Oracle® Fusion Middleware Oracle Adaptive Access Manager管理者ガイド 11gリリース1 (11.1.1) E67347-01 |
|
前 |
次 |
Oracle Adaptive Access Managerは、Webアプリケーションおよびサービスを公開している企業とそのエンド・ユーザーをオンラインの脅威や内部不正から保護します。これは、リスクを意識した認証、リアルタイムでの動作のプロファイリング、トランザクションとイベントのリスク分析を実現します。
機能は、表1-1にまとめられているように、2つの主要な分野に分けることができます。
表1-1 Oracle Adaptive Access Managerの機能
機能 | 説明 |
---|---|
リアルタイムまたはオフラインでのリスク分析 |
Oracle Adaptive Access Managerには、アクセス・リクエスト、イベントまたはトランザクションのリスクを計算し、不正や誤用を防止するための適切な結果を判断する機能が備えられています。リスク評価の部分は、ユーザーのアイデンティティの確認およびアクティビティが疑わしいかどうかの判断のみに使用されます。 リスク分析をサポートする機能は次のとおりです。
|
不正を防止するためにエンド・ユーザーが使用する機能 |
Oracle Adaptive Access Managerでは、フィッシング、ファーミングおよびマルウェアからユーザーを保護します。仮想認証デバイスによって、エントリ・ポイントで資格証明データが保護されます。これにより、ユーザーのコンピュータまたはインターネット上の、盗難に対して脆弱である可能性があるいかなる場所にも資格証明が存在しなくなるため、最大限の保護が実現されます。また、Oracle Adaptive Access Managerには、リスク・ベースの認証、ブロック、構成可能なアクションなど、他のシステムで禁止するための禁止方法も用意されています。 エンド・ユーザーに対するセキュリティをサポートする機能は次のとおりです。
|
この章では、Oracle Adaptive Access Manager 11gの概要について説明します。次のトピックが含まれます。
Oracle Adaptive Access Managerは、企業と、それが公開するWebアプリケーションおよびサービスのエンド・ユーザーを保護するためのセキュリティ・ソリューションです。
Oracle Adaptive Access Managerには次の機能があります。
リスク認識認証
認証セキュリティ
リアルタイムおよびオフラインでのリスク分析
柔軟なデプロイ・オプション
シングル・サインオンおよびアイデンティティ管理による即時利用可能な統合
次の図に、OAAMサーバーとOAAM管理に含まれる機能を示します。
Adaptiveのアクセス・システムを使用すると、オンラインによる状況依存型の認証および認可を備えた高度なセキュリティを実現できます。したがって、状況が評価され、様々なデータのタイプに応じて予防的な措置が講じられます。
この項では、認証、不正のモニタリングおよび不正の検証に使用される主要なコンポーネントや機能について概説します。
アプリケーションのアクセス・セキュリティ
Oracle Adaptive Access Managerには、既存のWebアプリケーションのログイン・フローを強化する、数多くの優れた機能が備えられています。Oracle Adaptive Access Managerを使用すると、認証のタイプに関係なく、使用に適した方法でセキュリティのレベルを向上させることができます。内部者の不正、セッション・ハイジャック、資格証明の盗難およびその他の脅威は、厳密な資格証明認証のみによって排除することはできません。リスク・ベースのチャレンジ・レイヤーを既存の認証の背後に追加すると、ユーザーの操作性に及ぼす影響を最小限に抑えてセキュリティのレベルを向上させることができます。サポート・デスクへの連絡が収益に影響を及ぼす可能性がある大規模なデプロイメントにおいては、ユーザーの操作性は重要な要素となります。Oracle Adaptive Access Managerの仮想認証デバイスのスイートは、サーバーとエンド・ユーザーのみが知っている、パーソナライズされたイメージやフレーズのフィッシングに対処します。さらに、KeyPadおよびPinPadを使用すると、エンド・ユーザーの実際の資格証明を取得したり送信しないことによって、ユーザーの資格証明の入力中におけるセキュリティを保証できます。これにより、マルウェアやその他の類似の脅威による盗難から資格証明が保護されます。仮想認証デバイスはサーバー・ドリブンであり、すべての機能は、キー・ロガーやその他の一般的なマルウェアによってセキュリティが損なわれる可能性のある、クライアント側のソフトウェアやロジックを一切使用することなく提供されます。また、Oracle Adaptive Access Managerでは、認証を試行しているのが有効なユーザーである可能性の高さを判断するために、それぞれのアクセスに対して、デバイスのフィンガープリント処理および動作に関するプロファイリングを実行します。
