システム・セキュリティー (QSecurity) システム値の使用方法

セキュリティー・レベル (QSECURITY) システム値を設定することにより、システムで実施するセキュリティーの程度を選択できます。

概要

目的:: システム上で実施されるセキュリティーのレベルを指定する。
方法:: WRKSYSVAL *SEC (システム値処理コマンド) またはメニュー SETUP、オプション 1 (システム・オプション変更)
権限:: *ALLOBJ および *SECADM
ジャーナル項目:: SV
注:: 実動システムで変更を行うには、それに先だって他のレベルへの移行に関する適切な項を読んでください。

セキュリティーのレベル

システムには、5 つのセキュリティーのレベルがあります。

10: システムによって強制されるセキュリティーはありません
注: システム値 QSECURITY をセキュリティー・レベル 10 に設定することはできません。
20: サインオン・セキュリティー
注: システム値 QSECURITY をセキュリティー・レベル 20 に設定することはできません。
30時間まで: サインオン・セキュリティーおよび資源保護
40: サインオン・セキュリティーおよび資源保護; 保全性保護
50: サインオン・セキュリティーおよび資源保護; 拡張された保全性保護

システムは、レベル 40 で出荷されます。これは、サインオン・セキュリティーおよび資源保護を備え、保全性保護を備えています。詳しくは、セキュリティー・レベル 40を参照してください。

セキュリティー・レベルを変更する必要がある場合には、システム値処理 (WRKSYSVAL) コマンドを使用します。使用すべき最小のセキュリティー・レベルは 40 です。セキュリティー・レベル 40 または 50 では、セキュア・サーバーの実行に必要なシステム保全性保護が実施されます。セキュリティー・レベル 30 以下では、安全な稼働環境に必要な保全性保護は実施されません。変更内容は、次に初期プログラム・ロード (IPL) を実行してから有効になります。表 1 は、システム上のセキュリティーのレベルを比較しています。

表 1. セキュリティー・レベル: 機能比較
機能	レベル 30	レベル 40	レベル 50
サインオン時にユーザー名が必要	はい	はい	はい
サインオン時にパスワードが必要	はい	はい	はい
パスワード・セキュリティーが活動状態	はい	はい	はい
メニューおよび初期プログラム・セキュリティーが活動状態	可¹	可¹	可¹
制限機能サポートが活動状態	はい	はい	はい
資源保護が活動状態	はい	はい	はい
オブジェクト・アドレスを使用したすべてのオブジェクトへの直接アクセス。	いいえ	いいえ	いいえ
ユーザー・プロファイル自動生成	いいえ	いいえ	いいえ
セキュリティー監査機能が使用できる	はい	はい	はい
制限された命令を含むプログラムを作成/再コンパイルできない	はい	はい	はい
サポートされていないインターフェースを使用するプログラムが実行時に失敗する	いいえ	はい	はい
全記憶域で拡張ハードウェア記憶保護を実行する	いいえ	はい	はい
ライブラリー QTEMP が一時オブジェクトである	いいえ	いいえ	いいえ
USRSPC、USRIDX、*USRQ オブジェクトは、QALWUSRDMN システム値で指定されているライブラリーでのみ作成できる	はい	はい	はい
パラメーターで使用されるポインターは、システム状態で実行しているユーザー・ドメイン・プログラムに対して、妥当性が検査される	いいえ	はい	はい
メッセージの処理規則が、システムおよびユーザー状態プログラム間で実施されている	いいえ	いいえ	はい
プログラムの関連スペースが直接変更できない	いいえ	はい	はい
内部制御ブロックが保護されている	いいえ	はい	はい ²
¹ ユーザー・プロファイル内で LMTCPB(*YES) が指定されている場合。 ² レベル 50 では、保護されている内部制御ブロックの数は、レベル 40 のときよりも多くなります。内部制御ブロックの変更の防止を参照してください。

デフォルトの特殊権限

システム・セキュリティー・レベルにより、デフォルトの特殊権限をユーザー・クラスごとに決定します。ユーザー・プロファイルの作成時に、ユーザー・クラスに基づく特殊権限を選択できます。特殊権限はまた、セキュリティー・レベルの変更時にユーザー・プロファイルから追加および除去されます。

