Oracle® Fusion Middleware Oracle Adaptive Access Manager管理者ガイド 11gリリース2 (11.1.2.2) B70199-06 |
|
前 |
次 |
ポリシーは、組織が複数のアクセス・チャネルにわたってビジネス・プロセスに対する不正や誤用を防止するために作成および管理されます。これには、決定および施行の各ポイントでリスク・レベルを評価するために使用されるセキュリティ・ルールが含まれます。
Oracle Adaptive Access Managerには、ポリシー、依存コンポーネントおよび構成のフル・スナップショットが付属しています。oaam_base_snapshot.zip
ファイルは、MW_HOME/IDM_ORACLE_HOME
/oaam/init
ディレクトリに配置されています。
OAAMには、標準のセキュリティ・ポリシーとルールが用意されています。これらのポリシーおよびルールの詳細は、第10章「OAAMポリシーの概念およびリファレンス」を参照してください。ポリシーを使用する際は、ポリシーの仕組みに加えて、業務に適した新しいポリシーやルールの作成方法を理解しておくことが重要です。
この章には次の項が含まれます:
OAAMでは、その基本的な登録および認証フローに対応する標準のポリシー・セットを用意しています。OAAMのセキュリティ・ポリシーおよび自動学習ポリシーはベース・スナップショットの一部または個別のポリシーZIPファイルとして使用できます。セキュリティおよび認証ポリシーの詳細は、第10章「OAAMポリシーの概念およびリファレンス」を参照してください。ポリシーを使用する際は、ポリシーの仕組みに加えて、業務に適した新しいポリシーの作成方法を理解しておくことが重要です。
OAAMポリシーを表示するには:
管理者としてOAAM管理コンソールにログインします。
ナビゲーション・ツリーで「ポリシー」ノードをダブルクリックして、ポリシー検索ページを開きます。
ポリシー検索ページは、次の方法で開くこともできます。
「ポリシー」ノードを右クリックして、コンテキスト・メニューから「ポリシーのリスト」を選択します。
「ポリシー」ノードを選択し、ナビゲーション・ツリーの上のツールバーにある「アクション」メニューの「ポリシーのリスト」を使用します。
ナビゲーション・ツリーの上にあるツールバーの「ポリシーのリスト」をクリックします。
ナビゲーション・ツリーの右側にポリシー検索ページが開きます。
「検索」をクリックして、「検索結果」表に標準のポリシー・セットを読み込みます。
11.1.2では、OAAM標準として17個のポリシーと104個のルールがあります。
「検索結果」表で、関連するポリシー名をクリックすると、そのポリシーで実行される詳細が表示されます。「ポリシー詳細」ページには、ポリシーの様々なパラメータと構成が表示されます。
「ポリシー詳細」フィールドの内容は次のとおりです。
ポリシー名: ポリシーに割り当てられた名前。
ポリシー・ステータス: ポリシーをアクティブ化するためのオプションです。スナップショットからインポートすると、これらのポリシーがアクティブになります。ポリシーを機能させる場合は、「ポリシー・ステータス」をデフォルトの「アクティブ」のままにします。
ポリシーを無効にする場合は、「無効」を選択します。無効化されたポリシーはチェックポイントで施行されません。
チェックポイント: ポリシーが実行されるポイント。チェックポイントの詳細は、10.3.4項「チェックポイント」を参照してください。
スコアリング・エンジン: リスク・レベルを決定する数値スコアの計算に使用する不正分析エンジン。スコアリング・エンジンの詳細は、10.2.8項「スコアリング・エンジンとは」を参照してください。
重み: 合計スコアに影響を与えるために重み付けスコアリング・エンジンを使用する場合に、乗数として入力する0
から100
の値。
ポリシーが重み付けされたスコアリング・エンジンを使用する場合は、スコアと重み(乗数値)の両方を使用して合計スコアの計算に影響を与えます。ポリシーが重み付けされたスコアリング・エンジンを使用しない場合は、スコアのみを使用して合計スコアに影響を与えます。重みの詳細は、10.2.8項「スコアリング・エンジンとは」を参照してください。
説明: ポリシーの説明。
実行モード: ポリシーを実行する対象となるグループ。OAAMスナップショットからインポートされると、ポリシーは「デフォルト」というユーザー・グループにリンクされます。その他のグループを使用する場合は、必要に応じてこのリンクを変更する必要があります。
各ポリシーには、これらの要素が構成されています。各パラメータの構成方法を理解するために、標準のポリシーおよびルールをいくつか確認してください。標準のポリシーの構成方法の詳細は、第10章「OAAMポリシーの概念およびリファレンス」を参照してください。
業務に適した新しいポリシーやルールを作成することもできます。この項では、セキュリティ・ポリシー開発、および高レベルの要件がセキュリティ・ポリシーに変換されるモデリング・プロセスについて説明します。
この項では、ポリシーの開発プロセスについて説明します。
表11-1に、セキュリティ・ポリシーの開発プロセスに関与するアクターの例をまとめます。
表11-1 ポリシー開発アクターの例
アクター | 説明 |
---|---|
調査担当者およびカスタマ・サービス担当 |
調査担当者およびカスタマ・サービス担当(CSR)は、Oracle Adaptive Access Managerのケース管理ツールを使用して、日々セキュリティおよびカスタマ・ケースを処理します。該当者は、ユーザー・アクティビティとセキュリティの問題に関する詳細な知識を持ちます。アナリストは調査担当者およびCSRと共同で、ポリシーを調整する必要があるか、または新規ポリシーを作成する必要があるかどうかを判別します。 |
ビジネス/セキュリティ・アナリスト |
アナリストは、様々なソースからインテリジェンスを収集してニーズを特定し、それらに対処するための要件を作成します。インテリジェンスのソースとしては、調査担当者、業界レポート、不正対策ネットワーク、コンプライアンス指令、会社ポリシーなどがあります。 |
セキュリティ管理者 |
管理者は、アナリストからの要件に基づいてポリシーを計画、構成およびデプロイします。 |
システム管理者 |
システム管理者は、環境レベルのプロパティおよびトランザクションを構成します。 |
品質保証 |
品質保証(QA)は、ポリシーが要件を満たしているかどうかを確認するためにポリシーをテストします。 |
既存ポリシーの編集
既存ポリシーの編集には、次のタスクが含まれます。
調査/トラブルシューティング
要件および計画
構成
テスト
本番環境へのデプロイ
新規のポリシーの作成
新規ポリシーの作成には、次のタスクが含まれます。
検出/調査
要件および計画
構成
テスト
本番環境へのデプロイ
ビジネス・アナリストは、様々なソースからインテリジェンスを収集して問題を特定し、それらに対処するための要件を作成します。
表11-2 ポリシーの編集: 調査/トラブルシューティング
ソース | 詳細 |
---|---|
OAAMレポート |
既存のOAAMデプロイメントでは、アナリストはBIPを使用してレポートを実行し、対処が必要なセキュリティまたはカスタマの問題を特定できます。OAAMレポートの詳細は、25.1.1項「OAAM標準レポート」を参照してください。 |
調査担当者/CSRフィードバック |
スタッフのインタビューにより、カスタマおよびセキュリティの問題を明らかにできます。正当な理由なしに頻繁にチャレンジされすぎるという苦情がカスタマからあげられていますか。現在のポリシーの厳密さではアクセスを防ぐために十分でない不正ケースが多数ありますか。 |
業界レポート |
現在のルールが対応していない新種の脅威が存在する可能性があります。しきい値を調整する必要がありますか。 |
不正防止ネットワーク |
同僚/専門家から提案されている新規ルールしきい値がありますか。それらはビジネス上合理的ですか。 |
ビジネスおよびセキュリティ・アナリストは、様々なソースからインテリジェンスを収集してニーズを特定し、それらに対処するための要件を作成します。
表11-3 新規ポリシー: 検出/調査
ソース | 詳細 |
---|---|
OAAMレポート |
既存のOAAMデプロイメントでは、アナリストはBIPを使用してレポートを実行し、対処が必要なセキュリティまたはカスタマの問題を特定できます。OAAMレポートの詳細は、25.1.1項「OAAM標準レポート」を参照してください。 |
調査担当者/CSRフィードバック |
スタッフのインタビューにより、カスタマおよびセキュリティの問題を明らかにできます。正当な理由なしに頻繁にチャレンジされすぎるという苦情がカスタマからあげられていますか。現在のポリシーの厳密さではアクセスを防ぐために十分でない不正ケースが多数ありますか。 |
業界レポート |
現在のルールが対応していない新種の脅威が存在する可能性があります。しきい値を調整する必要がありますか。 |
不正防止ネットワーク |
同僚/専門家から提案されている新規ルールしきい値がありますか。それらはビジネス上合理的ですか。 |
コンプライアンス |
現在のポリシーでは対応していない、セキュリティ対策の新しい必須事項がありますか。 |
企業ポリシー |
OAAMによって対応できる従業員アクセスの新規要件がありますか。 |
ビジネス/セキュリティ・アナリストは、検出中に特定されたニーズに対処するための要件を作成します。
必要な新規ポリシーおよびその理由は何ですか。
ユース・ケースは何ですか。
予期される結果(アクション、アラート、スコア)は何ですか。
どのアプリケーションが関係しますか。
どのユーザー・グループが関係しますか。
セキュリティ管理者は、アナリストからの要件に基づいてポリシーを計画、構成およびデプロイします。
自動学習によりプロファイリングする必要があるのはどのデータ・ポイントですか。
ユース・ケースを満たすために構成する必要があるルールはどれですか。
ルールに定義する必要があるしきい値はどれですか。
必要なルールの結果は何ですか。
セキュリティ・ポリシー開発に含まれるステップの概要は次のとおりです。
何を実現しようとしているのかを決定します(問題記述)。
問題記述を次のものに分割します。
入力: 評価に使用できるデータは何ですか。
ルール: どのような種類の評価をデータに対して実行する必要がありますか。
結果: 分析に基づいて何が行われる必要がありますか。
OAAM構成にデータ、評価および結果をマッピングして、問題記述の文章をセキュリティ・ポリシーに変換します。例:
プロファイリングするデータ・ポイント
ユース・ケースのルール
ルールにより定義されるしきい値
必要な結果(スコア、アクション、アラート)
除外グループ
準備に基づいて、エンティティ、トランザクション、パターン、グループ、ポリシー、ルール、アクションおよびアラートを構成します。
このシナリオでは、セキュリティ管理者は、24時間以内に1つの出荷先住所に対して4件を超える注文があるかどうかをセキュリティ・チームに通知するよう、OAAMを構成する必要があります。
問題記述で要求されているリスク評価を記述する論理文を作成することをお薦めします。
このシナリオの論理文は次のようになります。
出荷先住所について、過去24時間以内の注文の合計数が4より大きい場合、注文を確認します。
このシナリオでは、セキュリティ管理者は、ユーザーがログインに使用した都道府県が、前月にログインに使用した都道府県の時間の5%未満の場合、KBAチャレンジ質問に回答してからでないと、保護されたアプリケーションにアクセスできないように要求します。
ユーザーのログイン元の地理的位置を含む、ユーザーのログイン動作をプロファイリングします。彼らの一意のプロファイルを使用して、ログイン試行のリスクの程度を判別し、リスク・レベルに基づいて要求される場合にはKBA質問でチャレンジします。ユーザーがログインに使用した都道府県が、前月にログインに使用した都道府県の時間の5%未満の場合、このユーザーが保護されたアプリケーションにアクセスするには、KBAチャレンジを受ける必要があります。
問題記述で要求されているリスク評価を記述する論理文を作成することをお薦めします。
このシナリオの論理文は次のようになります。
「(1つ以上の都道府県からログインする)ユーザーについて、ログイン率 < 前月のこの都道府県からのすべてのログインの5%である場合、そのユーザーはチャレンジを受けます。」
このケースにおいて、問題記述で要求された結果は、ある都道府県へのログインの率が、前月の複数の都道府県への合計ログインの5%未満である場合に、このユーザーがKBA質問でチャレンジを受けるというものです。
変換ステップでは、分割された問題記述がOAAMセキュリティ・ポリシー・コンポーネントにマップされます。
表11-5 問題記述のマッピング
問題記述の分割 | Oracle Adaptive Access Managerセキュリティ・ポリシー・コンポーネント |
---|---|
ある都道府県からのログインが...である場合 |
様々な都道府県からのユーザーのログインを追跡するパターン。 ユーザーがアクター、「都道府県」が属性および「各」が比較演算子である複数バケット・パターン。 |
ユーザーにチャレンジする |
KBAチャレンジに対するアクション・グループ |
KBA質問で |
「登録済」が属性、「次と等しい」が比較演算子および「はい」が比較値です。 彼がKBA質問でチャレンジを受けられるようにするには、その前に彼が質問を登録している必要があります。 |
都道府県の率対合計の率 |
|
5% |
ルールで指定された率の基準 |
過去1か月間 |
ルールで指定された期間 |
保護されたリソースに進むことを許可する前に |
認証後チェックポイント・ポリシー ベスト・プラクティスでは、KBAチャレンジは認証後チェックポイントで発生します。 |
ポリシーを作成したら、次のタスクを実行します。
ポリシーおよびルールの評価
有効性の評価
ルールをテストし、オフライン・システムを使用して予測可能なデータを実行することで、ルールが予想どおりに機能していることを確認します。
ポリシーおよびルールのデプロイ
ポリシーが予想どおりに機能していることを確認した場合は、パフォーマンス・テストを実行できる本番前環境にポリシーを移行します。
これは、新しいルールまたはポリシー、またはその両方のパフォーマンスに影響を与える可能性があります。たとえば、今まで使用していた電子メール・アドレスを使用していないユーザーをチェックする新規ポリシーを定義するとします。顧客のデータベースに10億を超えるレコードがある場合、トランザクションごとにすべてのレコードに対してこのチェックを実行すると、パフォーマンスに多大な影響を与えます。したがって、負荷がかかった状態でポリシーをテストすることが重要です。
新規不正シナリオのための新規ルールの作成
オフライン・システム(テストまたはステージング用に設定されたOracle Adaptive Access Managerの個別のインストール)を使用して、新しいルールを作成します。
OAAMには標準のセキュリティ・ポリシーとルールが用意されていますが、ビジネス要件に応じて新しいポリシーとルールを作成することもできます。この項では、ポリシー作成の基本的な手順を示します。図11-2に、ポリシー用に構成するページを示します。
表11-6に、構成ページの簡単な説明を示します。
表11-6 ポリシーの構成
「ポリシー」ページ | 説明 |
---|---|
サマリー |
ポリシーの一般的な詳細を指定します。 |
ルール |
ポリシーのルールをリストアップします。ルールの作成の詳細は、11.5項「ルールの作成」を参照してください。 |
トリガー組合せ |
トリガー組合せを表示します。これらは、一連の特定のルールがトリガーされた場合に生成される追加の結果およびポリシー評価です。トリガー組合せの作成の詳細は、11.6項「トリガー組合せの設定」および10.2.14項「トリガー組合せの機能」を参照してください。 |
グループ・リンク |
ポリシーをリンクするグループを表示します。リンクされているグループ内の一連のユーザーに対してポリシーが実行されます。グループ・リンクの詳細は、11.4項「ポリシーのすべてのユーザーまたはユーザーIDグループへのリンク」および10.2.18項「グループとは」を参照してください。 |
