Oracle® Fusion Middleware Oracle Adaptive Access Manager管理者ガイド 11gリリース1 (11.1.1) E67347-01 |
|
前 |
次 |
アクセス認証
HTTPトランザクションのコンテキストにおける基本的なアクセス認証の方法は、Webブラウザや他のクライアント・プログラムでリクエストを行うときに、資格証明をユーザー名とパスワードの形式で提供できるように設計されています。
アクション・グループ
アクション・グループは、ルールによってトリガーされる一連のレスポンスです。
アクション・グループはルール内の結果として使用され、ルールがトリガーされると、グループ内のすべてのアクションがアクティブ化されます。
Adaptive Risk Manager
Oracle Adaptive Access Managerの機能のカテゴリです。ビジネス分析とリスク分析、不正調査およびカスタマ・サービス・ツールはAdaptive Risk Managerカテゴリに属します。
Adaptive Strong Authenticator
Oracle Adaptive Access Managerの機能のカテゴリです。エンド・ユーザーが使用するインタフェース、フローおよび認証方式はすべて、Adaptive Strong Authenticatorのカテゴリに属します。
アラート・グループ
アラートは、担当者(CSR、調査担当者など)へのインジケータです。アラート・グループには、ルールによってトリガーできる等級付けされたメッセージが含まれます。
アラート・グループはルール内の結果として使用され、ルールがトリガーされると、グループ内のすべてのアラートがアクティブ化されます。
属性
属性は、追跡中のアクティビティに関連付けられた特定の情報です。例としてログイン時刻をあげることができます。パターンによって、メンバーに関するデータが収集されます。メンバー・タイプがユーザーである場合、パターンによってユーザーに関するデータが収集されます。
認証ステータス
認証ステータスはセッションのステータスです(ログイン試行またはトランザクション試行のたびに、新規セッションが作成されます)。
次に例を示します。
ユーザーが初めてログインして登録処理を実行し、その登録処理を完了しないでログアウトした場合、このユーザー・セッションの認証ステータスは「アクティブ化保留中」に設定されます。
ユーザーが異なるデバイスまたはロケーションからログインした場合、そのユーザーはチャレンジを受けます。ユーザーはチャレンジ質問への回答を3回試みてすべて失敗し、このセッションの認証ステータスは「不正なパスワード」に設定されます。
ユーザーがログインし、最後のトランザクション・ページまたは成功ページまで到達した場合、その特定のセッションの認証ステータスは「成功」に設定されます。
ユーザーが不正でブロックされた場合、そのセッションのステータスは「ブロック」に設定されます。
自動学習
自動学習は、動作をリアルタイムで動的にプロファイリングする、Oracle Adaptive Access Managerの一連の機能です。ユーザー、デバイスおよびロケーションの動作が記録され、現在の動作のリスクを評価するために使用されます。
ブラック・リスト
ブロックされるユーザー、デバイス、IPアドレス、ネットワーク、国などを示す特定のリストです。特定のメンバーからの攻撃をレポートに表示し、その攻撃を管理者の判断でブラックリストに手動で追加できます。
ブロック済
ユーザーが「ブロック済」になるのは、ポリシーの特定の条件がtrueになり、そのポリシーがこのような条件にブロック・アクションで応答するように設定されている場合です。該当する条件が変更されると、ユーザーは「ブロック済」ではなくなる場合があります。「ブロック済」ステータスは必ずしも永続的なものではないため、解決に管理者のアクションを必要としない場合があります。たとえば、ユーザーがブロックされた原因が、ブロックされる国からログインしたことである場合、出国後は「ブロック済」ではなくなる可能性があります。
ボット
インターネットを経由して、セキュリティが損なわれたPC上で自動化または編成されたタスクを実行するソフトウェア・アプリケーションです。編成されたボットは、ボット・ネットまたはゾンビ・ネットワークとして知られています。
ブラウザのフィンガープリント処理
ユーザーがシステムにアクセスすると、OAAMによってコンピュータに関する情報が収集されます。サイトでそのようなデータがすべて組み合され、ユーザーのブラウザのフィンガープリントが作成されます。このフィンガープリントによって、ユーザーを一意に識別できる場合があります。ブラウザのフィンガープリントを構成する情報には、ブラウザ・タイプ、インストールされたプラグイン、システム・フォント、オペレーティング・システムの構成およびバージョン情報、コンピュータでCookieを受け入れるかなどがあります。
