高岡智則
年齢:33歳 性別:男性 職業:Webディレクター(兼ライティング・SNS運用担当) 居住地:東京都杉並区・永福町の1LDKマンション 出身地:神奈川県川崎市 身長:176cm 体系:細身〜普通(最近ちょっとお腹が気になる) 血液型:A型 誕生日:1992年11月20日 最終学歴:明治大学・情報コミュニケーション学部卒 通勤:京王井の頭線で渋谷まで(通勤20分) 家族構成:一人暮らし、実家には両親と2歳下の妹 恋愛事情:独身。彼女は2年いない(本人は「忙しいだけ」と言い張る)
racfとは?基礎から学ぶセキュリティの仕組み
racf(Resource Access Control Facility)は、資源へのアクセスを管理するセキュリティ機能です。主にIBMのz/OSという大型機を動かす環境で使われる仕組みで、誰が、どの資源を、どのように使えるかを決める大切な役割を果たします。racfを正しく設定すると、データの機密性や安定稼働を守る手助けになります。
RACFの目的と役割
RACFの基本的な目的は、資源へのアクセスを「許可された人だけに限定する」ことです。ここでいう資源にはデータセット、ジョブ、プログラム、端末、ネットワーク接続など、ざまざまなものが含まれます。「誰が」「何を」「どう使えるか」を細かく決められるのが RACF の特徴です。この仕組みを使うことで、誤操作や不正アクセスを減らすことができます。
RACFがどう動くのか
RACFは資源ごとに設定される「プロファイル」と呼ばれる情報を使って動きます。プロファイルにはユーザーID、グループ、権限、そして資源へのアクセス条件が含まれます。権限にはREAD(読み取り)、WRITE(書き込み)、EXECUTE(実行)、DELETE(削除)などがあり、これらを組み合わせて個人やグループごとに細かく制御します。さらに、監査機能により、誰が何を実行したかの記録を残すことができ、後で問題が起きたときに原因を追跡しやすくなります。
よく使われる用語と構成要素
以下は RACFの運用でよく登場する基本的な要素です。覚えておくと設定がスムーズになります。
| 説明 | |
|---|---|
| ユーザーID | 個人を識別するID。アクセス権の対象として使われます。 |
| 資源 | データセット、ジョブ、プログラム、端末など、保護したい対象。 |
| プロファイル | 資源ごとに権限を定義する設定データ。 |
| 権限 | READ/WRITE/EXECUTE/DELETE など。資源の利用許可を表します。 |
| 監査 | 誰がいつ何を実行したかを記録する機能。後の調査に役立ちます。 |
RACFの導入と運用の流れ
新しく RACF を導入するときは、まず全体の設計から始めます。資源の洗い出しを行い、どんな権限が必要かを決めます。次に、プロファイルの作成とアクセスルールの設定を行います。その後、テスト環境で設定を検証し、本番環境へ移行します。最後に、運用中は 監査ログの確認と 権限の見直しを定期的に行うことが重要です。なお、RACFは設定ミスがセキュリティリスクにつながりやすいため、変更時には必ず影響範囲を確認しましょう。
RACFを学ぶときのポイント
初心者がRACFを学ぶときは、まず「何を守りたいのか」を明確にしてから設計を始めるのがコツです。小さな資源から順に権限を割り当て、実際の操作を通じて理解を深めるのが効果的です。また、監査ログの活用を習慣化すれば、設定が正しく機能しているかを確認できます。実務では、運用手順書を作成し、変更履歴を残すことが安全な運用につながります。
まとめ
racfは、資源へのアクセスを厳密にコントロールするための重要なセキュリティ機能です。誰がどの資源をどう使えるかを定義する仕組み、そして 監査機能 により後から検証できる点が大きな特徴です。初めは基本的な概念から始め、徐々に実際の設定を体験することで、セキュリティの考え方を身につけることができます。
racfの同意語
- RACF
- Resource Access Control Facility(IBMのメインフレーム向け資源アクセス制御機能の略称)
- Resource Access Control Facility