ポリシーの作成を開始するには、次のようにします。
OAAM管理コンソールにログインしたら、左側のナビゲーション・ツリーで「ポリシー」をダブルクリックします。
ナビゲーション・ツリーの右側にポリシー検索ページが開きます。
ポリシー検索ページは、次の方法で開くこともできます。
「ポリシー」ノードを右クリックして、コンテキスト・メニューから「ポリシーのリスト」を選択します。
「ポリシー」ノードを選択し、ナビゲーション・ツリーの上のツールバーにある「アクション」メニューの「ポリシーのリスト」を使用します。
ナビゲーション・ツリーの上にあるツールバーの「ポリシーのリスト」をクリックします。
ポリシー検索ページの右上の「新規ポリシー」をクリックします。
または次の手順を実行して「新規ポリシー」ページを開きます。
「ポリシー」ノードを選択し、ナビゲーション・ツリーの上にある「アクション」メニューの「新規ポリシー」を使用します。
ナビゲーション・ツリーで「ポリシー」を右クリックして、コンテキスト・メニューから「新規ポリシー」を選択します。
「検索結果」ツールバーの「新規アイテムの作成: ポリシー」Policyをクリックします。
「検索結果」ツールバーの「アクション」メニューから「新規ポリシー」コマンドを選択します。
詳細を指定して新規ポリシーを作成できる「新規ポリシー」ページが表示されます。
次の詳細を入力する必要があります。
ポリシー名: このポリシーに関連し、意味のある名前を入力します。
ポリシー・ステータス: ポリシーをアクティブ化するためのオプションです。作成直後にポリシーを使用できるようにする場合は、「ポリシー・ステータス」をデフォルトの「アクティブ」のままにします。
ポリシーを無効にする場合は、「無効」を選択します。無効化されたポリシーはチェックポイントで施行されません。ポリシーを無効にしても、そのポリシーはシステムから削除されません。後でそのポリシーを有効にすることができます。
チェックポイント: ポリシーが実行されるポイントを選択します。たとえば、認証の成功後にアクションを開始する場合は、チェックポイントを「認証後」に設定します。チェックポイントの詳細は、10.3.4項「チェックポイント」を参照してください。
スコアリング・エンジン: リスク・レベルを決定する数値スコアの計算に使用する不正分析エンジンを選択します。スコアリング・エンジンの詳細は、10.2.8項「スコアリング・エンジンとは」を参照してください。
重み: 合計スコアに影響を与える重み付けされたスコアリング・エンジンを使用する場合は、乗数として0
から100
の値を入力します。
ポリシーが重み付けされたスコアリング・エンジンを使用する場合は、スコアと重み(乗数値)の両方を使用して合計スコアの計算に影響を与えます。ポリシーが重み付けされたスコアリング・エンジンを使用しない場合は、スコアのみを使用して合計スコアに影響を与えます。重みの詳細は、10.2.10項「重みとは」を参照してください。
説明: 関連性があり、意味のある説明を入力します。
「適用」をクリックしてポリシーを作成します。
ポリシーが正常に作成されたことを示すメッセージを含む確認ダイアログが表示されます。「OK」をクリックして、確認ダイアログを閉じます。
「OK」をクリックすると、「ルール」タブ、「トリガー組合せ」タブおよび「グループ・リンク」タブが有効になります。完全にポリシーを構成するには、これらのタブにポリシーに関する情報を入力する必要があります。
例: ユーザーがKBAによるチャレンジを受ける場合のポリシーの作成
KBAチャレンジが発生するログイン・ユース・ケースを構成する必要があります。通常、ベスト・プラクティスは、プライマリ・メソッドによる正常な認証の後にのみKBAチャレンジを使用することです。認証後KBAチャレンジ・ポリシーは存在しないため、新たに作成する必要があります。セキュリティ・チームは、このポリシーをデプロイメント内のすべてのユーザーに適用されるようにします。そのため、すべてのユーザーに適用される新しい認証後KBAチャレンジ・ポリシーを作成する必要があります。ポリシーにKBAチャレンジという名前を付けることができます。KBAの詳細は、第7章「ナレッジベース認証の管理」を参照してください。
ポリシーを作成するには:
管理者としてOAAM管理コンソールにログインします。
左側のナビゲーション・ツリーで、「ポリシー」ノードをダブルクリックします。
ナビゲーション・ツリーの右側にポリシー検索ページが開きます。
ポリシー検索ページは、次の方法で開くこともできます。
「ポリシー」ノードを右クリックして、コンテキスト・メニューから「ポリシーのリスト」を選択します。
「ポリシー」ノードを選択し、ナビゲーション・ツリーの上のツールバーにある「アクション」メニューの「ポリシーのリスト」を使用します。
ナビゲーション・ツリーの上にあるツールバーの「ポリシーのリスト」をクリックします。
ポリシー検索ページの右上の「新規ポリシー」をクリックします。
または次の手順を実行して「新規ポリシー」ページを開きます。
「ポリシー」ノードを選択し、ナビゲーション・ツリーの上にある「アクション」メニューの「新規ポリシー」を使用します。
ナビゲーション・ツリーで「ポリシー」を右クリックして、コンテキスト・メニューから「新規ポリシー」を選択します。
「検索結果」ツールバーの「新規アイテムの作成: ポリシー」Policyをクリックします。
「検索結果」ツールバーの「アクション」メニューから「新規ポリシー」コマンドを選択します。
詳細を指定して新規ポリシーを作成できる「新規ポリシー」ページが表示されます。「サマリー」タブに、新規ポリシーのデフォルト値が次のように表示されます。
「ポリシー・ステータス」: 「アクティブ」
「チェックポイント」: 「認証前」
「スコアリング・エンジン」: 「平均」
重み: 100
新しい認証後セキュリティ・ポリシーを作成します。
「ポリシー名」に、KBAチャレンジと入力します。
「説明」に、「KBAチャレンジ」ポリシーの説明を入力します。
「チェックポイント」で「認証後」を選択します。
要件に応じてポリシー・ステータス、スコアリング・エンジンおよび重みを変更します。
デフォルトのポリシー・ステータスは、「アクティブ」です。無効化されたポリシーはチェックポイントで施行されません。
「適用」をクリックします。
確認ダイアログに操作のステータスが表示されます。「適用」をクリックしたときに必須フィールドが入力されていない場合は、エラー・メッセージが表示されます。
「OK」をクリックして、確認ダイアログを閉じます。
すべてのユーザーに対して実行されるようにポリシーを構成します。
「グループ・リンク」タブをクリックします。
「実行モード」で「すべてのユーザー」を選択します。
実行モードとして「すべてのユーザー」が選択されているため、ポリシーはすべてのユーザーに対して実行されます。
実行モードの指定は、ポリシーを実行するための必須手順です。これにより、ポリシーを一連のユーザーまたはすべてのユーザーに対して実行できます。詳細は、11.4項「ポリシーのすべてのユーザーまたはユーザーIDグループへのリンク」を参照してください。
「適用」をクリックします。
確認ダイアログに操作のステータスが表示されます。
「OK」をクリックして、確認ダイアログを閉じます。
「KBAチャレンジ」ポリシーは正常に作成されると、ポリシー検索ページの「検索結果」表にリストされます。
この例では説明されていませんが、ポリシーが機能するために、ポリシー内で新規ルールを作成(11.5項「ルールの作成」)するか、または既存のルールをポリシーにコピーして(11.8.9項「ポリシーへのルールのコピー」)、ポリシーにルールを追加する必要があります。
グループ・リンクでは、ポリシーをリンクするユーザーを指定できます。ポリシーが機能するように、グループにポリシーをリンクする必要があります。ポリシーをグループにリンクすると、リンクされているグループ内の一連のユーザーに対してポリシーを実行できます。「すべてのユーザー」オプションは、ポリシーをすべてのユーザーにリンクします。「グループ・リンク」に「すべてのユーザー」が表示されている場合は、使用可能なすべてのリンクが無視されます。ユーザーがグループ・リンクとして「すべてのユーザー」を選択すると、リンク・オプションが無効になります。
ポリシーにリンクされているグループの合計数が「グループ・リンク」タブ・タイトルの横のカッコに表示されます。
ポリシーの作成後に、ポリシーを1つまたは複数のユーザーIDグループにリンクして、一連のユーザーに対してポリシーおよびルールが実行されるようにすることができます。
ポリシー詳細ページを開きます。
「ポリシー」ノードをダブルクリックします。ポリシー検索ページが表示されます。
ポリシー検索ページは、次の方法で開くこともできます。
i.「ポリシー」ノードを右クリックして、コンテキスト・メニューから「ポリシーのリスト」を選択します。
ii.「ポリシー」ノードを選択し、ナビゲーション・ツリーの上のツールバーにある「アクション」メニューの「ポリシーのリスト」を使用します。
iii.ナビゲーション・ツリーの上にあるツールバーの「ポリシーのリスト」をクリックします。
ポリシー検索ページで、一連のユーザーまたはすべてのユーザーに対して実行するポリシーを検索します。
ポリシー名をクリックすると、ポリシー詳細ページが表示されます。
ポリシー詳細ページで「グループ・リンク」タブをクリックします。
「実行モード」で「リンク・ユーザー」を指定します。
表見出しの「リンク」アイコンをクリックします。
詳細を入力してグループをポリシーにリンクできる「グループのリンク」画面が表示されます。
使用可能なターゲット・セットが関連するボックスに表示されます。
「グループ名」リストからポリシーにリンクするグループを選択します。
ユーザー・グループのみがリストされます。
「グループ名」は必須フィールドです。
リンク・ノートを入力します。
「グループのリンク」をクリックします。
ポリシーからのみルールを作成できます。条件を追加するまで、新規ルールは保存できません。
図11-4は、ルールの作成時に使用するページと各ページで入力する情報を示しています。
「結果」タブ
結果は、ルールがトリガーされた場合のアクションおよびメッセージのアクティブ化などのレスポンスであり、アクション(アクティブ化されたイベント)やアラート(アクティブ化されたメッセージ)などがあります。
プロセスの一環として、次の項目を指定します。
ルール・スコアおよび重みの値。スコアおよび重みの詳細は、10.2.12項「リスク・スコアリングで行われる処理」を参照してください。
アクション。アクションの詳細は、10.2.6項「アクションおよびアラートとは」を参照してください。
アラート。アラートの詳細は、10.2.6項「アクションおよびアラートとは」を参照してください。
アクション
アクションはルールがトリガーされたときにアクティブ化されるイベントであり、ブロック・アクセス、チャレンジ質問、PINまたはパスワード要求などがあります。
アラート
アラートはルールがトリガーされたときに生成されるメッセージであり、このユーザーに対する新しい国からのログイン試行などがあります。
除外ユーザー・グループ
「事前条件」タブでは、除外するグループおよび地理的位置の信頼度係数パラメータを指定できます。
すべての事前条件では、ルールが評価されたかどうかがフィルタリングされます。事前条件を満たさない場合、条件はルールを処理しません。処理は事前条件レベルで終了します。
「除外ユーザー・グループ」フィールドで、ポリシーを適用しないユーザーIDグループを選択します。
デバイス・リスクの程度
デバイスのフィンガープリント処理は、カスタマが通常ログインに使用するデバイスを認識するメカニズムです。識別は、「デバイスID」の属性、セキュアなCookie、Flashムービー、ユーザー・エージェント文字列、ブラウザの特性、デバイス・ハードウェア構成、ネットワークの特性、地理的位置および履歴コンテキストの組合せに基づきます。デバイス・リスクの程度は、OAAMエンジンによって計算された値です。
様々なユース・ケースおよび例外が考慮され、デバイス・リスクの程度の定義に役立ちます。デバイス・リスクの程度により、識別されるデバイスの確実性を指定します。これは、ほぼすべてのルールで事前条件としての基準となります。
デバイス識別リスクの程度を指定するスコアの範囲は、次のとおりです。
400以下: 低リスク
401から700: 中リスク
701以上: 高リスク
デバイスの程度が0の場合はセキュアなCookieと完全一致であり、500の場合は妥当な一致属性を持つ類似デバイス、1000の場合は信頼度が非常に低い類似デバイスとなります。
「デバイス・リスクの程度」は、デバイスを再識別するときに計算されます。たとえば、あるデバイスがデバイス#1234であると表明されており、データ・ポイントの一部が変更されている場合または過去のデバイスと一致しないようであるとOAAMロジックによって判定された場合には、リスクが大きくなります。その数字が大きくなるほど、このデバイスが表明されているとおりのものである確実性は低くなります。ルールごとに「デバイス・リスクの程度」を事前条件として使用できます。したがって、デバイスの強力な再識別に依存するルールでは、リスクが高い場合にルールをまったく実行しないように指定することもできます。たとえば、管理者は最終ログイン以降にデバイスが600MPH以上で移動しているかどうかを検出するルールに対して、リスクの程度を0から400の範囲に設定できます。これにより、デバイスIDが強力な場合にのみこのルールが実行されるようになります。
国信頼度係数、都道府県信頼度係数および市区町村信頼度係数
地理的位置の信頼度係数は、Quova地理的位置データに固有のものです。この係数は他のベンダーからは提供されないため、Quovaデータが使用されている場合にのみ、事前条件を操作できます。Quovaは、市区町村、都道府県および国の3つの要素に信頼度レベルを割り当てます。この信頼度係数は、IP地理的位置情報に基づきます。
この値が大きいほど、ロケーションのマッピングが適切であるというQuovaからの信頼度レベルが高くなります。作成中のルールがIPロケーション識別の正確性に依存するようにする場合は、ルールの実行基準となる地理的位置の正確性を指定します。たとえば、ロケーションが不明なため、60%未満の場合にルールがトリガーされるようにします。
ルール作成プロセスを開始するには:
左側のナビゲーション・ツリーで、「ポリシー」ノードをダブルクリックします。
ナビゲーション・ツリーの右側にポリシー検索ページが開きます。
ポリシー検索ページは、次の方法で開くこともできます。
「ポリシー」ノードを右クリックして、コンテキスト・メニューから「ポリシーのリスト」を選択します。
「ポリシー」ノードを選択し、ナビゲーション・ツリーの上のツールバーにある「アクション」メニューの「ポリシーのリスト」を使用します。
ナビゲーション・ツリーの上にあるツールバーの「ポリシーのリスト」をクリックします。
ポリシー検索ページで、ルールを追加するポリシーを検索します。
「検索結果」表でポリシーの名前をクリックします。そのポリシーのポリシー詳細ページが表示されます。
ポリシー詳細ページで、「ルール」タブをクリックします。
「ルール」タブでツールバーの「ルールの追加」アイコンをクリックするか、または「アクション」メニューから「新規ルール」を選択します。
図1-5に示すような「新規ルール」ページが表示されます。
注意: ルールには、少なくとも1つの条件が必要です。少なくとも1つの条件を追加してから保存してください。 |
例: ポリシーへの新規ルールの追加
セキュリティ・ポリシーの作成後(「例: ユーザーがKBAによるチャレンジを受けるポリシーの作成」を参照)、リスク評価を実行するルールを作成できます。ユーザーがこれからログインするロケーションと前回ログインしたロケーションとの物理的距離を評価する要件を設定します。ルールでは、時間を指定して、2地点間を移動するのに必要な速度を計算する必要があります。セキュリティ・チームは、ユーザーが2地点間を時速500マイルよりも速く移動し、使用デバイスが異なる場合に、ユーザーに対してKBAチャレンジを実施することを決定しました。手順として、新規ルールUser Velocity
を作成し、標準の条件「ユーザー: 最終成功ログインからの速度」