以下の特殊権限をユーザーに対して指定できます。

*ALLOBJ: 全オブジェクト特殊権限は、ユーザーにオブジェクトについてのすべての操作を実行する権限を与えます。
*AUDIT: 監査特殊権限は、システム、オブジェクト、およびシステム・ユーザーの特性の監査を定義できます。
*IOSYSCFG: システム構成特殊権限により、ユーザーはシステム上で入出力装置を構成することができます。
*JOBCTL: ジョブ制御特殊権限は、システム上でのバッチ・ジョブの制御および印刷を可能にします。
*SAVSYS: システム保管特殊権限は、オブジェクトの保管および復元を可能にします。
*SECADM: 機密保護管理者特殊権限は、システム上でのユーザー・プロファイルの処理を可能にします。
* サービス: サービス特殊権限は、システム上でソフトウェアのサービス機能を可能にします。
*SPLCTL: スプール制御特殊権限は、システム上でのバッチ・ジョブおよび出力待ち行列の制約なしの制御を可能にします。

*SECADM 権限と *ALLOBJ 権限を持つユーザーによる、 CHGSYSVAL コマンドを使ったこのセキュリティー関連のシステム値の変更を制限できるようになりました。この制限を指定するには、システム保守ツールで「システム・セキュリティーの処理」オプションを使用します。

注: この制限は、他のいくつかのシステム値に適用されます。

セキュリティー・システム値の変更を制限する方法、および影響を受けるシステム値の完全なリストについて詳しくは、セキュリティー・システム値を参照してください。

表 2 に、各ユーザー・クラスのデフォルトの特殊権限を示します。項目は、どのセキュリティー・レベルで権限が与えられるかを示しています。レベル 10 および 20 のみ、すべてのセキュリティー・レベル、権限がまったく与えられないの 3 とおりがあります。

表 2. セキュリティー・レベルごとのユーザー・クラス用デフォルト特殊権限
特殊権限	ユーザー・クラス
特殊権限	*SECOFR	*SECADM	*PGMR	*SYSOPR	* ユーザー
*ALLOBJ	すべて	10 または 20	10 または 20	10 または 20	10 または 20
*AUDIT	すべて
*IOSYSCFG	すべて
*JOBCTL	すべて	10 または 20	10 または 20	すべて
*SAVSYS	すべて	10 または 20	10 または 20	すべて	10 または 20
*SECADM	すべて	すべて
* サービス	すべて
*SPLCTL	すべて

注: トピック「ユーザー・クラス」および「特殊権限」には、ユーザー・クラスおよび特殊権限に関する詳細情報が記載されています。

考慮事項

セキュリティー・レベル 30 では、すべてのリソースに対するアクセス権限はユーザーに自動的に付与されません。それより低いセキュリティー・レベルでは、すべてのユーザーに *ALLOBJ 特殊権限が与えられます。

セキュリティー・レベル 30 は、実動システムを実行するには安全なレベルではありません。セキュリティー・レベル 30 以下では、ユーザー・アプリケーションにより直接呼び出されることが考慮されていないシステム・レベル・インターフェースをユーザーが直接呼び出すことができます。また、ユーザー・アプリケーションがアドレスを使用して内部制御ブロックとオブジェクト・コンテンツに直接アクセスできます。これにより、機密漏れおよび保全性の点でのリスクが発生します。セキュリティー・レベル 30 では、保全性保護メカニズムはセキュリティー・レベル 40 および 50 と同じレベルで活動化されません。したがって、セキュリティー・レベル 40 以上にすることを強くお勧めします。

セキュリティー・レベル 40 および 50 では、セキュリティー・レベル 30 以下では実施できない重要な保全性保護が実施されます。セキュア・サーバーを実行するには、セキュリティー・レベル 40 または 50 で実行する必要があります。セキュリティー・レベル 40 および 50 は機能性では類似しています。これは常に該当していたわけではありませんが、時間の経過に伴い、当初はセキュリティー・レベル 50 で使用可能だった機能が、セキュリティー・レベル 40 サポートに移行しました。 40 と 50 ではまだいくつかの相違点があります。この違いは主に、バッファーおよび制御ブロックの内部処理と、ジョブ内でメッセージを送信する方法に関する制約事項です。メッセージ処理の制限を参照してください。セキュリティー・レベル 50 を実行すると、サーバーを実行するための最も安全性が高いレベルが実施されます。