ブラウザとFlashのフィンガープリントは別々に追跡されます。フィンガープリントはセッション・リストと詳細ページから使用でき、各詳細ページを開くとフィンガープリントの詳細を確認できます。したがって、両方のフィンガープリントを使用可能にできますが、ユーザーがFlashをインストールしていない場合、デジタル・フィンガープリント(Flash)はNULLに設定されます。
バケット
パターンは管理者が構成し、Oracle Adaptive Access Managerでは、その構成を使用して、必要に応じてバケットを作成します。管理者はどのような方法でも、直接バケットを使用または参照できません。
パターンは、1つまたは複数のバケットを作成できるように構成されます。バケットは、動作の頻度を取得するために使用するコンテナです。ルールによって、これらのバケットのカウンタが特定のメンバーについて評価され、状況が異常であるかどうかが確認されます。
キャッシュ・ポリシー
グループでは、「フル・キャッシュ」および「なし」という2つのキャッシュ・ポリシー・オプションが提供されます。
「フル・キャッシュ」オプションでは、サーバーの存続期間を通して、グループのコンテンツがサーバーのメモリーにキャッシュされます。静的参照グループと読取り専用グループは、「フル・キャッシュ」オプションの候補として適しています。管理者は、このオプションの使用時にサーバーのメモリーが使用されることに注意する必要があります。リストに変更があるとグループが再キャッシュされるため、要素のリストが長い場合は、悪影響を及ぼすことがあります。
「なし」キャッシュ・ポリシー・オプションではキャッシュが使用されず、毎回データベースが参照されます。デバイス・グループ・タイプは動的であることが多く、サーバーの実行中に頻繁に操作されるため、「なし」に設定されます。グループがサーバーの存続期間を通して静的である場合は、「なし」のかわりに「フル・キャッシュ」オプションを使用できます。
ケース
ケースによって、カスタマ・サービスの問題を追跡および解決するツールが提供されます。
ケースは、カスタマおよびカスタマの様々なアカウント・アクティビティをサポートするためにCSRが実行するすべてのアクションの記録です。各ケースには、一意のケース識別番号であるケース番号が割り当てられます。
ケース・ステータス
ケース・ステータスは、ケースの現在の状態です。ケースに使用されるステータスの値は、「新規」、「保留中」、「エスカレーション済」または「クローズ済」です。ケースを作成すると、そのステータスはデフォルトで「新規」に設定されます。
ケース・タイプ
ケースのタイプです。
CSR - CSRケースは、通常の一連のオンライン業務や、カスタマをサポートするときの通話など、カスタマを支援するときに使用されます。カスタマ・サービス担当は、一連のCSRツールを使用して、Oracle Adaptive Access Managerに関連付けられた問合せに対応できます。CSRケースはユーザーに関連付けられます。
エスカレーション済 - CSRマネージャによって、特定のケースが追加の調査を必要とすることが認識され、そのケースがエスカレーションされると、CSRケースはエスカレーション済のケースになります。ユーザーに関連付けられます。
チャレンジ質問
チャレンジ質問は、セカンダリ認証に使用される有限の質問リストです。
登録中、ユーザーにはいくつかの質問メニューが提示されます。たとえば、3つの質問メニューが提示される場合があります。登録中、ユーザーはメニューごとに質問を1つ選択し、その回答を入力する必要があります。質問メニューごとに1つのみ質問を登録できます。これらの質問は、ユーザーの登録済質問になります。
OAAM管理内のルールによってチャレンジ質問がトリガーされると、OAAMサーバーでは、チャレンジ質問を表示し、ユーザーにとってセキュアな方法で回答を受け入れます。質問はQuestionPad、TextPadおよびその他のパッドで提示でき、この場合、チャレンジ質問はオーセンティケータのイメージまたは簡単なHTMLに埋め込まれます。
チェックポイント
チェックポイントは、Oracle Adaptive Access Managerがセッション内でルール・エンジンを使用してセキュリティ・データを収集および評価する特定のポイントです。
チェックポイントの例を次に示します。
認証前 - ルールはユーザーが認証プロセスを完了する前に実行されます。
