| Oracle® Fusion Middleware Oracle Adaptive Access Manager管理者ガイド 11gリリース1 (11.1.1) E67347-01 |
|
 前 |
 次 |
| Oracle® Fusion Middleware Oracle Adaptive Access Manager管理者ガイド 11gリリース1 (11.1.1) E67347-01 |
|
前 |
次 |
Oracle Adaptive Access Managerでは、スコアリング・エンジンを使用して、アクセス・リクエスト、イベントおよびトランザクションに関連付けられたリスクを計算します。
スコアリング・エンジンは、ポリシーおよびポリシー・セット・レベルで使用されます。ポリシー・スコアリング・エンジンは、ポリシーに含まれる様々なルールによって生成されるスコアの計算に使用されます。ポリシー・セット・スコアリング・エンジンは、ポリシーのスコアに基づく最終的なスコアの計算に使用されます。
数値入力が存在する場合、スコアリングではそのような様々なポイントをすべてまとめて、判断基準として使用可能なスコアを生成できます。
この章では、スコアリング・エンジンでどのようにスコアが計算されるかについて説明します。
Oracle Adaptive Access Managerでは、リスク・スコアリングが意思決定に組み込まれます。ユーザーがオンライン・アプリケーションにログインすると、Oracle Adaptive Access Managerによって何十もの基準が評価されます。リスクのレベルに応じてトランザクションがスコアリングされます。その後、これらのスコアを使用して最終スコアが計算されます。機関は、受け入れる用意のあるリスク・レベルを決定できます。その後、すべてのスコアを使用してサマリーとしての最終スコアが計算されます。
この章では、覚えておく必要のある重要な用語をリストします。
スコアとは、特定の状況または状況の一部に対して計算されたリスク・レベルを数字で表したものです。
スコアは、ユーザーにより構成された数字であり、ルールがtrueに評価されるとそのルールに割り当てられます。ユーザーは、ポリシー内のルールのスコアを結合してスコアをポリシーに割り当てるために使用されるスコアリング・エンジンを構成できます。様々なポリシーからのスコアが、ポリシー・セット・レベルのスコアリング・エンジンを使用して結合されます。
スコアが大きいほどリスクが高いことを示します。最大スコアは1000です。最小スコアは0で、状況が安全であることを示します。
重みは、合計スコアに影響を与えるために使用するパーセント値です。ポリシーにはデフォルトの重みがあります。重みが使用されるのは、特定のポリシーまたはチェックポイントで重み付けスコアリング・エンジンが使用される場合のみです。
重み付けスコアリング・エンジンは、サブコンポーネントからの重みを使用します。たとえば、ポリシー・レベルで重み付けスコアリング・エンジンを選択した場合、Oracle Adaptive Access Managerでは、ポリシー・スコアの計算時に、各ルール・レベルに指定された重みが使用されます。同様に、ポリシー・セット・レベルで重み付けスコアリング・エンジンを選択した場合、Oracle Adaptive Access Managerでは、各ポリシーに指定された重みが使用されます。
範囲は0から1000までです。
ルールとは、疑わしいパターンやプラクティスまたは特定のアクティビティに対するデータポイントと、そのパターンやプラクティスまたは特定のアクティビティが検出されたときの結果を定義したものです。ルールの結果として考えられるのは、アクション、アクション・リスト、アラート、アラート・リストおよびスコアです。ルール・スコアは常に計算されますが、その他の結果はオプションです。
ポリシーとは、特定の時間に特定のチェックポイント内で実行されるようにアセンブルおよびチューニングされたルールの集合のことです。
ポリシー・スコアは、ポリシーのルールのスコア結果から評価されます。
10gから11gに移行されたポリシーに関する注記
11gでは、セキュリティ・ポリシーのみ利用可能です。「ビジネス」、「サード・パーティ」および「ワークフロー」ポリシー・タイプは、Oracle Adaptive Access Managerから削除されました。
11gでは、すべてのポリシーがセキュリティ・ポリシーとして処理されます。
チェックポイントとは、ユーザー・アクションのリスクを評価するために特定のルールが実行される、セッション前およびセッション中のポイントのことです。1つのチェックポイント下に複数のポリシーがあります。これらのポリシーのスコアは、チェックポイントのスコアを決定するために使用されます。
Oracle Adaptive Access Managerでは、チェックポイントごとに個別の評価が実行され、スコアが提示されます。特定のチェックポイントのスコアは、0から1000までの範囲にする必要があります。
