Oracle® Fusion Middleware Oracle Adaptive Access Managerの管理 11gリリース2 (11.1.2.3.0) E67427-01 |
|
前 |
次 |
Oracle Adaptive Access Manager (OAAM)は、Oracle Access Management Suite Plusの主要コンポーネントです。業界のアクセス管理サービスをすべて備えたこのスイート全体にわたって、リスクを意識した、コンテキスト駆動型のアクセス管理を提供します。
このガイドでは、管理者がOracle Adaptive Access Managerの構成およびポリシーを管理する際に役に立つ情報を提供します。この章では、Oracle Adaptive Access Managerの高度な概要について説明し、詳細情報へのリンクを提供します。
この章には次の項が含まれます:
Oracle Adaptive Access Managerは、組織に対する不正や誤用の防止に役立つ革新的かつ包括的な機能セットです。Oracle Adaptive Access Managerでは、標準の認証メカニズムの強化、革新的なリスク・ベースのチャレンジ方法、直感的なポリシー管理、およびIdentity and Access Management Suiteとサード・パーティ製品にわたる統合によって、独自の柔軟性と有効性を実現しています。
Oracle Adaptive Access Managerには次の機能があります。
不正や誤用に対処するための、アクセスの複数のチャネルをまたいだリアルタイムおよびバッチのリスク分析。複数のデータ型に対するリアルタイムの評価が、発生した時点で不正を防止するのに役立ちます。Oracle Adaptive Access Managerを使用すると、イントラネットやエクストラネットを経由して、コンシューマ、リモートの従業員またはパートナに、機密データ、トランザクションおよびビジネス・プロセスを公開する場合の安全性を高めることができます。
デバイスのフィンガープリント処理、リアルタイムの行動プロファイリングおよびリスク分析など、Webチャネルとモバイル・チャネルの両方で利用可能な豊富な機能。
回答ロジックおよびOTP Anywhereのサーバー生成ワンタイム・パスワード(ショート・メッセージ・サービス(SMS)、電子メールまたはインスタント・メッセージング(IM)配信チャネルを経由して帯域外で配信されます)を使用するナレッジベース認証(KBA)のチャレンジ・インフラストラクチャなどのリスク・ベースの認証方式。
業界最高レベルのアイデンティティ管理およびWebシングル・サインオン製品であり、主要なエンタープライズ・アプリケーションと統合されるOracle Identity Managementとの統合を標準で利用。
表1-1に、OAAMのリスク分析およびエンドユーザー向けの不正防止機能をまとめます。
表1-1 Oracle Adaptive Access Managerの機能
機能 | 説明 |
---|---|
リアルタイムまたはオフラインでのリスク分析 |
Oracle Adaptive Access Managerには、アクセス・リクエスト、イベントまたはトランザクションのリスクを計算し、不正や誤用を防止するための適切な結果を判断する機能が備えられています。リスク評価の部分は、ユーザーのアイデンティティの確認およびアクティビティが疑わしいかどうかの判断のみに使用されます。 リスク分析をサポートする機能は次のとおりです。
|
不正を防止するためにエンド・ユーザーが使用する機能 |
Oracle Adaptive Access Managerでは、フィッシング、ファーミングおよびマルウェアからユーザーを保護します。仮想認証デバイスによって、エントリ・ポイントで資格証明データが保護されます。これにより、ユーザーのコンピュータまたはインターネット上の、盗難に対して脆弱である可能性があるいかなる場所にも資格証明が存在しなくなるため、最大限の保護が実現されます。また、Oracle Adaptive Access Managerには、リスク・ベースの認証、ブロック、構成可能なアクションなどの、他のシステムで禁止するための禁止方法も用意されています。 エンド・ユーザーに対するセキュリティをサポートする機能は次のとおりです。
|
Oracle Adaptive Access Managerを使用すると、企業はフィッシング、マルウェア、トランザクションおよび内部者の不正行為など、強力な不正攻撃から企業自身とそのオンライン・ユーザーを費用対効果の高い方法で保護できます。表1-2は、不正攻撃の脅威とOracle Adaptive Access Managerの防御メカニズムをまとめたものです。
