AS400 / IBM i で CPF9802 が出ると、対象オブジェクトに対する権限が足りない、ライブラリ権限がない、実行ユーザーが違う、採用権限やグループプロファイルの前提が崩れている、といった原因が考えられます。5250画面、夜間バッチ、ODBC/JDBC、Web/API連携で見え方が変わることもあります。
この記事では、CPF9802を見た時の確認順を、AS400保守現場の目線で整理します。むやみに権限を広げるのではなく、対象オブジェクト、実行ユーザー、ジョブ、ライブラリ、監査ログを分けて確認します。
CPF9802で最初に確認すること
- ジョブログに出ている対象オブジェクトとライブラリ
- 実行ユーザー、ジョブユーザー、グループプロファイル
- ファイル、プログラム、コマンド、ライブラリのどの権限が不足しているか
- 対話型ジョブとバッチジョブでユーザーやライブラリリストが違わないか
- 直近で権限、所有者、ライブラリ、ジョブ記述を変更していないか
権限を広げる前に見るポイント
CPF9802が出たからといって、すぐに全権限を付けるのは危険です。必要な操作が参照なのか、更新なのか、削除なのか、実行なのかを分けます。対象が物理ファイルなのか、論理ファイルなのか、プログラムなのか、ライブラリなのかでも確認箇所が変わります。
権限確認の全体像は AS400機密保護・権限確認チェックリスト、システム値や運用設定は DSPSYSVAL・WRKSYSVALの確認手順 を確認してください。
バッチや外部接続で出る場合
5250画面では動くのにSBMJOBや外部接続でCPF9802が出る場合、実行ユーザー、JOBD、ライブラリリスト、採用権限、サーバージョブの環境が違う可能性があります。ODBC/JDBC接続では、接続ユーザーにどの権限を持たせるかを明確にします。
バッチ実行は SBMJOB・WRKSBMJOB・DSPJOBDの確認手順、外部接続は AS400 ODBC/JDBC接続の確認ポイント を参照してください。
監査ログで追う
権限不足や不審なアクセスを後から追う場合は、監査ログ、QAUDJRN、DSPJRNの確認も候補になります。ただし、監査設定を急に変えるとログ量が増えるため、確認目的と保管方針を決めてから進めます。
監査ログの入口は AS400監査ログの確認ポイント、メッセージID全体の入口は AS400メッセージID・エラーコード索引 です。
対応前チェックリスト
- 対象オブジェクト、ライブラリ、操作内容を確認したか
- 実行ユーザーとジョブユーザーを確認したか
- 対話型、バッチ、外部接続で環境差を確認したか
- 必要最小限の権限にできるか検討したか
- 監査ログや変更履歴を残す必要があるか確認したか
CPF9802は、権限不足のサインであると同時に、運用設計を見直すきっかけにもなります。対象、ユーザー、ジョブ、権限範囲を分けて確認し、必要以上に権限を広げない対応が大切です。