デバイスのフィンガープリント処理
Oracle Adaptive Access Managerには、アクセス・リクエストおよびトランザクション中に使用されたデバイスのフィンガープリント処理と照会を実行するために、独自のクライアントレス・テクノロジがあります。デバイスのフィンガープリント処理は、カスタマが使用するデバイス(デスクトップ・コンピュータ、ラップトップ・コンピュータ、他のWeb対応デバイスのいずれであるか)を認識するメカニズムです。
ユーザーがシステムにアクセスするたびに、デバイスに関する情報が収集されます。OAAMでは、ユーザー・セッションごとに、1回のみ使用できる一意のフィンガープリントを生成してデバイスにマーク付けします。これは、以降のフィンガープリント処理プロセスのたびに、別の一意のフィンガープリントで置き換えられます。
ユーザー・セッション中にフィンガープリント処理プロセスを複数回実行することにより、セッション中の変更を検出できます。変更されている場合は、セッション・ハイジャックが行われたことがわかります。OAAMはデバイス属性の包括的なリストを監視します。いずれかの属性を利用できない場合、デバイスのフィンガープリント処理を引き続き実行できます。1回のみ使用できる機能とサーバー側ロジックを組み合せると、フィンガープリントの盗用や別のマシンでの再利用が防止され、不正をコミットします。
回答ロジック
回答ロジックを使用すると、基本的には正しいが、細かい誤入力、省略形、スペル・ミスなどを含む回答を許容することによって、ナレッジベース認証(KBA)の質問のユーザビリティを向上させることができます。たとえば、回答ロジックで省略形が有効化されている場合、ユーザーが「What street did you live on in high school?」という質問チャレンジを受けて「1st St.」と回答し、この内容は基本的には正しいものの、6か月前に登録したときには「First Street」と入力した場合などです。回答ロジックで、構成可能な変形を正しい回答の形式で許容することで、登録されたチャレンジ質問のユーザビリティが劇的に向上し、企業がセキュリティとユーザビリティのバランスを調整できます。
OTP Anywhere
OTP Anywhereを使用すると、SMS、電子メール、インスタント・メッセージ・チャネルまたは音声チャネルを経由して取得できる、サーバー生成のワンタイム・パスワード(OTP)を入力することによって、エンド・ユーザーが自身を認証できます。OTPがSMS経由で送信される場合は、ユーザーの携帯電話が、ユーザーが所有していることを示す物理的な2次的要因として機能します。同様に、有効なユーザーのみがワンタイム・パスワードにアクセスできることをより高いレベルで保証するために、認証が帯域外で送信されます。リスクに応じて回答ロジックやOTP Anywhereなどの認証方式が適用される場合は、コスト効率が高く、かつ使用に適した方法で、Webアプリケーションのアクセス・セキュリティとユーザビリティを劇的に向上させることができます。
ダッシュボード
Oracle Adaptive Access Managerダッシュボードには、読みやすい方法でデータを編成して示すユーザー・インタフェースに、複数のコンポーネントからの統合された情報が表示されます。Oracle Adaptive Access Managerダッシュボードには、主要なメトリックのモニター・データバージョンが表示されます。管理者は、セキュリティの観点からの、アプリケーション・アクティビティに関する最新のデータを簡単に確認できます。示されるレポートは、一般的なトレンドを視覚化および追跡するのに役立ちます。
ケース管理
Oracle Adaptive Access Managerには、調査担当者およびカスタマ・サービス担当のためのフレームワークと一連のツールが備えられています。
Oracle Adaptive Access Managerのケース管理機能は2通りの方法で使用します。
Oracle Adaptive Access Managerを使用する企業のユーザーは、イメージ、フレーズ、チャレンジ質問などの、Oracle Adaptive Access Managerのカスタマが使用する機能や、アカウントに関するすべての問題に関するサポートを、企業に電話で求めることができます。CSRはケース管理を使用して、ユーザーおよびユーザーの様々なアカウント・アクティビティをサポートするためにCSRが実行するすべてのアクションを記録するケースを作成します。
また、ケース管理機能は、ユーザー・アカウントに対して実行される潜在的に不正なアクティビティを不正調査担当者が調査する場合にも使用されます。
ナレッジベース認証
