Vanguardの最新情報はBROAD Security Squareをご覧ください。

VANGUARD EnforcerTM

z/OSセキュリティとインテグリティのモニタリング

セキュリティとインテグリティモニタである VANGUARD Enforcer は、セキュリティの専門家が定義した有効な標準、ポリシ、ルール、設定を維持し、メインフレーム上のクリティカルなデータやその他の資源を24時間保護します。VANGUARD Enforcer を使うことによって、メインフレームに導入したセキュリティがクリティカルな資源を効果的に保護しているかどうかを心配する必要がなくなります。この技術によって、メインフレーム・システムのセキュリティは、「最良の方策」の標準と各社独自のセキュリティ・ポリシを継続的に維持します。

VANGUARD Enforcer は、クリティカルなシステムやデータを約10年間にわたり精力的に保護してきた技術ですが、これまで商用としてメインフレーム市場には出荷されていませんでした。VANGUARD Enforcer 技術は、そもそもNASA(米国航空宇宙局)の独自のニーズに対して開発されたものです。その目的は、容赦のない荒涼とした宇宙空間で人間の命を維持するために重要なシステムやデータを保護するというものです。Enforcer は、NASAが保護するシステムのセキュリティで最高レベルを維持していると評価されています。VANGUARD では、この充分に実証されたソフトウェア・システムを、現状打破の画期的製品として企業ユーザに初めて提供することを喜ばしく思っています。

VANGUARD Enforcer の設計は、現実のニーズと現在のメインフレーム界における厳密なセキュリティへの需要に基づいています。現在のメインフレーム界では、インターネット・ビジネスと分散コンピューティング戦略で再台頭してきたメインフレームが中心的な役割を果たしています。

 

システムへの衝撃

 

長年にわたるメインフレームの従来のセキュリティに慣れ親しんできた企業とITの管理者は、ここ10年でその質が著しく低下している現実に気付き愕然としました。この質の低下は、分散したインターネット・コンピューティングへの移行に伴い、メインフレーム・コンピュータは時代遅れで使われなくなるという一般的な見解に端を発しています。管理者が技術革新に焦点をあて、メインフレームのセキュリティには力を注がなくなったのです。

しかし、現在z/OSメインフレーム・システムは、まだ、ミッション・クリティカルな情報処理で大きな部分を占め、エンタープライズ・コンピューティングにおいて、重要な役割を果たしています。メインフレームのセキュリティに対する新たな需要は、セキュリティの方法や資源の停滞状態と合わせて、メインフレームのセキュリティ管理の従来のツールより大きくなっています。従来のツールでは全く対応できなくなっているのです。

VANGUARDEnforcer は、セキュリティの脆弱な部分を自動的にスキャンするプロセス駆動型の24時間先手を打った予防措置を自動化することで、資産保護とポリシ強化を実現します。

 

リスクを迅速に識別する強力なツール

 

z/OSメインフレームのシステムとSecurity Server環境のリスク管理で重要な部分は、モニタリングとイベントのログの分析です。ハッカーの侵入、資源の誤用、保護されているものに対する未許可の変更を見分ける事に失敗すると、企業に膨大な損失を与える致命的な結果を招くことがあります。既存のセキュリティ・リスクと新しいリスクを識別することは、ほんの始まりにすぎません。問題の真の特性と重要性を明確にし、致命的な結果を回避するためにそれを排除する能力が必要なのです。

先手を打った予防的なツールを提供できるのは、VANGUARDだけです。このツールは、z/OSシステムを継続的にモニタし、監査結果を自動的にポリシや品質のベースラインと比較し、重要なセキュリティ関連のイベントやトランザクションを傍受し、相違や違反についての通知を発行し、必要があれば対策を講じます。このような予防的なツールは、分析ツールによってサポートされています。ユーザはその分析ツールによって必要な情報を収集し、問題を識別し、発行し、その重要性を認識し、その重要度を説明し、識別されたリスクを排除することができます。

 

リスクの軽減

 

現在のz/OSシステムは、世界に広がるインターネット商取引のスーパー・サーバになってきています。インターネットと電子商取引によって、許可を受けたユーザ数は増加し、セキュリティ・システムとセキュリティ・プロセスを圧倒し、時には情報やシステムに対する最大の脅威は、恐ろしい外部ハッカーによるものではなく、悪気がない倫理的な許可ユーザによるエラーや不作為、または悪意を持った非倫理的な許可ユーザによる意図的な行為によるものです。悪意を持った行為であれ、善意の誤りであっても、許可ユーザの増加は、セキュリティに対するリスクが高まることを意味します。

