ヘッダーをスキップ
Oracle® Fusion Middleware Oracle Adaptive Access Manager管理者ガイド
11gリリース1 (11.1.1)
E67347-01
  目次へ移動
目次
索引へ移動
索引

前
 
次
 

用語集

省略形

このアルゴリズムでは、一般的な省略形、一般的な愛称、一般的な頭文字および日付書式が処理されます。

アクセス認証

HTTPトランザクションのコンテキストにおける基本的なアクセス認証の方法は、Webブラウザや他のクライアント・プログラムでリクエストを行うときに、資格証明をユーザー名とパスワードの形式で提供できるように設計されています。

アクション

セキュリティ・プロファイルの登録の強制、KBAチャレンジ、アクセスのブロック、PINやパスワードの要求など、ユーザーに影響を与える可能性があるルール結果。

アクション・グループ

アクション・グループは、ルールによってトリガーされる一連のレスポンスです。

アクション・グループはルール内の結果として使用され、ルールがトリガーされると、グループ内のすべてのアクションがアクティブ化されます。

Adaptive Risk Manager

Oracle Adaptive Access Managerの機能のカテゴリです。ビジネス分析とリスク分析、不正調査およびカスタマ・サービス・ツールはAdaptive Risk Managerカテゴリに属します。

Adaptive Strong Authenticator

Oracle Adaptive Access Managerの機能のカテゴリです。エンド・ユーザーが使用するインタフェース、フローおよび認証方式はすべて、Adaptive Strong Authenticatorのカテゴリに属します。

アラート

特定のタイプのOracle Adaptive Access Managerユーザーを対象とするメッセージを含むルール結果です。

アラート・グループ

アラートは、担当者(CSR、調査担当者など)へのインジケータです。アラート・グループには、ルールによってトリガーできる等級付けされたメッセージが含まれます。

アラート・グループはルール内の結果として使用され、ルールがトリガーされると、グループ内のすべてのアラートがアクティブ化されます。

回答ロジック

回答ロジックは、ナレッジベース認証と登録、回答、およびIdentity and Access Management SuiteのKBAを有効にするファジー・ロジックの一意の組合せです。

属性

属性は、追跡中のアクティビティに関連付けられた特定の情報です。例としてログイン時刻をあげることができます。パターンによって、メンバーに関するデータが収集されます。メンバー・タイプがユーザーである場合、パターンによってユーザーに関するデータが収集されます。

認証

ユーザー、デバイスおよびアプリケーションのアイデンティティを確認するプロセスです。認証によって、誰が特定のサービスへのアクセスを試行しているかが識別されます。

認証ステータス

認証ステータスはセッションのステータスです(ログイン試行またはトランザクション試行のたびに、新規セッションが作成されます)。

次に例を示します。

認可

認可によって、どのコンポーネントから提供されるどのリソースに誰がアクセスできるかが識別されます。

自動学習

自動学習は、動作をリアルタイムで動的にプロファイリングする、Oracle Adaptive Access Managerの一連の機能です。ユーザー、デバイスおよびロケーションの動作が記録され、現在の動作のリスクを評価するために使用されます。

ブラック・リスト

ブロックされるユーザー、デバイス、IPアドレス、ネットワーク、国などを示す特定のリストです。特定のメンバーからの攻撃をレポートに表示し、その攻撃を管理者の判断でブラックリストに手動で追加できます。

ブロック済

ユーザーが「ブロック済」になるのは、ポリシーの特定の条件がtrueになり、そのポリシーがこのような条件にブロック・アクションで応答するように設定されている場合です。該当する条件が変更されると、ユーザーは「ブロック済」ではなくなる場合があります。「ブロック済」ステータスは必ずしも永続的なものではないため、解決に管理者のアクションを必要としない場合があります。たとえば、ユーザーがブロックされた原因が、ブロックされる国からログインしたことである場合、出国後は「ブロック済」ではなくなる可能性があります。

ボット

インターネットを経由して、セキュリティが損なわれたPC上で自動化または編成されたタスクを実行するソフトウェア・アプリケーションです。編成されたボットは、ボット・ネットまたはゾンビ・ネットワークとして知られています。

ブラウザのフィンガープリント処理

ユーザーがシステムにアクセスすると、OAAMによってコンピュータに関する情報が収集されます。サイトでそのようなデータがすべて組み合され、ユーザーのブラウザのフィンガープリントが作成されます。このフィンガープリントによって、ユーザーを一意に識別できる場合があります。ブラウザのフィンガープリントを構成する情報には、ブラウザ・タイプ、インストールされたプラグイン、システム・フォント、オペレーティング・システムの構成およびバージョン情報、コンピュータでCookieを受け入れるかなどがあります。