を使用します。
新規ルールを追加するには:
管理者としてOAAM管理コンソールにログインします。
左側のナビゲーション・ツリーで、「ポリシー」ノードをダブルクリックします。
ナビゲーション・ツリーの右側にポリシー検索ページが開きます。
ポリシー検索ページは、次の方法で開くこともできます。
「ポリシー」ノードを右クリックして、コンテキスト・メニューから「ポリシーのリスト」を選択します。
「ポリシー」ノードを選択し、ナビゲーション・ツリーの上のツールバーにある「アクション」メニューの「ポリシーのリスト」を使用します。
ナビゲーション・ツリーの上にあるツールバーの「ポリシーのリスト」をクリックします。
ポリシー検索ページで、KBAチャレンジのポリシーを検索します。
「検索結果」表で「KBAチャレンジ」をクリックします。KBAチャレンジのポリシー詳細ページが表示されます。
ポリシー詳細ページで、「ルール」タブをクリックします。
「ルール」タブで「ルールの追加」アイコンをクリックするか、「アクション」メニューから「新規ルール」を選択して、新規ルールを追加します。
「新規ルール」ページが表示されます。
ルール名としてUser Velocityと入力します。
ルールの説明を入力します。
ルール・ステータスを選択します。
「新規ルール」ページを初めて表示したときのルール・ステータスのデフォルト値は、「アクティブ」です。
「ユーザー: 最終成功ログインからの速度」
ルール条件を追加して、新規ルールを作成します。
「ユーザー: 最終成功ログインからの速度」
条件を追加するには、「条件」タブをクリックします。
「条件」タブで、「条件の追加」アイコンをクリックします。「条件の追加」ページが表示されます。
「条件名」
フィールドにvelocityと入力し、「検索」をクリックして、「ユーザー: 最終成功ログインからの速度」条件を検索します。
「結果」表から、条件を選択し、「OK」をクリックします。
新規ルール/User Velocityページの上部のパネルで、「ユーザー: 最終成功ログインからの速度」
を選択します。
下部のパネルに、この条件のパラメータが表示されます。
下部のパネルで、パラメータを変更します。
「次を超える1時間当たりのマイル」に500を入力します。
「最終ログイン・デバイスが同じ場合は無視」で「true」を選択します。
「保存」をクリックして変更を保存します。変更されたルール・パラメータが正常に保存されたことを示すメッセージを含む確認ダイアログが表示されます。
「OK」をクリックして、確認ダイアログを閉じます。
User Velocityルールの結果としてKBAチャレンジを追加します。
「結果」タブをクリックします。
「結果」タブでは、条件が満たされた場合のルールの結果を指定できます。
ルールがトリガーされた場合にKBAチャレンジが発生するように設定するには、「アクション・グループ」リストで「ChallengeQuestionPad」を選択します。
「適用」をクリックします。変更されたルール詳細が正常に保存されたことを示すメッセージを含む確認ダイアログが表示されます。
必要なフィールドが入力されていない場合に「適用」をクリックすると、エラーが表示されます。
ルールが正常に作成されると、この新規ルールはポリシー詳細ページの「ルール」タブにリストされます。
「OK」をクリックして、確認ダイアログを閉じます。
例: ルール作成の取消し
セキュリティ管理者のWilliamは新規ポリシーを作成します。彼は自分のビジネス・ユース・ケースに適用するルール条件がわかりません。そのため、条件を追加せずにルールを閉じることにしました。
管理者としてOAAM管理コンソールにログインします。
ナビゲーション・ツリーで、「ポリシー」ノードをダブルクリックします。
ナビゲーション・ツリーの右側にポリシー検索ページが開きます。
ポリシー検索ページは、次の方法で開くこともできます。
「ポリシー」ノードを右クリックして、コンテキスト・メニューから「ポリシーのリスト」を選択します。
「ポリシー」ノードを選択し、ナビゲーション・ツリーの上のツールバーにある「アクション」メニューの「ポリシーのリスト」を使用します。
ナビゲーション・ツリーの上にあるツールバーの「ポリシーのリスト」をクリックします。
ポリシー検索ページで、「新規ポリシー」をクリックします。
新規ポリシーを作成します。
ポリシー詳細ページで、「ルール」タブをクリックします。
「ルール」タブで、「ルールの追加」アイコンをクリックして新しいルールを追加します。
「新規ルール」ページが表示されます。
ルール名を入力します。
ルールの説明を入力します。
条件を追加するには、「条件」タブをクリックします。
「条件」タブで、「条件の追加」アイコンをクリックします。「条件の追加」ページが表示されます。
「条件名」フィールドに名前を入力し、「検索」をクリックして、条件を検索します。
「結果」表でこの条件を選択します。
「取消」をクリックします。
自分のビジネス・ユース・ケースに適用するルール条件がわかりません。
右上隅にある「削除」をクリックします。
「未保存データの警告」ダイアログが表示され、次のメッセージが示されます。「未保存のデータがあります。続行しますか。」
「はい」をクリックします。
「ルール」ページが再度表示されます。
右上隅にある「削除」を再度クリックします。
ポリシー検索ページが再度表示されます。
「検索結果」表で、作成したポリシーをクリックします。
ルールは作成されていません。
表11-7に、ルールの一般情報の概要を示します。
表11-7 「新規ルール」ページ
フィールド | 説明 |
---|---|
ルール名 |
ルールの名前。1から4000文字で入力します。 |
ポリシー名 |
ポリシーの名前。(読取り専用) |
ルール・ステータス |
ルールのステータス(「アクティブ」または「無効」)。ルール・ステータスが「アクティブ」から「無効」に変更された場合、ルールは無効であり、ポリシーに追加できません。すでにルールが含まれているポリシーは影響を受けず、引き続き以前と同様に機能します。 |
説明 |
ルールに関する説明。1から4000文字で入力します。 |
ルールに関する一般情報を追加するには、次の手順を実行します。
「サマリー」タブで、ルールの名前および説明を入力します。ルール名はポリシー間で重複できますが、同じポリシー内では重複できません。
ルール名または説明を入力する前に別のタブにナビゲートしようとすると、値が必要であることを示すエラー・メッセージが表示されます。
ポリシー名は変更できません。
ルールを無効にする場合は、「無効」を選択します。「ルール・ステータス」のデフォルト値は「アクティブ」です。無効化されているルールは、ポリシーの施行時に実行されません。
事前条件によって、除外するグループおよび地理的位置の信頼度係数パラメータを指定できます。
すべての事前条件では、ルールが評価されたかどうかがフィルタリングされます。事前条件を満たさない場合、条件はルールを処理しません。処理は事前条件レベルで終了します。
ルールの事前条件を指定するには:
ルールの詳細ページを開きます。
「ルール」ノードをダブルクリックします。ルール検索ページが表示されます。
ルール検索ページは、次の方法で開くこともできます。
i.「ルール」ノードを右クリックして、コンテキスト・メニューから「ルールのリスト」を選択します。
ii.「ルール」ノードを選択し、ナビゲーション・ツリーの上のツールバーにある「アクション」メニューの「ルールのリスト」を使用します。
iii.ナビゲーション・ツリーの上にあるツールバーの「ルールのリスト」をクリックします。
ルール検索ページで、事前条件を指定するルールを検索します。
「検索結果」表で、ルールの名前をクリックします。そのルールのルールの詳細ページが表示されます。
ルールの詳細ページで、「事前条件」タブをクリックします。
「除外ユーザー・グループ」: 「除外ユーザー・グループ」フィールドで、ポリシーを適用しないユーザーIDグループを選択します。
デバイス識別リスクの程度を指定するスコアの範囲は、次のとおりです。
400以下: 低リスク
401から700: 中リスク
701以上: 高リスク
「国信頼度係数」、「都道府県信頼度係数」および「市区町村信頼度係数」: IPアドレス・ロケーション・ベンダーは3つの要素(国、都道府県、市区町村)に信頼度係数を割り当てることができます。この信頼度係数は、IP地理的位置情報に基づきます。
例: ルールの例外グループの追加
セキュリティ管理者のJeffは、ルールの事前条件として使用される例外ユーザー・グループを作成する必要があります。Jeffはブラックリスト国のルールを作成しており、例外グループを作成する必要があることに気付いたため、「BLC: exception users」という名前の新規ユーザー・グループを作成します。彼は説明に、「CSRマネージャは、システムへのアクセス許可を永続的に必要とするブラックリスト国からのユーザーを追加できる」というノートを入力します。このユーザー・グループは作成されると、事前条件として追加されます。ルールが本番環境になった後に、CSRマネージャはブラックリストに記載された国に移動したユーザーを支援します。グループに自身のユーザーIDを手動で追加して、ルールの例外となり、この効果に対する自身のケースにノートを追加します。
「BLC: exception users」という名前の新規ユーザー・グループを作成します。
グループ名: BLC: exception users
グループ・タイプ: ユーザーID
説明に、ブラックリスト国からのアクセスを永続的に許可される必要があるユーザーを追加することを調査担当者に伝えるノートを入力します。
既存のユーザーIDを選択して、BLC: exception usersグループに追加します。
ユーザー・グループを作成してからメンバーを追加する方法の詳細は、13.5.5項「グループへのIP範囲、ユーザーID、デバイス、ユーザー名、IPアドレスおよびインターネット・サービス・プロバイダの追加」を参照してください。
認証後のブラックリスト国ポリシーでルールを作成します。
ルール条件には、「ロケーション: グループ内IP」
を選択します。
「事前条件」で、例外グループとして「BLC: exception users」を選択します。
ルールが本番環境になった後に、調査担当者はブラックリスト国に移動したユーザーを支援します。グループに自身のユーザーIDを手動で追加して、ルールの例外となり、この効果に対する自身のケースにノートを追加します。
「ルール」ページの「条件」タブには、ルール内の条件が表示され、他の条件を追加したり、条件をカスタマイズできます。
ルールに条件を追加するには、次の手順に従います。
条件を追加するルールのルールの詳細ページが表示されていない場合は、このページに移動します。
ナビゲーション・ツリーで「ルール」を選択します。ルール検索ページが表示されます。
ルール検索ページは、次の方法で開くこともできます。
i.「ルール」ノードを右クリックして、コンテキスト・メニューから「ルールのリスト」を選択します。
ii.「ルール」ノードを選択し、ナビゲーション・ツリーの上のツールバーにある「アクション」メニューの「ルールのリスト」を使用します。
iii.ナビゲーション・ツリーの上にあるツールバーの「ルールのリスト」をクリックします。
ルール検索ページで、条件を追加するルールを検索します。
「検索結果」表で、ルールの名前をクリックします。そのルールのルールの詳細ページが表示されます。
ルールの詳細ページで、「条件」タブをクリックします。
「条件」タブで、「条件の追加」アイコンをクリックします。「条件の追加」ダイアログが表示されます。
ルールに追加する条件を検索します。
「検索結果」表で、条件を選択して「追加」をクリックします。
図11-7に「条件の追加」ダイアログを示します。
「条件」編集ページの上部ペインで、条件を選択します。
下部ペインに、この条件のパラメータが表示されます。
下部ペインで、要件に応じてパラメータを変更します。
「保存」をクリックして変更を保存します。
確認ダイアログに操作のステータスが表示されます。
「OK」をクリックして、確認ダイアログを閉じます。
「適用」をクリックします。変更されたルールの詳細が正常に保存されます。
図11-8「条件のパラメータ」に、「条件」タブの例を示します。
上部のタブにルールの条件が表示されます。
表11-8に、「条件」タブの上部ペインのフィールドを示します。
表11-8 ルールの詳細の「条件」タブ
フィールド | 説明 |
---|---|
順序 |
条件の順序。ルールの条件は順番に評価されます。後続の条件は、現在の条件がtrueと評価された場合にのみ評価されます。つまり、条件がfalseと評価されると、評価は停止されます。ルールがトリガーされるには、ルールを構成するすべての条件がtrueと評価される必要があります。いずれかの条件がfalseと評価された場合は、ルールがfalseと評価され、このルールはトリガーされません。 |
条件名 |
条件の名前。 |
説明 |
条件の説明。 |
一度に表示または編集できるのは、1つの条件のパラメータのみです。
結果は、ルールがトリガーされた場合のアクションやメッセージのアクティブ化などのレスポンスです。たとえば、アクション(アクティブ化されたイベント)やアラート(アクティブ化されたメッセージ)があります。
プロセスの一環として、次の項目を指定します。
スコアおよび重み
アクション
アクションは、ルールがトリガーされるときにアクティブ化されるイベントです。たとえば、ブロック・アクセス、チャレンジ質問、PINまたはパスワード要求などがあります。アクション・グループの詳細は、第13章「グループの管理」を参照してください。
アラート
アラートは、ルールがトリガーされるときに生成されるメッセージです。例: 「このユーザーに対する新しい国からのログイン試行」。アラート・グループの詳細は、第13章「グループの管理」を参照してください。
ルールがトリガーされた場合の結果を指定するには、次の手順を実行します。
該当するルールのルールの詳細ページが表示されていない場合は、ルールの詳細ページを開きます。
「ルール」ノードをダブルクリックします。ルール検索ページが表示されます。
ルール検索ページは、次の方法で開くこともできます。
i.「ルール」ノードを右クリックして、コンテキスト・メニューから「ルールのリスト」を選択します。
ii.「ルール」ノードを選択し、ナビゲーション・ツリーの上のツールバーにある「アクション」メニューの「ルールのリスト」を使用します。
iii.ナビゲーション・ツリーの上にあるツールバーの「ルールのリスト」をクリックします。
ルール検索ページで、結果を指定するルールを検索します。
「検索結果」表で、ルールの名前をクリックします。そのルールのルールの詳細ページが表示されます。
ルールの詳細ページで、「結果」タブをクリックします。
ルール・スコアおよび重みの値を入力します。
ルールの重みの値を変更して、OAAM管理に合計スコアの値を増減するように指示できます。
デフォルトでは、スコアが1000で、重みが100です。
アクションが必要な場合は、そのルールによってトリガーされるアクションを「アクション・グループ」リストで選択します。
デフォルトでは、「アクション・グループ」は選択されていません。
「アラート・グループ」リストで、そのルールがトリガーされた場合に送信されるアラートを選択します。
デフォルトでは、「アラート・グループ」は選択されていません。
「適用」をクリックして変更したルールの詳細を保存します。
ルール・エンジンによって、指定したルールに関する情報およびポリシーの他のルールで指定されている情報が使用され、ポリシーにルールの結果が返されます。ポリシー・セットのすべてのポリシーでは、複数のアクション、スコアおよびアラートが導き出されます。これらはすべてチェックポイントに伝播されます。スコア、重みなどによって、1つの最終スコア、最終アクションおよび少数のアラートが導き出されます。
最終アクションには、ブロックなどがあります。アクション・リストの例はブロック、チャレンジ、バックグラウンド・チェックであり、スコアの例は800です。
トリガー組合せは、一連の特定のルールがトリガーされた場合に生成される追加の結果およびポリシー評価です。トリガー組合せを設定するには、「ポリシー詳細」ページを使用します。追加できるトリガー組合せの数に制限はありません。ポリシー内のトリガー組合せの合計数が、タブ・タイトルの横のカッコ内に表示されます。最初の列は固定されており、ラベルを参照しながらスクロールして表のすべてのデータを表示できます。
