製品のインストールおよびデフォルト設定でのセキュリティの構成によって有効になるセキュリティ制御以外に、追加のセキュリティ制御を有効にして、エンタープライズ サーバー リージョンのセキュリティを強化できます。
ESF リソース クラス
Enterprise Server に付属のデフォルトのセキュリティ構成では定義されていないオプションのリソース クラスがいくつかあります。これらのクラスを定義し、適切なリソース アクセス制御ルールをインストールすると、セキュリティが大幅に向上します。
本トピックでは、外部セキュリティ機能 (ESF) が構成されており、MLDAP ESM モジュールを使用するセキュリティ マネージャーがリソース アクセス制御に使用されていることを前提としています。
外部セキュリティ マネージャーで追加のリソース クラスを指定する方法の詳細については、製品ヘルプを参照してください。
- PHYSFILE
- PHYSFILE リソース クラスは、JCL データ セットとして使用できる OS ファイルを制限します。
重要: JES を使用するエンタープライズ サーバー リージョンにはこのクラスを指定する必要があります。指定しないと、任意の JCL を送信できるすべてのユーザーが、カタログ エントリまたは PCDSN を使用してデータ セットを適切に定義するだけで、エンタープライズ サーバー リージョンの実行に使用されているアカウントの権限で、サーバー システム上のすべてのファイルを操作できるようになります。
PHYSFILE クラスでは、ルールで適切なアクセス レベルのパスを 1 つ以上許可し (通常、新しいデータ セットを作成するためのフル アクセス権を持つパスを少なくとも 1 つ、場合によっては読み取り専用アクセス権を持つパスをいくつか許可する)、** という名前のルールを使用してその他のパスを拒否する必要があります。
- Communications Server
- Communications Server クラスは、各エンタープライズ サーバー リージョンに関連付けられた通信サーバー プロセスの管理機能へのアクセスを制限するために使用されます。これらの機能を制限すると、主に攻撃者が利用できる情報が減るため、セキュリティが向上します。詳細については、製品ヘルプの「通信サーバーのリソース クラス」を参照してください。
- AdminAPI
- このクラスを使用すると、外部セキュリティ機能の管理 API へのアクセスを制限できます。管理 API を使用してセキュリティ データを更新していない場合、適切なルール セットは次のようになります。
LIST*: allow:*:read
*: deny:*:all
これにより、Enterprise Server の一部の機能で内部的に使用される LIST 関数のみが許可されます。
CICS トランザクションのセキュリティ チェック
CICS トランザクション プログラムが実行されている場合、CICS サブシステムによって行われるセキュリティ チェックは、そのトランザクションの CICS PCT エントリにおける 2 つの設定の影響を受けます。
- リソース レベル セキュリティ (RLS)
- このオプションは、EXEC CICS 文で指定された CICS リソース (ファイル、キューなど) に対してアクセス チェックを行うかどうかを制御します。
- コマンド セキュリティ (Cmd)
- このオプションは、プログラムが EXEC CICS INQUIRE などの CICS システム API のいずれかを使用しようとした場合にアクセス チェックを行うかどうかを制御します。
CICS トランザクション定義でこれらのオプションを有効にすると、セキュリティが向上します。