23 監査の管理

この章では、Oracle Internet Directoryに固有の情報のみを対象とします。監査の管理タスクの詳細は、『Oracle Fusion Middlewareアプリケーション・セキュリティ・ガイド』を参照してください。

この章の項目は次のとおりです。

第23.1項「監査の概要」
第23.2項「Fusion Middleware Controlを使用した監査の管理」
第23.3項「WLSTを使用した監査の管理」
第23.4項「コマンドラインからの監査の管理」

23.1 監査の概要

この概要の項目は次のとおりです。

第23.1.1項「監査ストアの構成」
第23.1.2項「Oracle Internet Directoryの監査構成」
第23.1.3項「レプリケーションとOracle Directory Integration Platformの監査構成」
第23.1.4項「監査レコードのフィールド」
第23.1.5項「監査レコード記憶域」
第23.1.6項「監査レポートの生成」

監査とは、セキュリティ要求およびその要求に対する結果に関連する情報を収集および格納するプロセスです。これにより、否認防止を目的として、選択されたシステム・アクティビティの電子証跡が提供されます。監査は一定の監査基準に基づいて、特定のセキュリティ・イベントや管理操作を追跡するように構成できます。監査レコードは集中型リポジトリ(LDAP、データベースまたはファイル)に保持され、これを使用して監査レポートを作成、表示および格納できます。リリース11g リリース1(11.1.1)では、Oracle Internet DirectoryでOracle Fusion Middlewareと統合された監査フレームワークが使用されています。Oracle Internet Directoryは、このフレームワークを使用してセキュリティ関連の重要な操作を監査します。このフレームワークの機能は次のとおりです。

ASコンポーネントから監査情報を収集するAPI
すべてのASコンポーネントで使用される共通監査レコード形式
企業内のコンポーネントによって生成される監査レコードを収集する監査リポジトリ・データベース(顧客はオプションでAudit Vaultをリポジトリとして使用することもできます)
監査機能によって取得した情報のタイプを制御するための管理インタフェース

この章を読む前に、『Oracle Fusion Middlewareアプリケーション・セキュリティ・ガイド』の監査に関する章を参照してください。

新しいOracle Internet Directory監査フレームワークには、次の利点があります。

他のOracle Application Serverコンポーネントと同じレコード形式を使用します。
パフォーマンスとセキュリティの向上のため、レコードはOracle Databaseの表に格納されます。
レコードをAudit Vaultに格納して、セキュリティをさらに向上できます。
管理者として、Enterprise Managerを使用して監査レコードに取得される情報のタイプを構成できます。
構成変更はすぐに有効になります。
管理者は監査レコードを表示できます。
- Enterprise Manager
- XMLパブリッシャに基づくサマリー・レポート

インスタンス管理者によって行われるすべての監査構成が監査されます。これは無効にすることができません。

23.1.1 監査ストアの構成

監査レコードがデータベースに確実に保存されるように監査ストアを構成する必要があります。監査の管理タスクの詳細は、『Oracle Fusion Middlewareアプリケーション・セキュリティ・ガイド』の「監査の構成および管理」の章の次の項を参照してください。

監査ストアの管理
データベース・ストアの拡張管理

23.1.2 Oracle Internet Directoryの監査構成

Oracle Internet Directoryの監査構成は、インスタンス固有のエントリの3つの属性から構成されます。

cn=componentname,cn=osdldapd,cn=subconfigsubentry

表23-1にこれらの属性を示します。

表23-1 Oracle Internet Directoryの監査構成属性

属性説明

属性	説明
`orclAudFilterPreset`	プリセットは、`None`、`Low`、`Medium`、`All`および`Custom`です。`Low`は、アカウント管理、パスワード変更およびデータ項目属性の変更イベントを指定し、`Medium`は、`Low`のすべてのイベントと認証失敗イベントを指定します。
`orclAudCustEvents`	監査されるイベント名とカテゴリ名のカンマ区切りのリスト。次に例を示します。 Authentication.SUCCESSESONLY, Authorization(Permission -eq 'CSFPerfmission") カスタム・イベントは、`orclAudFilterPreset`が`Custom`の場合のみ適用できます。
`orclAudSplUsers`	`orclAudFilterPreset`が`None`の場合でも、監査が常に有効化されるユーザーのカンマで区切られたリスト。次に例を示します。 cn=orcladmin.

orclAudFilterPreset

プリセットは、None、Low、Medium、AllおよびCustomです。Lowは、アカウント管理、パスワード変更およびデータ項目属性の変更イベントを指定し、Mediumは、Lowのすべてのイベントと認証失敗イベントを指定します。

orclAudCustEvents

監査されるイベント名とカテゴリ名のカンマ区切りのリスト。次に例を示します。

Authentication.SUCCESSESONLY,
Authorization(Permission -eq 'CSFPerfmission")

カスタム・イベントは、orclAudFilterPresetがCustomの場合のみ適用できます。

orclAudSplUsers

orclAudFilterPresetがNoneの場合でも、監査が常に有効化されるユーザーのカンマで区切られたリスト。次に例を示します。

cn=orcladmin.