デフォルトでは、ポリシーにトリガー組合せがない場合、ポリシー内のすべてのルールとトリガー組合せ用の列を1つ含む表が作成されます。組合せは編集して保存できます。複数のトリガー組合せを編集して一度に保存することができます。トリガー組合せの機能の詳細は、第10章「トリガー組合せの機能」を参照してください。
図11-9に、トリガー組合せの例を示します。
表11-10では、「トリガー組合せ」のフィールドについて説明します。アクション・グループおよびアラート・グループの詳細は、第13章「グループの管理」を参照してください。
表11-10 トリガー組合せ
フィールド | 説明 |
---|---|
説明 |
トリガー組合せに関する説明。各トリガー組合せには説明があります。説明が長すぎてすべて表示されない場合は、テキストの上にマウスを合わせると、説明全体が表示されます。 |
名前 |
ルールの名前。 |
スコア/ポリシー |
「スコア」を選択すると、0から1000の整数値を入力できるスコア・ボックスが表示されます。「スコア」の最小スコアと最大スコアはプロパティとして定義されます。 0以下のスコアは無視されます。 「ポリシー」を選択すると、同じチェックポイントのポリシーが含まれたポリシー・リストが表示されます。 |
ポリシー |
「ポリシー」を選択すると、同じチェックポイントで実行されるようにネストされたポリシーが構成されます。 |
アクション・グループ |
アクション・グループは、ルールがトリガーされたときに実行される必要があるすべてのアクションを示します。 |
アラート・グループ |
アラート・グループは、ルールがトリガーされたときにグループ内のすべてのアラートがアクティブ化されるように、ルール内の結果として使用される等級付けされたメッセージで構成されます。 |
トリガー組合せの編集中にこのタブから移動すると、トリガー組合せがセッションに保存され、再度このタブにナビゲートしたときに使用可能となります。
注意: 「追加」、「削除」などの操作は元に戻すことができません。このような操作は実行する準備ができたことを確認してから実行してください。 |
表11-11「トリガー組合せ」ツールバー・オプションに、ツールバーで使用可能なコマンドを示します。
表11-11 「トリガー組合せ」ツールバー・オプション
コマンド | 説明 |
---|---|
追加 |
「追加」は、新しい列(トリガー組合せ)を追加します。 |
削除 |
「削除」は、列または行が選択されている場合にのみ有効になります。「削除」を使用して、複数のトリガー組合せを削除することもできます。 「削除」をクリックすると、確認を求める警告メッセージが表示されます。 |
順序変更 |
「順序変更」では、列の順序を変更するための「順序変更」画面が表示されます。 |
ナビゲーション・ツリーで、「ポリシー」ノードをダブルクリックします。
ナビゲーション・ツリーの右側にポリシー検索ページが開きます。
ポリシー検索ページは、次の方法で開くこともできます。
「ポリシー」ノードを右クリックして、コンテキスト・メニューから「ポリシーのリスト」を選択します。
「ポリシー」ノードを選択し、ナビゲーション・ツリーの上のツールバーにある「アクション」メニューの「ポリシーのリスト」を使用します。
ナビゲーション・ツリーの上にあるツールバーの「ポリシーのリスト」をクリックします。
ポリシー検索ページで、必要なポリシーを検索します。
ポリシー名をクリックすると、ポリシー詳細ページが表示されます。
「トリガー組合せ」タブをクリックします。
最初の列で各ルールの戻り値の順列を選択します。
「スコア/ポリシー」行で、「スコア」または「ポリシー」を選択して、結果がスコアまたはネストされたポリシーへのポイントのいずれを返すかを指定します。
すぐ下にあるフィールドで「スコア」を選択した場合は、その組合せに割り当てるスコアを指定します。
すぐ下にあるフィールドで「ポリシー」を選択した場合は、リスクの追加評価のために実行するポリシーを指定します。
同じチェックポイントのポリシーのリストのみ使用可能です。
アクション結果を設定します。
アラート結果を設定します。
トリガー組合せを指定する場合は、「追加」をクリックして別の列を追加します。
対象の各トリガー組合せに対して手順5から8を繰り返します。
「トリガー組合せ」タブで、すべての編集の後に「適用」をクリックします。
同じ組合せのトリガー組合せを2つ追加することはできません。新規組合せを追加すると、各組合せは自動的に保存され、検証されます。
トリガー組合せの編集中にこのタブから移動すると、未保存のトリガー組合せがセッションに保存され、再度このタブにナビゲートしたときに使用可能となります。
トリガー組合せの例: KBAチャレンジが発生する可能性のあるルールを含むポリシーのネスト
ユーザーにKBAチャレンジを実施するために、Oracle Adaptive Access Managerでは次の2つの項目を確認する必要があります。
最初に、ユーザーがチャレンジ質問を登録しているかどうかを確認します。
次に、チャレンジ・シナリオが実行される場合に、ユーザーにアクティブにチャレンジする質問が設定されているかどうかを確認します。
この動作を構成するには、KBAチャレンジが発生する可能性があるルールを含む新しいセキュリティ・ポリシーを、登録ステータスを確認するKBAビジネス・ルールを含むポリシーにネストする必要があります。
手順: ポリシー・トリガー組合せを使用して、「システム - 質問チェック」ポリシーに「KBAチャレンジ」ポリシーをネストします。
「KBAチャレンジ」ポリシーは、「例: ユーザーがKBAによるチャレンジを受ける場合のポリシーの作成」で作成したポリシーです。
トリガー組合せを作成するには:
管理者としてOAAM管理コンソールにログインします。
ナビゲーション・ツリーで、「ポリシー」ノードをダブルクリックします。
ナビゲーション・ツリーの右側にポリシー検索ページが開きます。
ポリシー検索ページで、「システム - 質問チェック」ポリシーを検索します。
「検索結果」表で「システム - 質問チェック」をクリックします。「システム - 質問チェック」ポリシーのポリシー詳細ページが表示されます。
ポリシー詳細ページで「トリガー組合せ」タブをクリックします。
「トリガー組合せ」タブで「トリガー組合せの追加」アイコンをクリックします。
表に追加された列は、トリガー組合せに対応しています。
デフォルトでは、トリガー組合せはポリシー内のすべてのルールを使用して作成されます。ポリシーで使用されるルールは、行名で表されます。
たとえば、登録ステータスを確認するルールは次のような行で表示されます。
条件「ユーザー: アカウント・ステータス」
を使用して登録されたユーザー
質問登録済
未登録ユーザー
トリガー組合せの「説明」フィールドに説明を入力します。
ルールごとに、実行される必要があるトリガー組合せに基づくルール結果を指定します。
「True」: ルールがトリガーされます。
「False」: ルールがトリガーされません。
「任意」: トリガーされるかどうかのルールが無視されます。
デフォルトでは、トリガー組合せは、ルール結果「任意」に対して実行されます。
トリガー組合せについて、トリガー組合せがトリガーされた場合に結果によりネストされたポリシーが返されることを指定します。
「ポリシー」を選択し、その直下のフィールドで、リスクをさらに評価するために実行するポリシーとして「KBAチャレンジ」を指定します。
ネストされたポリシーは、システムから最初に出力された結果が不明確である場合に、リスク・スコアをさらに定量化するために使用されるセカンダリ・ポリシーです。リスク・スコアの正確性を高めるために、ネストされたポリシーを割り当てることができます。
「アクション・グループ」を選択します。
アクションは、組合せがトリガーされるときに生成されるイベントです。
「アラート・グループ」を選択します。
アラートは、組合せがトリガーされるときに生成されるメッセージです。
「適用」をクリックします。ポリシー詳細が正常に更新されたことを示す確認ダイアログが表示されます。
「OK」をクリックしてダイアログ・ボックスを閉じます。
例: トリガー組合せおよびルールの評価
セキュリティ管理者のJeffは、1つのルールがトリガーされた場合はKBAを、特定の組合せのルールがトリガーされた場合はOTPを使用してユーザーにチャレンジする2つのレベルの認証を構成する必要があります。
彼が実行する必要があるタスクは次のとおりです。
ユーザーのログイン回数を4時間の時間範囲バケットにプロファイリングするパターンを作成します。
ユーザーのログイン時の状態をプロファイリングする2番目のパターンを作成します。
ユーザーにアクティブなKBAがある場合にのみこれらの評価が実行されるようにするための、KBAチャレンジ・ポリシーでこれらのパターンを使用するルールを作成します。
ユーザーが先月の時間の10%未満に該当するログイン時間バケットに当てはまる場合に、KBAを使用してチャレンジするルールを作成します。
次に、ユーザーが過去2週間の時間の20%未満を使用している都道府県からログインした場合に、KBAを使用してチャレンジするルールを作成します。
その後、ユーザーがOTP配信チャネルをアクティブにしているかどうかを確認するルールを作成します。
最後に、これら3つのルールのすべてからtrueが返された場合にユーザーにOTPチャレンジするトリガー組合せを構成します。
これらのタスクを実施するには、次の手順を実行します。
管理者としてOAAM管理コンソールにログインします。
「パターン」ノードをダブルクリックします。パターン検索ページが表示されます。
「新規パターン」をクリックします。
次のようにパターン「Pattern 1」を作成します。
「メンバー・タイプ」: 「ユーザー」
「作成方法」: 「複数バケット」
「属性」タブをクリックします。
「追加」アイコンをクリックします。
属性として「時間」を選択します(ユーザーがログインした時間)。
「次」をクリックします。
「比較演算子」で「各」を選択し、比較値として4を選択します。
「追加」をクリックします。
「パターン」タブをクリックします。
次のようにパターン「Pattern 2」を作成します。
「メンバー・タイプ」: 「ユーザー」
「作成方法」: 「複数バケット」
「属性」タブをクリックします。
「追加」アイコンをクリックします。
属性として「状態」を選択します。
各状態の比較演算子を選択します。
「次」をクリックします。
Rule 1の作成: パターン条件エンティティは特定の率より少ないバケットのメンバーです
を追加します。(Pattern 1および率= 10を選択し、期間として1か月を選択します。)
ユーザーが質問を登録しているかどうかを確認するルール「ユーザー: 質問ステータス」
に条件を追加します。
アクション「KBAチャレンジ」をRule 1に追加します(このルールは、ユーザーに登録済の質問があり、ユーザーが時間の10%未満の時間バケットからログインした場合にトリガーされます。この結果、ユーザーはKBAを使用してチャレンジされます)。
Rule 2の作成: パターン条件エンティティは特定の率より少ないバケットのメンバーです
を追加します。(Pattern 2および率= 20を選択し、期間として15日を選択します)
Rule 3の作成: パターン条件ユーザー: OTPが有効
を追加します。(条件チャネル・ステータスへのチャレンジ
を使用)
ポリシーを作成し、3つのルールをすべて追加します。
すべてのルールがトリガーされる(true)場合に、アクションが「チャレンジOTP」となるようにポリシーにトリガー組合せを追加します。
パターンの詳細は、第16章「自動学習の管理」を参照してください。
例: トリガー組合せの無効化
Jimはセキュリティ管理者です。彼はトリガー組合せを非アクティブ化して後で有効にしますが、設定を失いたくないと考えています。
この場合は、その組合せのスコア/ポリシー、アクションおよびアラートを設定せずにおくと、これらは自動的に無効状態になります。その組合せに基づくアクションは実行されません。
ナビゲーション・ツリーで、「ポリシー」ノードをダブルクリックします。
ナビゲーション・ツリーの右側にポリシー検索ページが開きます。
ポリシー検索ページは、次の方法で開くこともできます。
「ポリシー」ノードを右クリックして、コンテキスト・メニューから「ポリシーのリスト」を選択します。
「ポリシー」ノードを選択し、ナビゲーション・ツリーの上のツールバーにある「アクション」メニューの「ポリシーのリスト」を使用します。
ナビゲーション・ツリーの上にあるツールバーの「ポリシーのリスト」をクリックします。
ポリシー検索ページで、興味があるポリシーを検索します。
ポリシー名をクリックすると、ポリシー詳細ページが表示されます。
「トリガー組合せ」タブをクリックします。
スコアとして「0」を選択するか、またはネストされたポリシーが指定されないようにします。
「アクション・グループ」リストのアクションの選択を解除します。
「アラート・グループ」リストのアラートの選択を解除します。
「トリガー組合せ」タブで、すべての編集の後に「適用」をクリックします。
グループは次のアイテムで使用されます:
ポリシー
ポリシーはユーザーIDグループまたはユーザー・グループのすべてのユーザーおよびメンバーまたは評価されるすべてのユーザーにリンクされます。
ポリシー・ツリーは、ユーザーIDグループのポリシーへのリンクを示します。複数のユーザーIDグループにリンクされているポリシーは太字で強調表示されます。
ポリシー内のルール
OAAM管理は特定のユーザー、デバイスまたはロケーション・グループにルールを適用して、不正シナリオが発生したかどうかを評価し、結果を判断します。
ルールにより、アクション・グループまたはアラート・グループ、あるいはその両方をトリガーできます。
条件
一部の条件は、グループをパラメータ・タイプとして使用します。たとえば、IPグループのIPなどです。条件では、IPグループ名/IPをパラメータとして使用します。
トリガー組合せ
トリガー組合せで、グループのアラートが指定されます。
事前条件
ユーザー・グループをポリシーで除外できます。
構成可能なアクション
構成可能なアクションを動的に使用して、ユーザーIDグループのメンバーをユーザーIDグループに追加できます。
例: IPログインの急増
Williamはセキュリティ管理者であり、同じIPアドレスからのログイン回数を追跡し、1つのIPアドレスから1時間以内に10回を超えるログインがあれば、高アラートがトリガーされるポリシーおよびルールを構成する必要があります。
管理者としてOAAM管理コンソールにログインします。
Monitor IP Addressesグループを作成します。
「グループ」ノードをダブルクリックします。
「グループ検索」ページで、「新規グループ」をクリックします。
「グループの作成」画面が表示されます。
グループ名としてMonitor IP addressesを入力し、「グループ・タイプ」で「IP」を選択して、「作成」をクリックします。
Monitor IP addressesグループ・ページで、「IP」タブをクリックします。
「IP」タブで、「追加」をクリックします。
「IPの追加」画面で、「既存のIPから検索して選択」オプションを選択し、基準を入力して、「検索」をクリックします。
「検索結果」表で、モニターするIPアドレスを1つ選択し、「追加」をクリックします。
確認ダイアログが表示されます。
「OK」をクリックします。
必要に応じてモニターするIPアドレスを追加します。
IP Surge High Alertグループを作成します。
「グループ検索」ページで、「新規グループ」をクリックします。
「グループの作成」画面が表示されます。
グループ名としてIP Surgeを入力し、「グループ・タイプ」で「アラート」を選択して、「作成」をクリックします。
確認のメッセージが表示されます。
「OK」をクリックして、確認ダイアログを閉じます。
新しいIP Surge alertグループが正常に作成され、グループ詳細ページが表示されます。
グループにアラートを追加するために、「アラート」タブをクリックします。
「アラート」タブで、「追加」をクリックします(メンバーの追加)。
