「IBM iユーザー動向調査2024アンケート」実施中!ご回答者様にAmazonギフト券1,000円分プレゼント!【~11月30日(土)〆】
2024-10-08- 2022-02-21
IBM i のネットワーク・セキュリティを簡単に確実に ~iSecurity Firewall~
前回に引き続き、IBM i セキュリティ評価サービスで可視確認できるセキュリティ状況への対策をご紹介します。今回はネットワーク・アクセスの制御をとりあげます。
いまや業務もプライベートも問わず、ネットワークは必要不可欠なものになっています。IBM i においても、ファイルのやり取りにFTP接続、5250エミュレータの接続にTelnet…など、様々な方法・プロトコルで無数のネットワークが利用されています。
ネットワークを利用するのであれば、同時にネットワークの監視やアクセスの適切な制限などが必要です。多くの場面で、ネットワーク対策として外部からのアクセスを監視/制御するファイアウォールや、オープン系のサーバー、端末といった単位でのアクセスフィルターの設定を実施されているのではないでしょうか。
では、IBM i に対してはどうでしょうか?「IBM i が経路上にあるネットワークについてはセキュリティ対策をされている」というケースは多くとも、「IBM i というサーバー自体ではセキュリティ対策が不十分かもしれない」という方も多いのではないでしょうか。IBM i がOS標準で高度なセキュリティ機能を実装されていることは初回の記事でも触れました。ネットワーク・アクセスへのセキュリティも、OSに備わっている機能を活用して対策できます。
IBM i セキュリティ評価サービスで確認できるレポート項目に、OSの出口点の利用状況が挙げられます。
【IBM i セキュリティ評価サービス:出口点保護・レポートサンプル】
このOS出口点の利用状況・セキュリティ対応状況を確認できたとして、具体的にネットワーク・セキュリティの対策へどのように繋げられるでしょうか?
IBM i でのネットワーク・アクセスへのセキュリティ対策にOSの出口点を活用します。OSの出口点にはユーザー作成の任意プログラムがセットでき、このプログラムによってアクセス・データの取得や、そのデータを基にした制御を可能にします。
ただし、出口点へセットするプログラムの作成には相応のIBM i 技術知識が求められ、さらに出口点の種類はネットワークプロトコル毎に細分化されているため、適切な出口点をピックアップできる知識も必要です。
このようなテクニカルなネットワーク・セキュリティ対策にiSecurity Firewallが活躍します。Firewallはその名の通りに、IBM i のファイアウォール機能、ネットワーク・セキュリティ対策を可能にします。IBM i に対するネットワーク・アクセスについて、Firewallでそのアクセス・ログ取得とアクセス制御を実現できます。
IBM i のネットワーク・セキュリティ対策は、Firewallメニューからの段階的なセキュリティ強度設定で、出口点プログラムのセットと必要要件に適した内容で簡単に実施できます。
【iSecurity Firewall:ネットワーク・アクセスへの段階的セキュリティ設計のイメージ】
下記画面は、上図の①にあたる出口点へのプログラム設定のものです。必要な出口点に対して出口点プログラムをどのような制御内容でセットするか、その制御レベル(ログ取得するが制御なし、プロトコル指定で全アクセスをブロック、特定IP/ユーザー/オブジェクトだけ許可、etc)を指定できます。
【iSecurity Firewall:①出口点へのセキュリティ設定画面サンプル】
上記①でのプログラムによる制御設定と、さらに踏み込んで、IPアドレスやユーザー、オブジェクトを個別に指定した②~④のアクセス制御も対象項目を判りやすく設定できます。
【iSecurity Firewall:②IPアドレスへのセキュリティ設定画面サンプル】
【iSecurity Firewall:③ユーザー・プロファイルへのセキュリティ設定画面サンプル】
【iSecurity Firewall:④オブジェクトへのセキュリティ設定画面サンプル】
加えて、最新版v18.08で新機能の『フリースタイル・ルール』が追加されました。この機能ではQueryライクに制御設定ができるため、より直感的にスムーズな設定が可能です。
【iSecurity Firewall:フリースタイル・ルール設定画面サンプル】
iSecurity Firewallを活用して、より適切で強固なIBM i のネットワーク・セキュリティを実現し、IBM i を安心安全に運用しましょう。