AS400 / IBM i の権限は、一度付けるとそのまま残りがちです。申請理由、対象業務、承認者、期限、退職時削除を決めずに権限を増やすと、退職者IDや過剰権限が残り、監査で説明しにくくなります。
権限申請で決める項目
| 項目 | 確認すること | 理由 |
|---|---|---|
| 申請理由 | どの業務に必要か | 不要な権限を防ぐ |
| 対象 | ユーザー、ライブラリ、ファイル、メニュー | 範囲を限定する |
| 承認者 | 業務責任者、保守責任者 | 誰が許可したか残す |
| 期限 | 一時権限か恒久権限か | 残りっぱなしを防ぐ |
| 削除 | 異動・退職時の削除 | 退職者IDを残さない |
特殊権限は別扱いにする
*ALLOBJ のような強い権限は、通常のメニュー権限とは別に扱います。理由、期限、作業ログ、承認者を残し、作業後に外せるか確認します。便利だから付ける、は監査上の説明が難しくなります。
権限監査は AS400権限・監査チェックリスト、セキュリティ点検は AS400セキュリティ点検チェックリスト、退職時の確認は 引き継ぎチェックリスト を参照してください。
関連: AS400のログイン・接続・権限まわりの実務記事として、AS400ユーザーIDロック・パスワード期限切れの確認手順|WRKUSRPRFで見るポイント も追加しました。
関連: AS400のセキュリティ・権限監査の実務記事として、AS400特殊権限・*ALLOBJ棚卸チェックリスト|過剰権限を放置しない確認順 も追加しました。