メンバーの追加ページで、新規要素の作成を選択します。
「アラート・タイプ」で調査担当者を選択します。
「アラート・レベル」で「高」を選択します。
「アラート・メッセージ」に、「More than 10 logins from the same IP address in 1 hour」と入力します。
「追加」をクリックし、グループにアラートを追加します。
確認ダイアログが表示されます。
「OK」をクリックしてダイアログ・ボックスを閉じます。
ナビゲーション・ツリーで、「ポリシー」ノードをダブルクリックします。
ナビゲーション・ツリーの右側にポリシー検索ページが開きます。
ポリシー検索ページは、次の方法で開くこともできます。
「ポリシー」ノードを右クリックして、コンテキスト・メニューから「ポリシーのリスト」を選択します。
「ポリシー」ノードを選択し、ナビゲーション・ツリーの上のツールバーにある「アクション」メニューの「ポリシーのリスト」を使用します。
ナビゲーション・ツリーの上にあるツールバーの「ポリシーのリスト」をクリックします。
ポリシー検索ページで、「新規ポリシー」をクリックします。
「新規ポリシー」ページが表示されます。「サマリー」タブに、新規ポリシーのデフォルト値が次のように表示されます。
「ポリシー・ステータス」: 「アクティブ」
「チェックポイント」: 「認証前」
「スコアリング・エンジン」: 「平均」
重み: 100
新しい認証前セキュリティ・ポリシーを作成します。
「ポリシー名」に、Logins_SameIPと入力します。
「説明」に、「Track the number of logins from the same IP address and if there are more than 10 logins in the last hour from an IP address」と入力します。
ポリシー・ステータスとして「アクティブ」を選択します。選択しない場合、ポリシーはチェックポイントで実施されません。
スコアリング・エンジンとしてWeighted Maximum Scoreを入力し、重みとして100を入力します。
「適用」をクリックします。
確認ダイアログに操作のステータスが表示されます。
「適用」をクリックしたときに必須フィールドが入力されていない場合は、エラー・メッセージが表示されます。
「OK」をクリックして、確認ダイアログを閉じます。
すべてのユーザーに対して実行されるようにポリシーを構成します。
「グループ・リンク」タブをクリックします。
「実行モード」で「すべてのユーザー」を選択します。
実行モードとして「すべてのユーザー」が選択されているため、ポリシーはすべてのユーザーに対して実行されます。
実行モードの指定は、ポリシーを実行するための必須手順です。これにより、ポリシーを一連のユーザーまたはすべてのユーザーに対して実行できます。詳細は、11.4項「ポリシーのすべてのユーザーまたはユーザーIDグループへのリンク」を参照してください。
「適用」をクリックします。
確認ダイアログに操作のステータスが表示されます。
「OK」をクリックして、確認ダイアログを閉じます。
このポリシーに対してIP Excessive Useルールを作成します。
「ルール」タブをクリックします。
「ルール」タブで、「ルールの追加」アイコンをクリックして新しいルールを追加します。
「新規ルール」ページが表示されます。
「サマリー」タブで、ルール名としてIP Excessive Useを入力します。
ルールの説明を入力します。
ルール・ステータスとして「アクティブ」を選択します。
「ロケーション: IP過剰使用」
ルール条件を追加して、新規ルールを作成します。
「ロケーション: IP過剰使用」
条件を追加するには、「条件」タブをクリックします。
「条件」タブで、「条件の追加」アイコンをクリックします。「条件の追加」ページが表示されます。
「条件名」
フィールドにIPを入力し、「検索」をクリックして、「ロケーション: IP過剰使用」条件を検索します。
「検索結果」表でこの条件を選択し、「OK」をクリックします。
新規ルール/IPページの上部のパネルで「ロケーション: IP過剰使用」
を選択します。
下部のパネルに、この条件のパラメータが表示されます。
下部のパネルで、パラメータを変更します。
「ユーザー数」に10を入力します。
「範囲(時間)」で「1」を選択します。
「および使用されていない日数」に0を入力します。
このポリシーに対して「ロケーション: グループ内IP」ルールを作成します。
ポリシー詳細ページの「ルール」タブをクリックします。
「ルール」タブで、「ルールの追加」アイコンをクリックして新しいルールを追加します。
「新規ルール」ページが表示されます。
「サマリー」タブで、ルール名としてIP in Groupを入力します。
ルールの説明を入力します。
ルール・ステータスとして「アクティブ」を選択します。
「ロケーション: グループ内IP」
ルール条件を追加して、新規ルールを作成します。
「ロケーション: グループ内IP」
条件を追加するには、「条件」タブをクリックします。
「条件」タブで、「条件の追加」アイコンをクリックします。「条件の追加」ページが表示されます。
「条件名」
フィールドにIPを入力し、「検索」をクリックして、「ロケーション: グループ内IP」条件を検索します。
「検索結果」表でこの条件を選択し、「OK」をクリックします。
新規ルール/IPページの上部のパネルで「ロケーション: グループ内IP」
を選択します。
下部のパネルに、この条件のパラメータが表示されます。
下部のパネルで、パラメータを変更します。
「リストにある」で「true」を選択します。
Monitor IP addressesグループを選択します。
両方の条件がtrueの場合にブロック・アクションおよびIP Surge Alertがトリガーされるトリガー組合せを作成します。
ポリシー詳細ページで「トリガー組合せ」タブをクリックします。
「トリガー組合せの追加」アイコンをクリックします。
「IP Excessive Use」で「True」を選択します。
「グループ内IP」で「True」を選択します。
「アクション・グループ」で「ブロック」を選択します。
「アラート・グループ」で「IP Surge High Alert」を選択します。
「適用」をクリックします。
例: ルール条件へのグループのリンク
要件として、様々な目的で使用される既存の高リスク国グループを、ポリシー「システム - ブロック前」のルールにリンクする必要があります。11.11.2「例: ポリシーのインポート」を参照してください。
手順: 高リスク国グループを検索し、作成した「KBAチャレンジ」ポリシー内のルールにリンクします。
グループをルール条件にリンクするには:
管理者としてOAAM管理コンソールにログインします。
「ルール」ノードをダブルクリックします。ルール検索ページが表示されます。
ルール検索ページは、次の方法で開くこともできます。
「ルール」ノードを右クリックして、コンテキスト・メニューから「ルールのリスト」を選択します。
「ルール」ノードを選択し、ナビゲーション・ツリーの上のツールバーにある「アクション」メニューの「ルールのリスト」を使用します。
ナビゲーション・ツリーの上にあるツールバーの「ルールのリスト」をクリックします。
ルール検索ページで、「ブラックリストに記載された国」ルールを検索します。
「検索結果」表で「ブラックリストに記載された国」をクリックします。「ブラックリストに記載された国」ルールのルールの詳細ページが表示されます。
「ブラックリストに記載された国」ルールで「グループ内」条件を選択します。
ルールの詳細ページで、「条件」タブをクリックします。
「条件」タブで、「条件の追加」アイコンをクリックします。「条件の追加」ページが表示されます。
条件「ロケーション: 国グループ内」
を検索します。
この条件では、IPアドレスが指定された国グループ内であるかどうかが確認されます。
「検索結果」表から、条件「ロケーション: 国グループ内」
を選択し、「OK」をクリックします。
既存の高リスク国グループをこのルール条件にリンクします。
条件編集ページの上部のパネルで、条件「ロケーション: 国グループ内」
を選択します。
下部のパネルに、この条件のパラメータが表示されます。
下部のパネルで、パラメータを次のように設定して変更します。
「リストにある」: 「true」
「国グループ内の国」: 「制限付き国」
「保存」をクリックして変更を保存します。変更されたルール・パラメータが正常に保存されたことを示すメッセージを含む確認ダイアログが表示されます。
「OK」をクリックして、確認ダイアログを閉じます。
「適用」をクリックします。変更されたルール詳細が正常に保存されたことを示すメッセージを含む確認ダイアログが表示されます。
例: ブラックリストに記載されている国の確認
セキュリティ管理者のJeffは新規のインストールを行ったばかりで、ベース・セキュリティ・ポリシーをOracle Adaptive Access Managerの開発環境にインポートする必要があります。ベース・ポリシーをサポートするために、彼はブラックリスト国グループも構成します。さらに、テスト・ユーザーのグループのフェーズ2をテストする適切な展開フェーズ・ポリシーにユーザー・グループをリンクします。
ポリシーをインポートするには:
管理者としてOAAM管理コンソールにログインします。
ナビゲーション・ツリーで、「ポリシー」ノードをダブルクリックします。
ナビゲーション・ツリーの右側にポリシー検索ページが開きます。
ポリシー検索ページは、次の方法で開くこともできます。
「ポリシー」ノードを右クリックして、コンテキスト・メニューから「ポリシーのリスト」を選択します。
「ポリシー」ノードを選択し、ナビゲーション・ツリーの上のツールバーにある「アクション」メニューの「ポリシーのリスト」を使用します。
ナビゲーション・ツリーの上にあるツールバーの「ポリシーのリスト」をクリックします。
ポリシー検索ページの「ポリシーのインポート」をクリックします。「ポリシーのインポート」画面が表示されます。
「参照」をクリックして、ポリシーのZIPファイルを検索します。
「OK」をクリックして、ポリシーのZIPファイルをアップロードします。
確認ダイアログに操作のステータスが表示されます。インポートされたポリシーは、「インポートされたリスト」セクション内にリストされます。無効な形式または空のZIPファイルでファイルをインポートしようとすると、エラーが表示されます。
「OK」をクリックして、確認ダイアログを閉じます。
ポリシー検索ページで、ポリシーが「検索結果」表に表示されていることを確認します。
「グループ」ノードをダブルクリックします。グループ検索ページが表示されます。
「グループ検索」ページで、「新規グループ」をクリックします。
「新規グループ」画面が表示されます。
「新規グループ」画面は、「グループ」ノードを右クリックし、表示されたコンテキスト・メニューから「作成」を選択して開くこともできます。
「新規グループ」画面で、名前をBlack-listed Country Groupと入力し、説明を入力します。
「グループ・タイプ」リストから「国」を選択します。
キャッシュ・ポリシーを「フル・キャッシュ」または「なし」に設定します。
「OK」をクリックすると、Black-listed Country Groupが作成されます。
「OK」をクリックしてダイアログ・ボックスを閉じます。
Black-listed Country Groupのグループ詳細ページが表示されます。
グループ詳細ページの「国」タブで、「追加」をクリックします。
「メンバーの追加」ダイアログが表示されます。
「使用可能な国」表から、グループに追加する1つ以上の国を選択します。
「追加」をクリックします。
ポリシー検索ページを開きます。
ポリシー検索ページで、認証後ポリシーを検索します。
「結果」表で認証後ポリシーをクリックします。
ポリシー詳細ページが表示されます。
このポリシーに「テスト・ユーザー」グループをリンクします。
ポリシー詳細ページで、「ルール」タブをクリックします。
「ルール」タブで、「ルールの追加」アイコンをクリックします。
「新規ルール」ページで、ルール名をLocation: In Country Group
と入力します。
「条件」タブをクリックします。
「条件」ページで、「条件の追加」アイコンをクリックします。
「条件の追加」ページが表示され、ここで「ロケーション: 国グループ内」
条件を検索および選択して、この条件をルールに追加できます。
「OK」をクリックします。
条件のパラメータが下部のパネルに表示されます。
パラメータ領域で、「国グループ内の国」で「Black-listed Country Group」を選択し、「グループ内」で「True」を選択します。
「保存」をクリックします。
「結果」タブで、「アクション」グループとして「RegisterUserOptional」を選択します。
「RegisterUserOptional」を使用すると、ユーザーはパーソナライズされたイメージの選択のオプトインまたはオプトアウトを選択できます。
「適用」をクリックします。
この項では、ポリシーの管理方法について説明します。
ポリシー検索ページを開くには、「ポリシー」ノードをダブルクリックします。ポリシー検索ページが表示されます。
ポリシー検索ページは、次の方法で開くこともできます。
「ポリシー」ノードを右クリックして、コンテキスト・メニューから「ポリシーのリスト」を選択します。
「ポリシー」ノードを選択し、ナビゲーション・ツリーの上のツールバーにある「アクション」メニューの「ポリシーのリスト」を使用します。
ナビゲーション・ツリーの上にあるツールバーの「ポリシーのリスト」をクリックします。
ポリシー検索ページは、ポリシーを管理するための開始位置です。セキュリティ管理者のホーム・ページでもあります。
ポリシー検索ページでは、次の作業を実行できます。
ポリシーの検索
ポリシーのリストの表示
新規のポリシーの作成
ポリシーのインポート
ポリシーのエクスポート
ポリシーのエクスポートおよび削除スクリプトの作成
ポリシーの削除
ポリシー詳細ページのオープン
図11-10「ポリシー検索ページ」に、ポリシー検索ページの例を示します。
ポリシー検索ページでは、検索フィルタに基準を指定してポリシーを検索します。
ポリシー検索ページを初めて表示した場合、「検索結果」表は空になっています。Oracle Adaptive Access Manager環境のポリシーのリストを表示するには、「検索」を押す必要があります。
ポリシーを検索するには:
ナビゲーション・ツリーで、「ポリシー」ノードをダブルクリックします。
ナビゲーション・ツリーの右側にポリシー検索ページが開きます。
ポリシー検索ページは、次の方法で開くこともできます。
「ポリシー」ノードを右クリックして、コンテキスト・メニューから「ポリシーのリスト」を選択します。
「ポリシー」ノードを選択し、ナビゲーション・ツリーの上のツールバーにある「アクション」メニューの「ポリシーのリスト」を使用します。
ナビゲーション・ツリーの上にあるツールバーの「ポリシーのリスト」をクリックします。
ポリシー検索ページで、目的のポリシーを検索するための基準を検索フィルタに指定し、「検索」をクリックします。
「検索」のかわりに「リセット」をクリックすると、検索基準がリセットされます。
検索フィルタ基準については、表11-12で説明します。
表11-12 ポリシー検索フィルタ基準
フィルタおよびフィールド | 説明 |
---|---|
リンクされたグループ |
ユーザーは、ポリシーがリンクされているユーザー・グループに基づいてポリシーをフィルタリングできます。 「リンクされたグループ」フィルタは「実行モード」が「リンクされていません」の場合は、関連付けられているユーザーIDグループがないため無効になります。 |
ポリシー名 |
ポリシーの名前。完全な名前、またはポリシー名の一部を入力できます。たとえば、HTTPと入力すると、名前の一部にHTTPが含まれるポリシーが表示されます。 |
ポリシー・ステータス |
ポリシーのステータス: 「アクティブ」または「無効」。 ポリシーのステータスまたはビジネス・プロセスでの可用性を定義します。 詳細は、「ポリシー・ステータス」を参照してください。 |
チェックポイント |
セッション中にポリシーのルールが評価される時点。 |