認証後 - ルールはユーザーが正常に認証された後に実行されます。
完了した登録
登録を完了したユーザーのステータスです。ユーザーは自身を登録するために、パーソナライズ(イメージおよびフレーズ)、チャレンジ質問/回答および電子メール/携帯電話の登録をすべて完了することが必要になる場合があります。
Cookie
Cookie (別名ブラウザCookie、コンピュータCookie、追跡Cookie、Web Cookie、インターネットCookieおよびHTTP Cookie)は、Webブラウザによってユーザーのコンピュータ上に格納される少量のテキスト文字列です。Cookieは、ユーザー・プリファレンス、ショッピング・カートの中身、サーバー・ベースのセッションの識別子、Webサイトによって使用されるその他のデータなどの情報を含む、1つ以上の名前/値ペアから構成されます。WebサーバーからWebクライアント(通常はブラウザ)にHTTPヘッダーとして送信された後、クライアントがそのサーバーにアクセスするたびに、変更せずにサーバーに返されます。Cookieは、認証、セッションの追跡(状態のメンテナンス)およびサイトのプリファレンスや電子ショッピング・カートなどの特定のユーザー情報のメンテナンスに使用できます。
作成方法(バケット)
パターンは、1つまたは複数のバケットを作成できるように構成されます。バケットは、動作の頻度を取得するために使用するコンテナです。ルールによって、これらのバケットのカウンタが特定のメンバーについて評価され、状況が異常であるかどうかが確認されます。
単一バケット・パターンでは、パターンで指定された完全に一致するデータ・ポイントおよび値範囲を持つ1つのバケットが作成および移入されます。
たとえば、国がアメリカ合衆国(属性)のユーザー(メンバー・タイプ)の認証パターンの作成を選択した場合、正確に1つのバケットが作成されユーザーが移入されます。ユーザーがアメリカ合衆国からログインした場合、そのユーザーはバケットのメンバーになり、バケット・カウントが増分されます。そのユーザーがアメリカ合衆国からログインしていない場合、バケット・カウントは増分されません。
複数バケット・パターンでは、通常単一バケット・パターンよりも多くのバケットが作成されます。パラメータの構成に基づき、必要に応じてバケットが作成されます。
Oracle Adaptive Access Managerでのバケットの作成に使用するデータ型およびサンプルを構成すると、パターンの処理中にOracle Adaptive Access Managerによって動作の取得に必要なバケットが作成されます。
CSR
カスタマ・サービス担当は、カスタマからの問合せに基づいてカスタマの低リスクの問題を解決します。CSRによるOAAM管理へのアクセスは制限されています。
ログインまたはトランザクションがブロックされた理由の表示
エスカレーションを支援するための、重大度フラグとアラート・ステータスの表示
カスタマが使用する一時許可の発行などのアクションの完了
データ要素
エンティティは一連の属性です。データ要素は、エンティティを構成する属性の説明に使用されます。たとえば、クレジット・カード・エンティティには、住所1、住所2、市区町村、郵便番号、都道府県などの属性があります。説明、長さ、タイプなどといったデータ要素は各属性を記述するために使用されます。
データ・マイニング
データ・マイニングとは、大量に保管されているデータを自動的に検索して、単純な分析では得られないパターンや傾向を見つける手続きです。データ・マイニングでは高度な数学的アルゴリズムを使用して、データを分割し、将来のイベントの発生確率を判断します。データ・マイニングは、データからの知識発見(KDD)としても知られています。データ・マイニングを行うと、単純な問合せや報告技術では解決できない問題を解決できます。
デバイスのフィンガープリント処理
デバイスのフィンガープリント処理では、ブラウザ・タイプ、ブラウザ・ヘッダー、オペレーティング・システム・タイプ、ロケールなどのデバイスに関する情報が収集されます。フィンガープリント・データは、デバイスについてログイン・プロセス中に収集される、ログインに使用したデバイスの識別に必要なデータを表します。フィンガープリント処理のプロセスでは、再生攻撃およびCookieベースの登録バイパス・プロセスからの保護を目的とした、ユーザーに対して一意であるフィンガープリントが生成されます。フィンガープリント詳細は、デバイスの識別、それがセキュアであるかどうかの確認および認証またはトランザクションのリスク・レベルの特定に役立ちます。
