AS400 / IBM i のセキュリティ確認では、ユーザー権限やシステム値だけでなく、監査ログをどう残し、どう確認するかが重要です。代表的な入口が監査ジャーナル QAUDJRN と DSPJRN です。ただし、本番環境で監査設定を急に変えると、ジャーナルレシーバーの増加や運用負荷につながることがあります。
この記事では、AS400の監査ログ、QAUDJRN、DSPJRNを見る前に確認することを、保守現場の目線で整理します。権限変更、不正アクセス調査、削除操作の追跡、ODBC/JDBC接続の監査を考える時の入口です。
監査ログで確認したいことを先に決める
監査ログは、何でも記録すればよいものではありません。ログの量が増えすぎると、保管、検索、バックアップ、復旧時の扱いが難しくなります。まず、何を追跡したいのかを決めます。
- サインオン失敗や不審なログインを見たい
- 権限変更やユーザープロファイル変更を追いたい
- 重要ファイルの削除、変更、参照を確認したい
- ODBC/JDBCや外部接続の利用状況を追いたい
- 監査証跡として一定期間残したい
QAUDJRNとDSPJRNの役割
QAUDJRNは、IBM iの監査情報を記録するために使われる代表的な監査ジャーナルです。DSPJRNはジャーナルの内容を表示するコマンドです。監査ログを見る時は、ジャーナル、ジャーナルレシーバー、対象エントリー、期間、ユーザー、ジョブを分けて確認します。
DSPJRNで出力する時は、対象範囲を絞ることが重要です。期間やエントリータイプを絞らずに大量出力すると、調査に時間がかかり、必要な情報を見落とします。監査ログを本格的に扱う前に、運用担当者、セキュリティ担当者、保守会社で確認目的をそろえます。
設定変更前に見るシステム値
監査に関係するシステム値や運用設定は、むやみに変更しない方が安全です。現在の設定、変更理由、影響範囲、戻し手順、ジャーナルレシーバーの保管方針を確認します。システム値の見方は DSPSYSVAL・WRKSYSVALの確認手順 を参照してください。
権限や機密保護の全体像は AS400機密保護・権限確認チェックリスト、ジャーナルとレシーバーの基本は ジャーナル・コミットメント制御の基本 も合わせて確認してください。
外部接続やAI活用と組み合わせる時
ODBC/JDBC、API連携、AIを使った調査を進める場合も、誰が、いつ、どのデータへアクセスしたかを追える状態にすることが大切です。接続ユーザーを共有しすぎると、後から原因を追いにくくなります。
外部接続の入口は AS400 ODBC/JDBC接続の確認ポイント、AIやCodexの安全利用は AS400保守でAI・Codexを安全に使う方法 を確認してください。
監査ログ確認前チェックリスト
- 何を追跡したいか決めたか
- 対象ユーザー、対象ファイル、対象期間を絞ったか
- QAUDJRNやジャーナルレシーバーの保管方針を確認したか
- 監査設定変更の影響範囲と戻し手順を確認したか
- ログの出力結果に個人情報や機密情報が含まれる前提で扱っているか
監査ログは、障害対応やセキュリティ確認の最後のよりどころになることがあります。AS400の運用では、QAUDJRN、DSPJRN、システム値、権限、外部接続を切り離さず、目的を決めて安全に確認することが大切です。
QAUDJRNは権限変更・データ抽出・接続調査と一緒に見る
QAUDJRNやDSPJRNは、監査担当だけが見るものではありません。権限変更、ログイン失敗、重要ファイルへのアクセス、データ抽出、ODBC/JDBC接続の調査でも入口になります。権限全体は権限確認チェックリスト、外部接続はQZDASOINIT確認と合わせて確認してください。
