SDSFのセキュリティー管理は、RACFなどの「外部セキュリティー・マネージャー」をお使いですか?それとも、SDSF独自の「内部セキュリティー」をお使いですか?2020年9月22日付けで、SDSFセキュリティー方式変更に関する「開発意向表明」(SOD)が発表されました。
IBM z/OS V2.4 3Q 2020 new functions and enhancements
IBM Japan Software Announcement JP20-0461(September 22, 2020)
この発表は、SDSF独自の「内部セキュリティー」を現在お使いの場合、「z/OS V2R4の次のリリース」(あるいは、その先)へ移行時に影響を受けます。また、これからSDSFを利用開始する場合には、将来を見据え、当初から「外部セキュリティー・マネージャー」の利用を強く推奨します。【今回発表のポイント】
- 「z/OS V2R4の次のリリース」から、SDSFのセキュリティー管理は、RACFおよび他のセキュリティー製品など、SAFベースの「外部セキュリティー・マネージャー」を利用することが必須になる予定です。
- 現在、ISFPRMxx PARMLIBメンバー、あるいはISFPARMSモジュールによるSDSF独自の「内部セキュリティー」をお使いの場合、SAFベースのセキュリティーへ移行する必要があります。
- このセキュリティー方式の変換を支援するために、移行関連のドキュメント、ならびにツールを提供する計画です。
- 将来に向け、SAFベースのセキュリティーへ移行開始することを推奨します。
【これまでの経緯】
- 「IBM Health Checker for z/OS」の機能拡張
z/OS V1R11の標準機能として「CHECK(IBMSDSF,SDSF_CLASS_SDSF_ACTIVE)」が新規提供され、RACF SDSFクラスの非活動時にはエラー・メッセージISFH1016Eを出力します。z/OS V1R9、V1R10に対しては、2008年に、SDSF APAR PK68253で同様な機能が追加されました。
- SAFインターフェースを通じて、RACFなどの「外部セキュリティー・マネージャー」を利用することが推奨
「IBM Health Checker for z/OS」のマニュアル、SDSF関連マニュアルでは、以前より、セキュリティー・プロファイルの動的変更、セキュリティー管理の一元化、充実した監査機能、移行容易性(z/OSマイグレーション時の再カスタマイズ不要)などの観点から、SDSF「内部セキュリティー」の代わりに「外部セキュリティー・マネージャー」の利用が推奨されています。また、z/OS V1R10からサポート開始された「JES3環境のSDSF稼働」では、当初から「外部セキュリティー・マネージャー」の利用が必須となっています。
【発表に関する補足情報】
- SDSF製品では、ISFPARMS、ISFPRMxx PARMLIBメンバーによる「内部セキュリティー」から、RACFによる「外部セキュリティー・マネージャー」へのコンバージョンを支援するため、1996年以降、「ISFACR」 REXX EXECを提供しています。(ISF.SISFEXECデータセット)
- 一方、今回の発表で触れられている「ツール」などの詳細に関しては、その提供時期を含め、現時点では一切明らかになっていません。
【追加情報: 2021年7月25日】
#041【開発意向表明対応】 「z/OS 2.4 SDSF Security Migration Guide」新規マニュアルの公開(SC27-4942-40)
以上