通常カスタマがログインに使用するデバイスには、デスクトップ・コンピュータ、ラップトップ・コンピュータ、PDA、携帯電話、キオスクまたはその他のWeb対応デバイスがあります。
デバイス識別情報
登録処理中、ユーザーは任意で自身のデバイスをシステムに登録できます。登録済デバイスからユーザーがログインを試行すると、アプリケーションはそのデバイスが安全かつセキュアであることを認識しているため、ユーザーにトランザクションの続行を許可します。このプロセスはデバイス識別とも呼ばれます。
表示スキーム
表示スキームは、提示する要素と、エンティティの値をユーザー・インタフェースに表示するときの順序から構成されます。たとえば、住所を表示する場合に、住所1を最初のアイテム、住所2を2番目のアイテム、市区町村を3番目のアイテム、都道府県を4番目のアイテムおよび郵便番号を5番目のアイテムとして表示します。
処置
処置は、ケース内の問題が解決された方法を示します。ケースに処置が存在するのは、クローズされている場合のみです。ケースが「クローズ済」以外のステータスを持っている場合、処置は空白のままになります。
デバイス登録
デバイス登録は、ユーザーが安全なデバイスとして使用しているデバイス(コンピュータ、携帯電話、PDAなど)にフラグを付けることができる機能です。カスタマはその後、登録済デバイスからアクセスしていないユーザーへのチャレンジに使用するルールを構成できます。
一度機能を有効化すると、そのユーザーのデバイスに関する情報が収集されます。収集した情報を活用するには、ポリシーを作成および構成する必要があります。たとえば、登録済デバイスからログインしていないユーザーへのチャレンジに使用するルールを含むポリシーを作成できます。
エンティティ・エディタ
エンティティを編集するためのツールです。エンティティは、様々なトランザクションで再利用できるユーザー定義構造です。適切かつ関連するフィールドのみをエンティティにグループ化する必要があります。
有効期限日
CSRケースの有効期限が切れる日付です。デフォルトでは、ケースの有効期限が切れるまでの時間は24時間です。24時間後、ステータスが現在のステータスから「有効期限切れ」に変化します。ケースは有効期限が切れるとき、保留中やエスカレーション済のステータスになっている場合があります。ケースの有効期限が切れた後、ユーザーはそのケースを開くことができなくなりますが、CSRマネージャは開くことができます。ケースの有効期限が切れるまでの時間は構成可能です。
実行タイプ
構成可能なアクションには、次の2つの実行タイプがあります。
同期 - 同期アクションは、昇順の優先度に従って実行されます。たとえば、ユーザーがケースを作成し、そのケースIDを含む電子メールを送信する必要がある場合、ユーザーは同期アクションを選択します。同期アクションは即時にトリガー(実行)されます。
アクションが順次実行されており、順序内のアクションの1つがトリガーされない場合でも、その他のアクションはトリガーされます。
非同期アクションは実行用のキュー内に配置されますが、特定の順序には従いません。たとえば、電子メールを送信するか、またはアクションを実行するときに、即時実行せず、実行順序にこだわらない場合は、非同期アクションを選択します。
列挙
ユーザー定義列挙は、アイテムのリストを表すプロパティの集合です。リスト内の各要素には、複数の異なる属性が含まれている場合があります。ユーザー定義列挙の定義はキーワード.enumで終わるプロパティで始まり、ユーザー定義列挙の使用を記述する値が続きます。各要素定義は、列挙と同じプロパティ名に要素名が追加されたもので始まり、IDである一意の整数の値が続きます。要素の属性も同じパターンに従い、要素のプロパティ名で始まり、その後に属性名がその属性の適切な値とともに示されます。
OAAMサーバー実装のログイン画面に表示される、列挙定義資格証明の例を次に示します。
bharosa.uio.default.credentials.enum = Enum for Login Credentials bharosa.uio.default.credentials.enum.companyid=0 bharosa.uio.default.credentials.enum.companyid.name=CompanyID bharosa.uio.default.credentials.enum.companyid.description=Company ID bharosa.uio.default.credentials.enum.companyid.inputname=comapanyid bharosa.uio.default.credentials.enum.companyid.maxlength=24 