IBM i のセキュリティー監査
この節では、システム上でのセキュリティーの効率を監査する手法を説明します。
システムのセキュリティーを監査する必要があるのは、
以下のようないくつかの理由のためです。
- セキュリティー計画が完全かどうかを評価する。
- 計画されたセキュリティー管理が適切で機能していることを 確認する。 このタイプの監査は、日次セキュリティーの一環として、 機密保護担当者により実行されます。さらに、内部または外部監査担当者により、定期的な セキュリティーの検討の一部として、より詳細に実行されることもあります。
- システム環境の変更にシステム・セキュリティーが対応して
いるかどうかを確認する。セキュリティーに影響を与える変化の例を以下に示します。
- システム・ユーザーが作成した新しいオブジェクト
- システムに入ることを許された新しいユーザー
- オブジェクト所有権の変更 (権限の調整なし)
- 責任の変更 (ユーザー・グループの変更あり)
- 一時的な権限 (適時での取り消しなし)
- 新しいプロダクトの導入
- 新しいアプリケーションの導入、より高いセキュリティー・レベルへの移動、 通信ネットワークの設定など、将来の事象に備える。
この節で説明されている手法は、これらのすべての状況において 適切です。監査する対象とそれを行う頻度とは、会社組織のサイズ およびセキュリティーの必要に応じて異なります。この節の目的は、使用可能な情報、それを入手する方法、 およびそれが必要な理由を説明することであり、監査の頻度に ついての指針を与えるというものではありません。
この節は以下の 3 つの部分から構成されています。
- 計画されて監査されるセキュリティー項目のチェックリスト
- システムにより提供される監査ジャーナルの設定と使用についての情報
- システム上にセキュリティー情報を集めるために使用可能なその他の手法
セキュリティー監査には、IBM® i 環境でのコマンドの使用と、 システム上のログおよびジャーナル情報へのアクセスが含まれます。システムのセキュリティー監査を行う担当者が使用するための、 特殊なプロファイルを作成することができます。 システムの監査特性を変更できるようにするためには、 監査プロファイルに *AUDIT 特殊権限が必要です。 この節で推奨している監査タスクの中には、*ALLOBJ および *SECADM 特殊権限のあるユーザー・プロファイルを 必要とするものがあります。 監査期間の終了時に、監査プロファイルに忘れずに *NONE のパスワードを設定してください。