システム・セキュリティー (QSecurity) システム値の使用方法
セキュリティー・レベル (QSECURITY) システム値を設定することにより、 システムで実施するセキュリティーの程度を選択できます。
概要
- 目的:
- システム上で実施されるセキュリティーのレベルを指定する。
- 方法:
WRKSYSVAL *SEC
(システム値処理コマンド) または メニュー SETUP、オプション 1 (システム・オプション変更)- 権限:
- *ALLOBJ および *SECADM
- ジャーナル項目:
- SV
- 注:
- 実動システムで変更を行うには、それに先だって他のレベルへの移行に関する適切な項を読んでください。
セキュリティーのレベル
- 10
- システムによって強制されるセキュリティーはありません注: システム値 QSECURITY をセキュリティー・レベル 10 に設定することはできません。
- 20
- サインオン・セキュリティー注: システム値 QSECURITY をセキュリティー・レベル 20 に設定することはできません。
- 30時間まで
- サインオン・セキュリティーおよび資源保護
- 40
- サインオン・セキュリティーおよび資源保護; 保全性保護
- 50
- サインオン・セキュリティーおよび資源保護; 拡張された保全性保護
システムは、レベル 40 で出荷されます。 これは、サインオン・セキュリティーおよび資源保護を備え、保全性保護を備えています。 詳しくは、 セキュリティー・レベル 40を参照してください。
セキュリティー・レベルを変更する必要がある場合には、 システム値処理 (WRKSYSVAL) コマンドを使用します。 使用すべき最小のセキュリティー・レベルは 40 です。 セキュリティー・レベル 40 または 50 では、セキュア・サーバーの実行に必要なシステム保全性保護が実施されます。 セキュリティー・レベル 30 以下では、安全な稼働環境に必要な保全性保護は実施されません。 変更内容は、次に初期プログラム・ロード (IPL) を実行してから有効になります。 表 1 は、システム上のセキュリティーのレベルを比較しています。
機能 | レベル 30 | レベル 40 | レベル 50 |
---|---|---|---|
サインオン時にユーザー名が必要 | はい | はい | はい |
サインオン時にパスワードが必要 | はい | はい | はい |
パスワード・セキュリティーが活動状態 | はい | はい | はい |
メニューおよび初期プログラム・セキュリティーが活動状態 | 可1 | 可1 | 可1 |
制限機能サポートが活動状態 | はい | はい | はい |
資源保護が活動状態 | はい | はい | はい |
オブジェクト・アドレスを使用したすべてのオブジェクトへの直接アクセス。 | いいえ | いいえ | いいえ |
ユーザー・プロファイル自動生成 | いいえ | いいえ | いいえ |
セキュリティー監査機能が使用できる | はい | はい | はい |
制限された命令を含むプログラムを作成/再コンパイルできない | はい | はい | はい |
サポートされていないインターフェースを使用するプログラムが実行時に失敗する | いいえ | はい | はい |
全記憶域で拡張ハードウェア記憶保護を実行する | いいえ | はい | はい |
ライブラリー QTEMP が一時オブジェクトである | いいえ | いいえ | いいえ |
*USRSPC、*USRIDX、*USRQ オブジェクトは、QALWUSRDMN システム値で 指定されているライブラリーでのみ作成できる | はい | はい | はい |
パラメーターで使用されるポインターは、システム状態で実行している ユーザー・ドメイン・プログラムに対して、妥当性が検査される | いいえ | はい | はい |
メッセージの処理規則が、システムおよび ユーザー状態プログラム間で実施されている | いいえ | いいえ | はい |
プログラムの関連スペースが直接変更できない | いいえ | はい | はい |
内部制御ブロックが保護されている | いいえ | はい | はい 2 |
|
デフォルトの特殊権限
