外部アクセスを柔軟に制御するiSecurityのモジュール

Firewall​

現在の企業でファイアウォールを設置していない企業は、まずありません。インターネットから企業内部へ侵入しようとする不正アクセスをシャットアウトするための必須といえる機構です。しかしながら近年はサイバー攻撃が巧妙かつ高度になり、従来からのファイアウォールでは防御し得ないものがたくさん出てきています。そこで最近は、“次世代型”と呼ばれるアプリケーション層まで制御可能なファイアウォールも登場しています。

ただし、企業の基幹システムや重要システムの脅威となる不正アクセスや不正利用は、ファイアウォールの外側からが全体の15%、ファイアウォールの内側、すなわち企業内部のネットワーク上からのアクセスが85%を占めています。つまり、従来からのファイアウォールだけに頼る防御策では十分ではなくなっているのです。

一方、IBM iにはOSの機能として高度なセキュリティ機能が装備されています。これを活用すれば、IBM iへの外部からの不正なアクセスや不正利用をかなりのレベルでシャットアウトすることができます。「IBM iは堅牢なシステム」と言われるゆえんです。

ところが、難点が1つあります。IBM iのOS機能を使ってIBM iシステムへの不正アクセスや不正利用を防御する設定を行うには、IBM iのOSに関する高度な知識と習熟したスキルが必要だからです。その設定が高度で煩雑であるために、「IBM iは堅牢なシステムではない、堅牢にすることが可能なシステムである」という言い方もされているほどです。

iSecurityは、IBM iを堅牢なシステムとするための多種多様な機能を提供しています。そしてその特徴は、設定が簡単であること、共通のルック&フィールで設定操作が行えること、内部監査に対応可能なセキュリティを実現していること、の3つです。

iSecurityのFirewall機能(以下、Firewall)は、IBM i上で稼働し、IBM iのアプリケーションやプログラムへの不正なアクセスや不正利用を防御する機能を提供します。つまり、企業内部からの不正アクセスや不正利用への強力な防御機能となるのです。

 

 

Firewallでは、不正アクセスや不正利用からIBM iを階層的に防御する仕組みを備えています。各階層で出口点プログラムを参照し、アクセスの可否を判定する仕組みです。

 

 

IBM iのアプリケーション/プログラムへのアクセスがあった時、最初の階層では、出口点プログラム自体へのアクセスが許可されているかどうかを確認します(上図の)。

そしてそれが受け入れられると、次にアクセスを要求している端末のIPアドレス(またはSNAシステム名)が正当かどうかの判定へと進みます()。

❷が正当である場合、次にアクセスしてきたユーザー(グループ)がアクセスを許可されている正当なユーザーかどうかを確認します(❸)。

そして最後に、IBM i上のIFSまたはオブジェクトへのアクセスが許可されているかどうかを判定して、許可されている場合、アクセスが可能になります(❹)。

 

 

Firewallでは、❶~❹をきめ細かく、かつ簡単に設定できます。いくつか設定画面を見てみましょう。

 

 

Firewallのメインメニュー画面です。左上の「基本設定」で❶~❹を設定できます。

 

 

サーバー設定のメインメニュー画面です。

 

 

サーバー設定の画面です。「出口点プログラム」設定の有無、「制御内容」などを設定します。画面にあるように、項目の番号を選択するだけで設定を進めることができます。

 

便利で賢い3つの機能

図表7の左側に、上から順に「フリースタイルルール」「Action」「シミュレーションモード」とあるのにお気づきでしょうか。この3つの機能は、Firewallをさらに便利に賢く活用するための機能です。

 

フリースタイルルール

フリースタイルルールは2019年に発表された新しい機能です。従来のFirewallでは階層別に階層を追ってセキュリティを設定していましたが、フリースタイルルールを利用すると、アクセスの対象となるオブジェクトやIFSにフィルターをかけ、一挙に各種設定が行えます。1つの画面で柔軟に設定できるため、設定作業がさらに効率的に行えるようになりました。

 

 

Action

Actionは、Firewallが違反を検知した時に、それを通知するためのメールを起動したりメッセージを発報できる機能です。違反や不正への迅速な対応が可能になります。

 

シミュレーションモード

シミュレーションモードは、Firewallで各種設定をした後に、その動作や機能を確認するための仮運用モードの機能です。セキュリティの設定をして、それをただちに本番稼働させた場合、設定のミスによって正当な権限を持つユーザーがアクセスできなくなり、業務に支障がきたすようなことがあるかもしれません。シミュレーションモードはそれを避けるための機能で、このモードを使うと、ユーザーは設定以前の状態のままシステムを利用でき、システム管理者は設定の正否を確認できます。そして設定に問題がないことを確認した後に、シミュレーションモードを解除することによって、本番へと移行できます。Firewallをご利用になる大半のお客様が利用しています。

 

 セキュリティ製品