IBM i World 2024|6/21(金)、7/23(火)
2024-04-26- 2023-12-21
IBM iのSQL操作をユーザーごとに制御! ~iSecurity Firewall~
先日開催されたiEVO 2023でも紹介があったように、近年のIBM iのSQLはデータベース操作だけでなく、API連携や運用・管理のためにも利用されています。SQLを利用することで、若手技術者への世代交代やIBM i OSコマンドや独自の操作手順の標準化を進めることができ、今後SQLの利用が増えていくでしょう。
その一方で、重要なシステム情報やファイルを誰でもSQLで操作できてしまう危険性もあります。例えばシステムのユーザー情報を取得し、ユーザー名からパスワードを推測できれば、不正にIBM iにアクセスし、操作することもできてしまいます。また、外部からデータベースを操作して、記録されているデータの閲覧や盗難、改ざんなどの被害を受ける可能性もがあます。こうした被害を防ぐために、SQLアクセスを適切な制御が必要です。
しかし、ユーザーやオブジェクトの権限を変更してしまうと、アクセス管理が大変です。 そこでiSecurity Firewallを使用すると、そうした権限を変更することなく、SQLアクセスだけを制御することができます。
今回はFirewallでSQLの操作をユーザーごとに制御してみます。
Firewallのユーザー設定にて、SQL操作を以下のように制御します。
・SQLUSER:SQL文の実行を許可
・FTPUSER:SQL文の実行を拒否
“+”がついている操作のみ許可されます。
SQLUSERでSQLを実行します。
SQLが正常に実行された旨のメッセージが表示され、結果を取得できました。
Firewallのログを確認すると、SQLUSERでSQL実行が許可されていることがわかります。
詳細を確認すると、いつ・誰が・何のSQLを実行したかを確認できます。
今度はFTPUSERで同じSQLを実行します。Firewallの出口点プログラムで拒否された旨のメッセージが表示されました。
Firewallのログを確認すると、FTPUSERでSQL実行が拒否されていることがわかります。
詳細を確認すると、いつ・誰が・何のSQLを実行して拒否されたかを確認できます。
FirewallではSQL以外にも様々なIBM iへの外部アクセスを制御することができます。また、ユーザー以外にもオブジェクトやIPアドレスでも制御が可能です。
IBM iのSQLをより安全に利用するため、iSecurity Firewallをぜひご活用ください!