ブラウザとFlashのフィンガープリントは別々に追跡されます。フィンガープリントはセッション・リストと詳細ページから使用でき、各詳細ページを開くとフィンガープリントの詳細を確認できます。したがって、両方のフィンガープリントを使用可能にできますが、ユーザーがFlashをインストールしていない場合、デジタル・フィンガープリント(Flash)はNULLに設定されます。

バケット

パターンは管理者が構成し、Oracle Adaptive Access Managerでは、その構成を使用して、必要に応じてバケットを作成します。管理者はどのような方法でも、直接バケットを使用または参照できません。

パターンは、1つまたは複数のバケットを作成できるように構成されます。バケットは、動作の頻度を取得するために使用するコンテナです。ルールによって、これらのバケットのカウンタが特定のメンバーについて評価され、状況が異常であるかどうかが確認されます。

キャッシュ・データ

指定した時間枠における履歴データの情報です。

キャッシュ・ポリシー

グループでは、「フル・キャッシュ」および「なし」という2つのキャッシュ・ポリシー・オプションが提供されます。

「フル・キャッシュ」オプションでは、サーバーの存続期間を通して、グループのコンテンツがサーバーのメモリーにキャッシュされます。静的参照グループと読取り専用グループは、「フル・キャッシュ」オプションの候補として適しています。管理者は、このオプションの使用時にサーバーのメモリーが使用されることに注意する必要があります。リストに変更があるとグループが再キャッシュされるため、要素のリストが長い場合は、悪影響を及ぼすことがあります。

「なし」キャッシュ・ポリシー・オプションではキャッシュが使用されず、毎回データベースが参照されます。デバイス・グループ・タイプは動的であることが多く、サーバーの実行中に頻繁に操作されるため、「なし」に設定されます。グループがサーバーの存続期間を通して静的である場合は、「なし」のかわりに「フル・キャッシュ」オプションを使用できます。

ケース

ケースによって、カスタマ・サービスの問題を追跡および解決するツールが提供されます。

ケースは、カスタマおよびカスタマの様々なアカウント・アクティビティをサポートするためにCSRが実行するすべてのアクションの記録です。各ケースには、一意のケース識別番号であるケース番号が割り当てられます。

ケース作成済

ケースが作成された日時です。

ケースの説明

ケースの詳細。ケースには説明が必要です。

ケース番号

各ケースに割り当てられた一意の識別番号です。

ケース・ステータス

ケース・ステータスは、ケースの現在の状態です。ケースに使用されるステータスの値は、「新規」、「保留中」、「エスカレーション済」または「クローズ済」です。ケースを作成すると、そのステータスはデフォルトで「新規」に設定されます。

ケース・タイプ

ケースのタイプです。

チャレンジ質問

チャレンジ質問は、セカンダリ認証に使用される有限の質問リストです。

登録中、ユーザーにはいくつかの質問メニューが提示されます。たとえば、3つの質問メニューが提示される場合があります。登録中、ユーザーはメニューごとに質問を1つ選択し、その回答を入力する必要があります。質問メニューごとに1つのみ質問を登録できます。これらの質問は、ユーザーの登録済質問になります。

OAAM管理内のルールによってチャレンジ質問がトリガーされると、OAAMサーバーでは、チャレンジ質問を表示し、ユーザーにとってセキュアな方法で回答を受け入れます。質問はQuestionPad、TextPadおよびその他のパッドで提示でき、この場合、チャレンジ質問はオーセンティケータのイメージまたは簡単なHTMLに埋め込まれます。

チャレンジ・タイプ

チャレンジのタイプの構成(ChallengeEmail、ChallengeSMS、ChallengeQuestion)です。

チェックポイント

チェックポイントは、Oracle Adaptive Access Managerがセッション内でルール・エンジンを使用してセキュリティ・データを収集および評価する特定のポイントです。

チェックポイントの例を次に示します。

構成可能なアクション

構成可能なアクションによって、ルールの実行後に発生する補足アクションをユーザーが作成できるようになります。

完了した登録

登録を完了したユーザーのステータスです。ユーザーは自身を登録するために、パーソナライズ(イメージおよびフレーズ)、チャレンジ質問/回答および電子メール/携帯電話の登録をすべて完了することが必要になる場合があります。

条件

条件は、履歴および実行時データの評価に使用される構成可能な評価文です。

Cookie

Cookie (別名ブラウザCookie、コンピュータCookie、追跡Cookie、Web Cookie、インターネットCookieおよびHTTP Cookie)は、Webブラウザによってユーザーのコンピュータ上に格納される少量のテキスト文字列です。Cookieは、ユーザー・プリファレンス、ショッピング・カートの中身、サーバー・ベースのセッションの識別子、Webサイトによって使用されるその他のデータなどの情報を含む、1つ以上の名前/値ペアから構成されます。WebサーバーからWebクライアント(通常はブラウザ)にHTTPヘッダーとして送信された後、クライアントがそのサーバーにアクセスするたびに、変更せずにサーバーに返されます。Cookieは、認証、セッションの追跡(状態のメンテナンス)およびサイトのプリファレンスや電子ショッピング・カートなどの特定のユーザー情報のメンテナンスに使用できます。