Oracle Adaptive Access Managerは、即時利用可能な第2認証をナレッジ・ベース認証(KBA)質問の形式で提供します。KBAインフラストラクチャにより登録、回答、チャレンジ質問が処理されます。KBAは第2認証方法であるため、第1認証の成功後に示されます。
KBAは個人的情報の知識に基づいて個人を認証するのに使用され、知識はリアルタイムで対話型の質問および回答のプロセスによって実証されます。カスタマを認証するのにチャレンジ質問を使用することが適切であるかどうかは、Oracle Adaptive Access Managerのルール・エンジンと組織のポリシーによって判断されます。
ポリシー管理
組織では、ポリシーおよびルールを使用して、不正をモニターおよび管理したり、ビジネス要素を評価できます。ポリシーとルールは、パターンまたはプラクティス、または日々の業務運用で実行する可能性のある特定アクティビティを処理するように設計されています。Oracle Adaptive Access Managerを使用すると、ルールの集合がいつ実行されるか、様々なシナリオの検出に使用される条件、評価するグループ、およびアクティビティが検出されたときにどのアクションを実行するのが適切であるかを定義できます。
予測分析
Oracle Adaptive Access Managerは、Oracle Data Miningと統合されて、リアルタイムでの統計リスク分析を実現します。この形式のリスク分析では、時間の経過とともにトレーニングが行われ、トレーニングを必要としない、高度に構成可能なルールおよび動作に関するプロファイリングを補完します。それぞれのモデルのトレーニングの進行に伴い、リスク分析がより正確になります。即時利用可能な予測モデルは、次の2通りの方法でトレーニングされます。
異常検出モデルは、履歴アクセス・データを供給されたときに自動的にトレーニングされます。
不正分類モデルは人間の不正調査担当者の検索によってトレーニングされます。必要に応じて、特定のデプロイメントのユース・ケースに合わせて追加モデルを構成できます。OAAMカスタマは、予測リスク分析のこのオープンなアプローチを使用して、結果がどの決定に基づいているかを明確に確認し、必要に応じて拡張できます。
OAAMカスタマは、予測リスク分析のこのオープンなアプローチを使用して、結果がどの決定に基づいているかを明確に確認し、必要に応じて拡張できます。
構成可能なアクション
構成可能なアクションとは、チェックポイント実行後に結果アクションまたはリスク・スコアリングあるいはその両方に基づいてトリガーされるアクションです。特定の構成可能なアクションのJavaクラスおよびアクション・テンプレートは、すぐに利用できるように提供されていますが、ビジネス要件に基づいて構成可能なアクションを作成できます。
トランザクション定義
トランザクションとは、ログインの成功後にユーザーが実行するプロセスです。トランザクションの例として、購入、請求書の支払、送金、株式取引、住所変更などがあります。
それぞれのタイプのトランザクションには、各種詳細が伴います。クライアント固有のトランザクションとその対応するエンティティを取得して認可ルールや不正分析などの実施に使用する前に、それを定義してマップする必要があります。Oracle Adaptive Access Managerのトランザクション機能を使用すると、管理者はこのタスクを実行できます。トランザクション定義機能では、管理者は、エンティティやデータ要素定義を作成し、それらをクライアント固有のデータ(ソース・データ)にマップできます。
レポート
Oracle Adaptive Access Managerを介して、レポートを使用できます。カスタマイズ可能なレポート機能を使用するために、Oracle Business Intelligence Publisherの限定版ライセンスが含まれています。
Oracle Identity Management BI Publisher Reportsは、Oracle BI Publisherを使用して、Oracle Identity Management製品データベースの情報について問合せおよびレポートを行います。最小限の設定では、Oracle Identity Managementレポートを作成、管理および配信するための共通の方法がOracle Identity Management BI Publisher Reportsによって提供されます。
Oracle Identity Management BI Publisher Reportsに含まれているレポート・テンプレートは標準のOracle BI Publisherテンプレートであり、それぞれのテンプレートは、カスタマイズしてルック・アンド・フィールを変更できます。Oracle Identity Management製品のスキーマ定義を利用できる場合は、その情報を使用して独自のカスタム・レポートを変更および生成できます。
