| Oracle® Database Vault管理者ガイド 12cリリース1 (12.1) B71286-08 |
|
 前 |
 次 |
Oracle Database Vaultには、Database Vaultの構成設定などのアクティビティを追跡するレポートが用意されています。
内容は次のとおりです。
関連項目:
Enterprise Manager Cloud ControlにおけるOracle Database Vault固有レポート
Database Vaultアクティビティを追跡できるその他の方法については、「Oracle Database Vaultのデータ・ディクショナリ・ビュー」を参照してください
Oracle Database Vaultには、データベースからのセキュリティに関する情報を示す一連のレポートが用意されています。
これらのレポートには、Oracle Database Vaultのカスタム監査イベント情報も表示されます。統合監査が有効な場合、レポートは、統合監査ポリシーの結果を取得します。
レポートは、次の2つのカテゴリに分類されます。
Database Vaultレポート。このレポートでは、レルム、コマンド・ルール、ファクタ、ファクタのアイデンティティ、ルール・セットおよびセキュア・アプリケーション・ロールの構成上の問題をチェックできます。レルム違反、監査結果なども明らかになります。
一般セキュリティ・レポート。このレポートでは、オブジェクト権限、データベース・アカウントのシステム権限、機密オブジェクト、権限管理、強力なデータベース・アカウントおよびロール、初期化パラメータ、プロファイル、アカウントのパスワード、セキュリティ監査、その他のセキュリティ脆弱性レポートのステータスをチェックできます。
Oracle Database Vaultのレポート機能を実行しようとするユーザーは、DV_OWNER、DV_ADMIN、またはDV_SECANALYSTロールを持っていなければなりません。
適切なロールを付与されているユーザーは、Database Vault AdministratorからOracle Database Vaultレポートを実行できます。
次のようなページが表示されます。
レポートが右ペインに表示されます。
構成に関する問題のレポートは、コマンド・ルール、ルール・セット、レルム、およびその他のOracle Database Vault構成の設定を追跡します。
内容は次のとおりです。
「コマンド・ルール構成の問題」レポートは、構成に関する問題が存在するコマンド・ルールを示します。
これらの問題は次のとおりです。
コマンド・ルールのルール・セットが無効である。
コマンド・ルールのルール・セットが不完全である。
コマンド・ルールのオブジェクト所有者が存在しない。この状況は、オブジェクトのユーザー・アカウントが削除された場合に発生する可能性があります。
「ルール・セット構成の問題」レポートは、Oracle Database Vaultのルール・セット構成に関する問題を示します。
このレポートは、ルールが定義されていないかルール・セットに対して有効になっていない場合に追跡します。
「レルム認可構成の問題」レポートは、Oracle Database Vaultレルムの構成に関する問題を示します。
これらの問題は次のとおりです。
レルム認可のルール・セットが無効である。
レルム認可に対して権限受領者が存在しない。
レルム・セキュア・オブジェクトに対して所有者が存在しない。この状況は、ユーザー・アカウントが削除された場合に発生する可能性があります。
しかし、ほとんどの場合、このような問題はレルムの構成時および検証時に発見されます。
「ファクタ構成の問題」レポートは、Oracle Database Vaultファクタの構成に関する問題を示します。
これらの問題は次のとおりです。
ファクタ割当てのルール・セットが無効である。
ファクタ割当てのルール・セットが不完全である。
ファクタの監査オプションが無効である。
ファクタ取得メソッドまたは定数が存在しない。
サブファクタ(子ファクタ)がファクタ・アイデンティティにリンクされていない。
サブファクタ(子ファクタ)がラベル・ファクタにリンクされていない。
ファクタに対してOracle Label Securityポリシーが存在しない。
「アイデンティティのないファクタ」レポートは、アイデンティティが設定されていないOracle Database Vaultファクタを示します。
