Oracle® Enterprise Manager Cloud Control Oracle Databaseコンプライアンス標準 12c リリース4 (12.1.0.4) B70518-04 |
|
前 |
次 |
この章では、セキュリティ技術導入ガイド(STIG)ベースのコンプライアンス標準を使用する方法と、環境に固有の要件に応じてこれらをカスタマイズする方法について説明します。
安全なデータベース環境を提供するというオラクル社の取組みに従って、Enterprise Managerは、コンプライアンス標準の形式での複数のセキュリティ技術導入ガイド(STIG)の導入をサポートしています。STIGは、国防総省(DOD)に指示されたセキュリティ要件へのコンプライアンスを確実にするために国防情報システム局(DISA)によって作成されたルール、チェックリストおよびその他のベスト・プラクティスのセットです。
現在使用可能なSTIGベースのコンプライアンス標準は、次のとおりです。
セキュリティ技術導入ガイド(STIGバージョン1.8) (Oracle Database [リリース1.8]用)
セキュリティ技術導入ガイド(STIGバージョン1.8) (Oracle Cluster Database [リリース1.8]用)
セキュリティ技術導入ガイド(STIGバージョン8 リリース1.11) (Oracle Database用)
セキュリティ技術導入ガイド(STIGバージョン8 リリース1.11) (Oracle Cluster Database用)
Oracle 11.2g Database STIG - バージョン1、リリース2 (Oracle Database用)
Oracle 11.2g Database STIG - バージョン1、リリース2 (Oracle Cluster Database用)
STIGの詳細は、Information Assurance Support EnvironmentのWebサイト(http://iase.disa.mil/stigs/Pages/index.aspx
)を参照してください。
データベースがSTIGコンプライアンス標準を満たしているか判断するには、データベース・ターゲットを標準と関連付ける必要があります。
「エンタープライズ」メニューから「コンプライアンス」を選択し、「ライブラリ」を選択します。
「コンプライアンス標準」タブを選択してSTIG標準を検索します。ターゲット・タイプは、Oracle DatabaseとOracle Cluster Databaseの2つです。
適切な標準を選択し、「ターゲットの関連付け」をクリックします。
「追加」をクリックして、監視するデータベース・ターゲットを選択します。セレクタ・ダイアログを閉じると表にターゲットが表示されます。
「OK」をクリックしてからアソシエーションを保存するか確認します。アソシエーションは、構成拡張"STIG構成"を適切な管理エージェントに内部的にデプロイします。
デプロイメント後に構成収集が発生すると、結果を表示できます。「エンタープライズ」メニューから「コンプライアンス」、「ダッシュボード」または「結果」の順に選択します。
STIGコンプライアンス標準を処理するオプションは4つあります。
STIGチェックの推奨に従ってデータベース上のセキュリティ構成を修正することによって違反に対処します。
「エンタープライズ」メニューから「コンプライアンス」を選択し、「結果」を選択します。
STIGコンプライアンス標準の行を選択し、「違反の管理」をクリックします。
表のなかでルール違反の行を探し、右端の列の推奨される修正をメモします。
推奨に従って変更を加えた後、Enterprise Managerで次のようにデータベース構成をリフレッシュします。
データベース・ターゲットのホーム・ページに移動します。
データベース・メニューから、「構成」、「最新収集」の順に選択します。
右側の「アクション」メニューから「リフレッシュ」を選択します。
リフレッシュが完了したら左側のペインの構成拡張を選択し、失敗した構成の表示がないことを確認します。
「エンタープライズ」メニューから「コンプライアンス」を選択し、「結果」を選択します。データベース・ターゲットに違反が表示されなくなったことを確認します。
自動化できないチェックは、手動ルールとして実装されます。これらのチェックは、管理者がルール説明やSTIGガイドそのものに記載されている手順に従って実行する必要があります。