実行モード |
「実行モード」では、ポリシーをすべてのユーザーまたは特定のユーザーIDグループにリンクするか、あるいはポリシーをリンクしないかを選択できます。ポリシーをグループにリンクすると、リンクされているグループ内の一連のユーザーに対してポリシーを実行できます。
|
作成日 |
ポリシーが作成された時刻。 |
更新時間 |
ポリシーが最後に更新された時刻。 |
実行された検索に応じて、「検索結果」表にポリシーまたはポリシーのリストが表示されます。検索によって表示されるポリシーは、「リンクされたグループ」、「ポリシー名」、「ポリシー・ステータス」、「チェックポイント」および「実行モード」の各フィールドに指定されている基準に一致したポリシーです。
「検索結果」表は、列をソートしてソートできます。
各ポリシーには名前があります。説明が長すぎてすべて表示されない場合は、テキストの上にマウスを合わせると、説明全体が表示されます。
「検索結果」表からポリシーのポリシー詳細ページにすばやくアクセスできます。詳細を表示するには、目的のポリシーのポリシー名をクリックします。
ポリシー名をクリックすると、そのポリシーのポリシー詳細ページが表示されます。
ポリシー詳細ページでは、ポリシーの詳細を表示および編集できます。ポリシー詳細ページには、ポリシー・ツリーからアクセスすることもできます。詳細は、第3章「共通の管理およびナビゲーションのスタート・ガイド」を参照してください。
ポリシー詳細ページには、次の4つのタブがあります。
「サマリー」: ポリシーの一般詳細を表示および編集できます。
「ルール」: ポリシーのすべてのルールのリストを表示し、それらを追加および削除できます。
「トリガー組合せ」: ポリシーのトリガー組合せを表示し、それらを追加、削除および編集できます。
「グループ・リンク」: ポリシーをユーザーIDグループにリンクできます。
ポリシー詳細ページのタブでは、ポリシーに存在するルール、トリガー組合せおよびグループ・リンクの数がカッコ内に表示されます。無効化されたルールもカウントに含まれます。
11.8.2項「ポリシーの検索」の説明に従って、目的のポリシーを検索します。
「検索結果」表で、編集するポリシーの名前をクリックします。
表11-12「ポリシー詳細の「サマリー」タブ」に示すように、「サマリー」タブにそのポリシーの一般詳細が表示されます。
表11-13 ポリシー詳細の「サマリー」タブ
フィールド | 説明 |
---|---|
ポリシー名 |
ポリシーの名前。 |
ポリシー・ステータス |
ポリシーのステータス: 「アクティブ」または「無効」。 ポリシーのステータスまたはビジネス・プロセスでの可用性を定義します。 詳細は、「ポリシー・ステータス」を参照してください。 |
チェックポイント |
セッション中にポリシーのルールが評価される時点。 |
スコアリング・エンジン |
リスク・レベルを決定する数値スコアの計算に使用する不正分析エンジン。 |
重み |
様々な評価レベルの合計スコアに影響を与えるために使用される乗数。重みは0から100の整数値です。 |
説明 |
ポリシーの説明。 |
ポリシーの一般情報を編集するには、「サマリー」タブで変更を行ってから「適用」をクリックします。
ポリシー詳細が正常に更新されます。
例: 既存セキュリティ・ポリシーの編集
セキュリティ管理者のJeffは、チャレンジ質問での最大試行回数の変更を考えています。このため、彼はルール・パラメータを編集する必要があります。
ベスト・プラクティスは、KBAチャレンジの最大失敗回数を各ユーザーが登録するチャレンジ質問の合計数よりも1少ない数に設定することです。たとえば、すべてのユーザーが質問を4つ登録している場合、許可される最大失敗回数は3となります。
既存のセキュリティ・ポリシーを編集するには、次の手順を実行します。
管理者としてOAAM管理コンソールにログインします。
ナビゲーション・ツリーで、「ポリシー」ノードをダブルクリックします。
ナビゲーション・ツリーの右側にポリシー検索ページが開きます。
ポリシー検索ページは、次の方法で開くこともできます。
「ポリシー」ノードを右クリックして、コンテキスト・メニューから「ポリシーのリスト」を選択します。
「ポリシー」ノードを選択し、ナビゲーション・ツリーの上のツールバーにある「アクション」メニューの「ポリシーのリスト」を使用します。
ナビゲーション・ツリーの上にあるツールバーの「ポリシーのリスト」をクリックします。
「検索結果」表で不正ブロックをクリックします。
ポリシー詳細ページの「ルール」タブで「失敗したチャレンジの最大数」をクリックします。
ルールの詳細ページの「条件」タブで、上部のパネルの「ユーザー: チャレンジの最大失敗数」
をクリックします。
この条件によって、ユーザーがチャレンジ質問の回答を指定された回数失敗したかどうかが確認されます。
下部のパネルで、「次以上の失敗数」の値を、各ユーザーが登録しているチャレンジ質問の合計数よりも1少なくなるように変更します。
ポリシーをアクティブ化または無効化するには:
11.8.2項「ポリシーの検索」の説明に従って、目的のポリシーを検索します。
「検索結果」表で、アクティブ化または無効化するポリシーの名前をクリックします。
「サマリー」タブでポリシー・ステータスを変更してから「適用」をクリックします。
詳細は、「ポリシー・ステータス」を参照してください。
ポリシーを削除するには:
ナビゲーション・ツリーで、「ポリシー」ノードをダブルクリックします。
ナビゲーション・ツリーの右側にポリシー検索ページが開きます。
ポリシー検索ページは、次の方法で開くこともできます。
「ポリシー」ノードを右クリックして、コンテキスト・メニューから「ポリシーのリスト」を選択します。
「ポリシー」ノードを選択し、ナビゲーション・ツリーの上のツールバーにある「アクション」メニューの「ポリシーのリスト」を使用します。
ナビゲーション・ツリーの上にあるツールバーの「ポリシーのリスト」をクリックします。
ポリシー検索ページで、削除する1つまたは複数のポリシーを検索します。
ポリシーの検索の詳細は、11.8.2項「ポリシーの検索」を参照してください。
削除するポリシーを選択して、「削除」をクリックするか、「アクション」メニューから「選択項目の削除」を選択します。
確認を求める「削除の確認」ダイアログが表示されます。複数のポリシーを削除する場合は、このダイアログにポリシーのリストが表示されます。
「削除」をクリックします。
情報画面が表示されます。
情報画面の「OK」をクリックします。
ポリシーが正常に削除されます。
削除を元に戻すことはできません。この変更は永続的です。
他のチェックポイントにポリシーをコピーできます。
ナビゲーション・ツリーで、「ポリシー」ノードをダブルクリックします。
ナビゲーション・ツリーの右側にポリシー検索ページが開きます。
ポリシー検索ページは、次の方法で開くこともできます。
「ポリシー」ノードを右クリックして、コンテキスト・メニューから「ポリシーのリスト」を選択します。
「ポリシー」ノードを選択し、ナビゲーション・ツリーの上のツールバーにある「アクション」メニューの「ポリシーのリスト」を使用します。
ナビゲーション・ツリーの上にあるツールバーの「ポリシーのリスト」をクリックします。
必要な検索基準を入力し、「検索」をクリックします。
ポリシー名をクリックすると、ポリシー詳細ページが表示されます。
ポリシー詳細ページで、「ポリシーのコピー」をクリックします。
「ポリシーのコピー」には、「ポリシー詳細」ページの任意のタブからアクセスできます。
すべてのフィールドが事前移入された「ポリシーのコピー」画面が表示されます。
表11-14「ポリシーのチェックポイントへのコピー」に、「ポリシーのコピー」画面のフィールドを示します。
表11-14 ポリシーのチェックポイントへのコピー
フィールド | 説明 |
---|---|
チェックポイント |
ポリシーのコピー先となるチェックポイント。デフォルトでは、このフィールドには、コピーされるポリシーからのチェックポイントが事前移入されています。 |
ポリシー名 |
「ポリシー名」フィールドのデフォルト値は、policy_nameCopyです。ポリシー名は必要に応じて編集できます。 |
ステータス |
デフォルト値としてポリシー・ステータス「無効」が設定されています。 ポリシーのステータスまたはビジネス・プロセスでの可用性を定義します。 詳細は、「ポリシー・ステータス」を参照してください。 |
説明 |
デフォルトの説明として現在の説明が設定されています。 |
「ポリシーのコピー」画面で、チェックポイントおよびステータスを選択します。
ポリシー名および説明を入力します。
「ポリシーのコピー」画面で、「コピー」をクリックします。
「コピー」をクリックすると、ポリシーがチェックポイントにコピーされます。
新しいチェックポイントにポリシーのルールが適用されない(コピーされない)場合は、「次のルールはこのチェックポイントに適用されません」というメッセージが表示されます。
この場合は、コピー操作を取り消すか、またはルールなしでポリシーのコピーを継続できます。
ポリシーのコピー時には、ネストされたポリシー、トリガー組合せ、事前条件、グループ・リンクなどのすべての詳細がコピーされます。
任意のチェックポイントの他のポリシーにルールをコピーできます。たとえば、ルールを別のチェックポイントに移動したい場合があります。
ポリシーにルールをコピーするには:
ナビゲーション・ツリーで、「ルール」ノードをダブルクリックします。
ナビゲーション・ツリーの右側にルール検索ページが開きます。
ルール検索ページは、次の方法で開くこともできます。
「ルール」ノードを右クリックして、コンテキスト・メニューから「ルールのリスト」を選択します。
「ルール」ノードを選択し、ナビゲーション・ツリーの上のツールバーにある「アクション」メニューの「ルールのリスト」を使用します。
ナビゲーション・ツリーの上にあるツールバーの「ルールのリスト」をクリックします。
必要な検索基準を入力し、「検索」をクリックします。
「検索結果」表で、ポリシーにコピーするルールの名前をクリックします。
そのルールのルールの詳細ページが表示されます。
「ルールの詳細」ページで、「ルールのコピー」をクリックします。
元のルールのルール名および説明が事前移入された「ルールのコピー」ページが表示されます。
「ポリシー」フィールドで、ルールのコピー先となるポリシーを選択します。
「ルール名」フィールドにコピーするルールの新しい名前を入力します。
「説明」フィールドに、ルールの説明を入力します。
「コピー」をクリックして、ポリシーにルールをコピーします。
トリガー組合せの順序を変更するには:
ナビゲーション・ツリーで、「ポリシー」ノードをダブルクリックします。
ナビゲーション・ツリーの右側にポリシー検索ページが開きます。
ポリシー検索ページは、次の方法で開くこともできます。
「ポリシー」ノードを右クリックして、コンテキスト・メニューから「ポリシーのリスト」を選択します。
「ポリシー」ノードを選択し、ナビゲーション・ツリーの上のツールバーにある「アクション」メニューの「ポリシーのリスト」を使用します。
ナビゲーション・ツリーの上にあるツールバーの「ポリシーのリスト」をクリックします。
ポリシー検索ページで、興味があるポリシーを検索します。
ポリシー名をクリックすると、ポリシー詳細ページが表示されます。
「トリガー組合せ」タブをクリックします。
列の順序を変更するには、「順序変更」をクリックします。
次の図のように、「トリガー組合せの順序変更」画面が表示されます。
トリガー組合せの順序を変更し、「OK」をクリックします。
「トリガー組合せ」タブで「適用」をクリックします。
トリガー組合せの順序変更は、「適用」をクリックするまで有効になりません。「適用」をクリックする前にタブを閉じると、変更が失われます。
トリガー組合せを削除するには:
ナビゲーション・ツリーで、「ポリシー」ノードをダブルクリックします。
ナビゲーション・ツリーの右側にポリシー検索ページが開きます。
ポリシー検索ページは、次の方法で開くこともできます。
「ポリシー」ノードを右クリックして、コンテキスト・メニューから「ポリシーのリスト」を選択します。
「ポリシー」ノードを選択し、ナビゲーション・ツリーの上のツールバーにある「アクション」メニューの「ポリシーのリスト」を使用します。
ナビゲーション・ツリーの上にあるツールバーの「ポリシーのリスト」をクリックします。
ポリシー検索ページで、興味があるポリシーを検索します。
ポリシー名をクリックすると、ポリシー詳細ページが表示されます。
「トリガー組合せ」タブをクリックします。
トリガー組合せに対応する列ヘッダーを選択して「削除」をクリックします。
この項では、ルールの管理方法について説明します。
ルール検索ページを開くには、「ルール」ノードを右クリックします。ルール検索ページが表示されます。
ルール検索ページは、次の方法で開くこともできます。
「ルール」ノードを右クリックして、コンテキスト・メニューから「ルールのリスト」を選択します。
「ルール」ノードを選択して、ナビゲーション・パネルのツールバーで「アクション」メニューから「ルールのリスト」を選択します。
ナビゲーション・パネルのツールバーで「ルールのリスト」アイコンをクリックします。
図11-13「ルール検索ページ」に、ルール検索ページの例を示します。
ルール検索ページには、検索フィルタおよび検索基準に一致したルールのサマリーを示す「検索結果」表が表示されます。
ルール検索ページでは、ルールの詳細を表示および編集できますが、ルールを作成することはできません。ルールはポリシーのコンテキストでのみ作成されます。
ナビゲーション・ツリーで、「ルール」ノードをダブルクリックします。
ナビゲーション・ツリーの右側にルール検索ページが開きます。
ルール検索ページは、次の方法で開くこともできます。
「ルール」ノードを右クリックして、コンテキスト・メニューから「ルールのリスト」を選択します。
「ルール」ノードを選択し、ナビゲーション・ツリーの上のツールバーにある「アクション」メニューの「ルールのリスト」を使用します。
ナビゲーション・ツリーの上にあるツールバーの「ルールのリスト」をクリックします。
ルール検索ページで、ルールの検索基準を入力します。
「検索」をクリックします。
「検索」のかわりに「リセット」をクリックすると、検索基準がリセットされます。
「検索結果」表に、指定した基準に一致するルールのサマリーが表示されます。
表11-15 ルールの結果
フィールド | 説明 |
---|---|
ルール名 |
ルールの名前 |
ポリシー名 |
そのルールが存在するポリシーの名前。 |
チェックポイント |
セッション中にポリシーのルールが評価される時点。 |
ルール・ノート |
ルールに関する説明。 |
ルール・ステータス |
ルールのステータス(「アクティブ」または「無効」)。ルール・ステータスが「アクティブ」から「無効」に変更された場合、ルールは無効であり、ポリシーに追加できません。すでにルールが含まれているポリシーは影響を受けず、引き続き以前と同様に機能します。 |
アクション・グループ |
アクションのグループ。アクション・グループは、ルールがトリガーされたときに実行される必要があるすべてのアクションを示します。デフォルトでは、アクションは指定されていません。一連のルールの結果を指定する必要があります。 |
スコア |
0から1000の整数値。「スコア」の最小スコアと最大スコアはプロパティとして定義されます。 |
重み |
0から100の整数値。 |
「削除」ボタンまたは「アクション」メニューの「選択項目の削除」を使用すると、ルールを削除できます。「削除」および「選択項目の削除」は、行が選択されている場合にのみ有効になります。
削除操作は成功するか、または失敗します。部分更新は行われません。
「検索結果」表の列ごとに、ソート・オプションが提供されます。
各ルールには名前があります。説明が長すぎてすべて表示されない場合は、テキストの上にマウスを合わせると、説明全体が表示されます。
ルールの詳細を表示および編集するには、「検索結果」でルール名をクリックしてルールを開きます。
ルールの詳細を表示するには:
ナビゲーション・ツリーで、「ルール」ノードをダブルクリックします。
ナビゲーション・ツリーの右側にルール検索ページが開きます。
ルール検索ページは、次の方法で開くこともできます。
