すべてのネットワーク通信プロトコルと同様に、ご使用の環境におけるこのリモート・メッセージ・ロギング機能を保護するのに適切なセキュリティー要件を慎重に検討してください。 以下の考慮事項も 検討してください。
この問題の回答に使用できる 1 つのメカニズムは、リモート syslogd インスタンスおよびローカル z/OS® syslogd 全体で IPSec を使用して仮想プライベート・ネットワーク (VPN) をデプロイすることです。 認証ヘッダー (AH) プロトコルを使用して構成される IPSec は、データ保全性、データ発信元認証、およびオプションの再生保護サービスを提供します。syslogd トラフィック用の IPSec をデプロイするには、ローカル z/OS システムと、メッセージを転送する syslogd インスタンスのリモート・ホストの両方で構成が必要です。 z/OS 側では、これは、IP セキュリティー・ポリシーを定義することによって実行されます。この IP セキュリティー・ポリシーでは、全リモート・ホスト (ポート 514 のローカル syslogd に UDP トラフィックを送信可能なリモート・ホスト) が指定されたフィルター規則を指定します。この場合、このトラフィックの IPSec 属性を定義する IPSec アクションも一緒に指定します。 ローカル UDP ポート 514 宛の UDP データグラムが受信され、IP セキュリティー・ポリシーと一致しない場合は、ローカル TCP/IP スタックによって廃棄されるように、IPSec ポリシーを定義できます。 これにより、syslogd に対するサービス妨害攻撃からの保護レベルが追加されます。これは、無許可のメッセージは、syslogd がそれらを処理することなく廃棄されるからです。
IPSec カプセル化セキュリティー・ペイロード (ESP) プロトコルを使用して、データの機密性 (暗号化) を提供できます。 ESP プロトコルは、AH プロトコルと同じ一部機能 (データ保全性、データ発信元認証、再生保護など) にも使用可能であることに注意してください。
明らかに、リモート syslogd ロギングのデプロイに関するセキュリティー上の考慮事項は、ご使用のローカル環境およびご使用のローカル・セキュリティー・ポリシーによって異なります。 IPSec 用の z/OS 構成について詳しくは、IP セキュリティーの使用方法の概要を参照してください。 リモート・ホストでの IPSec の構成について詳しくは、そのプラットフォームの資料を参照してください。