手動ルールを含むコンプライアンス標準が最初にターゲットに関連付けられると、各手動ルールによって1つの違反が生成されます。これにより、管理者はチェックの正常完了後に違反をクリアできるようになります。プロセス中、操作を実行しているユーザーおよび操作の説明が記録されます。また、ユーザーは有効期限を設定することもでき、この期限になると違反が再生成されます。これにより、コンプライアンスが定期的に再評価されます。
「エンタープライズ」メニューから「コンプライアンス」を選択し、「結果」を選択します。
STIGコンプライアンス標準の行を選択し、「違反の管理」をクリックします。
「手動ルール違反」タブを選択します。
1つ以上のルールを選択し、「違反のクリア」をクリックします。
理由および有効期限(オプション)を入力し、「OK」をクリックします。
違反を抑止すると、結果およびコンプライアンス・スコアの計算から違反が削除されます。抑止されていても、抑止された違反が表示された管理ビューを使用してレポートを作成することはできます。
違反は永続的にも一時的にも抑止できるため、永続的な例外や猶予期間が可能になります。日付を入力するよう選択した場合、基礎となる条件が修正される結果として日付が消去されないかぎり、違反はその日付に再表示されます。
「エンタープライズ」メニューから「コンプライアンス」を選択し、「結果」を選択します。
STIGコンプライアンス標準の行を選択し、「違反の管理」をクリックします。
「抑止解除された違反」を選択します。
抑止する違反がリストされた行を選択し、「違反の抑止」ボタンをクリックします。
開いたダイアログで、「無期限」を選択するか、有効期限を選択します。抑止の理由を入力することもできます。「OK」をクリックします。
違反を検出するルールの意図は望ましいが、環境に合うようにそのルールの微調整が必要な場合があります。STIGコンプライアンス標準では、コンプライアンス標準の違反を評価する問合せを表示してカスタマイズすることができます。そのプロセスには次の作業が含まれます。
プロセスを示すために、ルールDG0116 DBMS privileged role assignments
の問合せを更新するシナリオを想定します。
STIG構成拡張をカスタマイズするには、次の手順を実行します。
「エンタープライズ」メニューから「構成」を選択し、「構成拡張」を選択します。
適切なSTIG構成表の行(データベース・インスタンスまたはクラスタ・データベース)を選択し、「類似作成」ボタンをクリックします。
拡張に「カスタムSTIG構成」などの新しい名前を指定します。
「ファイルとコマンド」タブで、すべてのコマンド行を選択して「削除」をクリックします。
「SQL」タブで、ルール別名「DG0116 DBMS privileged role assignments」を探します。この上または下にある他のすべての行を削除します。
DG0116の問合せを変更して、たとえば「カスタムDG0116 DBMS privileged role assignments」などに別名を変更します。
結果の確認: サンプル・ターゲットを選択して「プレビュー」をクリックします。
違反がもう表示されない場合、「カスタムSTIG構成拡張」を保存します。
コンプライアンス標準ルールをカスタマイズするには、次の手順を実行します。
「エンタープライズ」メニューから「コンプライアンス」を選択し、「ライブラリ」を選択します。
「コンプライアンス標準ルール」タブを選択して、エージェント側ルール・タイプのルールDG0116 DBMS privileged role assignments
を検索します。
ルールを選択して「類似作成」ボタンをクリックします。
たとえば「カスタムDG0116 DBMS privileged role assignments」などに名前を変更します。「続行」をクリックします。
チェック定義ページで、新しいSTIG構成拡張(カスタムSTIG構成拡張)および別名(カスタムDG0116 DBMS privileged role assignments)を選択するために拡大鏡アイコンをクリックします。
カスタム構成拡張および別名を選択して「OK」をクリックし、「次」をクリックしてテスト・ページに移動します。
ターゲットを選択してコンプライアンス・ルールをテストします。
「次」、「終了」の順にクリックして、新しいコンプライアンス・ルールを作成します。
新しいルールでコンプライアンス標準を作成するには、次の手順を実行します。
「エンタープライズ」メニューから「コンプライアンス」を選択し、「ライブラリ」を選択します。
