IBM技術ブログ Vol.1 - IBM i 7.6最新機能でMFA(多要素認証)が追加 -
はじめに
IBM Power のテクニカル・セールス・チームによる技術ブログ連載第 1 回目として、IBM i 7.6 に統合された MFA の実装方法を紹介いたします。
MFA はユーザー ID とパスワードが流出してしまった場合への対抗策として有力視されているセキュリティ・ソリューションの一つです。IBM i のセキュリティ向上策の一環として、是非ご検討ください。
IBM i 7.6最新機能でMFA(多要素認証)が追加
IBM i 7.6で多要素認証の機能が追加されました。
MFA(多要素認証)はIDとパスワード以外に追加の認証要素を要求することでセキュリティ強化する認証方法のことです。 その中で今回のバージョンアップではTOTP(Time-based One-Time Password)の機能が追加されています。多要素認証はランサム攻撃に対して有効な対策の一つとされています。
TOTPとはワンタイムパスワードを追加の認証方法として利用する方法で、IBM i で作成されたMFA鍵と多要素認証用のアプリケーションからパスワードを生成してサイン・オンができます。
下記画像が最新バージョンの5250サイン・オン画面です。従来の要素に追加されてADDITIONAL FACTORという要素が追加されました。こちらにワンタイムパスワードを入力してサイン・オンできます。
MFAはユーザー・プロフィール単位で使用する・しないを設定できます。
環境設定編
環境前提条件
MFAを使用可能とするには、IBM i OSレベルで以下の設定が必要です。
QPWDLVLのシステム値が2.3.4
→WRKSYSVAL SYSVAL(QPWDLVL)で設定確認が可能です。
パスワード・レベルを変更する必要がある場合は、パスワード・レベルの変更の計画を参照してください
セキュリティレベル 40 または 50
→WRKSYSVAL SYSVAL(QSECURITY)で設定確認が可能です。
セキュリティ・レベルを変更する必要がある場合は、システム・セキュリティ(QSECURITY)のシステム値の使用を参照してください。
1. 2.の情報を参照する場合
DSPSECAコマンドを利用して確認することもできます。
MFA機能の有効化
ユーザーのMFA機能の有効化方法
DSPSECAコマンドで追加のサインオン係数が*ENABLEDになっていない場合は下記コマンドを使用してセキュリティ属性の変更を行います。
CHGSECA
追加のサインオン要素を*ENABLEDに変更します。
追加のサインオン要素を*ENABLEDに変更できない場合CHGSSTSECAコマンドを使用します。追加のサインオン要素の変更を*YESにします。
その後、CHGSECAコマンドで追加のサインオン要素を変更することができます。
追加サインオン要素セキュリティ属性を希望の値に設定した後に、その変更を禁止するには、 SSTセキュリティ属性の変更(CHGSSTSECA)コマンドを使用して、追加サインオン要素の変更(CHGADLSGN)パラメータを*NOに設定します。
サービスユーザーのMFA機能の有効化方法
保守管理ユーザーのMFA認証を設定する場合は、システム・サービス・ツール(SST)、専用サービス・ツール(DST)、または SSTセキュリティ属性の変更(CHRGSSTSECA)コマンドを使用して、有効な追加サインオン要素を変更できます。今回はSSTを使用して設定します。
SSTにサイン・オンして、オプション 8(保守ツール・サーバー機密保護および装置の処理)を選択します。
オプション 5(保守ツール機密保護オプションの処理)を選択する。
Additional sign-on factor enabledフィールドを1番に変更し、Enterを押す。
以上でMFAを使用するためのIBM i の環境設定の準備は完了です。
(参考)
MFAに使用するシステム値についてNavigator for i から一覧で参照・編集が可能です。
Navigator for i にサイン・オン後、セキュリティー→MFA設定を選択します。
システム値の一覧が表示されます。この画面からシステム値の選択を行い、アクションボタンを押すことで編集することが可能です。
MFA設定編
MFAの設定方法
時間ベースのワンタイムパスワード(TOTP)は、有効で現在のシステムUTC(協定世界時)を必要とします。そのため正しい日付と時刻を設定する必要があります。
→WRKSYSVAL SYSVAL(QDATETIME)で設定確認、変更が可能です。
ユーザーIDを作成する
→今回はMFATESTというユーザーを作成しました。
CRTUSRPRF USRPRF(MFATEST) PASSWORD()ユーザーIDのTOTPキーを生成する
→ここからはNavigator for i で設定します。
Navigator for i にMFAの設定を行うユーザーでサイン・オンします。
ダッシュボード画面の左のバーからユーザーおよびグループ→ユーザーを指定します。
フィルター画面が表示されるため作成したユーザーIDを入力します。
作成したユーザーIDが表示されるのでダブルクリックします。
追加の認証オプションのTOTPを使用したMFA認証が選択されていません。そこでMFA鍵の変更を選択します。
MFA鍵の管理画面が表示されるため、新規でMFA鍵の生成を行います。一番上の"このユーザー・プロファイルの MFA 鍵およびリカバリー鍵を生成して保存します"を選択して次へを押下します。
MFA鍵の生成が行われました。
作成されたQRコードまたは鍵をクライアント生成プログラム・アプリケーションにスキャンまたは入力を行うと設定が可能です。その後、MFA鍵の検証を行います。ユーザーのパスワードとMFA鍵から作成されたワンタイムパスワードを入力して妥当性検査を選択します。
その後OKボタンを選択することでMFA鍵の設定は完了です。
ユーザーIDのTOTPを有効化する
3.の手順より、ユーザーのプロパティー画面に移動します。
こちらで追加の認証オプションから"TOTP 鍵を使用した MFA 認証"にチェックを入れることで有効化することができます。
以上でMFAの設定は完了です。
サインオン方法
それでは実際にサインオンを行います。
MFAを有効化したユーザー・プロフィールの場合、通常のパスワードに加え、Additional factorにワンタイムパスワードを入力することでサイン・オンすることが可能です。
サインオンが無事完了しました。
(参考)Additional Factorを入力しなかった場合
下記のように認証情報が正しくないと表示され、サイン・オンはできません。
MFAを有効化していないユーザー・プロフィールについては従来通り、ユーザープロフィールとパスワードの入力でサイン・オンする事が可能です。
執筆者紹介
今尾 友樹(いまお ともき)
日本アイ・ビー・エム株式会社
2023年:IBMにPower Technical Salesとして入社
2024年:Digital Technical Sales 関西エリア担当
2025年:Digital Technical Sales 全国担当
あわせて読みたい記事
IBM技術ブログ Vol.1 - IBM i 7.6最新機能でMFA(多要素認証)が追加 -
関西DX研究会レポート - DX推進の現場から見える「人材戦略」のリアル -
RPG開発者のためのIBM i モダナイゼーション入門!
RDi とWeb APIで新しい開発の世界を楽しもう - 第 6 回 -
