PASSWORD(NOPW)オプション廃止に伴う対応について
search cancel

PASSWORD(NOPW)オプション廃止に伴う対応について

book

Article ID: 419324

calendar_today

Updated On:

Products

Top Secret

Issue/Introduction

Top Secretの次期リリースでは、PASSWORD(NOPW)オプションはサポートされません。
当ナレッジドキュメントでは、PASSWORD(NOPW)オプションの最適な軽減策と使用状況の
把握方法について説明しております。


※当該作業前には、セキュリティファイルのバックアップの採取するようにしてください。

 

Environment

Release : 16.0

Resolution

監査結果の特定(Identify Audit Finding)

PASSWORD(NOPW)の特定手順:
 ACIDタイプUSER、DCA、VCA、ZCA、LSCA、SCAおよびMSCAの定義を確認し、これらのACIDがパスワードを指定していることを確認する方法
   を説明します。下記の手順により、これらのACIDのいずれにもPASSWORD(NOPW)が指定されていないことを確認できます。

1.Top Secret 16.0にPTF:LU14047およびLU15394を適用します。
2.prefix.CAKOJCL0(NOPWLIST)のサンプルJCLメンバーを、ジョブの実行に備えてJCLをカスタマイズできる任意のJCLライブラリにコピーします。
3.NOPWLISTのJCLを編集します。JCLの先頭にあるJCLコメントに記載されている手順に従います。 
4.NOPWLISTジョブは、次の許可とACCESS(USE)を持つSCAのACIDを使用して実行する必要があります。

    TSS PERMIT(sca_acid) CASECAUT(TSSCMD.USER.LIST.NOPW) ACCESS(USE) 

※正しい許可とアクセス権があれば、ジョブはパスワードとして*NOPW*が割り当てられたすべてのACIDを示す完全かつ有効なリストを生成できます。

5.NOPWLISTジョブをサブミットします。
6.バッチジョブが完了したら、次のデータセットを確認します。

  a.hlq.TSS.NOPW.S2.PASS
      このファイルにはTSS LIST(ACIDS) DATA(PASSWORD)の出力が含まれており、hlq.TSS.NOPW.S3*データセットを作成する際の作業用ファイル
      として使用されます。必要に応じて、NOPWのACIDを二重チェックするためにこのファイルを利用できます。

  b.hlq.TSS.NOPW.S3.ACIDLIST
      このファイルは、NOPW持つすべてのACIDSを識別します。

  c.hlq.TSS.NOPW.S3.ACIDS.TSSLIST
       このファイルには、NOPWが割り当てられている各ACIDに対して、TSS LIST(acid) DATA(ALL)コマンドが含まれています。

  d.hlq.TSS.NOPW.S3.ACIDS.TSSREM 
       このファイルには、次のコマンドが含まれています:

  • TSS REM(acid) PSWDDATA
  • TSS REM(acid) PHRASDATA

     これらのコマンドは、実質的にNOPWを削除し、ACIDにPROTECTED属性を自動的に割り当てます。
     その後で、複雑なパスワードまたはパスフレーズがACIDに割り当てられた場合、PROTECTED属性は自動的に削除されます。


   e.hlq.TSS.NOPW.S4.TSSUTIL.INIT.OUT
       このファイルには、すべてのEVENT(INIT)イベントが表示されており、システム上の各ACIDがどのようにログオンしているかを識別します。 

   f.hlq.TSS.NOPW.S5.PSCHKYES.ACIDS      
       このファイルには、次のいずれかでログオンしているすべてのACIDの一覧が含まれています:

  • パスワード
  • パスフレーズ
  • PassTicket
  • MFA(多要素認証)
  • IDTトークン

      このデータセットに記載されているACIDは、NOPW修正の優先度が高い対象です。

   g.hlq.TSS.NOPW.S5.SIGNONS.ACIDS
       このファイルには、すべてのNOPW ACIDと、そのサインオン方法が表示されます。
       PSCHK=NOは、そのACIDがパスワード、パスフレーズ、PassTicket、IDTトークン、またはMFAを使用してログオンしていないことを
      意味します。これは、そのサインオンに対してプログラム上で認証が不要なためです。
      このファイルの各行は、1つのユニークなサインオンを表します。重複行が含まれていても正常です。

7.どのACIDにもPASSWORD(NOPW)が指定されていない場合、組織には監査指摘事項がありません。(対応不要です)

8.いずれかのACIDにPASSWORD(NOPW)が指定されている場合、貴社の組織には監査上の指摘事項があります。
    「監査結果の修正(Remediate Audit Finding)」を参照してください。

監査結果の修正(Remediate Audit Finding)

 組織のポリシーを確認し、変更が該当するポリシー要件に従っていることを確認します。
 新しく作成されたデータセットにリストされている各ACIDを確認してください。
 誰が、または何がそれらを使用しているかを確認し、責任者と協力して組織にとって最適な方法を選択してください。

- STCのACIDにPROTECTED属性を使用する。

- STCがインターナルリーダーを通じてバッチジョブをサブミットする場合を除き、STCのACIDを他の機能に使用しないでください。

- NOPWのCICS自動端末サインオン(ATS)ACIDを確認する。

- 承認されたユーザー/アプリケーションと連携して、適切な認証方法(password, phrase, MFA)を割り当て、特定されたACIDからNOPWを排除します。
  PSCHKYES  ACIDを最優先にします。

