![[z/OS]](../images/ngzos.gif)
セキュリティーの調整ヒント
一般に、セキュリティーを強化すると、トランザクションごとのコストの上昇とスループットの低下という 2 つのことが起こります。WebSphere® Application Server を構成するときは、次のセキュリティー情報を考慮してください。
SAF クラス
SAF (RACF® または同等の) クラスがアクティブな場合、クラス内のプロファイル数は検査のパフォーマンス全体に影響を与えます。これらのプロファイルを (RACLIST を使用して) メモリー・テーブルに置くと、 アクセス検査のパフォーマンスが改善されます。アクセス検査での監査制御もパフォーマンスに影響を与えます。通常、失敗を監査し、成功は監査しません。 監査イベントは DASD にログされ、アクセス検査のオーバーヘッドを増やします。すべてのセキュリティー権限検査は SAF (RACF または同等のもの) で行われるため、SAF クラスの 使用可能または使用不可を選択してセキュリティーを制御することができます。 使用不可のクラスでは、わずかな量のオーバーヘッドがかかります。
さらに、SAF クラスに対して RACLIST が使用されていない場合、クラスのプロファイルに行った変更内容を反映するために、アプリケーション・サーバーを再始動する必要があります。

メソッドでの EJBROLE
メソッドで EJBROLE の最小数を使用します。EJBROLE を使用している場合、メソッドでさらにロールを指定すると、実行する必要のあるアクセス検査の数が増えることになり、メソッド dispatch 全体が遅くなります。EJBROLE を使用していない場合は、クラスを活動化しないでください。
Java 2 セキュリティー
Java™ 2 セキュリティーが必要ない場合は、使用不可にしてください。Java 2 セキュリティーを使用不可にする方法については、アプリケーション開発用のシステム・リソースおよび API (Java 2 セキュリティー) の保護を参照してください。
許可のレベル
- ローカル認証: ローカル認証は、非常に最適化されているため、最も早いタイプです。
- ユーザー ID およびパスワード認証: ユーザー ID およびパスワードを使用する認証では、 最初の呼び出しコストが高く、それ以降の各呼び出しのコストは低くなります。
- Kerberos セキュリティー認証: Kerberos セキュリティーのコストについては まだ適格な特性が明らかになっていません。
- SSL セキュリティー認証: SSL セキュリティーはパフォーマンス・オーバーヘッドが高いことで 知られています。 しかし、ハードウェアを使用することで得られる支援が数多くあるため、それらを使用することにより、この認証を z/OS® で問題なく使用できるようになります。
SSL を使用した暗号化のレベル
Secure Sockets Layer (SSL) を使用している場合、セキュリティー要件を満たす最低レベルの暗号化を選択します。 WebSphere Application Server では、使用する暗号スイートを選択することができます。暗号スイートにより、接続の暗号化強度が決定されます。 暗号化強度が高いほど、パフォーマンスへの影響も大きくなります。
RACF 調整
RACF 調整に関する以下のガイドラインに従ってください。
- RACLIST を使用して次の項目をメモリーに取り込み、
パフォーマンスを改善します。
具体的には、(使用する場合は) 必ず RACLIST で以下の項目を使用してください。
- CBIND
- EJBROLE
- SERVER
- STARTED
FACILITY
SURROGAT
例:RACLIST (CBIND, EJBROLE, SERVER, STARTED, FACILITY, SURROGAT)
- SSL のようなものを使用すると、コストが高くなります。重い SSL ユーザーを使用している場合は、 必ず PCI 暗号カードなどの適切なハードウェアを使用し、ハンドシェーク・プロセスをスピードアップしてください。
- 以下は、BPX.SAFFASTPATH 機能のクラス・プロファイルの定義方法です。このプロファイルによって、
ファイル共有システムへの正常なアクセスを監査するために使用できる SAF 呼び出しをバイパスすることができます。
- RACF の機能クラス・プロファイルを定義します。
RDEFINE FACILITY BPX.SAFFASTPATH UACC(NONE)
- 以下のいずれかを実行してこの変更を活動化します。
- re-IPL
- SETOMVS または SET OMVS オペレーター・コマンドを呼び出します。
注: 正常な HFS アクセスを監査する場合、または IRRSXT00 出口を使用して HFS アクセスを制御する場合は、このオプションを使用しないでください。 - RACF の機能クラス・プロファイルを定義します。
- parmlib メンバー COFVLFxx の例では、UID および GID の VLF キャッシュを使用します。例: sys1.parmlib(COFVLFxx):
RACF データベースでコストのかかるスキャンが実行されないようにするため、すべての HFS ファイルが必ず有効な GID および UID を持つようにしてください。********************************* Top of Data ********************. . CLASS NAME(IRRGMAP) EMAJ(GMAP) CLASS NAME(IRRUMAP) EMAJ(UMAP) CLASS NAME(IRRGTS) EMAJ(GTS) CLASS NAME(IRRACEE) EMAJ(ACEE) . ******************************** Bottom of Data ******************
- UNIX ファイル・システムのオブジェクトへのアクセスを制御する RACF (SAF) クラスに対してグローバル監査 ALWAYS を使用可能にしないでください。RACF クラス (DIRACC、DIRSRCH、FSOBJ、または FSSEC) に対して SETR LOGOPTIONS で監査 ALWAYS を指定した場合、パフォーマンスが大幅に低下します。監査が必要な場合、SETR LOGOPTIONS を使用して障害のみを監査し、正常に実行されたものに対する監査は、それを必要とする選択されたオブジェクトについてのみ行うようにします。これらのクラスで監査レベルを変更したら、応答時間または CPU 使用量に悪影響を及ぼしていないか必ず確認してください。