チェックポイント・スコアは、そのポリシーのスコア結果から評価されます。
ポリシー・セットは、チェックポイントでのリスク評価に使用されるポリシーの論理的な集合です。
アプリケーションごとにポリシー・セットが1つ存在します。
ポリシー・セットを使用して、チェックポイントのリスクの評価に使用するスコアリング・エンジンおよび重み乗数を指定できます。
スコアリング・エンジンは、ポリシー・レベルおよびチェックポイント・レベルで提供されます。
ポリシー・スコアリング・エンジンは、各ポリシーのリスクを判別するためにルール・スコアに適用されます。
ポリシー・セット・スコアリング・エンジンがチェックポイントの下のポリシーのスコアに適用されて、そのチェックポイントのスコアが決定されます。チェックポイント・レベルでのデフォルトのスコアリング・エンジンは、集計です。
表14-1 スコアリング・エンジン
| スコアリング・エンジン | 説明 |
|---|---|
|
リスク・レベルが最も高い単一のルールに基づいてスコアリングする場合は、このエンジンを使用します。ルールおよびポリシーの重みはこのスコアリング・エンジンでは使用されません。 |
|
|
リスク・レベルが最も低い単一のルールに基づいてスコアリングする場合は、このエンジンを使用します。ルールおよびポリシーの重みはこのスコアリング・エンジンでは使用されません。 |
|
|
ルールの合計数に対するトリガーされたルールのパーセント評価と似ています。単一のルールに基づいてスコアリングするのではなく、トリガーされたルールの数に基づいて計算された平均リスク・レベルに基づいてスコアリングする場合は、このエンジンを使用します。ルールおよびポリシーの重みはこのスコアリング・エンジンでは使用されません。トリガーされたルールの合計スコアは、ルールの合計数で除算されます。 |
|
|
単一のルールに基づいてスコアリングするのではなく、検出されたリスクの平均レベルに基づいてスコアリングする場合は、このエンジンを使用します。このスコアリング・エンジンでは、ルールおよびポリシーの重みは使用されません。トリガーされたルールの合計スコアを、トリガーされたルールの合計数で割った値 |
|
|
単一のルールに基づいてスコアリングするのではなく、検出されたリスクの平均レベルに基づいてスコアリングする場合は、このエンジンを使用します。この場合の重みは、各ルールまたはポリシーがリスクのある状況をどの程度表しているかによって決まります。 |
|
|
リスク・レベルが最も高い単一のルールに基づいてスコアリングする場合は、このエンジンを使用します。この場合の重みは、各ルールまたはポリシーがリスクのある状況をどの程度表しているかによって決まります。 |
|
|
リスク・レベルが最も低い単一のルールに基づいてスコアリングする場合は、このエンジンを使用します。この場合の重みは、各ルールまたはポリシーがリスクのある状況をどの程度表しているかによって決まります。 |
リスク・スコアを決定するために、各レベルでは、そのスコアリング・エンジンを1つ下のレベルからの結果に適用します。
チェックポイント=ポリシーA +ポリシーB +ポリシーC
ポリシー=ルールA +ルールB +ルールC
ポリシーC =ポリシーD +ポリシーF (ネストされたポリシーの場合)
トリガーされた各ルールがスコアを返します。
各ルールには、独自のデフォルトのスコアおよび重みがあります。スコアと重みはルール・スコアの計算に使用されます。
ルール・レベルで構成されているアラートは、最終レベルまで伝播されます。
各ポリシーがスコアを返します。
ポリシー・スコアを取得するために、ポリシー・スコアリング・エンジンが下にあるルールのスコアに適用されます。
ポリシーが重み付けされたスコアリング・エンジンを使用しない場合は、個別のルールのスコアがポリシー・スコアの決定に使用されます。
ポリシーが重み付けされたスコアリング・エンジンを使用する場合は、個別のルール・スコアにパーセント値が適用されてからポリシー・スコアが決定されます。重みはポリシーで指定されます。
図14-1で、重み付けポリシー・スコアリング・エンジンを使用した場合、ポリシーAのスコアは次のようになります。
スコアリング・エンジン(ルールA *重み,ルールB *重み)
たとえば、ポリシー・スコアリング・エンジンが「重み付け最大スコア」であり、ポリシーの重みが50%の場合およびルールAが1000を返し、ルールBが500を返した場合、ポリシーAのポリシー・スコアは500になります。
ポリシーA = (1000* 50%、500*50%)の最大値
ポリシーA = (500、250)の最大値
ポリシーA = 500
チェックポイントがスコアを返します。
チェックポイント・スコアは、ポリシー・セット・スコアリング・エンジンをチェックポイントの下にあるポリシーのスコア結果に適用して決定されます。
チェックポイント・レベルのデフォルトのスコアリング・エンジンは集計です。
チェックポイント・スコアおよびアクションは、返される最終スコアおよびアクションです。
