E 検出およびOAAMポリシー開発プロセス

この付録では、セキュリティ・ポリシー開発プロセス、および高レベルの要件がセキュリティ・ポリシーに変換されるモデリング・プロセスについて説明します。

この章には次の項目があります。

• セキュリティ・ポリシー開発プロセス

• 検出プロセスの概要

• サンプル・シナリオ: トランザクション・セキュリティ

• サンプル・シナリオ: ログイン・セキュリティ

E.1 セキュリティ・ポリシー開発プロセス

この項では、ポリシーの開発プロセスについて説明します。

E.1.1 概要

表E-1に、セキュリティ・ポリシーの開発プロセスに関与するアクターの例をまとめます。

表E-1 ポリシー開発アクターの例

アクター	説明
調査担当者およびカスタマ・サービス担当	調査担当者およびカスタマ・サービス担当(CSR)は、Oracle Adaptive Access Managerのケース管理ツールを使用して、日々セキュリティおよびカスタマ・ケースを処理します。該当者は、ユーザー・アクティビティとセキュリティの問題に関する詳細な知識を持ちます。アナリストは調査担当者およびCSRと共同で、ポリシーを調整する必要があるか、または新規ポリシーを作成する必要があるかどうかを判別します。
ビジネス/セキュリティ・アナリスト	アナリストは、様々なソースからインテリジェンスを収集してニーズを特定し、それらに対処するための要件を作成します。インテリジェンスのソースとしては、調査担当者、業界レポート、不正対策ネットワーク、コンプライアンス指令、会社ポリシーなどがあります。
セキュリティ管理者	管理者は、アナリストからの要件に基づいてポリシーを計画、構成およびデプロイします。
システム管理者	システム管理者は、環境レベルのプロパティおよびトランザクションを構成します。
品質保証	品質保証(QA)は、ポリシーが要件を満たしているかどうかを確認するためにポリシーをテストします。

既存ポリシーの編集

既存ポリシーの編集には、次のタスクが含まれます。

• 調査/トラブルシューティング

• 要件および計画

• 構成

• テスト

• 本番環境へのデプロイ

新規ポリシーの作成

新規ポリシーの作成には、次のタスクが含まれます。

• 検出/調査

• 要件および計画

• 構成

• テスト

• 本番環境へのデプロイ

E.1.2 ポリシーの編集: 調査/トラブルシューティング

ビジネス・アナリストは、様々なソースからインテリジェンスを収集して問題を特定し、それらに対処するための要件を作成します。

表E-2 ポリシーの編集: 調査/トラブルシューティング

ソース	詳細
OAAMレポート	既存のOAAMデプロイメントでは、アナリストはBIPを使用してレポートを実行し、対処が必要なセキュリティまたはカスタマの問題を特定できます。
調査担当者/CSRフィードバック	スタッフのインタビューにより、カスタマおよびセキュリティの問題を明らかにできます。正当な理由なしに頻繁にチャレンジされすぎるという苦情がカスタマからあげられていますか。現在のポリシーの厳密さではアクセスを防ぐために十分でない不正ケースが多数ありますか。
業界レポート	現在のルールが対応していない新種の脅威が存在する可能性があります。しきい値を調整する必要がありますか。
不正防止ネットワーク	同僚/専門家から提案されている新規ルールしきい値がありますか。それらはビジネス上合理的ですか。

E.1.3 新規ポリシー: 検出/調査

ビジネスおよびセキュリティ・アナリストは、様々なソースからインテリジェンスを収集してニーズを特定し、それらに対処するための要件を作成します。

表E-3 新規ポリシー: 検出/調査

ソース	詳細
OAAMレポート	既存のOAAMデプロイメントでは、アナリストはBIPを使用してレポートを実行し、対処が必要なセキュリティまたはカスタマの問題を特定できます。
調査担当者/CSRフィードバック	スタッフのインタビューにより、カスタマおよびセキュリティの問題を明らかにできます。正当な理由なしに頻繁にチャレンジされすぎるという苦情がカスタマからあげられていますか。現在のポリシーの厳密さではアクセスを防ぐために十分でない不正ケースが多数ありますか。
業界レポート	現在のルールが対応していない新種の脅威が存在する可能性があります。しきい値を調整する必要がありますか。
不正防止ネットワーク	同僚/専門家から提案されている新規ルールしきい値がありますか。それらはビジネス上合理的ですか。
コンプライアンス	現在のポリシーでは対応していない、セキュリティ対策の新しい必須事項がありますか。
企業ポリシー	OAAMによって対応できる従業員アクセスの新規要件がありますか。