- FTPやその他のサーバー間データ移動ACIDについては、担当者と協力して、現在のログオンスクリプトでパスワードが使用されているかどうかを確認
  してください。そのパスワードをACIDのパスワードとして使用することを提案してください。また、組織のポリシーに従って、定期的に新しい複雑な
  パスワードまたはパスフレーズへの正式な変更を決定し、スケジュールを設定してください。

   ※ユーザーIDが共有されたり、侵害されたりした場合、他の人がパスワードを知らない可能性があり、ACIDが停止され、さらなる調査が必要になる場合
      があります。

- 実在の人物に割り当てられたACIDにNOPWが見つかった場合は、ユーザーに連絡し、次回システムにログインする際にパスワードを変更するよう協力して
  ください。新しいパスワードは、ユーザーだけが知っている複雑なパスワードにしてください。

- 修復するACIDのリストに優先順位を付けます。PSCHKYES ACIDを最優先にします。

Command Actions(コマンド・アクション)

1. 次のいずれかのオプションを実行して、監査結果を修正します。
     -STCおよびほとんどのバッチジョブACIDの場合:
       -適切なコマンドを実行するか、両方のコマンドを実行して、PROTECTED属性を自動的に有効にします。

      TSS REMOVE(acid) PSWDDATA
      TSS REMOVE(acid) PHRASDAT
 
      acid: PROTECTED属性を追加するユーザーIDを指定します。

  -  TSS LIST(acid) DATA(ALL)にて属性が”ATTRIBUTES = PROTECTED”になっていることを確認します。

  -パスワードまたはパスフレーズの使用を必要とするACIDの場合:
          次のいずれかのコマンドを発行して、ACID NOPW割り当てを置き換えます。

       TSS REPLACE(acid) PASSWORD(password[,[expiration_interval][,EXP]])
       TSS REPLACE(acid) PHRASE(phrase[,{expiration_interval][,EXP]])
       acid: NOPWを置き換えるユーザーまたはジョブのACIDを指定します。
       PASSWORD:ACIDに割り当てるパスワードを指定します。パスワードは、組織のパスワード基準を最低限満たす複雑なパスワードにしてください。
       PHRASE:アポストロフィで区切られた引用符付き文字列を指定します。ユーザー指定のパスワードフレーズに関する制限については、NEWPHRASE
       制御オプションを参照してください。範囲:9~100文字
       expiration_interval:(オプション)現在のパスワードの有効期限が切れるまでの間隔(日数)を指定します。
    (0は有効期限のないパスワードを示します)。範囲:0から366

       EXP:(オプション)パスワード文字列が期限切れとして発行され、すぐに変更する必要があることを指定します。製品が変更を確認します。


2.NOPWLISTジョブを再実行して、すべてのACIDからNOPWの使用がすべて削除されたことを確認します。
   これらのACIDのNOPWを削除すると、不要な権限が削除され、組織が保護されます。 

  Tip
   NOPWLIST JCLのSTEP5からデータセットPSCHKYESとSIGNONSを出力するようにJCLを設定することで、特定のACIDセットのみを対象に
   することができます。そのためには、ステップ4と5のみを含むジョブを設定します。ステップ5のJCLでは、ACIDLIST DDをインストリームACID
   リストに変更します。

  例://ACIDLIST DD *
     TCPIP
     NET
     OMVS
     FTPD
    /*

上記までの手順が、 NOPW属性を識別、分類、優先順位付け、削除の手順となります。

情報セキュリティ継続監視(ISCM)

 NIST CSFを含む多くのサイバーセキュリティフレームワークでは、情報セキュリティ継続的監視(ISCM)が義務付けられています。
 FISMA、GDPR、SOX、PCI DSSなどの法律や規制でも、セキュリティ継続的監視が義務付けられています。

 組織のオペレーティングシステム環境、外部セキュリティ管理者、そして顧客データを侵害する可能性のある重要なセキュリティおよび
 システム領域を監視するために、ISCMプラクティスを実装することをお勧めします。
 これにより、リスクが軽減され、法的および規制上の要件にも適合します。

ISCMプラクティスを実装するには、次のガイドラインを使用します。
- 廃止された「NOPW」のパスワードとしての再割り当ては継続的に監視する必要があります。

- 継続的な監視を設定し、次のイベントを監視する必要があります
   1.TSS REPLACE(acid) PASSWORD(NOPW)コマンドの使用。いかなる変更も、必ずアクティブアラートが発せられる必要があります。
   2.TSS CREATE(acid) PASSWORD(NOPW)コマンドは、今後許可されなくなります。
   3.TSS PERMIT(acid) CASECAUT(TSSCMD.USER.cmd.NOPW) コマンドの使用(ここでcmdはREPLACE)。
   いかなる変更も、必ずアクティブアラートが発せられる必要があります。

 

Additional Information

このナレッジドキュメントは、Top Secret® for z/OS 16.0のマニュアルの『STIG ID - BTSS0005: PASSWORD(NOPW) Option Must Not Be Specified for Any ACID』から
対応手順を抜粋したものです。詳細に関しては、マニュアルをご覧ください。

Powered by Wolken Software