システム運用時のオペレーションを特定ユーザーに制限！ ～iSecurity Command～

■IBM iのセキュリティー・レベル20の廃止に伴う必要な対処

---

IBM iのセキュリティー・レベル20が廃止となりました。推奨されるセキュリティー・レベル40への切り替え時の対処項目の1つとして、「データ保管や復元が実行できるシステム運用ユーザーの特定や権限の確認・見直し・制御が必要」となる要件があると考えられます。操作を特定のユーザーに制限することで、不正な操作やミスを防止することができます。

しかし、操作ごとのユーザー権限割り当てや、権限の確認・見直しは多大な労力を要します。iSecurity Commandは、コマンドを制御し、データのバックアップ・復元などのオペレーションを特定のユーザーに限定することができます。

■iSecurity Commandでの制御例

---

iSecurity Commandでデータのバックアップオペレーションで使用するSAVLIBコマンドの実行をユーザーとパラメータレベルで制御してみます。

【制御内容】

---

●　システム管理ユーザー(OPR01)はSAVLIBコマンドを許可
●　一般ユーザー(TESTUSER)は自身のデータライブラリ(TESTLIB)以外のSAVLIBコマンドを拒否

【制御設定】

---

①制御コマンド設定
制御するコマンドを登録します。今回はSAVLIBコマンドを登録します。

②コマンド実行時のアクション設定
コマンド実行時のアクションを設定します。Yであれば許可、Wは警告画面表示、Pはパスワード入力画面表示、Nは拒否です。

③コマンド制御条件設定
コマンドを制御する条件を指定します。コマンド実行 Y の1つ目の条件は、以下を入力します。
条件：Parameter – Job User, TEST – EQ, VALUE – OPR01
意味：ユーザーOPR01のコマンド実行を制御する

コマンド実行 Y の2つ目の条件は、以下を入力します。
条件：Parameter – C_USER, TEST – EQ, VALUE – TESTUSER
　　　Parameter – LIB, TEST – EQ, VALUE – TESTLIB
意味：ユーザーTESTUSERがLIBパラメータにTESTLIBを指定した場合のコマンド実行を制御する

④コマンド制御設定有効化
登録したコマンド制御設定を有効化します。StatusがActiveであれば制御が有効な状態です。

【結果】

---

ユーザーOPR01でSAVLIBコマンドを実行すると、正常に保管されたことが確認できます。

ユーザーTESTUSERで同じコマンドを実行すると、拒否されました。

ユーザーTESTUSERでSAVLIBコマンドのパラメータ：LIBをTESTLIBに変更して実行すると、許可されました。

このように、iSecurity Commandではコマンドを制御でき、ユーザー以外にも様々な条件を指定して要件にあった柔軟な制御が可能です。iSecurity Commandを活用し、ユーザーのコマンド制御でセキュリティを高めましょう！