「ルール」ノードを右クリックして、コンテキスト・メニューから「ルールのリスト」を選択します。
「ルール」ノードを選択し、ナビゲーション・ツリーの上のツールバーにある「アクション」メニューの「ルールのリスト」を使用します。
ナビゲーション・ツリーの上にあるツールバーの「ルールのリスト」をクリックします。
ルール検索ページで、詳細を表示するルールを検索します。
「検索結果」表でルール名をクリックするか、または行を選択し、「アクション」メニューの「選択項目を開く」を選択して、新規タブにそのルールのルールの詳細ページを開きます。
ルールの詳細ページでは、4つのタブを使用してルールの完全な詳細にアクセスできます。これらのページを使用してルールを管理できます。
ルールの詳細ページには、4つのタブがあります。
一般
事前条件
条件
結果
これらのタブを使用してルールを管理できます。
ルールを編集するには:
ナビゲーション・ツリーで、「ルール」ノードをダブルクリックします。
ナビゲーション・ツリーの右側にルール検索ページが開きます。
ルール検索ページは、次の方法で開くこともできます。
「ルール」ノードを右クリックして、コンテキスト・メニューから「ルールのリスト」を選択します。
「ルール」ノードを選択し、ナビゲーション・ツリーの上のツールバーにある「アクション」メニューの「ルールのリスト」を使用します。
ナビゲーション・ツリーの上にあるツールバーの「ルールのリスト」をクリックします。
ルール検索ページで、編集するルールを検索します。
「検索結果」表でルール名をクリックして、新規タブにそのルールのルールの詳細ページを開きます。
ルールの詳細ページには、「サマリー」、「事前条件」、「条件」および「結果」の各ページのタブがあります。
ルールの条件の合計数が、「条件」タブのタイトルの横のカッコ内に表示されます。
ルールの一般情報を編集します。
「サマリー」タブでは、ルールの名前、ステータスおよび説明を変更できます。
表11-16に、表示されるフィールドを示します。
事前条件を編集します(11.5.3「事前条件の指定」)。
条件を編集または追加します(11.5.4項「条件のルールへの追加」)。
結果を編集します(11.5.5「ルールの結果の指定」)。
変更を保存する場合は「適用」をクリックし、破棄する場合は「元に戻す」をクリックします。
ルールの詳細ページの「条件」タブには、ルール内の条件が表示され、ルールのパラメータを編集できます。
ルール・パラメータを編集するには:
ナビゲーション・ツリーで、「ルール」ノードをダブルクリックします。
ナビゲーション・ツリーの右側にルール検索ページが開きます。
ルール検索ページは、次の方法で開くこともできます。
「ルール」ノードを右クリックして、コンテキスト・メニューから「ルールのリスト」を選択します。
「ルール」ノードを選択し、ナビゲーション・ツリーの上のツールバーにある「アクション」メニューの「ルールのリスト」を使用します。
ナビゲーション・ツリーの上にあるツールバーの「ルールのリスト」をクリックします。
ルール検索ページで、編集するルールを検索します。
「検索結果」表でルール名をクリックして、新規タブにそのルールのルールの詳細ページを開きます。
ルールの詳細ページには、「サマリー」、「事前条件」、「条件」および「結果」の各タブがあります。
ルールの詳細ページで、「条件」タブをクリックします。
「条件」タブの上部ペインで、条件を選択します。
下部ペインに、この条件のパラメータが表示されます。
ツール・メニューの「順序変更」ボタンをクリックし、条件の順序を変更します。
詳細は、11.10.3項「ルール内の条件の順序の変更」を参照してください。
下部ペインで、要件に応じてパラメータを変更します。
「保存」をクリックして変更を保存します。
確認ダイアログに操作のステータスが表示されます。
「OK」をクリックして、確認ダイアログを閉じます。
「適用」をクリックします。変更されたルールの詳細が正常に保存されます。
ルールのステータスはアクティブ」または「無効」です。ルール・ステータスが「アクティブ」から「無効」に変更された場合、ルールは無効であり、ポリシーに追加できません。すでにルールが含まれているポリシーは影響を受けず、引き続き以前と同様に機能します。
ルールをアクティブ化または無効化するには:
ナビゲーション・ツリーで、「ルール」ノードをダブルクリックします。
ナビゲーション・ツリーの右側にルール検索ページが開きます。
ルール検索ページは、次の方法で開くこともできます。
「ルール」ノードを右クリックして、コンテキスト・メニューから「ルールのリスト」を選択します。
「ルール」ノードを選択し、ナビゲーション・ツリーの上のツールバーにある「アクション」メニューの「ルールのリスト」を使用します。
ナビゲーション・ツリーの上にあるツールバーの「ルールのリスト」をクリックします。
ルール検索ページで、アクティブ化または無効化するルールを検索します。
「検索結果」表でルール名をクリックして、新規タブにそのルールのルールの詳細ページを開きます。
ルールの詳細の「サマリー」タブで、「ステータス」の「アクティブ」または「無効化」を選択します。
変更を保存する場合は「適用」をクリックし、破棄する場合は「元に戻す」をクリックします。
ルールを削除するには:
ナビゲーション・ツリーで、「ルール」ノードをダブルクリックします。
ナビゲーション・ツリーの右側にルール検索ページが開きます。
ルール検索ページは、次の方法で開くこともできます。
「ルール」ノードを右クリックして、コンテキスト・メニューから「ルールのリスト」を選択します。
「ルール」ノードを選択し、ナビゲーション・ツリーの上のツールバーにある「アクション」メニューの「ルールのリスト」を使用します。
ナビゲーション・ツリーの上にあるツールバーの「ルールのリスト」をクリックします。
ルール検索ページで、削除するルールを検索します。
対象のルールに対応する行を選択して、「削除」をクリックするか、「アクション」メニューから「選択項目の削除」を選択します。
削除されるルールが示された「削除の確認」ダイアログが表示されます。
削除操作は成功するか、または失敗します。部分更新は行われません。
「削除」をクリックします。
確認が表示された後、「OK」をクリックします。
ルールを削除すると、そのルールが使用されているトリガー組合せの対応する行が削除されます。
ナビゲーション・ツリーで、「ルール」ノードをダブルクリックします。
ナビゲーション・ツリーの右側にルール検索ページが開きます。
ルール検索ページは、次の方法で開くこともできます。
「ルール」ノードを右クリックして、コンテキスト・メニューから「ルールのリスト」を選択します。
「ルール」ノードを選択し、ナビゲーション・ツリーの上のツールバーにある「アクション」メニューの「ルールのリスト」を使用します。
ナビゲーション・ツリーの上にあるツールバーの「ルールのリスト」をクリックします。
ルール検索ページで、含まれている条件を削除するルールを検索します。
「検索結果」表のルール名をクリックすると、ルールの詳細ページが開きます。
ルールの詳細ページで、「条件」タブをクリックします。
対象となる条件を選択して、「削除」をクリックします。
「削除」ボタンは、行が選択されているか、または検索結果が2行以上である場合にのみ有効になります。
指定したルールの複数の条件を一度に削除することはできないため、一度に選択するのは1つの条件にする必要があります。
複数の条件を削除することはできますが、すべての条件を削除することはできません。
「削除」をクリックすると、削除が実行されます。削除の確認を要求するメッセージは表示されません。この変更は永続的です。
この項では、条件の管理方法について説明します。
条件検索ページには、検索フィルタおよび検索基準に一致した条件のサマリーを示す「検索結果」表が表示されます。
条件のリストは、付録B「条件リファレンス」を参照してください。
条件検索ページでは、システム内の条件または条件のリストを検索できます。
ナビゲーション・ツリーで、「条件」ノードをダブルクリックします。
条件検索ページは、次の方法でも開くことができます。
「条件」ノードを右クリックして、コンテキスト・メニューから「条件のリスト」を選択します。
ナビゲーション・ツリーで「条件」を選択し、ナビゲーション・ツリーの上のツールバーにある「アクション」メニューの「条件のリスト」を選択します。
ナビゲーション・ツリーの上にあるツールバーの「条件のリスト」をクリックします。
ナビゲーション・ツリーの右側に条件検索ページが開きます。
必要な検索基準を入力し、「検索」をクリックします。
「検索」のかわりに「リセット」をクリックすると、検索基準がリセットされます。
表11-17「条件検索のフィールド」に、「検索」セクションのフィールドを示します。
表11-17 条件検索のフィールド
フィールド | 説明 |
---|---|
条件名 |
条件に指定されている名前。 |
説明 |
条件の説明 |
タイプ |
条件のタイプ。たとえば、デバイス、ロケーション、ユーザーなどです。 |
チェックポイント |
セッション中にポリシーのルールが評価される時点。 |
各条件には名前があります。説明が長すぎてすべて表示されない場合は、テキストの上にマウスを合わせると、説明全体が表示されます。
条件の詳細を表示するには、その条件の名前をクリックします。
条件の詳細を表示するには:
ルールのルールの詳細ページを開きます。
ナビゲーション・ツリーで、「ルール」ノードをダブルクリックします。
ナビゲーション・ツリーの右側にルール検索ページが開きます。
ルール検索ページは、次の方法で開くこともできます。
i.「ルール」ノードを右クリックして、コンテキスト・メニューから「ルールのリスト」を選択します。
ii.「ルール」ノードを選択し、ナビゲーション・ツリーの上のツールバーにある「アクション」メニューの「ルールのリスト」を使用します。
iii.ナビゲーション・ツリーの上にあるツールバーの「ルールのリスト」をクリックします。
ルール検索ページで、条件を追加するルールを検索します。
「検索結果」表で、ルールの名前をクリックします。そのルールのルールの詳細ページが表示されます。
ルールの詳細ページで、「条件」タブをクリックします。
「条件」タブで、必要な条件を強調表示します。
下部ペインに、その条件のパラメータが表示されます。
ルールの条件は順番に評価されます。後続の条件は、現在の条件がtrueと評価された場合にのみ評価されます。つまり、条件がfalseと評価されると、評価は停止されます。
ルール内の条件の順序を変更するには:
ナビゲーション・ツリーで、「ルール」ノードをダブルクリックします。
ナビゲーション・ツリーの右側にルール検索ページが開きます。
ルール検索ページは、次の方法で開くこともできます。
「ルール」ノードを右クリックして、コンテキスト・メニューから「ルールのリスト」を選択します。
「ルール」ノードを選択し、ナビゲーション・ツリーの上のツールバーにある「アクション」メニューの「ルールのリスト」を使用します。
ナビゲーション・ツリーの上にあるツールバーの「ルールのリスト」をクリックします。
ルール検索ページで、含まれている条件の順序を変更するルールを検索します。
「検索結果」表でルール名をクリックして、新規タブにそのルールのルールの詳細ページを開きます。
ルールの詳細ページには、「サマリー」、「事前条件」、「条件」および「結果」の各タブがあります。
ルールの詳細ページで、「条件」タブをクリックします。
「条件」タブの上部ペインで、条件を選択します。
「順序変更」ボタンを使用して、条件の順序を変更します。
「保存」をクリックして変更を保存します。
確認ダイアログに操作のステータスが表示されます。
「OK」をクリックして、確認ダイアログを閉じます。
「適用」をクリックします。変更されたルールの詳細が正常に保存されます。
ナビゲーション・ツリーで、「条件」ノードをダブルクリックします。
ナビゲーション・ツリーの右側に条件検索ページが開きます。
条件検索ページは、次の方法でも開くことができます。
「条件」ノードを右クリックして、コンテキスト・メニューから「条件のリスト」を選択します。
ナビゲーション・ツリーで「条件」を選択し、ナビゲーション・ツリーの上のツールバーにある「アクション」メニューの「条件のリスト」を選択します。
ナビゲーション・ツリーの上にあるツールバーの「条件のリスト」をクリックします。
該当する条件の検索基準を入力し、「検索」をクリックします。
「検索結果」表で条件を選択し、「削除」をクリックします。
注意: ルールで条件が使用されている場合、条件を削除すると、ルールおよびそのルールを使用するポリシーに影響を与えます。 |
ポリシーは、エクスポートおよびインポートすることができます。
たとえば、システムで定義されているポリシーをエクスポートして、別のシステムにインポートすることができます。
ナビゲーション・ツリーで、「ポリシー」ノードをダブルクリックします。
ナビゲーション・ツリーの右側にポリシー検索ページが開きます。
必要な検索基準を入力し、「検索」をクリックします。
エクスポートするポリシーに対応する行を選択します。
「アクション」メニューから、「選択項目のエクスポート」または「削除スクリプトのエクスポート」を選択します。
エクスポート画面が表示されたら、「ファイルの保存」を選択して、「OK」を選択します。
ポリシーをインポートするには:
ナビゲーション・ツリーで、「ポリシー」ノードをダブルクリックします。
ナビゲーション・ツリーの右側にポリシー検索ページが開きます。
ポリシー検索ページで、「ポリシーのインポート」をクリックします。「ポリシーのインポート」ダイアログが表示されます。
「ポリシーのインポート」ダイアログ・ボックスで、ファイルのパスおよび名前を入力するか、または「参照」(...)ボタンを使用してポリシーを含むZIPファイルを検索し、このファイルを選択します。
注意: インポートされたファイルのMIMEタイプに対する検証が実行されます。エクスポート・ファイルのMIMEタイプは、「Application/ZIP」である必要があります。
「オープン」をクリックしてから、「OK」をクリックします。
ポリシーのリスト、インポート後にシステムで追加または更新されたポリシーの数、更新または削除されなかったポリシーの数を示す確認ダイアログが表示されます。
ZIPファイルに削除スクリプトまたは無効な形式のファイルが含まれているか、ZIPファイルが空である場合を除き、システムにポリシーがインポートされます。
削除スクリプトをインポートすると、ポリシーはシステムから削除されます。
無効な形式または空のZIPファイルでポリシーをインポートしようとすると、エラーが発生します。
「完了」をクリックして、確認ダイアログを閉じます。
「ビジネス」、「サード・パーティ」および「ワークフロー」ポリシー・タイプは、Oracle Adaptive Access Managerから削除されました。
10gでは、「ビジネス」ポリシーでスコアリングは使用されていませんでした。11gでは、Oracle Adaptive Access Managerデータベースから「ビジネス」ポリシーがロードされると、デフォルトでポリシー・セット・スコアリング・エンジンが適用され、11g以降では、このポリシーは「セキュリティ」ポリシーとして処理されます。
スナップショットをインポートした後でのポリシーのインポート
OAAMスナップショットをinit
フォルダからインポートした後、ポリシーもinit
フォルダからインポートしようとした場合、そのインポートは次のようなエラーで失敗します。
Failed to import Policies Imported file is either empty or invalid. Error Import failed error: Exception [EclipseLink-4002] (Eclipse Persistence Services - 2.3.1.v20111018-r10243): org.eclipse.persistence.exceptions.DatabaseException Internal Exception: java.sql.BatchUpdateException: ORA-00001: unique constraint (PS2DEV_OAAM_PARTN.VR_RULE_PARAM_VALUES_UK0) violated Error Code: 1.