bharosa.uio.default.credentials.enum.companyid.order=0 bharosa.uio.default.credentials.enum.username=1 bharosa.uio.default.credentials.enum.username.name=Username bharosa.uio.default.credentials.enum.username.description=Username bharosa.uio.default.credentials.enum.username.inputname=userid bharosa.uio.default.credentials.enum.username.maxlength=18 bharosa.uio.default.credentials.enum.username.order=1
Flashのフィンガープリント処理
Flashのフィンガープリント処理は、ブラウザのフィンガープリント処理に似ていますが、サーバーでFlash動画を使用してCookieを設定またはユーザーのマシンから取得することによって、特定の情報の組合せがブラウザとFlashから取得されるようにします。Flashがクライアント・マシンにインストールされている場合、Flashフィンガープリントが唯一の情報になります。
フィンガープリントは別々に追跡されます。フィンガープリントはセッション・リストと詳細ページから使用でき、各詳細ページを開くとフィンガープリントの詳細を確認できます。したがって、両方のフィンガープリントを使用可能にできますが、ユーザーがFlashをインストールしていない場合、デジタル・フィンガープリント(Flash)はNULLに設定されます。
不正調査担当者
不正調査担当者は主に、カスタマ・サービスまたはOracle Adaptive Access Managerのアラートから直接エスカレーションされた疑わしい状況を調査します。エージェントはすべてのカスタマ・ケア機能にアクセスできるだけでなく、セキュリティ管理とBI Publisherレポートの読取り専用権限もあります。
不正調査マネージャ
不正調査マネージャには、調査担当者のすべてのアクセス権と職務、およびすべてのケースを管理する責任があります。調査マネージャは定期的に有効期限の切れたケースを検索し、保留中のケースを残さないようにする必要があります。
不正シナリオ
不正シナリオは、企業のオンライン・アプリケーションを標的にした悪意のある行為など、発生する可能性がある、または実際に発生している不正な状況です。
たとえば、月曜日にオフィスに到着し、OAAM管理にログインしたとします。そこで、数人のユーザーが「不正なパスワード」および「無効なユーザー」ステータスで何回もログインしていることに気付きます。このうち何人かは国外、何人かは同じ地域からログインしたようです。不正チームから、一部のアカウントのセキュリティが損なわれていることを知らせる電話が入ります。このようなトランザクションを識別してブロックできる一連のルールを用意する必要があります。
IDスキーム
IDスキームは、エンティティを一意に識別できるデータ要素から構成されます。つまり、エンティティを識別する一意の組合せを定義します。たとえば、クレジット・カード・エンティティは多数の属性を持ちますが、クレジット・カードを一意に識別するには、16桁のクレジット・カード番号を使用します。その場合、IDスキームは単にクレジット・カード番号です。
別の例としては、住所エンティティは住所1、住所2、市区町村、都道府県および郵便番号を属性として持ちます。都道府県および市区町村属性を除く、住所1、住所2および郵便番号属性を使用することによっても、住所を一意に識別できます。
ナレッジベース認証(KBA)
OAAMナレッジベース認証(KBA)は、登録済チャレンジ質問に基づくユーザー・チャレンジ・インフラストラクチャです。登録ロジック、チャレンジ・ロジックおよび回答ロジックを処理します。
ロック済
「ロック済」は、ユーザーがKBAまたはOTPチャレンジに失敗した場合にOracle Adaptive Access Managerによって設定されるステータスです。「ロック済」ステータスが使用されるのは、KBAまたはワンタイム・パスワード(OTP)機能が使用中の場合のみです。
OTP: 構成済の配信方法を使用してOTPからユーザーにワンタイムPINまたはパスワードが送信され、そのユーザーによるOTPコードの入力試行回数が一定数を超えた場合、アカウントは「ロック済」になります。
