2025年、対策を施すべきIBM iのセキュリティー保護の重要ポイント

2025年2月3日　キャロル・ウッドベリー、チャーリー・グアリーノ

セキュリティーの重要性

新たな年度を迎えて間もない時期は、皆さんが自分の職場で起こっている様々な出来事を再評価する良い機会です。同時に、誰もが、セキュリティーが重視される現状を認識しておく必要があります。

悪意のある行為者の脅威、IBM i上で稼働するデータへの依存度の高さ、そしてそのデータがどのように利用されているかを考えただけでも、データの正確性、つまりデータの完全性を確実に把握できるようにすることの重要性が高まっています。特に最近は、データを取り巻く法律や規制が非常に多く、データの機密性を可能な限り維持することが不可欠です。

IBM i に保管されているデータの価値、そしてそのデータが何らかの形で侵害された場合に何が起こるかを、人々はますます認識し始めています。企業にとってデータは戦略的な資産であり、保護する必要があります。IBM i のデータ保護のために何をするべきかが今回のテーマです。

最近、セキュリティーに関する包括的なリストをまとめました。以下、順次記述するのがリストの個々の項目であり、すべての企業や組織が検討するべき事項と考えています。もちろん、必ずしもすべての企業や組織に影響を及ぼすとは限りませんが、セキュリティーは重要なものなので、誰もが認識しておくべきであることは確かです。

• パスワード・レベルの見直し
• 機密保護レベル（QSECURITY）の見直し
• IBM iにアクセスする製品の脆弱性への対処
• アラートの設定とテクノロジー・インベントリーの整備
• 多要素認証（MFA）の検討

パスワード・レベルの見直し

パスワード・レベルはシステム値QPWDLVLで設定します。QPWDLVLは、IBM i 7.5.0.1の時点では0で出荷されます^（*1）。パスワード・レベル0とパスワード・レベル1は等価なので、0から1に変更する必要はありません。パスワード・レベル0とパスワード・レベル1でパスワードに使用できる文字セットは、大文字のAからZと、0から9、殊文字4文字だけです。つまり、この文字セットは非常に制限されているので、悪意のある人物がパスワードを生成しようとした場合、有効なパスワードの生成にはそれほど時間はかかりません。これが1つの注意点です。もし、まだパスワード・レベルを上げていないなら、必ず2以上のレベルに上げることをお勧めします。

もう1つの注意点は、ほとんどの企業や組織には「10文字以上」よりもはるかに厳格なパスワードポリシーがあることです。こうした企業や組織では、ネットワーク要件として、パスワードに大文字1文字、小文字1文字、特殊文字1文字、数字1文字を含めることを要求しています。しかし、パスワード・レベル0とパスワード・レベル1では、そのような要件を設定できません。そのため、外部接続が確実に機能することを確認するプロジェクトが必要です。プロジェクトとして行うべきことの1つは、パスワード・レベルを引き上げるための計画を立て、実施することです。また、新たなパスワード・レベルを機能させるには、エンドユーザーへの適切な教育が不可欠です。

まず、パスワード・レベル2に移行します。何か問題が見つかった場合、パスワード・レベル2に留まっていれば、ユーザーがパスワードを変更するまでは簡単にパスワード・レベル0またはパスワード・レベル1に戻せます。

パスワード・レベル3に移行すると、パスワードではなくハッシュ値が保存されます。つまり、パスワード・レベル0とパスワード・レベル1で有効だった値は、パスワード・レベル3で消去され始めます。パスワード・レベル4では、より強力なハッシュ値が保存されます。これがパスワード・レベル3とパスワード・レベル4の違いです。

パスワード・レベル2からは、最長128文字のパスワードが設定できます。ただし、文字数が10文字のままであっても、大文字、小文字、数字、スペースを含むすべての特殊文字を含められますので、すぐにこの条件を有効にする必要はありません。長いパスワードを作成する場合は（たとえ、ローマ字表記とはいえ）文章をパスワードとして設定できるので、パスワードを覚えやすくできます。言い換えますと、パスワードを手帳などに書き留めずに済むということです。パスワード・レベル2以上にすることの意義はここにあります。