システム内にすでに存在するポリシーが含まれていないファイルから、ポリシーをインポートする必要があります。
例: ポリシーのインポート
あなたはAcme Corpのセキュリティ・チームのメンバーであるJenniferで、高リスク国に焦点を当てたポリシーを構成する必要があります。別のチーム・メンバーであるChuckは、高リスク国からのログイン・リクエストを認証前にブロックするように、Oracle Adaptive Access Managerオフライン環境で認証前ポリシーを構成しました。あなたはこのポリシーが目的にかなっていると考えています。Chuckはすでにポリシーをエクスポートしており、あなたは本番環境にこのポリシーをインポートする必要があります。手順として、Chuckが構成したポリシーが含まれているZIPファイルをインポートします。彼はファイルにPreAuth_Block_policy.zipという名前を付けています。
ポリシーをインポートするには:
管理者としてOAAM管理コンソールにログインします。
ナビゲーション・ツリーで、「ポリシー」ノードをダブルクリックします。
ナビゲーション・ツリーの右側にポリシー検索ページが開きます。
ポリシー検索ページの「ポリシーのインポート」をクリックします。「ポリシーのインポート」画面が表示されます。
「参照」をクリックし、PreAuth_Block_policy.zip
を探します。
「OK」をクリックして、PreAuth_Block_policy.zip
をアップロードします。
確認ダイアログに操作のステータスが表示されます。
追加されたポリシーの数、更新されたポリシーの数、更新されなかったポリシーの数および削除されたポリシーの数を示すリストも表示されます。
インポートされたポリシーは、「インポートされたリスト」セクションにリストされます。
同じポリシー名が存在するかどうかによって、ポリシーは、システムに追加されるか、既存のポリシーを上書きまたは更新します。名前がすでに存在している場合、そのポリシーが更新されます。名前が存在しない場合、インポートされたポリシーがシステムに追加されます。
無効な形式または空のZIPファイルでファイルをインポートしようとすると、エラーが表示されます。
「OK」をクリックして、確認ダイアログを閉じます。
ポリシー検索ページで、ポリシーが「検索結果」表に表示されていることを確認します。
ポリシーをインポートして同じ名前を持つ既存のポリシーを上書きし、実際のルールは同じままであるアクションの変更を更新するときに、置換アクションが空白の場合は、元の値が上書きされません。既存のポリシーと同じ名前を持つポリシーをインポートするには、最初に既存のポリシーを削除してから新しいポリシーをインポートする必要があります。
ナビゲーション・ツリーで、「条件」ノードをダブルクリックします。
ナビゲーション・ツリーの右側に条件検索ページが開きます。
条件検索ページは、次の方法でも開くことができます。
「条件」ノードを右クリックして、コンテキスト・メニューから「条件のリスト」を選択します。
ナビゲーション・ツリーで「条件」を選択し、ナビゲーション・ツリーの上のツールバーにある「アクション」メニューの「条件のリスト」を選択します。
ナビゲーション・ツリーの上にあるツールバーの「条件のリスト」をクリックします。
「条件のインポート」をクリックします。
「条件のインポート」ダイアログ・ボックスで、ファイルのパスおよび名前を入力するか、または「参照」(...)ボタンを使用して条件を含むZIPファイルを検索し、このファイルを選択します。
「オープン」をクリックしてから、「OK」をクリックします。
条件のリスト、インポート後にシステムで追加または更新された条件の数、更新または削除されなかった条件の数を示す確認ダイアログが表示されます。
「完了」をクリックして、確認ダイアログを閉じます。
ナビゲーション・ツリーで、「条件」ノードをダブルクリックします。
ナビゲーション・ツリーの右側に条件検索ページが開きます。
条件検索ページは、次の方法でも開くことができます。
「条件」ノードを右クリックして、コンテキスト・メニューから「条件のリスト」を選択します。
ナビゲーション・ツリーで「条件」を選択し、ナビゲーション・ツリーの上のツールバーにある「アクション」メニューの「条件のリスト」を選択します。
ナビゲーション・ツリーの上にあるツールバーの「条件のリスト」をクリックします。
必要な検索基準を入力し、「検索」をクリックします。
目的の条件に対応する行を選択します。
「アクション」メニューから、「選択項目のエクスポート」を選択します。
エクスポート・ダイアログが表示されたら、ファイルの保存を選択し、「OK」を選択します。
「システム - ポリシーの評価」条件を使用して、ポリシーを評価し(名前別にポリシーを実行)、ポリシーから返されるアクションに特定のアクションが含まれるかどうかを確認します。この条件はルールに追加され、次のように機能します。
ルールを作成して、唯一の条件として追加します。
条件パラメータのポリシーと予期されるアクションの名前を指定します(「ブロック」など)。
このポリシーが実行時にアクションのリストを返し、アクションの1つが「ブロック」である場合は、ルールがトリガーされます。
例: ポリシーの評価
Jeffには2つのポリシーがあります。ポリシーの1つであるPolicy BはPolicy Aに先行するため、その他のルール評価の結果にかかわらず毎回実行される必要があります。このため、このポリシーをPolicy Aにネストすると、常に機能するわけではなくなります(トリガー組合せ)。したがって、Jeffは、Policy Bを毎回実行するという新しいルール条件をPolicy Aに追加することにしました。
Policy Aを開きます。
ポリシー詳細ページの「ルール」タブで、「ルールの追加」アイコンをクリックします。
Rule Cというルールを作成します。
ルールの詳細ページの「条件」タブで、「条件の追加」アイコンをクリックします。
システム: 評価ポリシー条件を追加します。
「トリガー組合せ」で、アクションとして「Policy B」を選択します。
この項では、ポリシー、ルールおよび条件の使用に関するベスト・プラクティスについて説明します。
ルールでは単純な条件を1番目にする
ルール内で、単純なルールが1番目になるようにルールの順序を決めます。通常、セッション・タイプの条件が最も効率的な条件です。通常、自動学習タイプの条件およびロケーション・データを使用する条件はよりコストが高いため、これらは単純な条件の後に配置する必要があります。
フローで条件が何回も評価されないようにポリシーを編成する
フローで同じ条件を何回も評価しないようにポリシーを編成します。これによって、同じセッションの異なるチェックポイントの結果が同じになることが回避されます。ネストされたポリシーを使用して同じ条件の評価を回避します。
ポリシーおよびルールの追加と編集
この一般的な手順では、ポリシーまたはルールを本番環境に追加または更新するためのプロセスを概説します。
オフライン・システム(テストまたはステージング用に設定されたOracle Adaptive Access Managerの個別のインストール)を使用して、新しいルールを作成します。
ルールをテストし、オフライン・システムを使用して予測可能なデータを実行することで、ルールが予想どおりに機能していることを確認します。
ポリシーが予想どおりに機能していることを確認した場合は、パフォーマンス・テストを実行できる本番前環境にポリシーを移行します。
これは、新しいルールまたはポリシー、またはその両方のパフォーマンスに影響を与える可能性があります。たとえば、今まで使用していた電子メール・アドレスを使用していないユーザーをチェックする新規ポリシーを定義するとします。顧客のデータベースに10億を超えるレコードがある場合、トランザクションごとにすべてのレコードに対してこのチェックを実行すると、パフォーマンスに多大な影響を与えます。したがって、負荷がかかった状態でポリシーをテストすることが重要です。
新しいルール/ポリシーが予想どおりに機能し、パフォーマンスに悪影響を及ぼさない場合のみ、本番環境に移行する必要があります。
ポリシーとルールのテスト
OAAMポリシーとルールは、様々な方法でテストできます。
OAAMオフラインを使用する新規デプロイ: OAAMオフラインおよびBIPレポートの組合せを使用して、ポリシーおよびルールのエンド・ユーザーに対する影響をテストします。これを実行するには、OAAMのオフライン・インスタンスをデプロイしてバッチ分析を実行します。標準OAAMローダーを構成するか、またはカスタム・ローターを開発して、本番データのセットをオフライン環境にロードし、テスト・セットとして使用します。データのテスト・セットに対してポリシーとルールを複数回実行し、ポリシー変更の影響を表示できます。
たとえば、新規デプロイでは、1か月分の本番データをOAAMにロードし、基本ポリシーを実行して、OAAMが1か月間に本番環境でライブだった場合に生成されるアラートおよびアクションの数を確認できます。ルールおよび結果の集計値を収集するには、BIPレポートが役立ちます。結果において、OAAMが動作を学習するとユーザーが生成するアラートおよびアクションが少なくなることがわかります。新規ルールを追加したり、ルールのしきい値を編集した場合、再度実行して、BIPレポートの結果と元の実行の結果を比較できます。
OAAMオフラインを使用する既存のデプロイ: OAAMがすでに本番環境にある場合、ポリシー/ルール変更の影響をテストする本番データのセットをエクスポートできます。たとえば、スケジュール・データ・ロードを設定し、24時間ごとにオフライン環境データを更新できます。セキュリティ・チームが新規ルールを追加したりルールのしきい値を編集する必要がある場合は、まず本番環境の現在のポリシーに対して24時間分のデータを実行し、EXCELワークシートにエクスポートされたBIPレポートを実行します。次に、チームは編集を行い、同じデータ・セットに対して2回目を実行し、さらに同じBIPレポートを実行できます。実行1および実行2のレポートを比較すると、ポリシーの変更によってユーザーの移入がどのように影響されたかがわかります。つまり、最初の実行で100のアラートが生成され、2回目の実行で125のアラートが生成された場合、編集の結果は25の追加アラートだったということになります。
最大スコアリング・エンジンの使用
高スコアまたは低スコアが不正であるとみなされるかどうかは、ポリシーと、開発者がそのポリシーをどのようにモデル化したかによって決まります。たとえば、デバイス・ポリシー内のスコアが高いほど、状況のリスクは高くなります。
たとえば、1000が不正なスコアとみなされるようにする場合は、最大スコアリング・エンジンを使用します。次に、最大スコアが生成される状況を不正とみなすようにルールをモデル化します。たとえば、ユーザーが特定のロケーションからログインした場合はスコアが200ポイントとなり、ユーザーが不正なデバイスからログインした場合はスコアが500ポイントとなるようにポリシーをモデル化できます。この場合、2つのうち最大スコアを持つ方がより悪いとみなされます。
集計スコアリング・エンジンの使用
状況のリスクの程度がわからない場合は、集計スコアリング・エンジンを使用します。たとえば、デバイスIDに対して、6つまたは7つのルールを適用できます。ルールごとに、スコア200または300の重みを指定します。スコアがこれより高い場合は、不正とみなされます。6つのルールがあり、そのうち2つがトリガーされた場合、集計は低くなります。6つのルールがトリガーされた場合、集計は高くなり、この状況の方がリスクが高いことになります。
平均スコアリング・エンジンの使用
どのルールも重要度に差がない場合や、評価のためにトリガーされるルールが多数存在する場合は、「平均」スコアリング・エンジンを使用します。たとえば、各ルールが特定の状況部分を表していても、各部分を決定の基準とするには十分ではありません。
チェックポイント内の一部のポリシーに対してスコアが重要でない
チェックポイント内に複数のポリシーがあるが、そのうち一部のポリシーではスコアが重要でない場合、これらのポリシーに対してはスコアの集計時にスコアが無視されるようにルール・スコアを0に設定します。