KBA: オンライン・チャレンジの場合、オンライン・カウンタが最大失敗回数に達したときに、カスタマはセッションからロックアウトされます。電話チャレンジの場合、失敗の最大数に達し、それ以上チャレンジ質問が残っていない場合に、カスタマがロックアウトされます。
ロックアウトされた後、再度そのアカウントを使用してシステムに入るには、カスタマ・サービス担当がステータスを「ロック解除」にリセットする必要があります。
マルウェア
マルウェアは、所有者に情報を提供して同意を得ることなく、コンピュータ・システムに潜入して損害を与えるように設計されたソフトウェアです。マルウェアには、キー・ロガーやその他のタイプの悪意のあるコードが含まれる場合があります。
中間者攻撃(プロキシ攻撃)
不正行為者が、二者間のリンクのセキュリティが損なわれていることをいずれの当事者にも知られることなく、二者間のメッセージの読取り、挿入および変更を自由に行うことができる攻撃です。
マルチファクタ認証
マルチファクタ認証(MFA)は、複数の認証形式を実装してトランザクションの正当性を検証するセキュリティ・システムです。一方、単一ファクタ認証(SFA)ではユーザーIDとパスワードのみが使用されます。
マルチプロセス・モジュール(MPM)
Apache httpdにはいくつかのマルチプロセス・モジュール(MPM)が付属しています。これらのモジュールは、マシン上のネットワーク・ポートへのバインド、リクエストの受入れ、およびリクエストを処理するための子のディスパッチを行います。
相互認証
相互認証または双方向認証とは、二者間で互いを適切に認証することを指します。技術的には、いずれの当事者にも相手のアイデンティティが保証される方法で、クライアントまたはユーザーが自身をサーバーに対して認証し、そのサーバーが自身をユーザーに対して認証することを指します。
ネストされたポリシー
ネストされたポリシーは、システムから最初に出力された結果が不明確である場合に、リスク・スコアをさらに定量化するために使用されるセカンダリ・ポリシーです。リスク・スコアの正確性を高めるために、ネストされたポリシーを割り当てることができます。ネストされたポリシーは、プライマリ・ポリシーから特定の回答の組合せが返された場合のみ実行されます。このため、ネストされたポリシーによって、誤検出と不要な結果が減少します。
OAAMサーバー
ネイティブ統合を除くすべてのデプロイメント・タイプで使用される、Adaptive Risk ManagerとAdaptive Strong Authenticatorの機能、Webサービス、LDAP統合およびユーザーWebアプリケーションです。
ワンタイム・パスワード認証(OTP)
ワンタイム・パスワード認証(OTP)は、アウト・オブ・バンド認証形式の1つであり、セカンダリ資格証明として使用され、事前に構成されたチェックポイントで構成済のポリシーに基づいて生成されます。
OTP Anywhere
OTP Anywhereは、リスク・ベースのチャレンジ・ソリューションであり、構成済のアウト・オブ・バンド・チャネルを経由してエンド・ユーザーに送信されるサーバー生成のワンタイム・パスワードから構成されます。サポートされるOTP配信チャネルには、ショート・メッセージ・サービス(SMS)、電子メール、インスタント・メッセージング、音声などがあります。OTP Anywhereは、KBAチャレンジを補完するために、またはKBAのかわりに使用できます。また、OTP AnywhereとKBAは、いずれも、デプロイメント内で他に必要となる、実質的にすべての認証タイプとともに使用できます。Oracle Adaptive Access Managerでは、チャレンジ・プロセッサ・フレームワークも提供されます。このフレームワークを使用すると、サード・パーティ認証製品またはサービスをOAAMリアルタイム・リスク評価と組み合せた、リスク・ベースのカスタム・チャレンジ・ソリューションを実装できます。
Oracle Adaptive Access Manager
企業とそのカスタマをオンラインで保護するための製品です。
Oracle Adaptive Access Manager
マルチファクタ認証セキュリティを提供します。
複数のデータ型を評価してリアルタイムでリスクを特定します。
オフライン環境における不正ポリシーの調査と作成に役立ちます。
アクセス管理アプリケーションと統合されます。
Oracle Adaptive Access Managerは、OAAMサーバーおよびOAAM管理という2つの主要コンポーネントから構成されます。
パターン
