概要
IBM Power Systems Virtual Server(以降、Power Virtual Server)環境で、以下のセキュリティ製品の導入および稼働検証を実施いたしました。
- iSecurity
- Assure Encryption
- SAVi
背景・課題
Power Virtual Server環境において、以下のセキュリティ製品が正常に導入および動作するか、パフォーマンスに問題ないか、などを検証する必要があり実施いたしました。
- iSecurity
- Assure Encryption
- SAVi
製品概要
iSecurity
iSecurityは、IBM iのセキュリティ機能を総合的に補完・強化する製品です。検証した各モジュールの概要は以下の通りです。
◆ Firewall
Firewallは、FTPやTELNET、ODBC/JDBCなどのネットワークのアクセスをログに記録します。それらのアクセスを特定のIPやユーザーに制限することができ、さらにアクセスするファイルの制限を加えることもできます。
ネットワークアクセスはログに記録され、制御結果(許可・拒否)を確認することも可能です。
◆ Audit
オブジェクトの操作やシステムの変更など、システム内部で発生したイベントをリアルタイムにログに記録します。いつ・誰が・何をしたかなど、イベントを分かりやすく表示することができます。また、取得したログから「システムのサインオン/ サインオフの履歴」、「高権限ユーザーの操作履歴」など様々な観点のレポートを作成することができます。
◆ AP-Journal
データベースのレコードレベルの変更履歴を管理する製品です。フィールド・トラッキングや監視を行い、誰が・いつ・どのデータベースをどのように変更したかを記録します。また、変更履歴のほか、読取りの監視も行うことができるので、誰がどのように変更したかのほか、誰が見たまで記録することができます。
◆ Capture
ユーザーがシステムのサインオン画面からサインオンしてからサインオフするまでの操作(画面遷移)を全て記録します。対象のユーザーが実行キーや操作キーを押下したタイミングで画面取得が行われます。ログには画面に入力された値、コマンドなども記録されているため、ユーザーが実際に行った操作を視覚的に捉えることができます。
◆ Screen
放置されたセッションを自動でパスワードロックをかける5250エミュレーター用スクリーンセーバーです。一定期間操作を行わない場合に、画面をブラックアウトさせたり、自動的にサインオフさせることも可能です。ロックはサインオン中のパスワードを入力することで解除ができます。
◆ Password
専用のパスワード辞書を使用して、ユーザーが変更しようとしたパスワードの妥当性チェックを行います。専用のパスワード辞書を使用することで、簡単に推測されないパスワードを作成することができます。また、システム全体のパスワード・ポリシーを設定・一括管理することができます。
◆ Command
コマンドを特定のユーザーの実行に限定したり、パラメータの指定方法、パラメータの置き換えを行います。コマンドを使用する前に警告メッセージの表示や、パスワード入力をさせる設定なども可能です。
◆ Authority on Demand
権限を持たないユーザーへ一時的な権限付与を行います。
◆ Password Reset
エンドユーザーがサインオン時のユーザープロファイルのパスワードを忘れてしまった場合や、パスワード間違いによるサインオン失敗でユーザープロファイルが無効になった場合に、ヘルプデスクに代わってPassword Resetがシステマティックに対応します。
◆ iSecurity GUI
各モジュールの設定をGUI画面で行うことができます。また、サブシステムの起動やログ参照も可能です。
Assure Encryption
セキュリティ性の最も高い米国標準規格の暗号化方式である「AES256bit」に対応して、IBM i のデータを暗号化/復号化するためのソリューションです。メニュー選択もしくはコマンド操作による簡易なユーザーインターフェースにより、テープ媒体への保管時やファイル転送時の暗号化、転送先での復号化に対応し、データ交換やファイル転送時のデータ漏洩リスクを防止します。クレジットカード業界の国際標準であるPCIDSS要件に対応しています。
ファイル単位で暗号化/復号化
【製品の特長】
- Field Procedure機能を利用した暗号化/復号化
-
- 物理ファイルのフィールド単位で、暗号化/復号化のプログラムをセットします。
- 暗号化/復号化のプログラム(プロシージャ)を自動作成します。
- DFUやQUERY、外部からのSQLアクセスなどでも暗号化/復号化に対応します。
- データのマスキングなどのユーザーごとのコントロールが可能です。
- コマンド選択/メニュー操作による暗号化
-
- メニュー選択もしくはコマンド操作によって、Db2ファイル、IFS上のファイル、保管ファイルなどファイル単位の暗号化/復号化処理が可能です。
- スプールファイルの暗号化とアーカイブ
-
- ジョブ名、ユーザー名、スプールファイル名などで識別し、暗号化とアーカイブ化をサポートします。
- 暗号化されたアーカイブの閲覧や再印刷処理が可能です。
SAVi
IBM i 上のファイルのウイルス・チェックを行い、IBM i のセキュリティを高める製品です。オープン/クローズ操作が実施された際にリアルタイムで自動スキャンを行うリアルタイムスキャンと、5250画面から対話ジョブ/バッチジョブでスキャンを行うフルスキャンの2つの方法で、IBM i のIFS領域のウイルス有無をチェック・記録します。
構成内容
使用した機器の仕様は以下の通りです。
◆ Power Virtual Server
- データセンター:東京04
- マシン:S922
- OS:V7R4
- ディスク容量:180GB
- メモリ:8GB
- コア数:0.25
- 一次言語:2962(日本語)
- QCCSID:5035
検証内容
iSecurity
◆ Firewall
- 製品導入が正常に終了することを確認
- ネットワークアクセス制御ができることを確認
- ネットワークアクセスログが取得できることを確認
◆ Audit
- 製品導入が正常に終了することを確認