表1-2 Oracle Adaptive Access Managerの防御メカニズム
脅威 | Oracle Adaptive Access Managerの攻勢 |
---|---|
フィッシング |
フィッシングに対するOracle Adaptive Access Managerの攻勢:
|
マルウェア |
マルウェアに対するOracle Adaptive Access Managerの攻勢:
|
トランザクションの不正 |
トランザクションの不正に対するOracle Adaptive Access Managerの攻勢:
|
内部者の不正 |
内部の不正に対するOracle Adaptive Access Managerの攻勢:
|
Oracle Adaptive Access Managerを使用すると、オンラインによる状況依存型の認証および認可を使用した高度なセキュリティを実現できます。したがって、状況が評価され、様々なデータのタイプに応じて予防的な措置が講じられます。
この項では、認証、不正のモニタリングおよび不正の検証に使用される主要なコンポーネントや機能について概説します。
Oracle Adaptive Access Managerは、動作のプロファイルおよび異常性の検出を実現するために、リアルタイムの自動学習と予測による自動学習を独自に掛け合わせて採用しています。これにより、Oracle Adaptive Access Managerではリスクの高いアクティビティを認識し、不正や誤用を防ぐための措置を事前に講じることができます。また、Oracle Adaptive Access Managerでは動作の評価と学習がリアルタイムに行われるため、各ユーザーおよびユーザー全体の通常の動作がどのようなものか継続的に学習されます。自動学習に加えて、不正およびコンプライアンスに関して経験豊富な調査担当者からの継続的なフィードバックによって、OAAMエンジンはどのような内容を不正や誤用と見なすのかを学習します。このように、Oracle Adaptive Access Managerでは、組織内の人的能力および様々な形式の機械学習の両方を最大限に利用して不正や誤用を防止します。
そのわかりやすい例が、看護師の動作に関するプロファイリングとアクセス時間の評価です。多くの場合、看護師は数か所の病院に勤務しています。彼らは様々な時間帯のシフトで勤務することが考えられますが、いずれの月においても、様々な時間帯の中でもある1つの時間帯で勤務することが多くなります。そのような場合、Oracle Adaptive Access Managerは看護師の勤務時間と医療記録システムへのアクセスを追跡します。ある看護師の同月内の勤務時間帯のほとんどが夜間であったときに、10:00 amと12:00 pmの間にその看護師からアクセス・リクエストがあったとしたら、それは異常な動作ということになります。この場合、当然ながら、不正や誤用が発生しているわけではありませんが、リスクは上昇します。そのため、この看護師はOracle Adaptive Access Managerによって追加の本人確認をチャレンジされる可能性があります。この看護師が昼間の勤務で各種アプリケーションや情報にアクセスすると、Oracle Adaptive Access Managerは、これが通常の動作であり、リスクが低いことをリアルタイムに学習します。
自動不正防止ソリューションの主な目的の一つは、不要な手動プロセスを排除し、人がアクセス評価に直接関与した場合に発生しうる矛盾やコストの多くを除去することです。Oracle Adaptive Access Managerはリスク評価の自動化のみならず、動作の変化の追跡も行います。そのため、これを人的に行う必要はありません。動的リスク評価に基づき、ブロッキングやチャレンジ・メカニズムなどの様々な形式の禁止方法を使用して、不正防止の予防的措置を講じることができます。このように、Oracle Adaptive Access Managerは、人的介入をほとんどまたは一切必要とせずに不正を防止します。ただし、調査担当者がエンド・ユーザーに直接確認したり、追加のコンテキスト情報に基づいて最終決定を下したりする必要がある場合、Oracle Adaptive Access Managerはそれらの予見をシームレスに収集して将来のリスク評価の精度を高めます。
現在の動作のリスクを評価するために、ユーザー、デバイスおよびロケーションをプロファイリングするパターンの構成の詳細は、第15章「自動学習の管理」を参照してください。