また、長くなればなるほどパスワードは破られにくくなるので、頻繁に変更する必要が少なくなります。事実、長いパスワードを導入した企業や組織の中には、90日ごとに変更を求めるのではなく、半年、あるいは1年経ってから変更を求めるところもあります。

さらに、パスワードを長くすればするほど、より強固になり、公開されているパスワード・リストに載る可能性が低くなります。実際、過去に盗まれたパスワードのリストがあり、これを販売する悪意ある人々がいます。そして、ハッカーは既知のパスワード・リストにあるユーザーIDとパスワードを使って、あなたの企業や組織に侵入しクラックしようとします。ですから、長いパスワードが自分だけの特別なフレーズであれば、既知のパスワード・リストに載っている可能性は非常に低くなります。つまり、長いパスワードには多くの利点があるということです。

パスワード・レベル2に変更したらIPLします。ただし、外部接続で有効なパスワードが引き続き使用されているかなどを事前に調査しておく必要があります。また、この変更は『すべてか無か』で、一部のユーザーだけに影響を与え、他のユーザーには影響を与えないということはできません。ですから、エンドユーザーへの教育が重要です。なぜならば、高いレベルのパスワードに変更しても、システムがエンドユーザーのパスワードの変更を自動的に行うわけではありません。つまり、エンドユーザーはパスワードの変更を強制されません。そこで、ほとんどのお客様が、強制的にパスワードを変更するようエンドユーザーに求めています。

機密保護レベル（QSECURITY）の見直し

今回のセキュリティーの話題と重なるもう1つのプロジェクトは、機密保護レベル（QSECURITY）の見直しです。現在も、機密保護レベル20で稼働しているシステムが存在しているため、重要なプロジェクトになる可能性があるのです。IBM i 7.5に移行すると、機密保護レベル20は事実上廃止されます。しかし、もともと機密保護レベル20で稼働していた場合、IBM i 7.5にアップグレードしても、保管と復元を行わない限りは依然として機密保護レベル20のままです。ところが、ハードウェアの更新や、保管と復元を実行すると、IPL時に出荷時の状態である機密保護レベル40に上がります。ですから、機密保護レベル20からは早々に脱却するべきなのです。

機密保護レベル20がセキュリティー上非常に問題なのは、ユーザー・プロファイルの作成時に*ALLOBJ特殊権限がデフォルトで付与されるため、基本的に全ユーザーがシステム上で何でも実行できてしまうからです。つまり、機密保護レベル20で稼働していると、誰か１人のユーザーＩＤとパスワードが盗まれただけで、企業や組織は重大な被害を被る可能性があります。

他の機密保護レベルと同様に、権限アルゴリズムは機密保護レベル20でも動作します。そのため、新たなセキュリティー構想がすべて正しく設定されているかどうかを、機密保護レベル20で実際にテストできます。つまり、IPLを実行してレベル40に移行する前に、ユーザーから*ALLOBJ特殊権限を削除し、すべてが正常に動作していることを確認できます。機密保護レベル20と30の境界を越えると、セキュリティー・オフィサー・ユーザークラスに含まれないすべてのプロファイルから*ALLOBJ特殊権限が削除されます。

IBM iにアクセスする製品の脆弱性への対処

一般的に、IBM iへのアクセスを実行する製品全般が、常に懸念事項になります。たとえば、IBM Navigator for i、IBM i Access Client Solutions (ACS）には、セキュリティー上の脆弱性があります。

Navigator for iの脆弱性への対処

2025年に開始していただきたいプロジェクトの1つは、Navigator for iの接続がHTTPS経由で動作していることの確認です。以前は、Navigator for iはHTTPS経由で動作していましたが、IBMは数年前にその接続を確立するための自己署名証明書の出荷を停止しました。その理由は、すべてのブラウザーが自己署名証明書を拒否し始めたからであり、その時点で接続はHTTPSではなくHTTPになりました。そして、それ以降、何も対策を講じていない場合は、ユーザーIDとパスワードは平文でやりとりされています。これが厄介である理由は、Navigator for iにアクセスするほとんどのケースで、強力な権限を持つプロファイルを使うからです。つまり、ネットワーク上、非常に強力な権限を持つプロファイルとそのパスワードが、平文でやりとりされているのです。