作成方法(バケット)

パターンは、1つまたは複数のバケットを作成できるように構成されます。バケットは、動作の頻度を取得するために使用するコンテナです。ルールによって、これらのバケットのカウンタが特定のメンバーについて評価され、状況が異常であるかどうかが確認されます。

CSR

カスタマ・サービス担当は、カスタマからの問合せに基づいてカスタマの低リスクの問題を解決します。CSRによるOAAM管理へのアクセスは制限されています。

CSRマネージャ

CSRマネージャは、CSRタイプ・ケースの全体的な管理を担当します。CSRマネージャには、CSRのすべてのアクセス権と責任、およびより機密性の高い操作へのアクセス権があります。

ダッシュボード

集計とトレンドを通じてアクティビティをリアルタイムで表示します。

データ要素

エンティティは一連の属性です。データ要素は、エンティティを構成する属性の説明に使用されます。たとえば、クレジット・カード・エンティティには、住所1、住所2、市区町村、郵便番号、都道府県などの属性があります。説明、長さ、タイプなどといったデータ要素は各属性を記述するために使用されます。

データ・マイニング

データ・マイニングとは、大量に保管されているデータを自動的に検索して、単純な分析では得られないパターンや傾向を見つける手続きです。データ・マイニングでは高度な数学的アルゴリズムを使用して、データを分割し、将来のイベントの発生確率を判断します。データ・マイニングは、データからの知識発見(KDD)としても知られています。データ・マイニングを行うと、単純な問合せや報告技術では解決できない問題を解決できます。

データ型

データの種類と構造を表すデータ属性です。Stringなどが該当します。

最終ケース・アクションの日付

ケースにおいて最終アクションが発生した日付です。

最終グローバル・ケース・アクションの日付

オンライン・ユーザーに対して実行された最後のアクション。

最終オンライン・アクションの日付

最終オンライン・アクションが実行された日付です。

配信チャネル

ユーザーへのOTPの送信に使用される配信メカニズムです。電子メール、SMS、IMなどが配信チャネルです。

デバイス

ユーザーが使用するコンピュータ、PDA、携帯電話、キオスクなどを指します。

デバイスのフィンガープリント処理

デバイスのフィンガープリント処理では、ブラウザ・タイプ、ブラウザ・ヘッダー、オペレーティング・システム・タイプ、ロケールなどのデバイスに関する情報が収集されます。フィンガープリント・データは、デバイスについてログイン・プロセス中に収集される、ログインに使用したデバイスの識別に必要なデータを表します。フィンガープリント処理のプロセスでは、再生攻撃およびCookieベースの登録バイパス・プロセスからの保護を目的とした、ユーザーに対して一意であるフィンガープリントが生成されます。フィンガープリント詳細は、デバイスの識別、それがセキュアであるかどうかの確認および認証またはトランザクションのリスク・レベルの特定に役立ちます。

通常カスタマがログインに使用するデバイスには、デスクトップ・コンピュータ、ラップトップ・コンピュータ、PDA、携帯電話、キオスクまたはその他のWeb対応デバイスがあります。

デバイス識別情報

登録処理中、ユーザーは任意で自身のデバイスをシステムに登録できます。登録済デバイスからユーザーがログインを試行すると、アプリケーションはそのデバイスが安全かつセキュアであることを認識しているため、ユーザーにトランザクションの続行を許可します。このプロセスはデバイス識別とも呼ばれます。

ダイジェスト識別スキーム

ダイジェスト識別スキームでは、選択したエンティティの要素の値をハッシュして一意の識別子を作成します。結果として作成されるキーは、通常は暗号化されます。

表示スキーム

表示スキームは、提示する要素と、エンティティの値をユーザー・インタフェースに表示するときの順序から構成されます。たとえば、住所を表示する場合に、住所1を最初のアイテム、住所2を2番目のアイテム、市区町村を3番目のアイテム、都道府県を4番目のアイテムおよび郵便番号を5番目のアイテムとして表示します。

処置

処置は、ケース内の問題が解決された方法を示します。ケースに処置が存在するのは、クローズされている場合のみです。ケースが「クローズ済」以外のステータスを持っている場合、処置は空白のままになります。

デバイス登録

デバイス登録は、ユーザーが安全なデバイスとして使用しているデバイス(コンピュータ、携帯電話、PDAなど)にフラグを付けることができる機能です。カスタマはその後、登録済デバイスからアクセスしていないユーザーへのチャレンジに使用するルールを構成できます。

