変更の始まり

権限収集データの分析

権限収集データを分析して、アプリケーション内のオブジェクトの保護に役立てることができます。

QSYS2.AUTHORITY_COLLECTION ビューによって DETAILED_REQUIRED_AUTHORITY フィールドで返される詳細必要権限値は、機密保護管理者やアプリケーション所有者がオブジェクトの保護を適切に行うために役立つように提供される重要な情報です。詳細必要権限値は、システムでオブジェクトに対する権限検査に合格するために必要となる権限を表します。特定のオブジェクトのすべての権限収集項目から得られる詳細必要権限値を分析することによって、アプリケーションの正常な実行が可能になるようにオブジェクトに付与できる最小権限レベルを決定することができます。

あるオブジェクトについてその権限収集項目を生成するためには、アプリケーション内のすべてのコード・パスを考慮してアプリケーションを完了まで実行する必要があります。 例えば、アプリケーションが四半期末や年度末のための特殊な処理を行うものである場合は、アプリケーション内の通常の実行時処理だけでなく、これらのコード・パスも考慮しなければなりません。 権限収集項目が生成されると、権限収集から得られた詳細必要権限値によって、ユーザーがアプリケーションを正常に実行するために必要とする権限が決まります。 すべての権限収集項目から得られた詳細必要権限値がユーザーの現行権限より下である場合は、その権限を可能な限り低い値に設定し、かつオブジェクトの保護を最適化するために、このユーザー (またはグループあるいは *PUBLIC) に対する過剰な権限を取り消すことができます。

QSYS2.AUTHORITY_COLLECTION ビューによって返される 2 つの権限収集値 DETAILED_CURRENT_AUTHORITYDETAILED_CURRENT_ADOPTED_AUTHORITY は、権限検査の時点でジョブ内で使用可能な権限値を提供します。 ジョブ内で使用可能な権限は、ユーザーの権限、グループ・ユーザー・プロファイルから得られた権限、共通権限、およびジョブ内で現在実行中のプログラムやサービス・プログラムの所有者から得られた借用権限から生じたものです。 ビューによって返された AUTHORITY_SOURCE および ADOPTED_AUTHORITY_SOURCE 値は、収集されて各権限収集項目に記録される権限検査データに対して使用される権限のソースを示します。

変更の終わり