OAAMのリスク・エンジンは、高度に構成可能なコンポーネントに基づいた、柔軟性に優れたアーキテクチャを使用しています。Oracle Adaptive Access Managerでは、3つのリスク評価方式が採用されており、これらの方式はリアルタイムのリスク評価を行うために連携して機能します。構成可能なルール、リアルタイムでの動作に関するプロファイリングおよび予測分析の組合せは、Oracle Adaptive Access Managerが有する業界固有の特徴です。管理者はセキュリティ・ポリシーや関連するオブジェクトの作成、編集および削除を、ビジネス・ユーザーが使いやすい管理コンソールを直接操作して簡単に行えます。ビジネス・ユーザーはOAAMポリシーの理解と管理、およびダッシュボードやレポートの表示をグラフィカル・ユーザー・インタフェースで行えるため、ITリソースにほとんどまたは一切依存しません。管理者は、任意の数の構成可能なルールの条件を組み合せてセキュリティ・ルールを作成します。アクセス・ベースおよびトランザクション・ベースのルールはいずれも、Oracle Adaptive Access Managerで使用可能な条件のライブラリから作成されます。
また、Oracle Adaptive Access Managerは、プロセスに基づいた完全に透過的で監査可能なルールを使用して動作のプロファイルおよびリスクの評価も行います。これにより、高パフォーマンスや優れた柔軟性を実現し、さらには、セッション内で特定のアクションが行われたあるいは行われなかった経緯と理由を完全に可視化できます。Oracle Adaptive Access Managerがエンド・ユーザーのアクセスをブロックした場合は、評価されたデータおよび実行された個々の評価を正確に示す完全な監査証跡が残されます。
決定ポイントおよび施行ポイントでリスクのレベルを評価するために使用されるポリシーおよびルールの構成の詳細は、第10章「OAAMポリシーの概念およびリファレンス」および第11章「ポリシー、ルールおよび条件の管理」を参照してください。
Oracle Adaptive Access Managerには、既存のWebアプリケーションのログイン・フローを強化する豊富な機能が用意されています。Oracle Adaptive Access Managerを使用すると、認証のタイプに関係なく、セキュリティのレベルを向上させることができます。内部者の不正、セッション・ハイジャック、資格証明の盗難およびその他の脅威は、厳密な資格証明認証のみによって排除することはできません。リスク・ベースのチャレンジ・レイヤーを既存の認証の背後に追加すると、ユーザーの操作性に及ぼす影響を最小限に抑えてセキュリティのレベルを向上させることができます。
Oracle Adaptive Access Managerの仮想認証デバイスのスイートは、サーバーとエンド・ユーザーのみが知っている、パーソナライズされたイメージやフレーズを使用してフィッシングに対処します。KeyPadおよびPinPadを使用すると、エンド・ユーザーの実際の資格証明を取得したり送信しないことによって、ユーザーの資格証明の入力中におけるセキュリティを保証できます。これにより、マルウェアやその他の類似の脅威による盗難から資格証明が保護されます。仮想認証デバイスはサーバー・ドリブンであり、すべての機能は、キー・ロガーやその他の一般的なマルウェアによってセキュリティが損なわれる可能性のある、クライアント側のソフトウェアやロジックを一切使用することなく提供されます。また、Oracle Adaptive Access Managerでは、認証を試行しているのが有効なユーザーである可能性の高さを判断するために、それぞれのアクセスに対して、デバイスのフィンガープリント処理および動作に関するプロファイリングを実行します。
以降では、仮想認証スイートに含まれる各種テキスト・パッドについて説明します。
TextPad
TextPadは、通常のキーボードを使用してパスワードやPINを入力するためのパーソナライズされたデバイスです。このデータ入力方法は、主に、フィッシングからの防御に役立ちます。TextPadは、一般的に、大規模なデプロイメントにおいて、すべてのユーザーのデフォルトとしてデプロイされます。その後、各ユーザーが必要に応じて個別に別のデバイスにアップグレードできます。ユーザーが登録するパーソナライズされたイメージおよびフレーズは、ユーザーが有効なサイトにログインするたびに表示され、ユーザーとサーバー間の共有シークレットとして機能します。この共有シークレットが表示されないか、間違った内容が表示されると、ユーザーは気付きます。
図1-1に示すとおり、TextPadには、ユーザーが有効なパスワード、パーソナライズされたイメージやフレーズおよびタイムスタンプを入力するフィールドがあります。
PinPad
