2024-02-01

システム運用時のオペレーションを特定ユーザーに制限！～iSecurity Command～

■IBM iのセキュリティー・レベル20の廃止に伴う必要な対処

IBM iのセキュリティー・レベル20が廃止となりました。推奨されるセキュリティー・レベル40への切り替え時の対処項目の1つとして、「データ保管や復元が実行できるシステム運用ユーザーの特定や権限の確認・見直し・制御が必要」となる要件があると考えられます。操作を特定のユーザーに制限することで、不正な操作やミスを防止することができます。

しかし、操作ごとのユーザー権限割り当てや、権限の確認・見直しは多大な労力を要します。iSecurity Commandは、コマンドを制御し、データのバックアップ・復元などのオペレーションを特定のユーザーに限定することができます。

■iSecurity Commandでの制御例

iSecurity Commandでデータのバックアップオペレーションで使用するSAVLIBコマンドの実行をユーザーとパラメータレベルで制御してみます。

【制御内容】

●　システム管理ユーザー(OPR01)はSAVLIBコマンドを許可
●　一般ユーザー(TESTUSER)は自身のデータライブラリ(TESTLIB)以外のSAVLIBコマンドを拒否

【制御設定】

①制御コマンド設定
制御するコマンドを登録します。今回はSAVLIBコマンドを登録します。

②コマンド実行時のアクション設定
コマンド実行時のアクションを設定します。Yであれば許可、Wは警告画面表示、Pはパスワード入力画面表示、Nは拒否です。

③コマンド制御条件設定
コマンドを制御する条件を指定します。コマンド実行 Y の1つ目の条件は、以下を入力します。
条件：Parameter – Job User, TEST – EQ, VALUE – OPR01
意味：ユーザーOPR01のコマンド実行を制御する

コマンド実行 Y の2つ目の条件は、以下を入力します。
条件：Parameter – C_USER, TEST – EQ, VALUE – TESTUSER
　　　Parameter – LIB, TEST – EQ, VALUE – TESTLIB
意味：ユーザーTESTUSERがLIBパラメータにTESTLIBを指定した場合のコマンド実行を制御する