• 2023-12-21

IBM iのSQL操作をユーザーごとに制御! ~iSecurity Firewall~

先日開催されたiEVO 2023でも紹介があったように、近年のIBM iのSQLはデータベース操作だけでなく、API連携や運用・管理のためにも利用されています。SQLを利用することで、若手技術者への世代交代やIBM i OSコマンドや独自の操作手順の標準化を進めることができ、今後SQLの利用が増えていくでしょう。

その一方で、重要なシステム情報やファイルを誰でもSQLで操作できてしまう危険性もあります。例えばシステムのユーザー情報を取得し、ユーザー名からパスワードを推測できれば、不正にIBM iにアクセスし、操作することもできてしまいます。また、外部からデータベースを操作して、記録されているデータの閲覧や盗難、改ざんなどの被害を受ける可能性もがあます。こうした被害を防ぐために、SQLアクセスを適切な制御が必要です。

しかし、ユーザーやオブジェクトの権限を変更してしまうと、アクセス管理が大変です。 そこでiSecurity Firewallを使用すると、そうした権限を変更することなく、SQLアクセスだけを制御することができます。

今回はFirewallでSQLの操作をユーザーごとに制御してみます。

Firewallのユーザー設定にて、SQL操作を以下のように制御します。

・SQLUSER:SQL文の実行を許可

・FTPUSER:SQL文の実行を拒否

“+”がついている操作のみ許可されます。

SQLUSERでSQLを実行します。

SQLが正常に実行された旨のメッセージが表示され、結果を取得できました。

Firewallのログを確認すると、SQLUSERでSQL実行が許可されていることがわかります。

詳細を確認すると、いつ・誰が・何のSQLを実行したかを確認できます。

今度はFTPUSERで同じSQLを実行します。Firewallの出口点プログラムで拒否された旨のメッセージが表示されました。

Firewallのログを確認すると、FTPUSERでSQL実行が拒否されていることがわかります。

詳細を確認すると、いつ・誰が・何のSQLを実行して拒否されたかを確認できます。

FirewallではSQL以外にも様々なIBM iへの外部アクセスを制御することができます。また、ユーザー以外にもオブジェクトやIPアドレスでも制御が可能です。

IBM iのSQLをより安全に利用するため、iSecurity Firewallをぜひご活用ください!

iSecurity Firewall製品ページはこちら!
iSecurityシリーズについて詳しくはこちら!

  • 製品の紹介資料やチラシはこちら
  • IBM i PORTALの概要はこちら

PAGETOP