FM/Db2 監査を制御するための代替手段

FM/Db2 監査はオプション機能です。FM/Db2 は、監査が実装されていない場合に機能します。以下の事項を考慮する必要があります。

  • Db2® File Manager コンポーネントを使用する Db2® データや他のリソースへのユーザー・アクセスに監査が必要かどうか。
  • File Manager 監査ログ・レコードが提供できる情報。
  • File Manager 監査ログ・レコードが提供できない情報。その情報を得るために考えられる代替手段。
  • File Manager 監査を使用することにした場合に、大きな監査ログ・データ・セットに関する問題や追加 SMF レコードに関する問題を処理する方法。
  • File Manager 監査ログ・レコードにより提供された情報の使用方法。

ご使用のサイトで Db2® データに対するユーザーの読み取りアクセスのレコードが必要な場合は、一部またはすべてのユーザーによるアクセスをログに記録するように RACF® などの外部セキュリティー製品を構成します。外部セキュリティー製品はよりよい代替手段と考えられます。また、Db2® には監査機能があり、File Manager 監査の代わりに利用することもできます。

Db2® データに対する読み取りアクセスの File Manager 監査では、セグメントが処理されるたびに監査ログ・レコードが作成されるのではなく、Db2® オブジェクト名や処理行数が監査ログに書き込まれます。通常、Db2® データに対する変更の File Manager 監査では、2 つのログ・レコード (変更前の行と変更後の行) が作成されます。多くの更新アクティビティーが実行される Db2® 表に対する変更をログに記録する予定の場合は、多くの監査ログ・レコードが作成されることでパフォーマンスに及ぼされる影響や、生成されることになる監査ログ・データ・セットのサイズを考慮してください。

FM/Db2 監査アクティビティーの監査には、2 つの選択肢があります。それらは以下のとおりです。

  1. FMN2POPTで制御された監査の使用

    FMN2POPTで制御される監査で使用可能な機能を要約した事項を以下に示します。

    • Db2® がアクセスする可能性がある FM/Db2 システムごとに、異なる監査設定を指定できます。
    • 監査は主要な FM/Db2 機能 (編集とコピー) に対してのみ行われます。他の FM/Db2 機能 (印刷、インポート、エクスポート、Db2® コマンド発行など) は監査の対象ではありません。
    • どの Db2® システムの監査設定も、その Db2® システムに接続されたすべての FM/Db2 ユーザーに、同じように適用されます。
    • どの Db2® システムの監査設定も、その Db2® システム内のすべての Db2® オブジェクトに、同じように適用されます。
    • 「Create audit trail (監査証跡の作成)」オプションは、監査が行われる可能性がある FM/Db2 機能で、ユーザーに対して表示されます。
    • ユーザーの監査ログ・データ・セットへの監査、セッション完了時に監査ログの自動 (必須) 印刷を行うユーザーの監査ログ・データ・セットへの監査、または SMF への監査を指定できます。
  2. SAF 規則で制御される監査を使用する。これは、RACF® (または同等の製品) などの外部セキュリティー製品で定義するさまざまな SAF FACILITY および XFACILIT リソース規則に依存します。

    SAF 規則で制御される監査で使用可能な機能を要約した事項を以下に示します。

    • Db2® がアクセスする可能性がある FM/Db2 システムごとに、異なる監査設定を指定できます。
    • すべての FM/Db2 機能に監査を指定できますが (オプション)、テンプレートの構築またはその他の内部目的のために FM/Db2 が使用する SQL ステートメントについては、監査レコードが書き込まれません。
    • TSO ユーザー ID ごとに、異なる監査要件を指定できます。
    • Db2® オブジェクトごとまたは SQL ステートメントのタイプごとにそのアクセスに対して、あるいは、各 Db2® コマンドを発行するタイミングに対して、異なる監査要件を指定できます。
    • 一部の FM/Db2 機能では、FM/Db2 ユーザーに「Create audit trail (監査証跡の作成)」オプションを提供できます。これも SAF 規則で制御されます。「Create audit trail (監査証跡の作成)」オプションがあっても、必ずしもユーザーが監査をオフに切り替えることができるわけではありません。これは、該当する SAF リソース名に対してユーザーが持っているアクセス権限のレベルに依存します。ユーザーが「Create audit trail (監査証跡の作成)」オプションにアクセスできる場合、関連する SAF リソース規則で監査が要求されていなくても、常に監査をオンにできます。
    • ユーザーの監査ログ・データ・セットへの監査、セッション完了時に監査ログの自動 (必須) 印刷を行うユーザーの監査ログ・データ・セットへの監査、または SMF への監査を指定できます。重複ロギング (ユーザーの監査ログ・データ・セットと SMF に対するロギング) も指定できます。

考慮すべきその他の事項を以下に示します。

  • ユーザーの監査ログ・データ・セットへの監査では、多数の監査ログ・データ・セットが作成され、ディスク・スペースに影響を与える可能性があります。監査ログ・データ・セットの自動パージまたはアーカイブの実装を検討することが必要になる場合があります。
  • SMF (のみ) への監査は追加のセットアップを必要としますが、ユーザーの監査ログ・データ・セットへの監査ロギングよりも信頼性が高く、安全な、監査情報収集環境を提供します。
  • SAF 規則で制御される監査が SMF のみに対して有効になっている場合、File Manager/Db2 ユーザーは SAF 規則で制御される監査が有効であると判断できますが、どのアクティビティーが実際に監査されているかは、ユーザーには示されません。
  • SAF 規則で制御される監査が有効になっている場合、SMF 監査ログへのレコードの書き込みが必要なときにその書き込みが失敗すると、現行の FM/Db2 機能が終了します。

SAF 規則で制御される監査を実装する場合は、File Manager 監査を使用可能にする方法を決定する必要があります。これについて詳しくは、FM/Db2 監査機能のカスタマイズを参照してください。代替手段は 2 つあります。その 1 つでは、監査を使用可能にする SAF 規則が必要であり、SYS1.PARMLIB に属するメンバーが存在していなければなりません。もう 1 つでは、監査を使用可能にする SAF 規則が必要ですが、SYS1.PARMLIB に属するメンバーは不要です。SYS1.PARMLIB に属するメンバーを使用する場合は、SYS1.PARMLIB を使用する必要がない代替手段に比べて追加機能を使用できます。その追加機能については、PARMLIB メンバーで指定されている File Manager オプションを参照してください。

ご使用のインストール済み環境に適した監査タイプを決定したら、FM/Db2 監査機能のカスタマイズの手順に従います。