Background_Job_Idなどの一部のファクタの場合、これは本当の問題ではない可能性がありますが、アクセス制御の構成が完全かどうか、すべてのファクタの構成を考慮に入れているかどうかの判断にこのレポートを役立てることができます。
「アイデンティティ構成の問題」レポートは、Oracle Database Vaultファクタのアイデンティティ構成に関する問題を示します。
これらの問題は次のとおりです。
ラベル・アイデンティティ(このアイデンティティのOracle Label Securityラベル)が削除されていて、すでに存在しない。
アイデンティティに対してマップが存在しない。
統合監査を有効にした場合、Oracle Database Vaultの監査レポートは統合監査ポリシーの結果を取得します。
内容は次のとおりです。
「レルムの監査」レポートは、レルム保護およびレルム認可の操作によって生成される監査レコードを示します。
レルム認可はルール・セットを使用して管理し、そのルール・セットの処理結果を監査できます。レルム違反は、レルムで保護されているオブジェクトに対してアクションを実行するデータベース・アカウントに、そのアクションを実行する権限がない場合に発生します。レルムに関連付けられているルール・セットを指定しない場合でも、Oracle Database Vaultによって違反が監査されます。レルムを構成する際に、レルム違反のインスタンスを監査するように設定できます。この情報を使用して、セキュリティ違反の試行を調査できます。
「コマンド・ルールの監査」レポートは、コマンド・ルール処理の操作によって生成される監査レコードを示します。
コマンド・ルールを構成する際に、ルール・セットの処理結果を監査するように設定できます。
「ファクタの監査」レポートは、評価できなかった、または様々な条件下で監査レコードを作成するように設定されたファクタを示します。
また、ファクタ設定の失敗も表示されます。
ファクタ・アイデンティティを解決できない、または割り当てることができない(データが見つからない、行が多すぎるなど)インスタンスを監査できます。ファクタには、実行時にアイデンティティをファクタに割り当てるルール・セットを関連付けることができます。ファクタを構成する際に、ルール・セットの処理結果を監査するように設定できます。
「Label Security統合の監査」レポートは、セッション初期化の操作およびLabel Securityセッション・ラベル割当ての操作によって生成される監査レコードを示します。
Label Securityセッションの初期化に失敗したインスタンス、およびセッションで最大セッション・ラベルを超えるラベルの設定がLabel Securityコンポーネントによって妨げられているインスタンスを監査できます。
「コアDatabase Vault監査証跡」レポートは、コア・アクセス・セキュリティ・セッション初期化の操作によって生成される監査レコードを示します。
アクセス・セキュリティ・セッションの初期化に失敗したインスタンスを監査できます。次のデータが表示されます。
| データA-R | データR-U |
|---|---|
アカウント |
ルール・セット |
コマンド |
タイムスタンプ |
インスタンス番号 |
ルール・セット |
オブジェクト名 |
ユーザー・ホスト |
リターン・コード |
- |
一般的なセキュリティ・レポートは、PUBLICに関連したオブジェクト権限やデータベース・アカウントまたはロールに付与された権限などの情報を追跡します。
内容は次のとおりです。
オブジェクト権限レポートは、PUBLICの影響を受ける権限、直接オブジェクト権限およびオブジェクトの依存性を追跡します。
内容は次のとおりです。
「PUBLICでのオブジェクト・アクセス」レポートには、PUBLICにアクセス権が付与されているすべてのオブジェクトがリストされます。
「レポート・パラメータ」ページで指定されたデータベース・アカウントについて、PUBLICへのオブジェクト付与によるすべてのオブジェクト・アクセスの詳細を示します。レポート・パラメータ・ページでは、権限、オブジェクト所有者またはオブジェクト名に基づいて結果をフィルタ処理できます。
注意:
このレポートは、デフォルトを選択すると非常に大きなサイズになることがあります。
「PUBLIC以外でのオブジェクト・アクセス」レポートは、「レポート・パラメータ」ページのデータベース・アカウントが使用したオブジェクト・アクセスを記述します。
このレポートは、直接またはロール経由でアカウントに付与された権限をチェックしますが、PUBLICへの権限付与は除外されます。