詳細は、『Oracle Fusion Middlewareアプリケーション・セキュリティ・ガイド』を参照してください。

23.1.3 レプリケーションとOracle Directory Integration Platformの監査構成

レプリケーションと Oracle Directory Integration Platform監査は、インスタンス固有のエントリの属性orclextconfflagの値を変更することで有効にできます。デフォルト値は3で、レプリケーションとOracle Directory Integration Platform監査の両方が無効です。両方を有効にするには、7に変更します。これがorclextconfflagに行える唯一の変更で、これ以外は内部属性です。

第23.4.3項「レプリケーションおよびOracle Directory Integration Platformの監査の有効化」を参照してください。

23.1.4 監査レコードのフィールド

監査レコードには次のフィールドがあります。

イベント・カテゴリ: イベントのクラス(認証、認可など)
イベント名
イニシエータ: 操作を開始するユーザー
ステータス: 成功または失敗
認証方式
セッションID: 接続ID
ターゲット: 操作の実行対象となるユーザー
イベント日時
リモートIP: クライアントのソースIPアドレス
コンポーネント・タイプ: OID
ECID
リソース: 操作が行われるエントリまたは属性。

23.1.5 監査レコード記憶域

監査情報は、最終的な場所に書き込まれる前に、バスストップと呼ばれる場所に一時的に格納されます。

このファイルは、ディレクトリORACLE_INSTANCE/auditlogs/componentType/componentNameにあります。

監査ファイルは、XMLファイルまたはデータベースに永続的に格納されます。XMLファイルは、監査レコードのデフォルトの記憶域メカニズムです。Oracleインスタンスごとに1つのXMLリポジトリがあります。特定のOracleインスタンス内で実行されるすべてのコンポーネントについて生成される監査レコードは、同じリポジトリに格納されます。データベース・リポジトリを使用している場合、ドメイン内のすべてのOracleインスタンス内のすべてのコンポーネントによって生成される監査レコードは、同じリポジトリに格納されます。

23.1.6 監査レポートの生成

監査レポートの生成の詳細は、『Oracle Fusion Middlewareアプリケーション・セキュリティ・ガイド』の監査の分析およびレポートに関する章を参照してください。Oracle Fusion Middlewareアプリケーション・セキュリティ・ガイドの章「監査の構成と管理」に、Oracle Internet Directoryの例が掲載されています。

23.2 Fusion Middleware Controlを使用した監査の管理

監査の管理には、Oracle Enterprise Manager Fusion Middleware Controlを使用できます。インタフェースは、『Oracle Fusion Middlewareアプリケーション・セキュリティ・ガイド』に記載されているように、すべてのOracle Fusion Middlewareコンポーネントに対して基本的に同じです。

「Oracle Internet Directory」メニューから、「セキュリティ」を選択し、「監査ポリシー設定」を選択します。
「監査ポリシー」リストから、「カスタム」を選択して独自のフィルタを構成するか、または事前設定済フィルタ(「なし」、「低」または「中」のいずれか)を選択します。(Fusion Middleware ControlからはAllを設定できません。)
障害のみを監査する場合は、「障害のみ選択」をクリックします。この手順は、前の手順で「カスタム」を選択している場合にのみ可能です。
フィルタを構成するには、フィルタ名の横にある「編集」アイコンをクリックします。そのフィルタに対して「フィルタの編集」ダイアログが表示されます。
フィルタ条件は、ボタン、メニューからの選択、および文字列の入力で指定します。条件の対象には、HostID、HostNwaddr、InitiatorDN、TargetDN、Initiator、Remote IPおよびRolesがあります。条件のテストには、-contains、-contains_case、endswith、endswith_case、-eq、-ne、-startswithおよび-startswith-caseがあります。テストに使用する値は文字列として入力します。グループ化する場合はカッコを、組合せを作成する場合はANDおよびORを使用します。
条件を追加するには、「追加」アイコンをクリックします。
フィルタが完了したら、「適用」をクリックして変更を保存するか、「元に戻す」をクリックして変更を破棄します。

