AS400 / IBM i は長く使われることが多く、業務は安定していても、ユーザープロファイル、オブジェクト権限、退職者ID、共用IDの運用が古いまま残っていることがあります。障害が起きてから見るのではなく、保守の棚卸しとして定期的に確認したい領域です。
権限確認の観点
| 確認 | 見るもの | リスク |
|---|---|---|
| ユーザープロファイル | 使用停止、最終使用日、特殊権限 | 退職者IDや過剰権限の残存 |
| 共用ID | 利用者、用途、パスワード管理 | 誰が操作したか追えない |
| オブジェクト権限 | ライブラリ、ファイル、プログラム | 本番データの誤更新や参照漏れ |
| バッチ実行ユーザー | JOBD、SBMJOB、運用手順 | 人のIDで夜間処理が動く |
| 監査ログ | 操作記録、変更履歴 | 事故後に説明できない |
特殊権限は理由と期限を持つ
*ALLOBJ のような強い権限は、持っていること自体が悪いのではなく、理由、対象者、利用場面、期限、代替策が説明できない状態が危険です。保守会社や開発担当者に付与した権限も、プロジェクト終了後に残っていないか確認します。
退職者IDと共用IDは監査で見られやすい
現場では「昔からあるIDだから」という理由で退職者IDや共用IDが残っていることがあります。障害時には便利でも、監査やインシデント時には説明が難しくなります。廃止できない場合も、用途、責任者、保管場所、利用記録を明確にします。
担当者退職時の棚卸しは AS400担当者が退職する時の引き継ぎチェックリスト、属人化対策は AS400保守の属人化を減らす方法 にまとめています。保守会社を選ぶ時も、権限管理をどう扱うかは重要な確認ポイントです。
Codexに渡す情報は匿名化する
権限や監査の相談でCodexを使う場合は、ユーザー名、会社名、IP、取引先、実データを入れず、権限種別や運用パターンだけに匿名化します。AIは棚卸し観点の整理には使えますが、最終判断と権限付与は必ず人が行います。
関連: AS400専門サイトとしての網羅性を高めるため、AS400 Query・SQLでデータ確認する時の注意点|本番データを壊さない調査手順 も追加しました。
関連: 25年以上の現場経験を反映した実務記事として、AS400本番データ修正の承認チェックリスト|SQL更新・手修正で事故を防ぐ も追加しました。
関連: AS400のセキュリティ・運用改善・外部依頼を整理する場合は、AS400セキュリティ点検チェックリスト|権限・退職者ID・FTP・監査ログを見る も確認してください。
関連: AS400マスタ・権限管理の実務記事として、AS400権限申請・承認フローの作り方|過剰権限と退職者IDを増やさない も追加しました。
関連: AS400のログイン・接続・権限まわりの実務記事として、AS400ユーザーIDロック・パスワード期限切れの確認手順|WRKUSRPRFで見るポイント も追加しました。
関連: AS400のセキュリティ・権限監査の実務記事として、AS400パスワードポリシー確認手順|システム値・期限切れ・サインオン失敗を点検する も追加しました。
関連: AS400のセキュリティ・権限監査の実務記事として、AS400特殊権限・*ALLOBJ棚卸チェックリスト|過剰権限を放置しない確認順 も追加しました。
権限確認は、ユーザー単位ではなく業務と承認で見る
AS400の権限監査では、誰に何の権限があるかだけでなく、そのユーザーがどの業務を担当し、なぜ本番環境の権限が必要なのかを確認します。退職者、異動者、外部エンジニア、共有ユーザーは、承認と棚卸しの記録を残すべき対象です。
- 不要な特殊権限や共有ユーザーを棚卸しする
- 本番更新権限は承認と作業記録をセットにする
- 外部エンジニアの権限は期限付きで管理する
- CPF9802と権限不足の確認
- 監査ジャーナルの確認
