Enterprise Server の機能をすべて使用することは通常ないため、付属の構成で定義されているオブジェクトの多くは不要になります。このようなオブジェクトは、セキュリティを強化するために削除できます。不要な構成を削除すると、攻撃対象領域が縮小し、製品をインストールして付属の構成を確認できる攻撃者に利用される可能性がある情報の量が減少します。
サーバー、リスナー、サービス、ハンドラー
ESCWA を使用してこのような構成オブジェクトを確認し、削除または無効化できます。最初に、エクスポート機能を使用して MFDS リポジトリのバックアップを作成することをお勧めします。
確認すべきオブジェクトは次のとおりです。
CICS リソース定義
Enterprise Server に付属の CICS RDO ファイルには、オプション機能およびデモ用のリソース グループが多数含まれています。このファイル (dfhdrdat) のバックアップを作成してから、不要なグループを削除することをお勧めします。エンタープライズ サーバー リージョンのスタートアップ リストからグループを削除するだけでは、実行中のエンタープライズ サーバー リージョンに攻撃者がリソースを動的にインストールできる可能性があるため、部分的なリスク軽減にしかなりません。
削除を検討する必要があるグループは次のとおりです。
- DFH$ACCT には、CICS ACCT サンプル アプリケーションが含まれています。
- DFH$APCT は、ACCT サンプルの PL/I バージョンです。
- DFH$IMQS には、サンプル IBM MQ アプリケーションが含まれています。
- DFH$IVP には、インストール検証手順 (IVP) のリソースが含まれています。これはオプションであり、Enterprise Server および CICS が機能していることを確認した後は不要になります。
- DFHCDDE、DFHCIPX、DFHNAMP、DHFCNETB は、サポートされなくなった古い通信プロトコルの名残であり、すべての環境で問題なく削除できます。
- DFHCIVP には、CICS 分散プログラム リンク機能をテストするための定義が含まれています。
- DFHCTCP には、CICS リージョン間通信 (CTG/Universal Client) 機能をテストするための定義が含まれています。
- DFHCWI には、サンプル CICS Web インターフェイス (CWI) アプリケーションが含まれています。
- DFHCWS には、サンプル CICS Web サービス (CWS) アプリケーションが含まれています。
- DFHELCG には、Component Generator 機能で使用されるリソースが含まれています。
- DFHEZA には、EZ ソケット機能に必要なリソースが含まれており、この製品機能を使用しない場合は削除できます。
- DFHISC には、CICS システム間通信に必要なリソースが含まれており、この機能を使用しない場合は削除できます。
- DFHMQS には、IBM MQ 接続に必要なリソースが含まれており、この機能を使用しない場合は削除できます。
- DFHPIPE および DFHWEB には、CICS Web サービスに必要なリソースが含まれており、この機能を使用しない場合は削除できます。
- IMSGRP には、CICS-IMS 対話用のサンプル リソースが含まれています。
- MCOASM には、アセンブラー サポート機能を使用するサンプル プログラムが含まれています。
- MCOGROUP には、CICS BMS マップを表示するユーティリティ トランザクションである CMAP トランザクションが含まれています。一般に、これは開発者向けの機能です。
LDAP セキュリティ定義
外部セキュリティ機能 (ESF) および MLDAP ESM モジュール (mldap_esm) で LDAP ベースのセキュリティを使用している場合、および製品に付属の LDIF ファイル (es_default_ldap.ldf など) のいずれかからサンプルのセキュリティ定義をインポートした (またはインポートする予定である) 場合は、要件に無関係なセキュリティ定義や、要件に対して許容範囲が広すぎるセキュリティ定義が多数存在することになります。LDIF ファイルにエクスポートするなど、セキュリティ
ルールをバックアップしてから、必要に応じてルールを削除または編集することをお勧めします。
セキュリティ構成で [Allow unknown resources] オプションを有効にしている場合は、ルールの削除について注意してください。実質的に追加の権限が付与される可能性があります。この場合、ルールを削除するのではなく、すべてのユーザーに対してアクセスを拒否するようにアクセス制御リストを変更してください。
注: [Allow unknown resources] はデフォルトで有効になるオプションではなく、本番環境では使用しないことを強くお勧めします。
削除を検討すべき LDAP 定義は次のとおりです。
- 「デフォルトの資格情報の削除または変更」トピックで説明されているように、付属のユーザー アカウントの定義を削除するか、少なくともパスワードを変更することをお勧めします。付属のユーザー アカウントには、CICSUSER、JESUSER、IMSUSER、mfuser、SYSAD、PLTPISUR、SAFU
があります。特に、デフォルトの管理者アカウント SYSAD およびテスト アカウント SAFU を削除または無効化する必要があります。
- 使用していない付属のユーザー グループはすべて削除できます。たとえば、DEVGROUP および INTERCOM です。定義済みの SYSADM、OPERATOR、および ALLUSER グループは、同様の目的で指定した他のグループに置き換えることができます。
- サンプルの LDAP 定義には、前述のように、削除対象となり得る多数のサンプル アプリケーションおよびその他のリソースのルールが含まれています。それらのセキュリティ ルールを削除することもお勧めします。たとえば、ACCT および「AC」で始まるその他のトランザクション用の
TCICSTRN クラス コンテナー内のルールや、ACCTFIL 用の FCICSFCT コンテナー内のルールが挙げられます。これらのルールを特定する 1 つの方法は、テキスト エディターで es_default_ldap.ldf ファイルを開き、「sample」および「demo」を検索することです。
- 一部の CICS システム トランザクションは環境によっては使用されない場合があり、TCICSTRN クラス コンテナー内のそれらのルールを削除または編集して、それらのトランザクションの実行を防止できます。たとえば、/IMS、CMAP、および
CENV トランザクションのルールがありますが、これらすべてが組織に必要とは限りません。
- 特定のシステム トランザクションは、セキュリティの観点から特にリスクが高く、システム管理者に制限する必要があります。CENV、CPMT、CQIT、CRUN、EZAC トランザクションなどがこれに該当します。また、必要に応じて、CFCR、CFLE、および
CINS などのシステム トランザクションに対する権限を制限してください。
- JES および IMS には、これらの機能を使用していない場合に削除できるルールが多数あります。JES の場合、JESJOBS や JESSPOOL など、「JES」で始まるクラスのルールがこれに該当します。SURROGAT および PHYSFILE
クラスでルールを保持することをお勧めします。IMS の場合、CIMS や TIMS など、「IMS」で終わる名前を持つクラスのルールがこれに該当します。