Oracle Internet Directoryでは、その監査構成は表23-1「Oracle Internet Directoryの監査構成属性」に示すインスタンス固有の3つの構成エントリ属性に格納されます。「監査ポリシー」ページのフィールドと属性の対応を表23-2に示します。

表23-2 Fusion Middleware Controlの監査構成属性

フィールドまたはヘッダー	構成属性
監査ポリシー	`orclAudFilterPreset`
名前、障害のみ選択、監査の有効化、フィルタ	`orclAudCustEvents`
常に監査するユーザー	`orclAudSplUsers`

23.3 WLSTを使用した監査の管理

『Oracle Fusion Middlewareアプリケーション・セキュリティ・ガイド』のWLSTを使用した監査ポリシーの管理に関する説明に記載のように、wlstを使用して監査を管理できます。コマンドgetAuditPolicy()、setAuditPolicy()またはlistAuditEvents()を使用します。

Oracle Internet Directoryなど監査ポリシーをローカルで管理するコンポーネントについては、コマンドの引数としてMBean名を含める必要があります。監査MBeanの名前の形式は次のとおりです。

oracle.as.management.mbeans.register:type=component.auditconfig,name=auditconfig1,instance=INSTANCE,component=COMPONENT_NAME

次に例を示します。

oracle.as.management.mbeans.register:type=component.auditconfig,name=auditconfig1,instance=instance1,component=oid1

使用する必要のある別のwlstコマンドはinvoke()です。第9.3項「WLSTを使用したシステム構成属性の管理」に記載のとおり、属性に変更を加える前にMBeanが現在のサーバー構成を持っていることを確認する必要があります。これを行うには、invoke()コマンドを使用してOracle Internet DirectoryサーバーからMBeanに構成をロードする必要があります。変更後、invoke()コマンドを使用してOracle Internet DirectoryサーバーにMBean構成を保存する必要があります。このようにinvoke()を使用するには、ツリーのルート・プロキシMBeanに移動する必要があります。ルート・プロキシMBeanの名前の形式は次のとおりです。

oracle.as.management.mbeans.register:type=component,name=COMPONENT_NAME,instance=INSTANCE

次に例を示します。

oracle.as.management.mbeans.register:type=component,name=oid1,instance=instance1

次に、setAuditPolicy()およびinvoke()を使用したwlstセッションの例を示します。

ORACLE_COMMON_HOME/common/bin/wlst.sh
connect('username', 'password', 'protocol://localhost:7001', 'localhost:7001')
custom()
cd('oracle.as.management.mbeans.register')
cd('oracle.as.management.mbeans.register:type=component,name=oid1,instance=instance1')
invoke('load',jarray.array([],java.lang.Object),jarray.array([],java.lang.String)) 
setAuditPolicy(filterPreset='None',
 on='oracle.as.management.mbeans.register:type=component.auditconfig,
 name=auditconfig1,instance=instance1,component=oid1')
invoke('save',jarray.array([],java.lang.Object),jarray.array([],java.lang.String))

23.4 コマンドラインからの監査の管理

LDAPツールを使用して監査を管理できます。

23.4.1 コマンドラインからの監査構成の表示

ldapsearchを使用して監査構成を表示できます。次に例を示します。

ldapsearch -p 3060 -h myhost.example.com -D cn=orcladmin -q \ 
  -b "cn=oid1,cn=osdldapd,cn=subconfigsubentry" \
  -s base "objectclass=*" > /tmp/oid1-config.txt
grep orclaud oid1-config.txt
orclaudsplusers=cn=orcladmin
orclaudcustevents=UserLogin.FAILURESONLY, UserLogout, CheckAuthorization, 
 ModifyDataItemAttributes, CompareDataItemAttributes, ChangePassword.FAILURESONLY
orclaudfilterpreset=custom

23.4.2 コマンドラインからのOracle Internet Directory監査の構成

ldapmodifyコマンドを使用して監査を管理できます。LDIFファイルを作成して、属性orclAudFilterPreset、orclAudCustEventsおよびorclAudSplUsersに対して必要な変更を加える必要があります。

コマンドは次のとおりです。

ldapmodify -D cn=orcladmin -q -p portNum -h hostname -f ldifFile

たとえば、ユーザー・ログイン・イベントについてのみ監査を有効にするには、前述のldapmodifyコマンドに次のLDIFファイルを使用します。

dn: cn=componentname,cn=osdldapd,cn=subconfigsubentry
changetype: modify
replace: orclaudFilterPreset
orclaudFilterPreset: Custom
-
replace: orclaudcustevents
orclaudcustevents: UserLogin