zSecure V2.2.1 の新機能
zSecure™ V2.2.1 は、メインフレーム・セキュリティー・インテリジェンスおよび自動化したコンプライアンス監査を強化しています。
システム要件、非互換性の警告、および既知の制限などのインストールの注意点については、リリース・ノート を参照してください。
IBM Security zSecure V2.2.1 (発表) には、以下の新機能および機能拡張が含まれています。
- ビッグデータ・システムに対するスケーラビリティーの向上:
- 2 ギガバイト境界 (「いわゆる境界」) を超えるストレージを活用してより多くのデータを処理します。仮想メモリーを多く使用する機能では、ページングと実ストレージのニーズが高くなる可能性があることに注意してください。
- 境界の下のストレージが解放され、他のプログラムに利用できるようになります。
- ご使用のハードウェアで許容される (z196 以上) 場合、64 ビット・アドレッシングが自動的にアクティブになります。
ただし、31 ビット・アドレッシングに戻すためのオプションがあります。ISPF UI のメニュー・オプション SE.0 (セットアップ - 実行) の 2 つめのパネルで、実行するプログラムを選択できます。
CARLa プログラムは、次のモジュールで構成されています。
- CKR4Z: 31 ビット・モードのプログラム。z800 以上を必要とします。
- CKR8Z196: 64 ビット・モードのプログラム。新しい z196 命令を活用するため、z196 以上を必要とします。
- 自動切り替えモジュール。ハードウェアに応じて CKR4Z または CKR8Z196 を呼び出します。
このモジュール構造は、zSecure 2.2.0 で既に存在していて、2016 年 6 月に出荷された サービス・ストリーム機能拡張 (APAR OA50694) によって使用可能になりました。zSecure 2.2.0 は、デフォルトでは引き続き 31 ビット・モードで実行されます。64 ビット・モードは、明示的に使用可能にする必要があります。
CKR4Z を直接呼び出すことで、zSecure 2.2.1 で 64 ビット・モードを明示的に使用不可にする場合、CKR4Z に対してデータ・セットへのプログラム・アクセス (PADS) 権限をセットアップすることが必要な場合があります。
- 「セットアップ - 出力」(SE.7) により、ISPF UI に対してより大きな出力ファイルを割り振ることができます。
- zSecure Alert UI で、より大きなアラート・バッファーを指定する機能 (メガバイト単位)。
- QRadar SIEM との新たな統合により、UNIX Syslog プロトコル (UDP と TCP の両方) を使用した、一般 SMF イベントのライブ・ストリーミングが提供されます:
- これは、zSecure Audit からの既存の統合と FTP ポーリングを使用する zSecure Adapters for QRadar SIEM に対する代替手段です。
- これは、UNIX Syslog プロトコルを使用してほぼリアルタイムでアラートを送信する zSecure Alert からの既存の統合に対する追加機能です。
- 新しいほぼリアルタイムのインターフェースは、新しい z/OS SMF メモリー内 (INMEM) リソース機能と、z/OS V2R1 以上に対して APAR OA49263 (2016 年 9 月) で提供される SMF リアルタイム・インターフェースを使用します。このインターフェースは、SMF ログ・ストリームの使用を必要とします。
- ALLOC TYPE=SMF
INMEM=resourcename ステートメント経由で INMEM 直接接続を使用する以外に、zSecure には、ALLOC TYPE=SMF CDP ステートメント経由で IBM Common Data Provider for z Systems (CDP。プログラム番号 5698-ABJ) の System Data Engine (SDE) コンポーネントに接続するオプションも用意されています。
zSecure Audit と zSecure Adapters for QRadar SIEM は、SDE 用のコード (FMID HHBO11E)、およびこの目的で SDE を使用する限定的な範囲のライセンスとともに出荷されます。始める前に、CDP HiPer APAR OA51414 をメモします。
- イベントの送信対象の z/OS、RACF、ACF2、Top Secret、DB2、および CICS に対する QRadar SIEM の装置サポート・モジュール (DSM) は、UNIX Syslog プロトコルを受け入れるように構成する必要があります。
- UNIX Syslog プロトコルを使用することで、QRadar SIEM 内のイベントに対するタイム・スタンプの精度が向上します。一方、FTP ポーリング・プロトコルを閑散時に実行して、以降に発生したイベントに基づいて情報を充実させることができます。