「レポート・パラメータ」ページでは、権限、オブジェクト所有者またはオブジェクト名に基づいて結果をフィルタにかけることができます。
注意:
このレポートは、デフォルトを選択すると非常に大きなサイズになることがあります。
「直接オブジェクト権限」レポートは、非システム・データベース・アカウントに付与された直接オブジェクト権限を示します。
次のデータベース・アカウントは、このレポートの対象外です。
| アカウントC-O | アカウントP-W |
|---|---|
|
|
|
|
|
|
|
|
|
|
|
|
「オブジェクトの依存性」レポートは、データベース内におけるプロシージャ、パッケージ、ファンクション、パッケージ本体、トリガ間の依存性を記述します。
このレポートには、データベース・リンクなしで作成されたビューに関する依存性が含まれます。
このレポートは、最低限の権限の原則を使用するセキュリティ・ポリシーを既存のアプリケーション用に開発するために役立ちます。データベース・オブジェクト(UTL_FILEパッケージなど)がPUBLICに付与された権限または他のなんらかのグローバル・ロールを保持する場合、「オブジェクトの依存性」レポートを使用して、そのオブジェクトに依存するアカウントを割り出し、アカウントでオブジェクトをどのように使用しているかを判断できます。レポートを実行するには、依存性を調べるデータベース・アカウントと、そのアカウントが依存するオブジェクトを、レポート・パラメータ・ページに入力します。
「レポート結果」ページには、依存オブジェクトとオブジェクト・タイプの他に、ソース・オブジェクトの名前とタイプが表示されます。このレポートには、機密オブジェクトが使用されている可能性がある場所が示されます。いくつかのアカウントを調べることで、制限付きロールの開発に役立つパターンを発見できることがあります。このような制限付きロールは、広く使用される機密オブジェクトのPUBLICの権限と置換できます。
データベース・アカウントのシステム権限レポートは、直接、間接、階層的およびANYシステム権限などのアクティビティを追跡します。
内容は次のとおりです。
「データベース・アカウントごとの直接システム権限」レポートは、レポート・パラメータ・ページで選択されたデータベース・アカウントに直接付与されたシステム権限をリストします。
このレポートは、権限にWITH ADMINオプションが付与されているかどうかも示します。
「データベース・アカウントごとの直接および間接システム権限」レポートは、「レポート・パラメータ」ページで選択されたデータベース・アカウントに対するシステム権限を示します。
システム権限は、直接またはWITH ADMINステータスのデータベース・ロールを介して付与されていることがあります。
「データベース・アカウントごとの階層システム権限」レポートは、ロールベースのシステム権限および直接システム権限の階層の内訳を示します。
これらの権限は、「レポート・パラメータ」ページで指定されたデータベース・アカウントに対して付与されます。
「データベース・アカウントのANYシステム権限」レポートは、指定されたデータベース・アカウントまたはロールに付与されているANYシステム権限を示します。
ANYシステム権限は、とても強力であるため、アカウントおよびロールに慎重に割り当てる必要があります。
機密オブジェクト・レポートは、SYSスキーマ・オブジェクトのEXECUTE権限の付与や機密オブジェクトへのアクセスなどのアクティビティを追跡します。
内容は次のとおりです。
「強力なSYSパッケージに対するEXECUTE権限」レポートは、強力なシステム・パッケージに関するEXECUTE権限を持つデータベース・アカウントとロールを示します。
たとえば、これらのタイプのパッケージは、オペレーティング・システム・リソースへアクセスするために使用できます。
次のシステムPL/SQLパッケージが対象となります。
| パッケージD-D | パッケージD-U |
|---|---|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
- |
「機密オブジェクトへのアクセス」レポートは、機密情報で構成されたシステム表またはビューに対してオブジェクト権限を持つデータベース・アカウントおよびロールを示します。
このレポートには、次のシステム表およびビューが含まれます。
| 表/ビューA-O | 表/ビューP-S |
|---|---|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