パターンは管理者によって構成され、アクセス・データのダイジェストを作成することによって、システムにアクセスするユーザー、デバイスおよびロケーションの動作を記録します。ダイジェストまたはプロファイル情報は、その後履歴データ表に格納されます。ルールによってパターンが評価され、動的にリスク・レベルが査定されます。
パターン・ステータス
ステータスは、パターンの現在の状態です。パターンの作成には4つの状態があります。
アクティブ
データを収集する必要がある場合、パターンはアクティブな状態であることが必要です。
非アクティブ
パターンが完了してもデータを収集しない場合は、「非アクティブ」を選択します。
未完了
パターンの作成を開始し、後で完成させるために保存する必要がある場合は、「未完了」を選択します。この状態ではデータは収集されません。
無効
管理者は、パターンを無効としてマークし、そのパターンを使用できないようにすることがあります。この状態ではデータは収集されません。
パーソナライズ・アクティブ
アクティブなイメージ、フレーズおよび質問を持つユーザーのステータスです。パーソナライズは個人バックグラウンド・イメージおよびフレーズから構成されます。サーバーによってタイムスタンプが生成され、再利用を防ぐために、1回のみ使用できるイメージに埋め込まれます。各オーセンティケータ・インタフェースは、1回のみ使用するためにユーザーに提供される単一イメージです。
フィッシング
ソーシャル・エンジニアリングの技法を使用してユーザーをだまし、偽Webアプリケーションにアクセスさせる犯罪行為です。フィッシングの攻撃者は、信頼できるエンティティを装い、ユーザー名、パスワード、クレジット・カードの詳細などの機密情報を不正に取得しようとします。多くの場合、フィッシング行為は、だまされやすいユーザーを誘い込むための電子メールから始まります。
プラグイン
プラグインは、特定の、通常は非常に特殊な機能をオンデマンドで提供するために、ホスト・アプリケーション(Webブラウザや電子メール・クライアントなど)とやり取りするコンピュータ・プログラムから構成されます。
ポリシー・セット
ポリシー・セットは、現在構成されているすべてのポリシーの集合であり、トラフィックを評価して潜在的なリスクを識別するために使用されます。ポリシー・セットには、スコアリング・エンジンとアクション/スコア・オーバーライドが含まれます。
ポリシー・ステータス
ポリシーには、オブジェクトの状態またはビジネス・プロセスに対する可用性を定義する3つのステータスがあります。
アクティブ
無効
削除済
「削除済」は使用されません。
ポリシーを削除すると、そのポリシーはデータベースから完全に削除されます。
デフォルトでは、新しく作成されたすべてのポリシーのステータスは「アクティブ」になります。
コピーされたすべてのポリシーのデフォルト・ステータスは「無効」になります。
スコアリング・エンジン
Oracle Adaptive Access Managerでは、スコアリング・エンジンを使用して、アクセス・リクエスト、イベントおよびトランザクションに関連付けられたリスクを計算します。
スコアリング・エンジンは、ポリシーおよびポリシー・セット・レベルで使用されます。ポリシー・スコアリング・エンジンは、ポリシーに含まれる様々なルールによって生成されるスコアの計算に使用されます。ポリシー・セット・スコアリング・エンジンは、ポリシーのスコアに基づく最終的なスコアの計算に使用されます。
数値入力が存在する場合、スコアリングではそのような様々なポイントをすべてまとめて、判断基準として使用可能なスコアを生成できます。
セキュリティ・トークン
セキュリティ・トークン(ハードウェア・トークン、ハード・トークン、認証トークン、USBトークン、暗号トークンとも呼ばれます)は、自身のIDを電子的に証明する(カスタマが銀行口座にアクセスするときなど)ために使用されます。トークンは、カスタマが身分を証明するために、パスワードに加えて、またはパスワードのかわりに使用されます。トークンは、何かにアクセスするための電子キーのように動作します。
重大度レベル
ケースの重大度をケース担当に伝えるマーカーです。重大度レベルは、ケースの作成者が設定します。使用可能な重大度レベルには、「高」、「中」および「低」があります。カスタマが不正を疑っている場合、割り当てられる重大度レベルは「高」になります。たとえば、カスタマが異なるイメージを必要としている場合、割り当てられる重大度レベルは「低」になります。重大度レベルは、必要に応じてエスカレーションまたはエスカレーション解除できます。
セッション・ハイジャック
セッション・ハイジャックとは、有効なコンピュータ・セッション(セッション・キーとも呼ばれます)を悪用して、コンピュータ・システム内の情報やサービスに不正アクセスすることを指します。