一度機能を有効化すると、そのユーザーのデバイスに関する情報が収集されます。収集した情報を活用するには、ポリシーを作成および構成する必要があります。たとえば、登録済デバイスからログインしていないユーザーへのチャレンジに使用するルールを含むポリシーを作成できます。

暗号化

特別な知識がある人を除いて判読できない形式に加工された情報です。

エンティティ・エディタ

エンティティを編集するためのツールです。エンティティは、様々なトランザクションで再利用できるユーザー定義構造です。適切かつ関連するフィールドのみをエンティティにグループ化する必要があります。

エンティティ

エンティティは、ユーザー定義のデータ構造で、異なるトランザクション間で再利用できます。

環境

構成システムのプロパティおよびスナップショット用のツールです。

有効期限日

CSRケースの有効期限が切れる日付です。デフォルトでは、ケースの有効期限が切れるまでの時間は24時間です。24時間後、ステータスが現在のステータスから「有効期限切れ」に変化します。ケースは有効期限が切れるとき、保留中やエスカレーション済のステータスになっている場合があります。ケースの有効期限が切れた後、ユーザーはそのケースを開くことができなくなりますが、CSRマネージャは開くことができます。ケースの有効期限が切れるまでの時間は構成可能です。

実行タイプ

構成可能なアクションには、次の2つの実行タイプがあります。

列挙

ユーザー定義列挙は、アイテムのリストを表すプロパティの集合です。リスト内の各要素には、複数の異なる属性が含まれている場合があります。ユーザー定義列挙の定義はキーワード.enumで終わるプロパティで始まり、ユーザー定義列挙の使用を記述する値が続きます。各要素定義は、列挙と同じプロパティ名に要素名が追加されたもので始まり、IDである一意の整数の値が続きます。要素の属性も同じパターンに従い、要素のプロパティ名で始まり、その後に属性名がその属性の適切な値とともに示されます。

OAAMサーバー実装のログイン画面に表示される、列挙定義資格証明の例を次に示します。

bharosa.uio.default.credentials.enum = Enum for Login Credentials
bharosa.uio.default.credentials.enum.companyid=0
bharosa.uio.default.credentials.enum.companyid.name=CompanyID
bharosa.uio.default.credentials.enum.companyid.description=Company ID
bharosa.uio.default.credentials.enum.companyid.inputname=comapanyid
bharosa.uio.default.credentials.enum.companyid.maxlength=24
bharosa.uio.default.credentials.enum.companyid.order=0
bharosa.uio.default.credentials.enum.username=1
bharosa.uio.default.credentials.enum.username.name=Username
bharosa.uio.default.credentials.enum.username.description=Username
bharosa.uio.default.credentials.enum.username.inputname=userid
bharosa.uio.default.credentials.enum.username.maxlength=18
bharosa.uio.default.credentials.enum.username.order=1

評価優先度

収集したデータの評価に使用する優先度です。

ファット・フィンガリング

このアルゴリズムでは、標準キーボードのキーの近接による回答の誤入力を処理します。

Flashのフィンガープリント処理

Flashのフィンガープリント処理は、ブラウザのフィンガープリント処理に似ていますが、サーバーでFlash動画を使用してCookieを設定またはユーザーのマシンから取得することによって、特定の情報の組合せがブラウザとFlashから取得されるようにします。Flashがクライアント・マシンにインストールされている場合、Flashフィンガープリントが唯一の情報になります。

フィンガープリントは別々に追跡されます。フィンガープリントはセッション・リストと詳細ページから使用でき、各詳細ページを開くとフィンガープリントの詳細を確認できます。したがって、両方のフィンガープリントを使用可能にできますが、ユーザーがFlashをインストールしていない場合、デジタル・フィンガープリント(Flash)はNULLに設定されます。

不正調査担当者

不正調査担当者は主に、カスタマ・サービスまたはOracle Adaptive Access Managerのアラートから直接エスカレーションされた疑わしい状況を調査します。エージェントはすべてのカスタマ・ケア機能にアクセスできるだけでなく、セキュリティ管理とBI Publisherレポートの読取り専用権限もあります。

不正調査マネージャ

不正調査マネージャには、調査担当者のすべてのアクセス権と職務、およびすべてのケースを管理する責任があります。調査マネージャは定期的に有効期限の切れたケースを検索し、保留中のケースを残さないようにする必要があります。

不正シナリオ

不正シナリオは、企業のオンライン・アプリケーションを標的にした悪意のある行為など、発生する可能性がある、または実際に発生している不正な状況です。

たとえば、月曜日にオフィスに到着し、OAAM管理にログインしたとします。そこで、数人のユーザーが「不正なパスワード」および「無効なユーザー」ステータスで何回もログインしていることに気付きます。このうち何人かは国外、何人かは同じ地域からログインしたようです。不正チームから、一部のアカウントのセキュリティが損なわれていることを知らせる電話が入ります。このようなトランザクションを識別してブロックできる一連のルールを用意する必要があります。

