Oracle® Fusion Middleware Oracle Adaptive Access Manager管理者ガイド 11gリリース1 (11.1.1) E67347-01 |
|
![]() 前 |
![]() 次 |
この付録では、セキュリティ・ポリシー開発プロセス、および高レベルの要件がセキュリティ・ポリシーに変換されるモデリング・プロセスについて説明します。
この章には次の項目があります。
この項では、ポリシーの開発プロセスについて説明します。
表E-1に、セキュリティ・ポリシーの開発プロセスに関与するアクターの例をまとめます。
表E-1 ポリシー開発アクターの例
アクター | 説明 |
---|---|
調査担当者およびカスタマ・サービス担当 |
調査担当者およびカスタマ・サービス担当(CSR)は、Oracle Adaptive Access Managerのケース管理ツールを使用して、日々セキュリティおよびカスタマ・ケースを処理します。該当者は、ユーザー・アクティビティとセキュリティの問題に関する詳細な知識を持ちます。アナリストは調査担当者およびCSRと共同で、ポリシーを調整する必要があるか、または新規ポリシーを作成する必要があるかどうかを判別します。 |
ビジネス/セキュリティ・アナリスト |
アナリストは、様々なソースからインテリジェンスを収集してニーズを特定し、それらに対処するための要件を作成します。インテリジェンスのソースとしては、調査担当者、業界レポート、不正対策ネットワーク、コンプライアンス指令、会社ポリシーなどがあります。 |
セキュリティ管理者 |
管理者は、アナリストからの要件に基づいてポリシーを計画、構成およびデプロイします。 |
システム管理者 |
システム管理者は、環境レベルのプロパティおよびトランザクションを構成します。 |
品質保証 |
品質保証(QA)は、ポリシーが要件を満たしているかどうかを確認するためにポリシーをテストします。 |
既存ポリシーの編集
既存ポリシーの編集には、次のタスクが含まれます。
調査/トラブルシューティング
要件および計画
構成
テスト
本番環境へのデプロイ
新規ポリシーの作成
新規ポリシーの作成には、次のタスクが含まれます。
検出/調査
要件および計画
構成
テスト
本番環境へのデプロイ
ビジネス・アナリストは、様々なソースからインテリジェンスを収集して問題を特定し、それらに対処するための要件を作成します。
表E-2 ポリシーの編集: 調査/トラブルシューティング
ソース | 詳細 |
---|---|
OAAMレポート |
既存のOAAMデプロイメントでは、アナリストはBIPを使用してレポートを実行し、対処が必要なセキュリティまたはカスタマの問題を特定できます。 |
調査担当者/CSRフィードバック |
スタッフのインタビューにより、カスタマおよびセキュリティの問題を明らかにできます。正当な理由なしに頻繁にチャレンジされすぎるという苦情がカスタマからあげられていますか。現在のポリシーの厳密さではアクセスを防ぐために十分でない不正ケースが多数ありますか。 |
業界レポート |
現在のルールが対応していない新種の脅威が存在する可能性があります。しきい値を調整する必要がありますか。 |
不正防止ネットワーク |
同僚/専門家から提案されている新規ルールしきい値がありますか。それらはビジネス上合理的ですか。 |
ビジネスおよびセキュリティ・アナリストは、様々なソースからインテリジェンスを収集してニーズを特定し、それらに対処するための要件を作成します。
表E-3 新規ポリシー: 検出/調査
ソース | 詳細 |
---|---|
OAAMレポート |
既存のOAAMデプロイメントでは、アナリストはBIPを使用してレポートを実行し、対処が必要なセキュリティまたはカスタマの問題を特定できます。 |
調査担当者/CSRフィードバック |
スタッフのインタビューにより、カスタマおよびセキュリティの問題を明らかにできます。正当な理由なしに頻繁にチャレンジされすぎるという苦情がカスタマからあげられていますか。現在のポリシーの厳密さではアクセスを防ぐために十分でない不正ケースが多数ありますか。 |
業界レポート |
現在のルールが対応していない新種の脅威が存在する可能性があります。しきい値を調整する必要がありますか。 |
不正防止ネットワーク |
同僚/専門家から提案されている新規ルールしきい値がありますか。それらはビジネス上合理的ですか。 |
コンプライアンス |
現在のポリシーでは対応していない、セキュリティ対策の新しい必須事項がありますか。 |
企業ポリシー |
OAAMによって対応できる従業員アクセスの新規要件がありますか。 |
ビジネス/セキュリティ・アナリストは、検出中に特定されたニーズに対処するための要件を作成します。