- TCP (UDP ではなく) 経由で UNIX Syslog プロトコルを使用すると、QRadar へのイベント送達がより確実になります。
- 新しい統合のためのメイン CARLa スクリプトは、CKQLEEFL です。これは、新しい開始タスク CKQRADAR から使用できます。CARLa プログラムは、オペレーター・コマンド STOP および MODIFY (STOP/ATTN/CANCEL/DISPLAY/RESTART) に応答するようになりました。
- zSecure Alert の構成で、CKR1481 ("Sending syslog alert n to addr port port on sockdesc n, namesourcesyslog_line") を抑止できるようになりました。
- アラートを、デバッグ重大度付きで UNIX Syslog 宛先に送信できるようになりました。
- zSecure Alert は、NOTIME パラメーターを使用して発行されたオペレーター宛 (WTO) メッセージのタイミングを、最後の SMF レコードまたは WTO レコードのタイミングであるとみなすようになりました。
- zSecure Admin アクセス・モニターによって収集された特定のアクセス・イベントを、zSecure Alert に転送して、次のアラート通知に使用できるようになりました。
- RACF は、要求された場合にしばしば SMFレコードを書き出します。デフォルトでは、失敗したか、アプリケーションがログ記録を要求した場合のみです。例えば、TSO は、正常にログオンした場合にはログ記録を要求しません。zSecure アクセス・モニターは、ログに記録されていなくても、すべての RACF VERIFY イベントを収集し、zSecure Alert に送信できます。
- 指定したユーザー ID がシステムに機密性の高いログオンを実行したときのために、新しい事前定義アラート 1122 が提供されました。
- Compliance Testing Framework の機能拡張:
- 追加の自動コントロールが実装されました (RACF STIG に 21、ACF2 STIG に 17、TSS STIG に 17 など)。
- FTP コントロールに対する新しい構成メンバー。
- 標準自体の内部から構成メンバーを指定するための、DOMAIN ステートメントの新しいキーワード CONFIG。
- 自動化できないコントロールについて準拠のアサーションを許可するための、TEST ステートメントの新しい ASSERT キーワード。
- 新しいレポート・タイプ ORGANIZATION により、特定の組織について準拠をアサートするという概念が導入されます (マルチテナンシー用)。
- サイト固有の機密性の高いリソース・タイプを簡単に指定するための、新しい DEFSENS ステートメント。
- 機密性の高いデータ・セットにアクセスしたログオン ID を表示する新しいレポート・タイプ ACF2_SENSDSN_ACCESS。
- 事前定義の機密性の追加 (zSecure Alert、zSecure Access Monitor、および QRadar フィードに対するセットアップの整合性の保護など)。
- 通貨として STIG 6.29 および PCI-DSS 3.2。
- zSecure Command Verifier 機能拡張:
- ポリシー・プロファイルにより、外部のセキュリティー・ルール (会社のポリシーなど) へのリンクに対するアクセスが否認されたときに追加のサイト・メッセージを表示する機能。
- ユーザーまたはグループを「ロックされた」と宣言するためのポリシー。
- OMVS UID/GID に対して SHARED キーワードが使用されたときに検査される新しいポリシー。
- ID が一度も使用されていない場合は、PROTECTED 状況の削除を許可します。
- ISPF ユーザー・インターフェースの機能拡張:
- RA.Q 機能拡張: RA.Q オプションの 3 および 4 に表示され、SE.5 (表示オプション) を使用してアクティブになる TSO および OMVS の情報。
- 新しい基本コマンド RA.U と RA.G: カーソル位置の単語を選出し、その単語をユーザー ID またはグループとして再帰的照会を開始します。PF キーに割り当てることができます。
- プロファイル・リストに対する X 基本コマンドと XF 基本コマンド。指定したストリングがあるすべての行を除外するか、指定したストリングがある行以外のすべてを除外します。突き合わせ対象の列は、名前または位置で指定できます。FORALL コマンドの準備として使用できます。
- RA.R は、すべてのリソース・クラスにわたって *string* で検索して、プロファイル・キーにストリングが存在するすべてのプロファイルを検索します。
- 「Show differences」は、データベース比較について CKFREEZE を必要としなくなり、システム情報の比較にセキュリティー・データベースを必要としなくなりました。