ゲート化されたセキュリティ

ユーザーが機密データまたはトランザクションにアクセスするために通過する必要がある、複数のセキュリティ・チェックポイントです。

グレイ・リスト

ブラック・リストにもホワイト・リストにも入っていないユーザーです。グレイ・リストのメンバーは、様々なレベルのチャレンジを受けます。

グループ

同様のアイテムの集合です。次のようなグループがあります。

HTTP

ハイパーテキスト転送プロトコル

IDスキーム

IDスキームは、エンティティを一意に識別できるデータ要素から構成されます。つまり、エンティティを識別する一意の組合せを定義します。たとえば、クレジット・カード・エンティティは多数の属性を持ちますが、クレジット・カードを一意に識別するには、16桁のクレジット・カード番号を使用します。その場合、IDスキームは単にクレジット・カード番号です。

別の例としては、住所エンティティは住所1、住所2、市区町村、都道府県および郵便番号を属性として持ちます。都道府県および市区町村属性を除く、住所1、住所2および郵便番号属性を使用することによっても、住所を一意に識別できます。

IPアドレス

インターネット・プロトコル(IP)・アドレス

ジョブ

ジョブは、OAAMで実行できるタスクの集合です。データのロード、リスク評価の実行、モニター・データのロールアップなど、様々なジョブを実行できます。

KBA電話チャレンジ

ユーザーは、登録済のチャレンジ質問を使用して電話で認証できます。このオプションは、未登録ユーザーまたはKBAを使用していないデプロイメントでは使用できません。

KeyPad

パスワードやクレジット・カード番号などの入力に使用する仮想キーボードです。KeyPadによって、トロイの木馬やキーロギングからの保護が提供されます。

キーストローク・ロガー

ユーザーのキーストロークを取得するソフトウェアです。キーロギング・ソフトウェアを使用すると、ユーザーのコンピュータ上で入力された機密データを収集できます。

キー識別スキーム

キー識別スキームでは、選択したエンティティの要素を単純に連結して一意の識別子を作成します。

ナレッジベース認証(KBA)

OAAMナレッジベース認証(KBA)は、登録済チャレンジ質問に基づくユーザー・チャレンジ・インフラストラクチャです。登録ロジック、チャレンジ・ロジックおよび回答ロジックを処理します。

最終ケース・アクション

CSRケース内で実行された最終アクションです。

最終グローバル・ケース・アクション

すべてのCSRケース内でこのユーザーに対して発生した最終アクションです。エスカレーション済ケースは考慮されません。

最終オンライン・アクション

ユーザーが実行した最終アクションです。たとえば、チャレンジ質問への回答である場合は「チャレンジ質問」、ユーザーがブロックされた場合は「ブロック」と表示されます。

ロケーション

トランザクション・リクエストが発生した市区町村、都道府県、国、IP、ネットワークIDなど。

ロック済

「ロック済」は、ユーザーがKBAまたはOTPチャレンジに失敗した場合にOracle Adaptive Access Managerによって設定されるステータスです。「ロック済」ステータスが使用されるのは、KBAまたはワンタイム・パスワード(OTP)機能が使用中の場合のみです。

ロックアウトされた後、再度そのアカウントを使用してシステムに入るには、カスタマ・サービス担当がステータスを「ロック解除」にリセットする必要があります。

マルウェア

マルウェアは、所有者に情報を提供して同意を得ることなく、コンピュータ・システムに潜入して損害を与えるように設計されたソフトウェアです。マルウェアには、キー・ロガーやその他のタイプの悪意のあるコードが含まれる場合があります。

中間者攻撃(プロキシ攻撃)

不正行為者が、二者間のリンクのセキュリティが損なわれていることをいずれの当事者にも知られることなく、二者間のメッセージの読取り、挿入および変更を自由に行うことができる攻撃です。

メンバー

メンバーはシステム内のアクターを表します。

マルチファクタ認証

マルチファクタ認証(MFA)は、複数の認証形式を実装してトランザクションの正当性を検証するセキュリティ・システムです。一方、単一ファクタ認証(SFA)ではユーザーIDとパスワードのみが使用されます。

マルチプロセス・モジュール(MPM)

Apache httpdにはいくつかのマルチプロセス・モジュール(MPM)が付属しています。これらのモジュールは、マシン上のネットワーク・ポートへのバインド、リクエストの受入れ、およびリクエストを処理するための子のディスパッチを行います。

相互認証

相互認証または双方向認証とは、二者間で互いを適切に認証することを指します。技術的には、いずれの当事者にも相手のアイデンティティが保証される方法で、クライアントまたはユーザーが自身をサーバーに対して認証し、そのサーバーが自身をユーザーに対して認証することを指します。