- RACFの正式名称。IBMのメインフレーム環境で資源へのアクセスを認証・認可するセキュリティ機能のこと。
- リソースアクセス制御機能
- 資源(データや資産)へのアクセスを制御する機能の総称。RACFの役割を表す際に使われることが多い表現。
- 資源アクセス制御機能
- 資源へのアクセスを管理・制御する機能。RACFの説明に用いられる日本語表現。
- 資源アクセス制御ファシリティ
- 資源へのアクセスを制御する機能(ファシリティ)という表現。RACFの日本語訳の一つ。
- 資源アクセス制御
- 資源へのアクセスを制御する仕組み全体を指す語。RACFが担う核となる機能を意味づけるときに使われることがある。
- アクセス制御機能
- システム全体のアクセス権限を管理・制御する機能の総称。RACFの機能群を指すときにも使われる。
- 認証・認可機能
- ユーザーの身元確認(認証)とアクセス許可判断(認可)を行う機能。RACFが担う核心要素。
- 権限管理
- ユーザーやグループの権限を設定・運用すること。RACFの中心的機能の一つ。
- アイデンティティとアクセス管理
- Identity and Access Management(IAM)の概念。RACFが担う領域を含む広義の表現。
- IBMメインフレーム向けセキュリティ製品
- IBMが提供するメインフレーム向けセキュリティソリューションの総称。RACFはその中核を成す製品。
racfの対義語・反対語
- 自由アクセス
- 誰でも制限なく資源へアクセスできる状態
- オープンアクセス
- 認証を要さず、広く公開されているアクセス形態
- 公開
- 資源が一般に公開され、制限が少ない状態
- 開放
- アクセス規制を取り払い、誰でも利用できる状態
- 無制限アクセス
- アクセス制限が設けられていない状態
- パブリックアクセス
- 公的・一般向けのアクセス権限で、個別認証を必要としないことが多い
- アクセス制御なし
- 資源に対して特別な権限管理が設定されていない状態
- 認証不要アクセス
- アクセス時に認証を要求しない形態
- 匿名アクセス
- 個人を特定しない状態でアクセスできること
- 全権限付与
- 利用者に対して全ての権限を付与している状態
- 閲覧・操作の自由化
- 閲覧や操作の制限が緩和・撤廃された状態
- 緩いセキュリティ・方針
- セキュリティ基準やアクセス制御が弱い状態
racfの共起語
- RACF
- Resource Access Control Facility。IBMのメインフレームOSであるz/OS上のリソースアクセスを管理するセキュリティ機能。
- z/OS
- IBMのメインフレーム向けOS。RACFが動作する基盤。
- メインフレーム
- 大規模な企業向けのIBM製大型計算機とOSの総称。
- セキュリティ
- 認証・認可・監査など、システムを安全に保つしくみ全般。
- アクセス制御
- 誰がどのリソースにアクセスできるかを決める機能。
- リソース
- RACFが保護対象とする資源。データセット、プログラム、ライブラリなど。
- リソースクラス
- RACFで扱うリソースのカテゴリ(例: dataset, TSOコマンドなど)。
- プロファイル
- RACF上でリソースごに権限や属性を定義する設定。
- データセット
- データの格納単位。RACFでアクセス権を設定する主な対象。
- データセットプロファイル
- データセット型リソースの権限設定を定義したプロファイル。
- ユーザー
- RACFで管理する識別子。個々の権限はこのユーザーに結び付く。
- ユーザーID
- RACFで用いられる識別子(USERID)。ログオン元となるID。
- RDEFINE
- RACFコマンドの1つ。新しいリソースの定義を作成する。
- PERMIT
- RACFコマンドの1つ。既存リソースに対して権限を付与する。
- RALTER
- RACFコマンド。リソースプロファイルの属性を変更する。
- ALTUSER
- RACFコマンド。ユーザープロファイルを作成・変更する。
- ALTGRP