システム・セキュリティー・レベルにより、デフォルトの特殊権限をユーザー・クラスごとに決定します。 ユーザー・プロファイルの作成時に、ユーザー・クラスに基づく特殊権限を選択できます。 特殊権限はまた、セキュリティー・レベルの変更時にユーザー・プロファイルから追加および除去されます。
- *ALLOBJ
- 全オブジェクト特殊権限は、ユーザーにオブジェクトについての すべての操作を実行する権限を与えます。
- *AUDIT
- 監査特殊権限は、システム、オブジェクト、およびシステム・ユーザーの特性の監査を定義できます。
- *IOSYSCFG
- システム構成特殊権限により、ユーザーはシステム上で入出力装置を構成することができます。
- *JOBCTL
- ジョブ制御特殊権限は、システム上でのバッチ・ジョブの制御および 印刷を可能にします。
- *SAVSYS
- システム保管特殊権限は、オブジェクトの保管および復元を 可能にします。
- *SECADM
- 機密保護管理者特殊権限は、システム上での ユーザー・プロファイルの処理を可能にします。
- * サービス
- サービス特殊権限は、システム上でソフトウェアの サービス機能を可能にします。
- *SPLCTL
- スプール制御特殊権限は、システム上でのバッチ・ジョブおよび 出力待ち行列の制約なしの制御を可能にします。
表 2 に、各ユーザー・クラスのデフォルトの特殊権限を示します。 項目は、どのセキュリティー・レベルで権限が与えられるかを示しています。 レベル 10 および 20 のみ、すべてのセキュリティー・レベル、権限がまったく与えられないの 3 とおりがあります。
特殊権限
|
ユーザー・クラス | ||||
---|---|---|---|---|---|
*SECOFR | *SECADM | *PGMR | *SYSOPR | * ユーザー | |
*ALLOBJ | すべて | 10 または 20 | 10 または 20 | 10 または 20 | 10 または 20 |
*AUDIT | すべて | ||||
*IOSYSCFG | すべて | ||||
*JOBCTL | すべて | 10 または 20 | 10 または 20 | すべて | |
*SAVSYS | すべて | 10 または 20 | 10 または 20 | すべて | 10 または 20 |
*SECADM | すべて | すべて | |||
* サービス | すべて | ||||
*SPLCTL | すべて |
考慮事項
セキュリティー・レベル 30 では、すべてのリソースに対するアクセス権限はユーザーに自動的に付与されません。 それより低いセキュリティー・レベルでは、すべてのユーザーに *ALLOBJ 特殊権限が与えられます。
セキュリティー・レベル 30 は、実動システムを実行するには安全なレベルではありません。 セキュリティー・レベル 30 以下では、ユーザー・アプリケーションにより直接呼び出されることが考慮されていないシステム・レベル・インターフェースをユーザーが直接呼び出すことができます。 また、ユーザー・アプリケーションがアドレスを使用して内部制御ブロックとオブジェクト・コンテンツに直接アクセスできます。 これにより、機密漏れおよび保全性の点でのリスクが発生します。 セキュリティー・レベル 30 では、保全性保護メカニズムはセキュリティー・レベル 40 および 50 と同じレベルで活動化されません。 したがって、セキュリティー・レベル 40 以上にすることを強くお勧めします。
セキュリティー・レベル 40 および 50 では、セキュリティー・レベル 30 以下では実施できない重要な保全性保護が実施されます。 セキュア・サーバーを実行するには、セキュリティー・レベル 40 または 50 で実行する必要があります。 セキュリティー・レベル 40 および 50 は機能性では類似しています。 これは常に該当していたわけではありませんが、時間の経過に伴い、当初はセキュリティー・レベル 50 で使用可能だった機能が、セキュリティー・レベル 40 サポートに移行しました。 40 と 50 ではまだいくつかの相違点があります。 この違いは主に、バッファーおよび制御ブロックの内部処理と、ジョブ内でメッセージを送信する方法に関する制約事項です。 メッセージ処理の制限を参照してください。 セキュリティー・レベル 50 を実行すると、サーバーを実行するための最も安全性が高いレベルが実施されます。