「SYS PL/SQLプロシージャに対するPUBLIC EXECUTE権限」レポートは、そのSYSが所有するパッケージに対してEXECUTE権限を持つデータベース・アカウントおよびロールを示します。
このレポートは、どの権限をPUBLICまたはその他のアカウントやロールから取り消すことができるかの判断に使用できます。これにより、最低限の権限の原則を使用するセキュリティ・ポリシーの全体的な実装の一部としての脆弱性が軽減されます。
権限管理サマリー・レポートは、権限受領者、所有者および権限別の権限配布を追跡します。
内容は次のとおりです。
関連項目:
これらのレポートに表示された件数の基になっている値を調べるには、「DVSYS.DBA_DV_PUB_PRIVSビュー」を参照してください
「権限受領者ごとの権限の配布」レポートは、データベース・アカウントまたはロールに付与された権限の総数を示します。
このレポートを使用すると、強力な権限を持つ可能性のあるアカウントおよびロールを認識できます。
「権限受領者、所有者ごとの権限の配布」レポートは、オブジェクトの権限受領者および所有者に基づいた権限の総数を示します。
このレポートを使用すると、強力な権限を持つ可能性のあるアカウントまたはロールを認識できます。このレポートは、潜在的な侵入者または内部関係者によって、攻撃または侵害するためのアカウントとして強力な権限を持つアカウントが狙われていると疑われる場合に使用できます。たとえば、侵入者がパスワードを推測することでアカウントを侵害できる場合、侵入者はすでに保持している権限よりも多くの権限を入手できます。
強力なデータベース・アカウントおよびロールのレポートは、WITH ADMIN権限などの強力な権限を付与されたユーザーに関する情報を追跡します。
内容は次のとおりです。
「WITH ADMIN権限の付与」レポートは、WITH ADMIN句によって権限を付与されているデータベース・アカウントおよびロールをすべて示します。
この権限は、別のアカウントに必要以上のシステム権限を付与するために悪用される可能性があります。
「DBAロールを持つアカウント」レポートは、DBAロールが付与されているデータベース・アカウントをすべて示します。
DBAロールは、不正に利用される可能性のある特権ロールです。時間を節約し、アカウントに本当に必要な最小権限を判断しないで済むように、このロールがデータベース・アカウントに付与されることはよくあります。このレポートは、最低限の権限の原則を使用するポリシーを、既存のデータベースに適用する際に役立ちます。
どのユーザーに特権ロールを付与するかを決定するためのガイドラインは、「Oracle Database Vaultセキュリティ・ガイドライン」を参照してください。
「セキュリティ・ポリシー除外」レポートは、EXEMPT ACCESS POLICYシステム権限を持つ(Oracle Database Vault以外の)データベース・アカウントおよびロールを示します。
この権限を持つアカウントは、すべてのVirtual Private Database(VPD)のポリシー・フィルタと、Oracle Virtual Private Databaseを間接的に使用するOracle Label Securityポリシーを無視できます。この権限は、Oracle Virtual Private DatabaseまたはOracle Label Securityによって保護される表の機密情報にアクセスするターゲットを示すため、どうしても必要な場合にかぎり付与すべき強力なシステム権限です。「Oracle Database Vaultの監査」で説明するように監査ポリシーを使用すると、この権限の使用を監査できます。
「BECOME USER」レポートは、BECOME USERシステム権限を持つデータベース・アカウントおよびロールをすべて示します。
BECOME USER権限は、非常に強力なシステム権限で、Oracle Data Pumpで使用するIMP_FULL_DATABASEロールおよびEXP_FULL_DATABASEロールを有効にします。この権限を持つアカウントは、機密情報を入手したり、アプリケーションを侵害するために悪用されたりする可能性があります。
「ALTER SYSTEM」または「ALTER SESSION」レポートは、ALTER SYSTEMまたはALTER SESSION権限を持つデータベース・アカウントおよびロールをすべて示します。