必要な新規ポリシーおよびその理由は何ですか。
ユース・ケースは何ですか。
予期される結果(アクション、アラート、スコア)は何ですか。
どのアプリケーションが関係しますか。
どのユーザー・グループが関係しますか。
セキュリティ管理者は、アナリストからの要件に基づいてポリシーを計画、構成およびデプロイします。
自動学習によりプロファイリングする必要があるのはどのデータ・ポイントですか。
ユース・ケースを満たすために構成する必要があるルールはどれですか。
ルールに定義する必要があるしきい値はどれですか。
必要なルールの結果は何ですか。
QAは、ポリシーが要件を満たしているかどうかを確認するためにポリシーをテストします。
予期される結果が発生しますか。
ルールのしきい値は予期したとおりにトリガーしていますか。
プロファイリングは予期したとおりに動作していますか。
一般的な通常のエンド・ユーザー・フローに従った場合、新規ポリシーによってユーザーの操作性の問題が発生しますか。多すぎるチャレンジ、ユーザーのブロックなどです。
履歴制御日付に基づいて新規/編集済ポリシーをテストするためにオフラインを使用できます。
セキュリティ・ポリシー開発に含まれるステップの概要は次のとおりです。
何を実現しようとしているのかを決定します(問題記述)。
問題記述を次のものに分割します。
入力: 評価に使用できるデータは何ですか。
ルール: どのような種類の評価をデータに対して実行する必要がありますか。
結果: 分析に基づいて何が行われる必要がありますか。
OAAM構成にデータ、評価および結果をマッピングして、問題記述の文章をセキュリティ・ポリシーに変換します。
前述の準備に基づいて、エンティティ、トランザクション、パターン、グループ、ポリシー、ルール、アクションおよびアラートを構成します。
このシナリオでは、セキュリティ管理者は、24時間以内に1つの出荷先住所に対して4件を超える注文があるかどうかをセキュリティ・チームに通知するよう、OAAMを構成する必要があります。
問題記述で要求されているリスク評価を記述する論理文を作成することをお薦めします。
このシナリオの論理文は次のようになります。
出荷先住所について、過去24時間以内の注文の合計数が4より大きい場合、注文を確認します。
このシナリオでは、セキュリティ管理者は、ユーザーがログインに使用した都道府県が、前月にログインに使用した都道府県の時間の5%未満の場合、KBAチャレンジ質問に回答してからでないと、保護されたアプリケーションにアクセスできないように要求します。
ユーザーのログイン元の地理的位置を含む、ユーザーのログイン動作をプロファイリングします。彼らの一意のプロファイルを使用して、ログイン試行のリスクの程度を判別し、リスク・レベルに基づいて要求される場合にはKBA質問でチャレンジします。ユーザーがログインに使用した都道府県が、前月にログインに使用した都道府県の時間の5%未満の場合、このユーザーが保護されたアプリケーションにアクセスするには、KBAチャレンジを受ける必要があります。
問題記述で要求されているリスク評価を記述する論理文を作成することをお薦めします。
このシナリオの論理文は次のようになります。
(1つ以上の都道府県からログインする)ユーザーについて、前月のこの都道府県からのログインの率がすべてのログインの5%未満である場合、そのユーザーはチャレンジを受けます。
このケースにおいて、問題記述で要求された結果は、ある都道府県へのログインの率が、前月の複数の都道府県への合計ログインの5%未満である場合に、このユーザーがKBA質問でチャレンジを受けるというものです。
変換ステップでは、分割された問題記述がOAAMセキュリティ・ポリシー・コンポーネントにマップされます。
表E-5 問題記述のマッピング
問題記述の分割 | Oracle Adaptive Access Managerセキュリティ・ポリシー・コンポーネント |
---|---|
ある都道府県からのログインが |
異なる都道府県からのユーザーのログインを追跡するパターン。 ユーザーがアクター、「都道府県」が属性および「各」が比較演算子である複数バケット・パターン。 |
ユーザーにチャレンジする |
KBAチャレンジに対するアクション・グループ |
KBA質問で |
「登録済」が属性、「次と等しい」が比較演算子および「はい」が比較値です。 彼がKBA質問でチャレンジを受けられるようにするには、その前に彼が質問を登録している必要があります。 |
都道府県の率対合計の率 |
|
5% |
ルールで指定された率の基準 |
過去1か月間 |
ルールで指定された期間 |
保護されたリソースに進むことを許可する前に |
認証後チェックポイント・ポリシー ベスト・プラクティスでは、KBAチャレンジは認証後チェックポイントで発生します。 |