- システム内部イベントログが取得できることを確認
- ジョブやメッセージ待ち行列を監視してメッセージを送信できることを確認
◆ AP-Journal
- 製品導入が正常に終了することを確認
- データベース更新履歴が取得できることを確認
◆ Capture
- 製品導入が正常に終了することを確認
- ユーザーの操作ログが取得できることを確認
◆ Screen
- 製品導入が正常に終了することを確認
- ユーザー/端末ごとに設定した時間にロック、サインオフされることを確認
◆ Password
- 製品導入が正常に終了することを確認
- パスワード妥当検査ができることを確認
◆ Command
- 製品導入が正常に終了することを確認
- コマンド実行の制御ができることを確認
◆ Authority on Demand
- 製品導入が正常に終了することを確認
- ユーザーに権限を付与できることを確認
◆ Password Reset
- 製品導入が正常に終了することを確認
- ユーザーパスワードをリセットできることを確認
◆ iSecurity GUI
- 製品導入が正常に終了することを確認
- 各モジュールの設定、ログ表示やサブシステム起動ができることを確認
Assure Encryption
- 製品の導入が正常完了することを確認
- 製品主要機能が正常稼働することを確認
SAVi
- 製品導入が正常に終了することを確認
- ディレクトリ、CDでのウイルス定義の更新が正常に終了することを確認
- フルスキャン実施時、ウイルスが検知され、ウイルスファイルが隔離されることを確認
- リアルタイムスキャン時、ウイルスが検知され、ウイルスファイルを参照できないことを確認
- スキャン結果がログファイルに記録されることを確認
検証結果
| 製品 | 検証日 | 導入結果 | 検証結果 | 備考 |
|---|---|---|---|---|
| Firewall | 2021/03/24 | 正常終了 | 正常終了 | 製品導入および設定を行い、主要機能の稼働検証を実施し、問題ないことを確認 |
| Audit | 2021/03/29 | 正常終了 | 正常終了 | 製品導入および設定を行い、主要機能の稼働検証を実施し、問題ないことを確認 |
| AP-Journal | 2021/03/23 | 正常終了 | 正常終了 | 製品導入および設定を行い、主要機能の稼働検証を実施し、問題ないことを確認 |
| Capture | 2021/03/23 | 正常終了 | 正常終了 | 製品導入および設定を行い、主要機能の稼働検証を実施し、問題ないことを確認 |
| Screen | 2021/03/23 | 正常終了 | 正常終了 | 製品導入および設定を行い、主要機能の稼働検証を実施し、問題ないことを確認 |
| Password | 2021/03/23 | 正常終了 | 正常終了 | 製品導入および設定を行い、主要機能の稼働検証を実施し、問題ないことを確認 |
| Command | 2021/03/23 | 正常終了 | 正常終了 | 製品導入および設定を行い、主要機能の稼働検証を実施し、問題ないことを確認 |
| Authority on Demand | 2021/03/24 | 正常終了 | 正常終了 | 製品導入および設定を行い、主要機能の稼働検証を実施し、問題ないことを確認 |
| Password Reset | 2021/03/29 | 正常終了 | 正常終了 | 製品導入および設定を行い、主要機能の稼働検証を実施し、問題ないことを確認 |
| iSecurity GUI | 2021/03/24 | 正常終了 | 正常終了 | 製品導入および設定を行い、主要機能の稼働検証を実施し、問題ないことを確認 |
| Assure Encryption | 2021/03/26 | 正常終了 | 正常終了 | 製品導入、主要機能の稼働検証を実施し問題ないことを確認 導入において、オンプレミス環境と比較し時間がかかった |
| SAVi | 2021/03/29 | 正常終了 | 正常終了 | SAVi導入およびウイルススキャン機能の稼働検証を実施で問題なし |
所感
Power Virtual Server環境においてセキュリティ製品が使用できることが確認できました。
iSecurity
Power Virtual Serverで検証した結果、オンプレミス環境と同様に問題なく稼働することが分かりました。
Firewallのアクセスを検知してメールを送信するといったモジュール間の連携も、正常に動作することを確認しました。
インストールでは、クラウド環境のため光ディスクドライブが使用できないので、仮想光ディスク装置を使用してインストールを行います。
インストールモジュールのアップロードには、通常FTPを使用しますが、FTPを使用できないSSH接続環境でも統合ファイルシステムからモジュールをアップロードすることでインストールすることできました。
Assure Encryption
パフォーマンスには影響は見られませんでしたが、IFS上のストリームファイルの実行による製品インストール作業において、類似スペックの弊社オンプレミス環境と比較すると時間がかかったため、ご利用いただく際は今回検証した構成より上のスペックを推奨いたします。
SAVi
リアルタイムスキャン・フルスキャンともに、オンプレミス環境と同様に問題なく稼働することを確認しました。
ログ出力やウイルス定義更新も正常に動作することを確認しました。
インストールモジュールのアップロードには、FTPを使用するため、VPN接続が必要です。SSH接続の場合はFTPを使用できないため、統合ファイルシステムからモジュールをアップロードする必要があります。
また、クラウド環境のため光ディスクドライブが使用できないので、仮想光ディスク装置を使用してインストールを行います。
イグアスより
Power Virtual Server環境では通常英語環境(一次言語:2924)で提供されますが、弊社では日本語環境(一次言語:2962)で提供し、ネットワークは「プライベート・ネットワーク接続環境」にて検証していただくことができました。
三和コムテック様のセキュリティ製品の検証結果を元にして、多くのIBM i ユーザー様に安心してご利用いただければと存じます。