの統合性および信頼性を維持することができます。従業員がコンプライアンスのためのセキュリティ トレーニングを受けるのと同じように、IBM iエンタープライズ サーバーも同様な標準に適合する必要があります。
Fresche Solutions社は、セキュリティ侵害に直面した数多くのクライアントの支援を行ってきました。そして、防御を強化し、リスクを軽減するための専門的なガイダンスおよびソリューションを提供しています。構成が適切でないシステムをそのまま容認してはなりません。改善に向けての小さな一歩も、非常に重要です。よく分からないことがある場合は、同僚やセキュリティのプロフェッショナルにアドバイスを求めるようにします。鎖全体の強さは、その中の最も弱い環によって左右されるように、企業全体としての強さも、最も脆弱なところによって左右されます。セキュリティを効果的に強化するには、リアクティブな対策より、プロアクティブな対策を重視するようにしてください。
