1
0

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?

@gomAnomalocaris(Mikio Sasaki)inIBM

Redbook : IBM i 7.6 Features and Function を読む Chapter.3 セキュリティ ①拡張の概要

1
Last updated at Posted at 2026-02-25

パート3前文を掲載します。

IBM i はセキュアなプラットフォームであるとよく言われますが、それ自体がデフォルトでセキュアというわけではありません。
IBM i は、高度なセキュリティを実現するために必要なテクノロジー、制御、構成を提供しています。強固なセキュリティ体制を維持するために、IBM は進化するベストプラクティスをプラットフォームに統合する必要があり、お客様はそれらのベストプラクティスをお客様の環境に適用するための行動を取る必要があります。
IBM は、業界標準のセキュリティ機能により IBM i を継続的に強化しています。同時に、お客様はシステムとデータを保護するためにこれらの機能を実装および維持する責任があります。この責任共有モデルについては、ホワイトペーパー「IBM i のセキュリティ保護:二重の責任」で詳しく説明しています。

最新の IBM i リリースには、システムセキュリティの強化に役立つオペレーティングシステムの更新が含まれています。この章には、以下のトピックが含まれています。

多要素認証の概要
パスワードレベルの変更の計画
MFA の有効化
MFA 用のシステム管理者ロールのユーザープロファイル
MFA 非対応インターフェースの MFA
追加の 2 要素非対応インターフェース
TLS の有効化
サービスツールの MFA
IBM i 7.6 の追加セキュリティ機能

※執筆時点でIBM i 7.6 MFAは他でも色々情報があると思うのでMFAの基本的なところは(まずは)スキップし、あまり触れられていない情報にフォーカスしたいと思います。

サードベンダー製のMFAソリューションも統合可能

IBM i には普遍的に利用可能な認証出口点(Exit Point) QIBM_QSY_AUTH が提供されています。この出口点を使用すると、ネイティブの IBM i MFA 機能をIBM製以外を含む市販・社内ソリューションで使用・組み込み・拡張が可能です。
7.6 より前の IBM i リリースの MFA ソリューションでは、すべての認証方式を保護できるわけではありません。一例としてDST/SSTパスワードのMFA保護は7.6以降でのみ可能です。

IBM i 7.6統合MFA以外のMFAソリューション

IBM PowerSC は複数の追加要素を備えた代替の IBM i MFA ソリューションを提供します。ただし、これはIBM i OSには統合されていません。IBM PowerSC MFA アウトオブバンド認証では、ユーザーはアウトオブバンド Web ページで 1 つ以上の要素を使用して認証し、キャッシュ・トークン資格情報 (CTC) と呼ばれる認証コードを取得する必要があります。
IBM i 上で実行される PowerSC MFA エージェントは、ユーザー・プロファイルのパスワードを CTC 値に変更します。その後、ユーザーは Web ページから取得した CTC 値をパスワードとして入力します。

このIBM PowerSC MFA for IBM iは7.6 より前のリリースで使用できます。詳細については、IBM PowerSC 多要素認証のドキュメントを参照してください。

システム値 PQWDLVL パスワードレベルを変更する前に関連バックアップを取得しておく

パスワード・レベルの変更は慎重に計画してください。適切な準備を怠ると、他のシステムでの操作が失敗し、ユーザーがサインオンできなくなる可能性があります。
QPWDLVL システム値を変更する前に、SAVSECDTA コマンドまたは SAVSYS コマンドを使用してセキュリティー・データを保存してください。最新バックアップがある場合は、パスワード レベルを低く戻す必要がある場合でも、すべてのユーザーのプロファイルのパスワードをリセットできます。

MFAインターフェースが有効でない環境でのTOTPトークン入力方法

IBM i 7.6では多くのインターフェースに「追加要素」と呼ばれる新しいフィールドが追加されました。このフィールドにTOTPパスワードを入力できます。(例5250サインオン画面、Navigator for i ログイン画面)

ただし、すべての接続プロトコルにたいしてこの新しい「追加要素」フィールドを追加できるわけではありません。追加要素フィールドが使用できない接続では、パスワードとTOTP値の間にコロン(:)を挿入することで、パスワードにTOTP値を追加できます。

パスワードに続けてTOTP値を追加指定する例

Password:123456

注)Redbookの該当箇所に恐らくタイポ?があって、上記のパスワードとTOTPキーの間はセミコロン(;)で区切る、という記載もありました。ですが、掲載されているサンプル類はすべてコロン(:)で区切っているので上記例のようにコロンが正しいと思われます。
もう1つRedbookから追加要素フィールドの無い場合の、パスワード+TOTPキーの入力例を転載します。

image.png

1
0
2

Register as a new user and use Qiita more conveniently

  1. You get articles that match your needs
  2. You can efficiently read back useful information
  3. You can use dark theme
What you can do with signing up
Sign upLogin
1
0

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?