エンタープライズのメインフレーム・システムとクリティカルなデータを、危険にさらすこと、妨害、開示、公然とした盗難から守るために、z/OS環境の現状を把握している必要があります。z/OSセキュリティにおける些細な故障でさえ、企業に膨大な損失を与えかねないからです。

現状では、メインフレームの脆弱さがますます露呈し、効果的なセキュリティ対応能力が低下しています。そして、メインフレームのセキュリティとシステムの統合性を保証するために使われてきた従来のソフトウェア・ツールでは対応できなくなってきています。かつては高品質で厳格な情報セキュリティという決まり文句が使われていたメインフレームのセキュリティは、過去の産物となりつつあります。企業はメインフレームのセキュリティ・ポリシと技術をどこよりも積極的に刷新する必要があります。さもなければ、役員会や裁判所でも許容できない高レベルのリスクを伴うことになります。

 

最高の方策を保証

 

「最高の方策」をたてるために、IT専門家は、セキュリティを向上させ既存の作業負荷を増やすことなく高まるリスク・レベルを管理する方法をみつけなければなりません。これは理想としては、これまでの労働集約型のタスクを自動化することによって、達成できます。過去に行われてきたようなやり方で、アクセスとセキュリティ機能を管理するだけでは不十分になってきました。環境は複雑になりすぎ、急速に変化しています。従来のモニタリング、評価、制御手段が有効に機能するには、ユーザ数とトランザクション数も増えすぎています。動的で予防的な自動ソリューションが必要です。

企業のITセキュリティ専門家は、セキュリティ・ポリシの開発と向上、またその脆弱さを弱める方法を捜すことに最善をつくしています。そのため、システム統合のモニタリングなど自動化できるタスクがあれば、技術資源の不足に気を使うことなく、予算を他の目的に割り振ることができます。

VANGUARD Enforcer は、モニタリングに関る問題を解決し、企業のセキュリティの完全性を保証するように設計されています。VANGUARD Enforcer は、企業の情報セキュリティと脆弱さを評価する「最高の方策」の課題を充たすように絶えず取り組んでいます。

セキュリティの脆弱さを調べるVANGUARD Enforcer のようなツールは、企業に直接的な恩恵をもたらします。すべての企業は、あらゆるセキュリティ製品の購入によって、最大限の効果を得る必要があります。セキュリティ・アドミニストレータ、オーデイター、システム・プログラマの人材が不足し、報酬が引き上げられているという状況では、セキュリティ・モニタリングや監査などの時間がかかるが重要なタスクを自動化することで効果は得られます。

 

VANGUARD EnforcerTMの紹介

 

VANGUARD Enforcerは、z/OSオペレーティング・システム環境とそのセキュリティ・システムの監視と制御を自動化し、これまでは実現できなかったレベルでセキュリティ管理を自動化します。VANGUARD Enforcerは、クリティカルなデータとシステムを毎日24時間保護するセキュリティ・システムと機能を継続的にモニタします。VANGUARD Enforcerは、標準、ポリシ、ルール、およびオペレーティング・システムの設定が有効であり続けるようにします。Enforcerがポリシの例外を検出すると、セキュリティ・アドミニストレータや他の担当者に通知します。構成に応じて、Enforcerは自動的に対策を講じることもできます。

VANGUARD Enforcerは、セキュリティのベースラインを採用し、業界で使用されるベストな方法論を使うことでシステムのインテグリティを保証します。ベースラインには、セキュリティ・ポリシとモニタ対象の具体的なシステムの導入ルールが含まれます。VANGUARD Enforcerは、オペレーティング・システムとz/OS Security Server(RACF)データベースをユーザが定義した時間間隔で自動的に調べ、許可されたベースラインと、現在見つかったものとを比較します。この2つに違いがあればEnforcerはユーザの定義に応じて次のようなことを行います。

 

  • 以後の分析、制御目的で使えるようにその違いを記録します。
  • 事前に定められている個人にこの違いを通知します。
  • Reporter内から、ライブ・データと抽出データの間をいつでも切り替え、レポート作成により高い柔軟性 を与えます。
  • システムをベースライン構成に復元するための対策を自動的に講じます。

 

Enforcerは、固有のベースラインや、警告モードまたは時間間隔(調べて比較する)などの異なる構成オプションを使うように構成することができます。このようなやり方で、次で説明する機能的なモニタを、それぞれ独自の調査間隔で個別に実行することができます。