これらの権限は、本当に必要なアカウントおよびロール(SYSアカウントやDV_ADMINロールなど)に限定することをお薦めします。ALTER SYSTEM文を使用すると、Oracle Database Vaultのセキュリティ強化サービスの一部として推奨値に設定されているセキュリティ関連のデータベース初期化パラメータを変更できます。ALTER SYSTEM文とALTER SESSION文の両方を使用すると、機密構成情報が含まれる可能性があるデータベース・トレース・ファイルをオペレーティング・システムにダンプできます。
関連項目:
ALTER SYSTEMおよびALTER SESSION権限の使用に関するガイドラインは、「ALTER SYSTEMおよびALTER SESSION権限のセキュリティの考慮事項」を参照してください「パスワード履歴へのアクセス」レポートは、表USER_HISTORY$へアクセスできるデータベース・アカウントを示します。
この表には、各アカウントで以前使用されたハッシュ・パスワードが格納されています。
この表へのアクセスにより、データベースをハッキングする何者かがアカウントの既存のパスワードを簡単に推測できるようになります。
「WITH GRANT権限」レポートは、WITH GRANT句によって権限を付与されているデータベース・アカウントを示します。
WITH GRANTは、オブジェクトレベルの権限に使用されることに注意してください。WITH GRANTオプションを使用して権限が付与されているアカウントは、別のアカウントにオブジェクト権限を付与するために悪用される可能性があります。
「カタログ・ロールを持つデータベース・アカウント」レポートは、カタログ関連のロールが付与されたデータベース・アカウントおよびロールをすべて示します。
これらのロールは次のとおりです。
DELETE_CATALOG_ROLE
EXECUTE_CATALOG_ROLE
RECOVERY_CATALOG_OWNER
SELECT_CATALOG_ROLE
これらのカタログベースのロールは、非常に多くの強力な権限を保持します。これらを使用するDBAロールと同様に、慎重に付与する必要があります。
「AUDIT権限」レポートは、AUDIT ANYまたはAUDIT SYSTEM権限を持つデータベース・アカウントおよびロールをすべて示します。
この権限を使用すると監査を無効にできるため、システムを侵害した侵入者の監査証跡レコードを削除するために使用される可能性があります。この権限を持つアカウントは、侵入者のターゲットになる恐れがあります。
初期化パラメータおよびプロファイルのレポートは、データベース・パラメータ、リソース・プロファイルおよびシステム制限を追跡します。
内容は次のとおりです。
「セキュリティ関連のデータベース・パラメータ」レポートは、データベース・パラメータが正しく設定されていない場合に、セキュリティの脆弱性の原因となる可能性があるこれらのパラメータをリストします。
このレポートを使用すると、推奨される設定とデータベース・パラメータ値の現在の状態を比較できます。
「リソース・プロファイル」レポートは、リソース使用量を無制限に許可している可能性があるリソース・プロファイルをリストします。
リソース・プロファイルの例は、CPU_PER_SESSIONおよびIDLE_TIMEです。リソースの潜在的使用の抑制が必要なプロファイルは、見直す必要があります。
データベース・アカウント・パスワードのレポートは、デフォルト・パスワード、およびデータベース・アカウントのアカウント・ステータスを追跡します。
内容は次のとおりです。
「データベース・アカウントのデフォルト・パスワード」レポートは、デフォルト・パスワードを持つデータベース・アカウントを示します。
デフォルト・パスワードは、Oracle Databaseのインストール時に指定されます。
データベースを保護するために、このレポートに含まれるアカウントのパスワードをデフォルト以外の複雑なパスワードに変更する必要があります。
「データベース・アカウントのステータス」レポートは、既存のデータベース・アカウントをリストします。
このレポートにはアカウントごとにアカウント・ステータスが示されるため、ロックする必要があるアカウントを特定するために役立ちます。ロック日および有効日は、パスワード・エイジングの結果としてアカウントがロックされたかどうかの判断に役立つ情報となります。特殊なパスワードおよびリソース・セキュア・プロファイルが使用されている場合は、それらを使用していないアカウントを特定できます。体系立てて定義されたデフォルト表領域を使用していないアカウントも特定でき、アカウントの一時表領域を割り出すことができます。また、このレポートでは、外部パスワードを使用するアカウントも識別されます。