スナップショット
スナップショットは、Oracle Adaptive Accessポリシー、依存コンポーネント、およびバックアップ、障害時リカバリおよび移行の構成を含むZIPファイルです。スナップショットをデータベースに保存して高速リカバリに使用したり、ファイルに保存して環境とバックアップとの間の移行に使用できます。スナップショットのリストアは、差異の内容と、競合の解決に必要なアクションを目に見える形で正確に把握できるプロセスです。スナップショットの詳細は、第16章「システム・スナップショットの管理」を参照してください。
SOAP
SOAP(当初はSimple Object Access Protocolとして定義されました)は、コンピュータ・ネットワーク内のWebサービスの実装において構造化された情報を交換するためのプロトコル仕様です。メッセージ形式としてはExtensible Markup Language (XML)が使用され、メッセージのネゴシエーションと送信には、通常、他のアプリケーション・レイヤー・プロトコル(中でもリモート・プロシージャ・コール(RPC)とHTTP)を使用します。SOAPはWebサービス・プロトコル・スタックの基本レイヤーであり、Webサービスの構築基盤として使用できる基本的なメッセージング・フレームワークを提供します。
なりすまし攻撃
ネットワーク・セキュリティとの関連において、なりすまし攻撃は、ある個人またはプログラムが、データを偽造して違法に利用することによって、別の個人またはプログラムを装うことに成功した状況です。
ソース・データ
Oracle Adaptive Access Managerサーバーに送信される、外部アプリケーション(クライアント側)から発生したトランザクションのすべてのパラメータ(データ・フィールド)です。
スパイウェア
スパイウェアは、ユーザーとコンピュータとのやり取りを捕捉または一部制御するために、ユーザーに情報を提供して同意を得ることなく、パーソナル・コンピュータに不正にインストールされるコンピュータ・ソフトウェアです。
厳密認証
認証要素は、セキュリティ制約に従ってアクセスをリクエストする個人または他のエンティティのIDを認証または検証するために使用される、情報やプロセスです。2つの要素による認証(T-FA)は、2つの異なる要素を組み合せて認証に使用するシステムです。要素を1つではなく2つ使用すると、一般的に、認証の保証のレベルが高まります。
複数の要素を使用することを厳密認証と呼ぶ場合があります。
TextPad
通常のキーボードを使用してパスワードまたはPINを入力するためのパーソナライズされたデバイス。このデータ入力方法は、フィッシングからの防御に役立ちます。大規模なデプロイメントでは、TextPadがすべてのユーザーのデフォルトとしてデプロイされることが多く、その後、各ユーザーが必要に応じて個別に別のデバイスにアップグレードできます。ユーザーが登録した個人イメージおよびフレーズは、ユーザーが有効なサイトにログインするたびに表示され、ユーザーとサーバーとの間の共有シークレットとして機能します。
トランザクション・データ
抽象アイテムであるかそれ自体では属性を持たないデータ、どのエンティティにも当てはまらないデータ、およびそれ自体で存在するか一意であるデータは、トランザクション・データとして定義されます。
エンティティに当てはまらないアイテムは、スタンドアロン・データとして分類されます。
代表的な例には、数量やコードがあります。
トランザクション定義
トランザクションのモニタリングとプロファイリングを開始するには、トランザクション定義を使用してアプリケーション・データをマップします。Oracle Adaptive Access Managerによって処理される各トランザクション・タイプには、別々のトランザクション定義が必要です。
トランザクション・キー
このキー値は、クライアントまたは外部トランザクション・データをOracle Adaptive Access Managerサーバー内のトランザクションにマップするために使用されます。
トリガー組合せ
ルール結果の組合せに基づく追加の結果とポリシー評価のいずれかまたは両方です。様々なルール結果の組合せに基づくスコア、アクション・グループおよびアラート・グループを指定することも、ネストされたポリシーを指定してさらにリスクを評価することもできます。
仮想認証デバイス
パスワードまたはPINを入力するためのパーソナライズされたデバイス、または認証資格証明を入力するためのデバイスです。仮想認証デバイスでは、認証資格証明の入力と送信のプロセスを強化し、エンド・ユーザーが有効なアプリケーションに対して認証していることを検証します。