ネストされたポリシー

ネストされたポリシーは、システムから最初に出力された結果が不明確である場合に、リスク・スコアをさらに定量化するために使用されるセカンダリ・ポリシーです。リスク・スコアの正確性を高めるために、ネストされたポリシーを割り当てることができます。ネストされたポリシーは、プライマリ・ポリシーから特定の回答の組合せが返された場合のみ実行されます。このため、ネストされたポリシーによって、誤検出と不要な結果が減少します。

OAAM管理

すべての環境およびAdaptive Risk ManagerとAdaptive Strong Authenticatorの機能を対象とした管理用Webアプリケーションです。

OAAMサーバー

ネイティブ統合を除くすべてのデプロイメント・タイプで使用される、Adaptive Risk ManagerとAdaptive Strong Authenticatorの機能、Webサービス、LDAP統合およびユーザーWebアプリケーションです。

ワンタイム・パスワード認証(OTP)

ワンタイム・パスワード認証(OTP)は、アウト・オブ・バンド認証形式の1つであり、セカンダリ資格証明として使用され、事前に構成されたチェックポイントで構成済のポリシーに基づいて生成されます。

OTP Anywhere

OTP Anywhereは、リスク・ベースのチャレンジ・ソリューションであり、構成済のアウト・オブ・バンド・チャネルを経由してエンド・ユーザーに送信されるサーバー生成のワンタイム・パスワードから構成されます。サポートされるOTP配信チャネルには、ショート・メッセージ・サービス(SMS)、電子メール、インスタント・メッセージング、音声などがあります。OTP Anywhereは、KBAチャレンジを補完するために、またはKBAのかわりに使用できます。また、OTP AnywhereとKBAは、いずれも、デプロイメント内で他に必要となる、実質的にすべての認証タイプとともに使用できます。Oracle Adaptive Access Managerでは、チャレンジ・プロセッサ・フレームワークも提供されます。このフレームワークを使用すると、サード・パーティ認証製品またはサービスをOAAMリアルタイム・リスク評価と組み合せた、リスク・ベースのカスタム・チャレンジ・ソリューションを実装できます。

Oracle Adaptive Access Manager

企業とそのカスタマをオンラインで保護するための製品です。

Oracle Adaptive Access Manager

Oracle Adaptive Access Managerは、OAAMサーバーおよびOAAM管理という2つの主要コンポーネントから構成されます。

Oracle Data Mining (ODM)

Oracle Database EEのオプションであるOracle Data Miningでは、強力なデータ・マイニング機能が提供されます。

順序

順序によって、エンティティを識別するデータの構成時にデータが連結される方法が決まります。

組織ID

ユーザーが属する組織の一意のIDです。

アウト・オブ・バンド認証

同時に動作する2つの異なるネットワークを使用してユーザーを認証することです。たとえば、電子メール、SMS、電話などがあります。

パターン

パターンは管理者によって構成され、アクセス・データのダイジェストを作成することによって、システムにアクセスするユーザー、デバイスおよびロケーションの動作を記録します。ダイジェストまたはプロファイル情報は、その後履歴データ表に格納されます。ルールによってパターンが評価され、動的にリスク・レベルが査定されます。

パターン名

パターンは個々またはグループの特性です。通常これらのパターンは、業界の専門知識に基づいて高リスクと考えられる動作を表します。

パターン・ステータス

ステータスは、パターンの現在の状態です。パターンの作成には4つの状態があります。

パーソナライズ・アクティブ

アクティブなイメージ、フレーズおよび質問を持つユーザーのステータスです。パーソナライズは個人バックグラウンド・イメージおよびフレーズから構成されます。サーバーによってタイムスタンプが生成され、再利用を防ぐために、1回のみ使用できるイメージに埋め込まれます。各オーセンティケータ・インタフェースは、1回のみ使用するためにユーザーに提供される単一イメージです。

ファーミング

ファーミングは、Webサイトのトラフィックを別の偽Webサイトにリダイレクトすることを目的とした攻撃です。

フィッシング

ソーシャル・エンジニアリングの技法を使用してユーザーをだまし、偽Webアプリケーションにアクセスさせる犯罪行為です。フィッシングの攻撃者は、信頼できるエンティティを装い、ユーザー名、パスワード、クレジット・カードの詳細などの機密情報を不正に取得しようとします。多くの場合、フィッシング行為は、だまされやすいユーザーを誘い込むための電子メールから始まります。

音声

このアルゴリズムでは、登録済の回答と音声が類似した回答、地域によるスペルの違いおよび一般的なスペル・ミスが処理されます。

PinPad

数値PINを入力するための認証入力デバイスです。

プラグイン

プラグインは、特定の、通常は非常に特殊な機能をオンデマンドで提供するために、ホスト・アプリケーション(Webブラウザや電子メール・クライアントなど)とやり取りするコンピュータ・プログラムから構成されます。