Oracle Adaptive Access Managerは、各種環境に対する異種サポートにより、様々な機能を選択できるように設計されています。機能は、リソースを最適化して企業クラスのスケーラビリティと冗長性が得られるように実装されます。
Oracle Adaptive Access Managerは、プラットフォームのプレゼンテーション層、ビジネス・ロジック層、およびデータ層を分けた、J2EEベースの複数層デプロイメント・アーキテクチャに構築されています。層がこのように分離されているため、Oracle Adaptive Access Managerは、お客様のパフォーマンス要件に合せてすばやくスケールできます。このアーキテクチャでは、Java、XML、およびオブジェクト・テクノロジを組み合せた、最も柔軟なサポートされているクロス・プラットフォームJ2EEサービスを利用できます。Oracle Adaptive Access Managerは、このアーキテクチャによって、スケーラブルでフォルト・トレラントなソリューションとなっています。
ルール・エンジンやエンド・ユーザーのインタフェース・フローを含むランタイム・コンポーネントは1つの管理対象サーバーに含まれている一方で、管理コンソールの機能はその管理対象サーバーに分散されています。管理コンソールには、カスタマ・サービスおよびセキュリティ・アナリストのケース管理機能が含まれており、この機能は、通話の量が多くなる可能性があるコール・センターの従業員が常に使用できる必要があります。
使用されているデプロイ方法に応じて、トポロジが少し変わります。ネイティブ・アプリケーション統合のデプロイメントでは、ランタイム・コンポーネントが組み込まれ、管理コンソールが、デプロイメントに追加される、唯一の追加的な管理対象サーバーとなります。また、Oracle Adaptive Access Managerは、パフォーマンスに対する高い要求に対応するために、完全にステートレスであり、クラスタ化デプロイメントを完全にサポートします。さらに、Oracle Databaseのすべての高可用性機能は、Oracle Adaptive Access Managerで使用することがサポートされています。
Oracle Adaptive Access Managerでは、実質的にすべてのデプロイメントのニーズを満たすために、数多くのデプロイメント・オプションがサポートされています。どのデプロイメント・タイプを採用するかは、通常、必要なユース・ケースと保護する対象となるアプリケーションに基づいて決定します。
図1-2に示すOracle Adaptive Access Managerのアーキテクチャでは、エンド・ユーザーは様々なデプロイメントでカスタマWebアプリケーションにアクセスします。
仮想デバイス、デバイスのフィンガープリント処理、リアルタイムのリスク分析およびリスク・ベースのチャレンジを含む高度なログイン・セキュリティを実現するために、Oracle Adaptive Access Managerには、Oracle Access Managerとの即時利用可能な統合が備えられています。11g以降、OAAMとOAM統合には、基本と拡張の2つのバージョンがあります。基本統合では、OAAMはOAMランタイム・サーバーに組み込まれます。これには、OAAMから使用できる、ログイン・セキュリティの数多くのユース・ケースが含まれており、フットプリントが削減されます。カスタマは、拡張機能と拡張性を得るために、拡張統合を使用してデプロイできます。OTP Anywhere、チャレンジ・プロセッサ・フレームワーク、共有ライブラリ・フレームワーク、安全なセルフサービスのパスワード管理フローなどの機能を使用するには、拡張統合オプションが必要となります。また、必要に応じて、システム・インテグレータを介して、Oracle Adaptive Access Managerとサード・パーティのシングル・サインオンを統合することもできます。
Oracle Adaptive Access Managerは、ログイン・リクエストを捕捉し、高度なログイン・セキュリティを提供するために、Apacheモジュールを使用してデプロイできます。使用できるフローは、拡張シングル・サインオン統合オプションの場合と同じです。
Oracleユニバーサル・インストール・オプション(UIO)デプロイメントの主要な利点は、保護されるアプリケーションの統合がほとんどまたは一切必要ないこと、およびSSOが必要ないことです。
Oracle Adaptive Access Managerは、非常に高いパフォーマンスと高度にカスタマイズ可能なセキュリティを実現するために、アプリケーションとネイティブ統合できます。ネイティブ統合では、保護されるアプリケーション内に、プロセス内のOAAMが組み込まれます。アプリケーションでは、Oracle Adaptive Access Manager APIを直接起動して、リスクとチャレンジのフローにアクセスします。