VANGUARD Enforcerは様々なサポート機能を提供します。これには、ベースライン・エディタ、自動ベースライン生成ユーティリティ、インストレーションと構成プログラムなどが含まれます。

 

ベースライン生成

 

Enforcerには、最初のベースラインのデータセット生成を自動的に行う機能があります。これによって、Enforcerを実行するために必要な時間と労力を著しく削減します。ユーティリティは、既存のz/OS環境とSecurity Serverのデータベースからベースラインを作成します。このベースラインのデータセットは、ISPFユーザ・インタフェースから見たり、変更したりすることができます。

 

自動通知

 

VANGUARD Enforcerは、事前に定められた責任当事者に相違や違反の通知を自動的に送信しますEnforcerは、すべてのSMTP互換の電子メール・システムをサポートし、通知1通あたり複数の受信者を設定することができます。

 

Enforcerの対策実行オプション

 

VANGUARD Enforcerには、自動的に必要なコマンドを生成して実行し、システムのセキュリティを、各企業で定義しているセキュリティのポリシと標準のレベルに戻すオプションがあります。この機能は、関数によって構成され、有効になると、通知メッセージの生成も続けます。

許可されたベースラインからの相違が見つかると、VANGUARD Enforcerは、可能であれば、状況に応じてベースラインに準拠するように対策を講じます。しかし、発生した際の具体的なタイプに対して、自動修正オプションが選択されていない限り、コマンドを実行しません。

 

ユーザ・インタフェース

 

VANGUARD Enforcerには、2つのユーザ・インタフェースがあります。EnforcerはISPFインタフェースを使って、ベースラインのデータセットを生成し、対策実行オプションを設定します。Master Console(MCS)オペレータ・コマンドを使って、Enforcerを起動、終了します。さらに、このコマンドは現在の実行オプションを変更するためにも使うことができます。

 

モニタと実行オペレーション

 

Enforcerには、セキュリティ品質のベースラインに対して、現在の設定をチェックするために次の機能があります。

 

  • 特別特権でのプログラム制御
  • Enforcerは、APF(Authorized Program Facility)を詳細にモニタし、常に認可されたデータセットだけが許可を 受けるようにします。Program Properties Table,CStarted Procedures Table,Facility Classによって、特別に 許可されたプログラム特権とモードをモニタします。

  • クリティカルなデータ、ユーザ、グループ、資源の保護
  • ビジネス・クリティカルなアプリケーションとシステム資源がz/OS Security Serverによって、適切に保護さ れるようにし、データセットへのアクセスが厳格に制御されるようにします。同様に特別なボリューム上のデー タを、保護することができます。Enforcerでは、クリティカルなユーザ・グループとシステム資源に対して同じよ うな手段を講じることができます。システムをベースライン構成に復元するための対策を自動的に講じます。

  • プログラムの正しいバージョン実行を保証
  • z/OS JCLとプログラムの呼び出しが実行するプログラムのリストを、LINKLLSTとLPAライブラリをロック ダウンすることによって、積極的、継続的に制御します。

  • 特別ユーザ特権の制御
  • Security Server(RACF)システムで誰が特別特権を持つかを継続的に正確に制御します。これには、システム とグループのレベルの特権が含まれます。

  • スーパーバイザ呼び出しの誤用の封鎖
  • Enforcerは未許可のSVCの使用でオペレーティング・システム・レベルの許可と制御を得るために専門家が 使うホールを閉じるのを識別し封鎖します。

 

一時的なアクセスの自動除去 Enforcerは、ユーザがデータセットまたは一般資源にアクセスする失効日をアドミニストレータが設定できるよ うにし、その日に自動的にアクセス許可を取り除きます。

 

VANGUARD EnforcerTMは、強力なセキュリティおよび統合モニタで、プロセス駆動の24時間体制の資産保護とポリシ実行の無人自動化を実現します。

 

 

VANGUARD Integrity Professionals, VANGUARD Administrator, VANGUARD Analyzer, VANGUARD Rio Vision, SmartLink, Find-it-Fix-it-Fast, RiskMinder, SmartAssist, およびe-Distributionはすべて、VANGUARD Integrity Professionalsの商標です。IBM, z/OS, z/OS Security Server およびRACFはIBMの登録商標です。これ以外のすべての商標、登録商標、版権は、各所有者に属するものとみなされます。

 

ページTOPへ