多くの場合、侵入者たちはすぐには攻撃を開始せず、潜伏して待機し、トラフィックの盗聴などにより情報を収集します。つまり、社内の通信を暗号化する必要があるのは、誰かがネットワークに侵入していた場合、平文のユーザーIDやパスワードを盗聴されることを防ぐためなのです。

Navigator for i は、盗聴される危険性がある製品の1つです。最新のPTFを導入済みの方は、Navigator for i を起動すると、『HTTPS経由で実行されていない』というメッセージが表示されることに気づくでしょう。管理サーバーにデジタル証明書を割り当てるまで、このメッセージは表示され続けます。このメッセージにはデジタル証明書の設定を簡単に行う画面へのリンクが含まれていますので、必ずアクセスして通信を暗号化するための設定を行う必要があります。

ACSの脆弱性への対処

クライアント・アクセス（IBM i Access for Windows）の場合と同様に、ＡＣＳをインストールしたまま更新せずに使い続けているユーザーをよく見かけます。ACSには脆弱性が見つかっており、2024年の初めにACS向けのセキュリティー関連の対策がいくつかリリースされています。ですから、ACSは最新バージョンにすることをお勧めします。
（参考）IBM i Access Client Solutionsに関するSecurity Bulletinsの検索結果

ACSを最新版に更新する必要があるのは、ACSのどの機能を使用している場合なのかと疑問に思われるかもしれません。PTFのテキストを読んで、それがACSのどの部分に影響するかが分かり、TELNETだけを使っているなら、それほど重大ではないかもしれません。しかし、多くの場合、更新するべき箇所は基本的なコード内の奥深くにあるため、ACSのどの機能が更新するべき箇所を使用しているかの判別は困難でしょう。したがって、使用している機能に囚われることなくACSを更新することをお勧めします。

ACSの更新が利用可能かどうかを知る方法ですが、ACSには起動時に更新の通知を受け取る設定があります。また、ACSの更新は、実行ファイルをプッシュし、それを解凍して更新コマンドを実行するだけで完了します。アイコンや接続はすべてそのまま残ります。

アラートの設定とテクノロジー・インベントリーの整備

ソフトウェアを最新の状態に維持することの重要性を考慮すると、最新のPTFをできるだけ早く適用することは非常に重要です。もし、セキュリティー監視が担当外であった場合、緊急性が高い修正の存在をどのようにして知れば良いのでしょうか？

もし、IBMから送信されるアラートを受信していない場合は、すぐに登録しましょう。IBMは新しいリリースやPTFについてアラートを送ります。どの製品に対するアラートに登録するかはお客様自身で選択できます。特定のグループPTFアラートを設定すると、新しいグループPTFセットや新しいPTFについて、受信箱にアラートが届き、問題が発生していることが分かります。同時に、アラートの受信は最新の情報を入手しておくという重要な作業にもつながります。

IBM製品に限らず、ベンダーの古い製品や、ロードした概念実証（PoC）ファイルがシステムに残されていて、そのような製品のコードに問題があるとします。もし、ベンダーの顧客リストにあなたの会社が登録されていない場合、ベンダーはどうやって「コードに脆弱性があるので修正が必要です」と通知できるでしょうか？

最近では、いわゆるテクノロジー・インベントリー（技術目録）を作成するという概念があります。これは、必ず実行しなければならないプロジェクトです。企業や組織全体で実行できれば理想的ですが、少なくともIBM i全体だけを対象には実行できます。

いずれにしても、会社や組織がどのベンダーと契約しているか、どの製品がどのベンダーと関連しているかを把握し、ベンダーの製品を常に最新の状態にしておくこと、ベンダーの顧客リストに自社が載っていることの確認が重要です。ベンダーの顧客リストに自社が載っていれば、ベンダー製品に脆弱性が見つかった場合に、ベンダーから連絡が来るようになります。

多要素認証（MFA）の検討

MFA（Multi-Factor Authentication）とは

複数の認証要素を組み合わせて本人確認を行う認証方式であるMFAでは、ユーザーIDとパスワードを入力すると、続けてシステムにログインするために別の認証要素が要求されます。IBM iの場合、一般的にOktaやMicrosoft製品のRSAなどを通じてパスコードを入手し、これを入力する必要があります。