「コア・データベース監査」レポートは、データベース監査証跡レコードをリストします。
このレポートは非統合監査環境に適用されます。
コア・データベース監査レポートは、「Oracle Database Vaultの監査」で定義されている監査ポリシーに対する監査レコード、およびユーザーが定義した監査文に対して生成された監査レコードを返します。
このレポートには、データベース初期化パラメータAUDIT_TRAILがDBに設定されている場合(統合監査は無効になっている)に取得される監査レコードのみが表示されます。
関連項目:
AUDIT_TRAIL パラメータの詳細は、『Oracle Databaseリファレンス』を参照してくださいセキュリティの脆弱性に関するその他のレポートは、Javaポリシーの許可やオペレーティング・システムのディレクトリ・オブジェクトなどのアクティビティに伴って発生する脆弱性を追跡します。
内容は次のとおりです。
「Javaポリシーの付与」レポートは、データベースに格納されるJavaポリシーの権限を示します。
このレポートは、最低限の権限の原則に対する違反の検出に役立ちます。必ずしも権限を必要としないPUBLICおよびその他のアカウントやロールに対するGRANT、READまたはWRITE権限を見つけます。データベースでJavaが必要ない場合は、PUBLICのJavaロード権限を無効にすることをお薦めします。
注意:
「Javaポリシーの付与」レポートを実行するには、Oracle JVM(Oracle Database Vaultに用意されたJava仮想マシン・オプション)をインストールする必要があります。
「OSディレクトリ・オブジェクト」レポートは、データベース内のディレクトリ・オブジェクト、その権限、およびそれらをPUBLICで使用できるかどうかを示します。
ディレクトリ・オブジェクトは保護されたオペレーティング・システム(OS)に対してのみ存在し、データベース内でのディレクトリ・オブジェクトへのアクセスは保護する必要があります。リモート・データベース・セッションでデバイス上のすべてのファイルが参照できるようになるため、オペレーティング・システムのルート・ディレクトリ(/など)を任意のストレージ・デバイス上で使用しないでください。
「動的SQLに依存するオブジェクト」レポートは、動的SQLを使用するオブジェクトをリストします。
パラメータ・チェックまたはバインド変数が使用されない場合、潜在的な侵入者がこのチャネルを使用する可能性が大きくなります。このレポートにより、動的SQLを使用しているユーザーが明らかになり、問題を探す範囲を狭めることができます。このようなオブジェクトは、SQLインジェクション攻撃のターゲットとなる可能性があり、この種の攻撃を回避するために保護する必要があります。動的SQLを使用するオブジェクトを特定したら、次のようにします。
そのオブジェクトに対してクライアント・アプリケーション(Webアプリケーションなど)が保持する権限を確認します。
そのオブジェクト用にPUBLICまたはより広範なアカウント・ベースに付与されたアクセス権を確認します。
パラメータを確認します。
可能な場合は、バインド変数を使用します。
「アンラップされたPL/SQLパッケージ本体」レポートは、ラップされないPL/SQLパッケージ・プロシージャをリストします。
データ・ディクショナリまたはデータ・ディクショナリ・ビューで読み取ることができない程度にコードを不明瞭化するラップ・ユーティリティが用意されています。このユーティリティを使用すると、データを操作するソース・コードの読取りを不可能にすることで、侵入者がデータ保護を回避する能力を削ぐことができます。
「ユーザーまたはパスワード表」レポートは、ユーザー名およびパスワードの文字列を格納する、データベースのアプリケーション表を特定します。
これらの表を調査して、情報が暗号化されているかどうかを判断する必要があります。(%USER%NAME%や%PASSWORD%などの列名を検索してください。)暗号化されていない場合は、これらの表を使用するコードおよびアプリケーションを変更して、データベース・セッションから見えないように保護してください。
「表領域割当て制限」レポートは、1つ以上の表領域に対して割当て制限があるデータベース・アカウントをリストします。
これらの表領域は、DoS攻撃の潜在的なターゲットになり得ます。