「コンプライアンス標準」タブを選択し、エージェント側ルール・タイプのデータベース・インスタンス用のSTIGを検索します。
コンプライアンス標準を選択して「類似作成」ボタンをクリックします。
名前を変更します(たとえば、「カスタム・セキュリティ技術導入ガイド」など)。「続行」をクリックします。
左側のペインでOracle Databaseチェック・プロシージャ・フォルダを開き、「DG0116 DBMS privileged role assignments」までスクロール・ダウンします。
ルールを右クリックしてポップアップ・メニューから「ルール参照の削除」を選択します。「OK」をクリックして削除を確認します。
Oracle Databaseチェック・プロシージャ・フォルダを右クリックして、ポップアップ・メニューから「ルールの追加」を選択します。
表のなかで「カスタムDG0116 DBMS privileged role assignments」の行を探し、「OK」をクリックします。
コンプライアンス標準の類似作成ページで、「保存」ボタンをクリックして新しいコンプライアンス標準を作成します。
カスタム・コンプライアンス標準を、7.2項で説明しているようにターゲット・データベースと関連付けできるようになりました。
Enterprise ManagerのOracle Database用セキュリティ技術導入ガイドの実装では、Windowsデータベースを完全にはサポートしていません。次のルールは、Windowsデータベースでは違反をレポートしません。
Enterprise ManagerのOracle Database 11g STIGの実装は、チェックリストとは少し異なっています。変更された点は、エラー修正、チェックの機能強化(追加のデフォルト・ユーザー)、手動チェックを指定できる自動スクリプトなどです。変更内容を確認および理解して、それらを環境で受容できるか確認することが重要です。受容できない場合は、要件に合せて前述のカスタマイズ手順を実行します。これらの変更内容の詳細は、第8章「オラクル社によって強化されたセキュリティ技術導入ガイドライン(STIG)ルール」を参照してください。
表7-1 Oracle Database 11g V8 R8およびR11 STIGとの相違点
STIG ID | Oracleの変更内容 |
---|---|
DG0008 |
デフォルトのユーザー/ロールを追加しました。 |
DG0009 |
オラクル社がスクリプトを提供しました。 |
DG0012 |
オラクル社がスクリプトを提供しました。 |
DG0019 |
オラクル社がスクリプトを提供しました。 |
DG0077 |
デフォルトのユーザー/ロールを追加しました。 |
DG0079 |
問合せが間違っています。NULLを文字列'NULL'に置換しました。 |
DG0091 |
デフォルト・ユーザーを追加しました。 |
DG0102 |
オラクル社がスクリプトを提供しました。 |
DG0116 |
デフォルト・ユーザーを追加しました。 |
DG0117 |
デフォルト・ユーザーを追加しました。 |
DG0119 |
デフォルト・ユーザーを追加しました。 |
DG0121 |
デフォルト・ユーザーを追加しました。 |
DG0123 |
デフォルト・ユーザーを追加しました。 |
DG0152 |
オラクル社がスクリプトを提供しました。 |
DG0179 |
オラクル社がスクリプトを提供しました。 |
DO0120 |
オラクル社がスクリプトを提供しました。 |
DO0145 |
オラクル社がスクリプトを提供しました。 |
DO0155 |
デフォルト・ユーザーを追加しました。 |
DO0221 |
デフォルト・インスタンス名としてorclを使用しました。 |
DO0231 |
デフォルト・ユーザーを追加しました。 |
DO0250 |
dba_repcatalogにレコードがある場合にのみ違反としてdb_linkを返すようにルール問合せを結合しました。 |
DO0270 |
違反を取得するためのより厳しい問合せを使用しました。 |
DO0286 |
オラクル社がスクリプトを提供しました。 |
DO0287 |
オラクル社がスクリプトを提供しました。 |
DO0340 |
デフォルト・ユーザーを追加しました。 |
DO0350 |
デフォルトのユーザー/ロールを追加しました。 |
DO3536 |
問合せを結合しました。制限のDEFAULT値を逆参照しました。 |
DO3609 |
デフォルトのユーザー/ロールを追加しました。 |
DO3689 |