この仕組みが非常に重要である理由は、パスワードが簡単に推測されてしまう場合があるという現実と、パスワードを失念することや盗まれる場合があるという現実にあります。盗まれたパスワードはダークウェブで販売されており、悪意を持つ誰かが正しいユーザーIDとパスワードの組み合わせを入力することが起きえます。ただし、MFAを利用していれば、スマートフォン用のアプリや専用小型端末（キーフォブ）によって多要素認証用の正しいパスコードを入手できない限り、システムにログインできません。つまり、MFAはIBM iに限らず企業や組織全体にとって、盗まれたユーザーＩＤとパスワードを使った攻撃を阻止するための非常に強力なツールとなります（注：2025年5月時点で、IBM iでMFAをサポートするIBM製品としては、IBM PowerSC MFA V2.2およびIBM i 7.6のMFAの2つがあります。IBM PowerSC MFA V2.2はPASE for i上で稼働し、どのパスワード・レベルでも使えますが、パスワード・レベル3以上で使用することが推奨されています。また、IBM i 7.6のMFAはネイティブ環境で稼働しますが、前提条件としてパスワード・レベル4かつ機密保護レベル40以上でなければなりません）。

MFAの柔軟な運用形態

一部のプラットフォームでは、MFAを使うか否かの選択肢が与えられます。つまり、MFAは必ずしも強制されるわけではありません。しかし、個人的な理由でMFAの使用を拒否するのは良い判断とは言えません。誰もが、可能な限り個人データを保護したいはずであり、それは業務上のデータであっても同様です。「エンドユーザーは、MFAを使用することによるセキュリティー対策の追加は敬遠したがるかもしれないが、企業や組織のアカウントを保護してもらおう」と考えてください。

「ログインするたびにパスコード入力をしなければならないのは面倒だ」という抵抗への対策もあります。セキュリティー・ベンダーは、何らかのMFA製品を提供しており、その中には第2要素の認証を求める頻度を調整できるものもあります。たとえば、朝一番のログイン時にのみ第2要素に対するパスコードを要求するように設定できます。もちろん、1時間ごとに第2要素を要求することも、24時間以内であれば第2要素は要求しないようにすることもできます^（*2）。どのように設定するかは管理者次第です。

全面的に変更されるパスワード・レベルと異なり、MFAはカスタマイズ可能であり、MFAを必須とするユーザーを個別に設定できます。たとえば、エンドユーザーとは別に、*ALLOBJ特殊権限をもつセキュリティー管理者とシステム管理者だけにMFAを必須としているケースもあります。また、アクセス権限がそれほど強力ではないエンドユーザーには1日に1回MFA認証を求めれば十分かもしれません。つまり、MFAはビジネスニーズに合わせて適切にカスタマイズできます。

まとめ

お客様がIBM iを使い続けている理由の一つは、システム上に蓄積された貴重なデータがあるからです。ここで、IBM iのデータが利用できなくなった場面を想像してみてください。製造ラインが停止すれば、出荷もできず、融資も受けられません。どんな企業もデータがなければ存続できません。データが企業にとって価値があることは明らかです。

データをサイバー攻撃から守るために、これまで述べてきた項目をチェックすることをお勧めします。気づかない内にあなたの企業や組織も影響を受けているかもしれません。中には、自社には影響がなく特に注目する必要がないものもあるかもしれませんが、別の企業や組織に対して大きな影響や問題を引き起こすものかもしれません。セキュリティーで保護するための行動を起こすか、あるいは行動を起こさないまでも、セキュリティーによる保護に関する計画を立ててください。一度やるべきことを理解すれば、企業や組織へのリスクを評価し、優先順位をつけて実行に移せます。

自分たちが持つデータの価値をどのように生み出したか、その原点に立ち返りましょう。すべてのデータは、競合他社あるいはダークウェブ上の誰かにとっても価値があるのです。

^（*1）　IBM i 7.6ではQPWDLVLのデフォルト値は「3」です。
^（*2）　IBM i 7.6のMFA機能も同様の設定が可能です。

本記事は、TechChannelの許可を得て「Carol Woodbury’s Top IBM i Security Projects for 2025」（2025年2月3日公開）を翻訳し、日本の読者にとって分かりやすくするために構成を変更しています。最新のコンテンツを英語でご覧になりたい方は、techchannel.com をご覧ください。