PinPadは、数値PINを入力するための軽量な認証デバイスです。図1-2に示すとおり、PinPadには、有効なPIN、パーソナライズされたイメージやフレーズおよびタイムスタンプを入力するキーがあります。
QuestionPad
QuestionPadは、通常のキーボードを使用してチャレンジ質問への回答を入力するためのパーソナライズされたデバイスです。QuestionPadでは、チャレンジ質問を質問イメージに組み込むことができます。他の適応性の高い厳密認証デバイスと同様、QuestionPadはフィッシングの問題の解決にも役立ちます。
図1-3に示すとおり、OAAMのQuestionPadにはチャレンジ質問と「回答」フィールドがあり、ユーザーは、有効な回答、パーソナライズされたイメージやフレーズおよびタイムスタンプを入力します。
KeyPad
KeyPadは、英数字や特殊文字の入力に使用されるパーソナライズされたグラフィック・キーボードです。KeyPadはパスワードやその他の機密データの入力に最適です。たとえば、ユーザーはクレジット・カード番号を入力できます。
図1-4に示すとおり、KeyPadには、英数字や特殊文字、パーソナライズされたイメージやフレーズおよびタイムスタンプを入力するキーパッドがあります。
図1-5に、ユーザーに対して、プロファイルをすぐに登録するか、登録をスキップして後で行うかのオプションがある「セキュリティ・イメージおよびフレーズ」ページを示します。
Oracle Adaptive Access Managerでは、独自のクライアントレス・テクノロジおよび拡張可能なクライアント統合フレームワークの両方を、デバイスのフィンガープリント処理で使用できます。使用されたデバイスは、昇格したリスク・レベルを検出するために追跡およびプロファイルされます。デバイスは、ログインおよびトランザクションの実行に使用されます。デスクトップ・コンピュータ、ラップトップ・コンピュータ、モバイル・デバイス、その他のWeb対応デバイスが含まれます。OAAMカスタマは、クライアント・ソフトウェアを追加せずに標準ブラウザからのアクセスとモバイル・ブラウザからのアクセスの両方を保護したり、 JAVAアプレットなど、カスタムで作成したクライアントを統合したりできます。モバイル・アプリケーションへのアクセスを保護する場合、カスタマおよびパートナはMobile and Social SDKおよびRESTインタフェースを使用して、OAAMデバイスのフィンガープリント処理機能を簡単に統合できます。Oracle Adaptive Access Managerでは、ユーザー・セッションごとに、1回のみ使用できる一意のCookie値を生成して一意のデバイスIDにマップします。デバイスのCookie値は、後続のフィンガープリント処理プロセスごとに別の一意の値でリフレッシュされます。ユーザー・セッション中にフィンガープリント処理プロセスを複数回実行することにより、セッション中の変更を検出できます。変更されている場合は、セッション・ハイジャックが行われたことがわかります。Oracle Adaptive Access Managerはデバイス属性の包括的なリストをモニターします。使い捨てのCookieおよび複数の属性の評価がサーバー側のロジックとクライアントの拡張機能で実行されるため、OAAMのデバイスのフィンガープリント処理は柔軟であり、デプロイが容易で、安全性にも優れています。
フィンガープリント処理と識別の概念、テクノロジおよびユース・ケースの詳細は、付録E「デバイスのフィンガープリント処理および識別」を参照してください。
Oracle Adaptive Access Managerは、標準の第2認証をナレッジベース認証(KBA)質問の形式で提供します。KBAインフラストラクチャにより登録、回答、チャレンジ質問が処理されます。KBAは第2認証方法であるため、第1認証の成功後に示されます。
KBAは個人的情報の知識に基づいて個人を認証するのに使用され、知識はリアルタイムで対話型の質問および回答のプロセスによって実証されます。カスタマを認証するのにチャレンジ質問を使用することが適切であるかどうかは、Oracle Adaptive Access Managerのルール・エンジンと組織のポリシーによって判断されます。
図1-6に、「セキュリティ質問」ページの例を示しますが、このページでは、ユーザーに質問セットが提示されます。質問セットは複数のメニューに分割されており、ここから質問を選択します。ユーザーが回答を入力するQuestionPadも用意されています。
KBAに関する概念およびKBAの処理方法に影響を及ぼす管理タスクに関する情報の詳細は、第7章「ナレッジベース認証の管理」を参照してください。