デフォルトのユーザー/ロールを追加しました。 |
DO6740 |
オラクル社がスクリプトを提供しました。 |
DO6746 |
オラクル社がスクリプトを提供しました。 |
表7-2 Oracle Database 11gR2 V1リリース2 STIGとの相違点
STIG ID | Oracleの変更内容 |
---|---|
SV-66381r1_rule |
オラクル社が問合せを実装しました。デフォルト・ユーザーをカウント対象外としました。 |
SV-66395r1_rule |
フィルタとして'SYSTEM'および'DELETE_CATALOG_ROLE'を追加しました。 |
SV-66401r1_rule |
問合せ内の表名を固定しました。チェック対象の権限を追加しました。デフォルト・ユーザーをカウント対象外としました。 |
SV-66405r1_rule |
問合せ内の表名を固定しました。チェック対象の権限を追加しました。デフォルト・ユーザーをカウント対象外としました。 |
SV-66419r1_rule |
STIGドキュメントに間違った問合せがあります。ルールの新しい問合せを準備しました。デフォルト・ユーザーをカウント対象外としました。 |
SV-66427r1_rule |
3つの条件を1つに結合しました。次の場合、問合せで違反が発生します。
|
SV-66439r1_rule |
デフォルト・ユーザーをカウント対象外としました。 |
SV-66441r1_rule |
デフォルト・プロファイルを参照解除しました。 |
SV-66459r1_rule |
ルールによるデータベース・アーカイブ・ログ・モードのチェックは、"archive log list"コマンドを使用せずにリポジトリ表から行われます。 |
SV-66485r1_rule |
オラクル社が問合せを提供しました。Fix Textからlimit=35を使用しました。 |
SV-66489r1_rule |
オラクル社が問合せを提供しました。Fix Textからlimit=6を使用しました。 |
SV-66507r1_rule |
デフォルト・プロファイルを参照解除しました。 |
SV-66553r1_rule |
オラクル社が問合せを提供しました。 |
SV-66571r1_rule |
オラクル社が問合せを提供しました。Fix Textからlimit=35を使用しました。 |
SV-66599r1_rule |
オラクル社が問合せを提供しました。デフォルト・ユーザーをカウント対象外としました。 |
SV-66623r1_rule |
オラクル社が問合せを提供しました。デフォルト・ユーザーをカウント対象外としました。 |
SV-66627r1_rule |
デフォルト・ユーザーをカウント対象外としました。 |
SV-66647r1_rule |
ドキュメントから問合せを結合しました。デフォルト・ユーザーをカウント対象外としました。 |
SV-66651r1_rule |
ドキュメントから問合せを結合しました。デフォルト・ユーザーをカウント対象外としました。 |
SV-66657r1_rule |
オラクル社がスクリプトを提供しました。 |
SV-66663r1_rule |
SYSTEM表領域のチェックを追加しました。 |
SV-66665r1_rule |
SYSTEM表領域のチェックを追加しました。 |
SV-66669r1_rule |
Oracleではこのルールは常に合格します。 |
SV-66673r1_rule |
Oracleではこのルールは常に合格します。 |
SV-68205r1_rule |
ユーザーはレプリケーションに使用するdb_linksを手動でカウント対象外とする必要があります。 |
SV-68229r1_rule |
デフォルト・ユーザーを追加しました。 |
SV-68233r1_rule |
違反コンテキストの改良のために、問合せで追加の列を選択しました。 |
SV-68235r1_rule |
デフォルト・ユーザーを追加しました。 |
SV-68241r1_rule |
違反コンテキストの改良のために、問合せで追加の列を選択しました。 |
SV-68249r1_rule |
デフォルト・ユーザーを追加しました。 |
SV-68257r1_rule |
デフォルト・ユーザーを追加しました。 |
SV-68283r1_rule |
オラクル社がスクリプトを提供しました。 |
SV-66431r1_rule |
問合せでsys.v$parameterではなくv$parameterを使用します。 |