ポリシー

ポリシーには、各チェックポイントでリスクのレベルを評価するために使用される、セキュリティ・ルールおよび構成が含まれます。

ポリシー・セット

ポリシー・セットは、現在構成されているすべてのポリシーの集合であり、トラフィックを評価して潜在的なリスクを識別するために使用されます。ポリシー・セットには、スコアリング・エンジンとアクション/スコア・オーバーライドが含まれます。

ポリシー・ステータス

ポリシーには、オブジェクトの状態またはビジネス・プロセスに対する可用性を定義する3つのステータスがあります。

「削除済」は使用されません。

ポリシーを削除すると、そのポリシーはデータベースから完全に削除されます。

デフォルトでは、新しく作成されたすべてのポリシーのステータスは「アクティブ」になります。

コピーされたすべてのポリシーのデフォルト・ステータスは「無効」になります。

予測分析

予測分析では、将来のイベントを予測するために、統計、データ・マイニングおよびゲーム理論の様々な技術を利用して、現在のファクトと履歴ファクトを分析します。

アクティブな質問

登録が完了し、回答するチャレンジ質問が存在するユーザーのステータスです。

質問セット

チャレンジ質問の登録時にカスタマが選択できる質問の合計数です。

QuestionPad

ユーザーが機密タスクを実行する前に回答するチャレンジ質問を提示するデバイスです。このデータ入力方法は、セッション・ハイジャックからの防御に役立ちます。

登録済質問

カスタマの登録済質問は、カスタマが登録またはリセット中に選択および回答した質問です。質問メニューごとに1つのみ質問を登録できます。

登録ロジック

KBA登録処理を制御するロジックの構成です。

リスク・スコア

チェックポイントに関連付けられた数値リスク・レベルです。

行と列

要素の定義において、行と列は、データベース内でデータが格納されるロケーションを指します。行と列は自動的に割り当てられます。管理者はこれらを必要に応じて変更します。

ルール条件

条件は、セキュリティ・ポリシーの基本構築ブロックです。

ルール

ルールはユーザー・アクティビティの評価に使用される条件の集合です。

スコア

スコアとは、特定の状況に関連付けたリスク・レベルの評価に使用される数値スコアリングを指します。ポリシーの結果はスコアです。

スコアリング・エンジン

Oracle Adaptive Access Managerでは、スコアリング・エンジンを使用して、アクセス・リクエスト、イベントおよびトランザクションに関連付けられたリスクを計算します。

スコアリング・エンジンは、ポリシーおよびポリシー・セット・レベルで使用されます。ポリシー・スコアリング・エンジンは、ポリシーに含まれる様々なルールによって生成されるスコアの計算に使用されます。ポリシー・セット・スコアリング・エンジンは、ポリシーのスコアに基づく最終的なスコアの計算に使用されます。

数値入力が存在する場合、スコアリングではそのような様々なポイントをすべてまとめて、判断基準として使用可能なスコアを生成できます。

セキュリティ・トークン

セキュリティ・トークン(ハードウェア・トークン、ハード・トークン、認証トークン、USBトークン、暗号トークンとも呼ばれます)は、自身のIDを電子的に証明する(カスタマが銀行口座にアクセスするときなど)ために使用されます。トークンは、カスタマが身分を証明するために、パスワードに加えて、またはパスワードのかわりに使用されます。トークンは、何かにアクセスするための電子キーのように動作します。

重大度レベル

ケースの重大度をケース担当に伝えるマーカーです。重大度レベルは、ケースの作成者が設定します。使用可能な重大度レベルには、「高」、「中」および「低」があります。カスタマが不正を疑っている場合、割り当てられる重大度レベルは「高」になります。たとえば、カスタマが異なるイメージを必要としている場合、割り当てられる重大度レベルは「低」になります。重大度レベルは、必要に応じてエスカレーションまたはエスカレーション解除できます。

セッション・ハイジャック

セッション・ハイジャックとは、有効なコンピュータ・セッション(セッション・キーとも呼ばれます)を悪用して、コンピュータ・システム内の情報やサービスに不正アクセスすることを指します。

スナップショット

スナップショットは、Oracle Adaptive Accessポリシー、依存コンポーネント、およびバックアップ、障害時リカバリおよび移行の構成を含むZIPファイルです。スナップショットをデータベースに保存して高速リカバリに使用したり、ファイルに保存して環境とバックアップとの間の移行に使用できます。スナップショットのリストアは、差異の内容と、競合の解決に必要なアクションを目に見える形で正確に把握できるプロセスです。スナップショットの詳細は、第16章「システム・スナップショットの管理」を参照してください。