回答ロジックを使用すると、基本的には正しいが、細かい誤入力、省略形、スペル・ミスなどを含む回答を許容することによって、ナレッジベース認証(KBA)質問のユーザビリティを向上させることができます。たとえば、回答ロジックで省略形が有効化されている場合、ユーザーが「What street did you live on in high school?」という質問チャレンジを受けて「1st St.」と回答し、この内容は基本的には正しいものの、6か月前に登録したときには「First Street」と入力した場合などです。回答ロジックで、構成可能な変形を正しい回答の形式で許容することで、登録されたチャレンジ質問のユーザビリティが劇的に向上し、企業がセキュリティとユーザビリティのバランスを調整できます。
回答ロジックの構成の詳細は、第7章「ナレッジベース認証の管理」を参照してください。
OTP Anywhereは、リスク・ベースのチャレンジ・メカニズムであり、構成済のアウト・オブ・バンド・チャネルを経由してエンド・ユーザーに送信されるサーバー生成のワンタイム・パスワードから構成されます。サポートされているOTPデリバリ・チャネルには、ショート・メッセージ・サービス(SMS)、電子メールおよびIM(インスタント・メッセージング)があります。OTP Anywhereを使用して、ナレッジベース認証(KBA)チャレンジを補完したり、これをKBAのかわりに使用できます。Oracle Adaptive Access Managerでは、革新的なチャレンジ・プロセッサ・フレームワークが提供されます。このフレームワークを使用すると、サード・パーティ認証製品またはサービスをOAAMリアルタイム・リスク評価と組み合せた、リスク・ベースのカスタム・チャレンジ・ソリューションを実装できます。KBAおよびOTP Anywhereはいずれも、実質的にこのチャレンジ・プロセッサ・フレームワークを内部的に使用します。SMS経由のOTP Anywhereでは、個人の携帯電話を2つ目の要素として使用します。そのため、エンド・ユーザーにハードウェアやソフトウェアをプロビジョニングすることなくIDの保証レベルが高まります。
OTPの構成の詳細は、第8章「OTP Anywhereの設定」を参照してください。
Oracle Adaptive Access Managerにはモバイル・セキュリティ機能が用意されています。これらの機能は、ASDKやRESTful Webサービスを使用して、直接またはOracle Access ManagementのMobile and Social Access Servicesコンポーネントを介して使用できます。ユーザーは、OAAMで保護されたWebアプリケーションにモバイル・ブラウザを介してアクセスすると、開発を必要とせずにモバイル・フォーム・ファクタ用に最適化されたユーザー・インタフェースおよびフローをナビゲートできます。Oracle Adaptive Access Managerで使用可能なセキュリティ・ポリシーは、モバイル・デバイスからのユーザー・アクセスが発生すると動的に調整されます。
これにより、分析の範囲とリスク評価の精度が改善され、誤検出が減少します。たとえば、アクセス・リクエストが携帯接続を経由している場合のIPジオロケーションの速度ルールの動作は、Wi-Fi接続を使用している場合の動作とは異なります。
カスタマがOracle Access Management SuiteのMobile and Social (MS) Access Servicesコンポーネントを使用する場合、Oracle Adaptive Access Managerによって、デバイス・フィンガープリント、デバイス登録、モバイル固有のリスク分析、リスク・ベースのチャレンジ・メカニズム、紛失および盗難デバイスの管理が強化されます。Mobile Access Servicesでは、企業が既存のアクセス・セキュリティ・ソリューションを拡張して、Webアクセス・チャネルおよびモバイル・アクセス・チャネルの両方に対処できます。
Oracle Access Management Mobile and Socialの詳細は、Oracle Access Management管理者ガイドを参照してください。
エンタープライズ・デプロイメントにおいて変更管理は重要です。中でも基幹のセキュリティ・コンポーネントに関する変更管理は特に重要になります。Universal Risk Snapshot機能を使用すると、管理者は一度の操作でOAAMポリシー、依存コンポーネント、およびバックアップ、障害時リカバリおよび移行の構成のフル・コピーを保存できます。スナップショットをデータベースに保存して高速リカバリに使用したり、ファイルに保存して環境と外部バックアップとの間の移行に使用できます。スナップショットのリストアは、差異の内容と、競合の解決に必要なアクションを目に見える形で正確に把握できる自動プロセスです。