E.1.4 ポリシーの編集/新規ポリシー: 要件および計画

ビジネス/セキュリティ・アナリストは、検出中に特定されたニーズに対処するための要件を作成します。

• 必要な新規ポリシーおよびその理由は何ですか。

• ユース・ケースは何ですか。

• 予期される結果(アクション、アラート、スコア)は何ですか。

• どのアプリケーションが関係しますか。

• どのユーザー・グループが関係しますか。

E.1.5 ポリシーの編集/新規ポリシー: 構成

セキュリティ管理者は、アナリストからの要件に基づいてポリシーを計画、構成およびデプロイします。

• 自動学習によりプロファイリングする必要があるのはどのデータ・ポイントですか。

• ユース・ケースを満たすために構成する必要があるルールはどれですか。

• ルールに定義する必要があるしきい値はどれですか。

• 必要なルールの結果は何ですか。

E.1.6 ポリシーの編集/新規ポリシー: テスト

QAは、ポリシーが要件を満たしているかどうかを確認するためにポリシーをテストします。

• 予期される結果が発生しますか。

• ルールのしきい値は予期したとおりにトリガーしていますか。

• プロファイリングは予期したとおりに動作していますか。

• 一般的な通常のエンド・ユーザー・フローに従った場合、新規ポリシーによってユーザーの操作性の問題が発生しますか。多すぎるチャレンジ、ユーザーのブロックなどです。

• 履歴制御日付に基づいて新規/編集済ポリシーをテストするためにオフラインを使用できます。

E.1.7 ポリシーの編集/新規ポリシー: 本番環境へのデプロイ

セキュリティ管理者:

• QAがサイン・オフしたら、本番環境に新規ポリシーをデプロイします。

• 開発/QA環境からポリシー・セットおよびグループをエクスポートします。

• 本番環境へのインポート

E.2 検出プロセスの概要

セキュリティ・ポリシー開発に含まれるステップの概要は次のとおりです。

1. 何を実現しようとしているのかを決定します(問題記述)。

2. 問題記述を次のものに分割します。

   • 入力: 評価に使用できるデータは何ですか。

   • ルール: どのような種類の評価をデータに対して実行する必要がありますか。

   • 結果: 分析に基づいて何が行われる必要がありますか。

3. OAAM構成にデータ、評価および結果をマッピングして、問題記述の文章をセキュリティ・ポリシーに変換します。

4. 前述の準備に基づいて、エンティティ、トランザクション、パターン、グループ、ポリシー、ルール、アクションおよびアラートを構成します。

E.3 サンプル・シナリオ: トランザクション・セキュリティ

このシナリオでは、セキュリティ管理者は、24時間以内に1つの出荷先住所に対して4件を超える注文があるかどうかをセキュリティ・チームに通知するよう、OAAMを構成する必要があります。