すべてのアラートはルール構成から伝播されます。
リスク・スコアリング(リスク評価)は、不正の可能性およびビジネス・シナリオを検出したり、意思決定を行う際に役立ちます。Oracle Adaptive Access Managerでは、数多くのレベルおよび複数のゲートウェイ(チェックポイント)でのリスク・スコアリングが提供されます。リスク・スコアの集計から、ルール・エンジンによって単一の高レベル・リスク・スコアが生成され、トランザクションの合計リスクが評価されます。
1つのチェックポイント下に複数のポリシーがあります。1つのポリシーには複数のルールがあります。スコアはポリシー・レベルで決定されてから、チェックポイント・レベルで決定されます。
第1レベルの結果を使用して第2レベルの結果が決定され、最終レベルに到達するまで同様の処理が繰り返されます。
これらのレベルのスコアは、これらのレベルのスコアリング・エンジンを下のレベルのスコアに適用して決定されます。
たとえば、ポリシー・スコアを決定するために、ポリシーのスコアリング・エンジンがそのポリシー内のルールのスコアに適用されます。チェックポイント・スコアを決定するために、チェックポイントのスコアリング・エンジンがそのチェックポイント内のポリシーのスコアに適用されます。
チェックポイント・スコアおよびアクションは、評価の最終スコアおよびアクションです。アラートは、ルール・レベルから最終レベルまで伝播されます。
ネストしたポリシーは、スコアリング・オーバーライドに基づいて評価されます。トリガー組合せそのものが1つのポリシーになっている場合、親ポリシーのスコアが保存され、新規のポリシーは、チェックポイントの評価に使用されるそれ自身のスコアを取得します。m1に2つのルール(r1およびr2)が含まれ、トリガー組合せにおいてr1にm2が含まれています。オーバーライドがトリガーされると、r1を使用してm1のスコアが計算され、続いてm2が評価されてチェックポイントの評価に使用されます。ポリシー・セットのスコアを計算する際はm1からのスコアが使用され、続いてm2からのスコアが評価されてチェックポイントのスコアに使用されます。
スコアリング・オーバーライドは、ポリシー内部およびポリシー・セット内部で使用されます。
ポリシー内では、スコア・オーバーライドはトリガー組合せで指定されます。各ルールにスコアが割り当てられます。トリガー組合せでは、ルールのデフォルトとは異なるスコアを指定できます。その後、トリガー組合せが実行(トリガー)されると、デフォルトのスコアがトリガー組合せのスコアに置き換わります。トリガー組合せがトリガーされない場合は、デフォルトのスコアが使用されます。
ポリシー・セット内にスコア・オーバーライドを作成して、その中に、特定の範囲内のスコアになったときにトリガーするアクション・グループ、アラート・グループ、またはアクション・グループとアラート・グループを指定できます。
この項では、ポリシー・スコアとチェックポイント・スコアについて説明します。
この項では、特定のスコアリング・エンジンの使用例をいくつか示します。
最大スコアリング・エンジンの使用
高スコアまたは低スコアが不正であるとみなされるかどうかは、ポリシーと、開発者がそのポリシーをどのようにモデル化したかによって決まります。たとえば、デバイス・ポリシー内のスコアが高いほど、状況のリスクは高くなります。
たとえば、1000が不正なスコアとみなされるようにする場合は、最大スコアリング・エンジンを使用します。次に、最大スコアが生成される状況を不正とみなすようにルールをモデル化します。たとえば、ユーザーが特定の場所からログインした場合はスコアが200ポイントとなり、ユーザーが不正なデバイスからログインした場合はスコアが500ポイントとなるようにポリシーをモデル化できます。この場合、2つのうち最大スコアを持つ方がより悪いとみなされます。
集計スコアリング・エンジンの使用
状況のリスクがどの程度であるかわからない場合は、集計スコアリング・エンジンを使用できます。たとえば、デバイスIDに対して、6つまたは7つのルールを適用できます。ルールごとに、スコア200または300の重みを指定します。スコアがこれより高い場合は、不正とみなされます。6つのルールがあり、そのうち2つがトリガーされた場合、集計は低くなります。6つのルールがトリガーされた場合、集計は高くなり、この状況の方がリスクが高いことになります。
平均スコアリング・エンジンの使用
どのルールも重要度に差がない場合や、評価のためにトリガーされるルールが多数存在する場合は、「平均」スコアリング・エンジンを使用します。たとえば、各ルールが特定の状況部分を表していても、各部分を決定の基準とするには十分ではありません。
チェックポイント内の一部のポリシーに対してスコアが重要でない
チェックポイント内に複数のポリシーがあるが、そのうち一部のポリシーではスコアが重要でない場合、これらのポリシーに対してはスコアの集計時にスコアが無視されるようにルール・スコアを0に設定します。