- RACFコマンド。グループプロファイルを作成・変更する。
- RACLIST
- RACFコマンド。リソースのアクセスリストを管理する機能。
- RLIST
- RACFコマンド。リソース定義の一覧表示を行う。
- SMF
- System Management Facility。RACFのイベントを記録するログ機構。
- 監査
- 誰がどのリソースへアクセスしたかを追跡・記録する機能。
- APF
- APF認証済みライブラリの保護設定。RACFと連携して強化する要素。
- 認証
- ユーザーの身元を確認するプロセス(ログオン時の確認)。
- 認可
- 認証後に、どのリソースへどの操作が許可されるかを決定する処理。
- 権限
- READ・UPDATE・CONTROLなど、リソースに付与される操作権限の総称。
- READ
- リソースの閲覧許可。
- UPDATE
- リソースの変更・更新を許可。
- CONTROL
- リソースを完全に制御する権限。最も強力な権限の一つ。
racfの関連用語
- RACF
- IBMの z/OS 用セキュリティ・アクセス制御機能。誰がどの資源にアクセスできるかを管理し、監査も行います。
- ユーザー
- RACFで扱う人の識別単位。ログオンIDと紐づけられ、権限はこのIDに対して設定されます。
- グループ
- 複数のユーザーをまとめる集合。共通の権限をまとめて割り当てるのに便利です。
- プロファイル
- RACFの設定の中心となる単位。リソースへのアクセス権や属性を定義します。
- リソース
- 保護対象となるもの。データセット、プログラム、CICSやTSOの資源など。
- リソースクラス
- リソースを分類するカテゴリ。RDEFINE でクラス名とリソース名を組み合わせて管理します。
- アクセス権限
- リソースに対する操作の許可。代表例としてREAD(読み取り)・UPDATE(更新)・CONTROL(制御)などがあります。
- 認証
- 利用者の身元確認のプロセス。パスワード、証明書、外部認証などを用います。
- 認可
- 認証後に、特定の資源を誰が何をできるかを決定する権限の付与。
- 監査
- アクセス試行や設定変更などの履歴を記録する機能。
- 監査ログ
- 監査情報を保存する実際の記録。SMFへ出力されることが多いです。
- SMF
- System Management Facility。z/OSの監査・統計データを集約・提供します。
- RACFデータベース
- RACFのプロフィール・権限情報を格納するデータベースファイル。
- ログオンID
- RACFで利用者を識別するID。
- APF
- Authorized Program Facility。特権プログラムを配置するライブラリに対して、RACFでの保護が必要です。
- LDAP認証
- LDAP/Active Directory などの外部認証機構と連携して身元確認を行う設定。
- RDEFINEコマンド
- リソースプロファイルを定義するRACFのコマンド。
- RALTERコマンド
- 既存のリソースプロファイルを変更するコマンド。
- RLISTコマンド
- 定義済みリソースプロファイルの一覧を表示するコマンド。
- RDELETEコマンド
- リソースプロファイルを削除するコマンド。
- データセット
- データを格納する主な資源。RACFで権限を設定してアクセスを制御します。
- プログラム
- 実行可能コード。APF等の要件対象で、適切に保護します。
- ACF2
- RACFの競合製品として知られる別社のセキュリティ製品。
- Top Secret
- RACFの競合製品として知られる別社のセキュリティ製品。
- ポリシー
- 組織のセキュリティ方針をRACF上で実現する権限・制御の集合。
racfのおすすめ参考サイト
- z/OSに対するセキュリティシステム監査(RACFとは?)|inukiti
- z/OSに対するセキュリティシステム監査(RACFとは?)|inukiti
- z/OSに対するセキュリティシステム監査(RACF-DBとは?)|inukiti
インターネット・コンピュータの人気記事