- 拡張モニター・アラートは、COMPAREOPT ステートメントを指定するために C2PSGLOB スケルトンの更新を必要としなくなりました。
- REPORT SCOPE (RA.3.4) に対する RACLIST マージ・サポート・オプション。
- 有効範囲処理は、システム全体の属性 (SPECIAL、AUDITOR) を処理するようになりました。
- RECREATE は、(グローバルに許可された) CKGRACF FIELD コマンドではなく、新しい (範囲が設定された) CKGRACF RECREATE コマンドを使用するようになりました。
- WRAP が SUMMARY の文字フィールドで使用されると、値が切り捨てられるのではなく、折り返されるようになりました。
- 各国語の SMTP atsign サポート。
- ACF2 16 の現行性サポート:
- RETIRE 機能に対する新しい特権と属性。
- パスワードの暗号化とパスワードの予約語に対する新しいグローバル・セキュリティー・オプション。
- ログオン ID のパスワード違反処理を免除する新しいリソース・クラス ACF2PVIO のサポート。
- アクセス規則での &LID 変数のサポート。
- 2 GB 境界より上でのリソース規則常駐のサポート。
- 多要素認証のサポート。
- MFA データについてのプロファイルの表示と選択用の新しいフィールド。
- SETROPTS レポートでの可用性標識。
- 使用された認証方式を報告するように、SMF レポートとアクセス・モニターが更新されました。
- Command Verifier の新しいポリシー (およびコマンド・キーワードの認識)。
- RACF-Offline は、オフライン・データベースの処理時に MFA サーバーとのすべての対話を使用不可にします。
- Integrated Cryptographic Service Faciliy HCR77B1 の現行性サポート:
- 新しいフィールド RCS_GEO と RCS_STATUS が含まれる新しい SMF 82 サブタイプ 43 (地域暗号サーバーの情報)。
- SMF フィールド PROFILE は、サブタイプ 9、13、および 23 についても値が設定されるようになりました。
- AU.S - MVS テーブルの SYSTEM レポート内のソフトウェア・レベルのリストに、ICSF レベル標識が追加されました。
- SMF 14 および 15 から z/OS APAR OA48124 で提供された Bypass Authorization の使用の報告サポート:
- 新しい SMF フィールド BYPASS、BYPASS_REQUEST、および CALLER_APF (DCBE Bypass Authorization サポートがインストールされたときにのみ値が設定されます)。
- この新しいデータを表示するように、フィールド RECORDDESC が調整されました。
- MQ 9 の現行性サポート:
- 動作モードに対する新しい MQ_REGION フィールド OPMODE、OPMODE_FUNCLEVEL、および OPMODE_COMPLEVEL。
- Top Secret 16 と Windows Server 2016 の現行性サポート、および z/VM 6.4 の許容。
- パフォーマンス、スケーラビリティー、および保守容易性の向上:
- IMBED に、NOLIST に加えて、新しい LIST キーワードが追加されました。組み込む前に戻すときは、前の LIST/NOLIST 設定が復元されます。
- DB2 パフォーマンス・コレクションは、COLLECTION レポートのすべての PACKAGE 情報を保持しなくなりました。
- DBID が SMF を使用して解決できない場合は、より多くの DB2 objectid ルックアップも実行されるようになりました。
- ACF2 ストレージ域の再構成で、より多くのログオン ID を処理できるようになりました。
- データの所有権とリソース・アクセスの解決、および XROL 定義の処理についての ACF2 パフォーマンスの向上。
- zSecure Server は、始動時に自己接続を開始します。
- zSecure Server は、システム日付が変わるときに、追加のメッセージ CKN227I を発行します。
- ZSECSYS=* の指定に、ローカル・システムが含まれるようになりました。
- フラグメント化された ECSA ストレージに対する zSecure Access Monitor のパフォーマンス向上。
- 新しい OPTION SHOWSTATISTICS (C2P8000I から C2P8002I) により、ハートビート・メッセージに、収集したイベントに関する統計情報が表示されます。
- Spool Display and Search Facility (SDSF) が RACF に、JESSPOOL リソースをバイパスするように伝えるときのための新しい SIM_VIA 値 SPOOLRCVR、および新しいフラグ REQ_SPOOLRCVR。