E.3.1 問題記述

ユーザー数にかかわらず、24時間以内に任意の1つの出荷先住所に対して、4件を超える注文が行われたかどうかを手動で確認するようにセキュリティ・チームに通知します。

E.3.2 使用可能な入力

問題記述で示された評価を実行するには、次のデータが必要です。

• 各注文の日付/時間

• 各注文の出荷先住所

• 各出荷先住所を使用している注文の数

E.3.3 評価

問題記述で要求されているリスク評価を記述する論理文を作成することをお薦めします。

このシナリオの論理文は次のようになります。

出荷先住所について、過去24時間以内の注文の合計数が4より大きい場合、注文を確認します。

E.3.4 結果

このケースにおいて、問題記述で要求された結果は、セキュリティ・チームに対して単一の不正アラートを生成するというものです。

E.3.5 変換

変換ステップでは、分割された問題記述がOAAMセキュリティ・ポリシー・コンポーネントにマップされます。

表E-4 問題記述のマッピング

問題記述の分割	Oracle Adaptive Access Managerセキュリティ・ポリシー・コンポーネント
セキュリティ・チームに手動の確認を実行するよう通知する	特定のメッセージを示すアラート
出荷先住所	住所エンティティ
注文	このトランザクションのカスタム・チェックポイントが必要です。
	注文チェックポイントにスコープ指定されたポリシーには、必要なすべてのルールが含まれます。
24時間以内に任意の1つの出荷先住所に対して4件を超える注文が行われたかどうか	汎用トランザクション・ルール条件を使用して構成されたルール

E.3.6 アラート

すべての評価のベスト・プラクティスは、個別のアラート・メッセージを持つことです。

E.4 サンプル・シナリオ: ログイン・セキュリティ

このシナリオでは、セキュリティ管理者は、ユーザーがログインに使用した都道府県が、前月にログインに使用した都道府県の時間の5%未満の場合、KBAチャレンジ質問に回答してからでないと、保護されたアプリケーションにアクセスできないように要求します。

E.4.1 問題記述

ユーザーのログイン元の地理的位置を含む、ユーザーのログイン動作をプロファイリングします。彼らの一意のプロファイルを使用して、ログイン試行のリスクの程度を判別し、リスク・レベルに基づいて要求される場合にはKBA質問でチャレンジします。ユーザーがログインに使用した都道府県が、前月にログインに使用した都道府県の時間の5%未満の場合、このユーザーが保護されたアプリケーションにアクセスするには、KBAチャレンジを受ける必要があります。

E.4.2 使用可能な入力

問題記述で示された評価を実行するには、次のデータが必要です。

• ユーザー

• 期間

• 地理的位置

• 比較のために使用される合計ログインに対する率

• 登録ステータス

E.4.3 評価

問題記述で要求されているリスク評価を記述する論理文を作成することをお薦めします。

このシナリオの論理文は次のようになります。

(1つ以上の都道府県からログインする)ユーザーについて、前月のこの都道府県からのログインの率がすべてのログインの5%未満である場合、そのユーザーはチャレンジを受けます。

E.4.4 結果

このケースにおいて、問題記述で要求された結果は、ある都道府県へのログインの率が、前月の複数の都道府県への合計ログインの5%未満である場合に、このユーザーがKBA質問でチャレンジを受けるというものです。

E.4.5 変換

変換ステップでは、分割された問題記述がOAAMセキュリティ・ポリシー・コンポーネントにマップされます。

表E-5 問題記述のマッピング

問題記述の分割	Oracle Adaptive Access Managerセキュリティ・ポリシー・コンポーネント
ある都道府県からのログインが	異なる都道府県からのユーザーのログインを追跡するパターン。 ユーザーがアクター、「都道府県」が属性および「各」が比較演算子である複数バケット・パターン。
ユーザーにチャレンジする	KBAチャレンジに対するアクション・グループ
KBA質問で	「登録済」が属性、「次と等しい」が比較演算子および「はい」が比較値です。 彼がKBA質問でチャレンジを受けられるようにするには、その前に彼が質問を登録している必要があります。
都道府県の率対合計の率	条件: 「パターン(認証): エンティティは一定期間内で特定の率より少ないパターンのメンバーです」
5%	ルールで指定された率の基準
過去1か月間	ルールで指定された期間
保護されたリソースに進むことを許可する前に	認証後チェックポイント・ポリシー ベスト・プラクティスでは、KBAチャレンジは認証後チェックポイントで発生します。

E.4.6 処置

通常そこからログインしていない都道府県、具体的には、1か月間における都道府県への合計ログイン数の5%未満を使用する都道府県からログインしているユーザーがKBAチャレンジを受けます。