SOAP

SOAP(当初はSimple Object Access Protocolとして定義されました)は、コンピュータ・ネットワーク内のWebサービスの実装において構造化された情報を交換するためのプロトコル仕様です。メッセージ形式としてはExtensible Markup Language (XML)が使用され、メッセージのネゴシエーションと送信には、通常、他のアプリケーション・レイヤー・プロトコル(中でもリモート・プロシージャ・コール(RPC)とHTTP)を使用します。SOAPはWebサービス・プロトコル・スタックの基本レイヤーであり、Webサービスの構築基盤として使用できる基本的なメッセージング・フレームワークを提供します。

ソーシャル・エンジニアリング

ソーシャル・エンジニアリングは、人々を操って行動を起こしたり機密情報を不正行為者に漏えいするために使用される技法の集合です。

なりすまし攻撃

ネットワーク・セキュリティとの関連において、なりすまし攻撃は、ある個人またはプログラムが、データを偽造して違法に利用することによって、別の個人またはプログラムを装うことに成功した状況です。

ソース・データ

Oracle Adaptive Access Managerサーバーに送信される、外部アプリケーション(クライアント側)から発生したトランザクションのすべてのパラメータ(データ・フィールド)です。

スパイウェア

スパイウェアは、ユーザーとコンピュータとのやり取りを捕捉または一部制御するために、ユーザーに情報を提供して同意を得ることなく、パーソナル・コンピュータに不正にインストールされるコンピュータ・ソフトウェアです。

厳密認証

認証要素は、セキュリティ制約に従ってアクセスをリクエストする個人または他のエンティティのIDを認証または検証するために使用される、情報やプロセスです。2つの要素による認証(T-FA)は、2つの異なる要素を組み合せて認証に使用するシステムです。要素を1つではなく2つ使用すると、一般的に、認証の保証のレベルが高まります。

複数の要素を使用することを厳密認証と呼ぶ場合があります。

一時許可

ログインまたはトランザクションを実行できないカスタマに付与される一時的なアカウント・アクセスです。

一時許可有効

一時許可がアクティブになっている状態を指します。

一時許可の有効期限日

一時許可の有効期限が切れる日付です。

TextPad

通常のキーボードを使用してパスワードまたはPINを入力するためのパーソナライズされたデバイス。このデータ入力方法は、フィッシングからの防御に役立ちます。大規模なデプロイメントでは、TextPadがすべてのユーザーのデフォルトとしてデプロイされることが多く、その後、各ユーザーが必要に応じて個別に別のデバイスにアップグレードできます。ユーザーが登録した個人イメージおよびフレーズは、ユーザーが有効なサイトにログインするたびに表示され、ユーザーとサーバーとの間の共有シークレットとして機能します。

トランザクション

トランザクションは、アプリケーションのイベント/トランザクション分析をサポートするデータ構造およびマッピングを定義します。

トランザクション・データ

抽象アイテムであるかそれ自体では属性を持たないデータ、どのエンティティにも当てはまらないデータ、およびそれ自体で存在するか一意であるデータは、トランザクション・データとして定義されます。

エンティティに当てはまらないアイテムは、スタンドアロン・データとして分類されます。

代表的な例には、数量やコードがあります。

トランザクション定義

トランザクションのモニタリングとプロファイリングを開始するには、トランザクション定義を使用してアプリケーション・データをマップします。Oracle Adaptive Access Managerによって処理される各トランザクション・タイプには、別々のトランザクション定義が必要です。

トランザクション・キー

このキー値は、クライアントまたは外部トランザクション・データをOracle Adaptive Access Managerサーバー内のトランザクションにマップするために使用されます。

トリガー

評価結果がtrueになるルールです。

トランザクション・タイプ

認証、請求書の支払、電信送金など、この特定のインストール内で構成されたトランザクション定義です。

トリガー組合せ

ルール結果の組合せに基づく追加の結果とポリシー評価のいずれかまたは両方です。様々なルール結果の組合せに基づくスコア、アクション・グループおよびアラート・グループを指定することも、ネストされたポリシーを指定してさらにリスクを評価することもできます。

トロイの木馬

他の処理の実行を装って悪意のあるソフトウェアをインストールするプログラムです。

ユーザー

トランザクションの実行を認可された企業、個人、クレジット・カードなどを指します。

検証

KBA質問登録およびチャレンジ処理で使用される回答検証です。

仮想認証デバイス

パスワードまたはPINを入力するためのパーソナライズされたデバイス、または認証資格証明を入力するためのデバイスです。仮想認証デバイスでは、認証資格証明の入力と送信のプロセスを強化し、エンド・ユーザーが有効なアプリケーションに対して認証していることを検証します。

ウィルス

自身をコピーし、権限またはユーザーの情報を持たずに複数のコンピュータを感染させることができるコンピュータ・プログラムです。

ホワイト・リスト

信頼できるメンバーのリストです。これらのユーザー、デバイス、IPアドレス、ネットワーク、国などから発生したアクティビティは信頼できます。