Universal Risk Snapshotの使用の詳細は、第25章「OAAMスナップショットの管理」を参照してください。
Oracle Adaptive Access Managerには、セキュリティ・アナリストやコンプライアンス担当者が使用するための合理化された強力なフォレンジック・インタフェースが用意されています。エージェントには、調査結果および調査ワークフローの管理のためのリポジトリが用意されています。ユーザーは、容易にアラートを評価し、関連するアクセス・リクエストやトランザクションを特定して、不正や誤用を見つけることができます。セキュリティ・アナリストおよびコンプライアンス担当者は、調査を行うときにノートを記録し、疑わしいセッションをケースにリンクします。これはすべての調査結果を収集し、将来のリアルタイム・リスク分析に反映するためです。
次の図に、エージェント・ケース詳細ページの例を示します。「ケース詳細」ページには、ケースに取り組んでいる不正調査担当者、ステータス、重大度レベル、説明、最後に実行されたアクション、実行された時間など、ケースに関する一般的な詳細が表示されます。
エージェント・ケース
図1-7に、「サマリー」、「リンク・セッション」および「ログ」の各タブを含む「エージェント・ケース」ページを示します。
OAAM調査ツールの使用の詳細は、第5章「不正調査に対するエージェント・ケースの使用」および第6章「調査のための追加詳細の表示」を参照してください。
トランザクションの検索および比較
Oracle Adaptive Access Managerには直感的なインタフェースが用意されており、セキュリティ・アナリストおよびコンプライアンス担当者はこれを使用し、リスク分析の対象となったトランザクションを検索および比較できます。各トランザクションの全データおよびコンテキストは、暗号化されたデータ・フィールドにも使用できます。これにより、セキュリティおよびコンプライアンスの専門家は、ユーザー・アクティビティを深く把握するとともに、管理者などのエンタープライズ・ユーザーからデータを保護できます。複数のトランザクションを並べて比較できるので、調査範囲を既知の高リスク・トランザクションから、当初それ自体では高リスクに見えなかった可能性のあるトランザクションにまで広げる場合にきわめて有用です。
図1-8に、4件のトランザクションのセッションおよびトランザクション詳細が比較されている「トランザクションの比較」インタフェースの例を示します。
ユーティリティ・パネル
調査ユーティリティ・パネルには、セキュリティ・アナリストやコンプライアンス担当者が調査プロセスにおいて何度も実行するような共通の操作のための永続的なインタフェースが用意されています。クイック検索もケース・ノートも、他の機能の使用状況にかかわらず常に使用できます。そのため、任意のプロセスからの調査結果を組み合せて、疑わしいセッションやトランザクションを検索できます。また、ユーティリティ・パネルでは、あらゆる見解や調査結果をケース・ノートに収集できます。
図1-9に、ユーティリティ・パネルの例および目的の検索を実行する個別のデータ・ポイントを示します。
組織では、ポリシーおよびルールを使用して、不正をモニターおよび管理したり、ビジネス要素を評価できます。ポリシーとルールは、パターンまたはプラクティス、または日々の業務運用で実行する可能性のある特定アクティビティを処理するように設計されています。Oracle Adaptive Access Managerを使用すると、ルールの集合がいつ実行されるか、様々なシナリオの検出に使用される条件、評価するグループ、およびアクティビティが検出されたときにどのアクションを実行するのが適切であるかを定義できます。
決定ポイントおよび施行ポイントでリスクのレベルを評価するために使用されるポリシーおよびルールの構成の詳細は、第10章「OAAMポリシーの概念およびリファレンス」および第11章「ポリシー、ルールおよび条件の管理」を参照してください。
Oracle Adaptive Access Managerダッシュボードには、読みやすい方法でデータを編成して示すユーザー・インタフェースに、複数のコンポーネントからの統合された情報が表示されます。Oracle Adaptive Access Managerダッシュボードには、主要なメトリックのモニター・データバージョンが表示されます。管理者は、セキュリティの観点からの、アプリケーション・アクティビティに関する最新のデータを簡単に確認できます。示されるレポートは、一般的なトレンドを視覚化および追跡するのに役立ちます。
OAAMダッシュボードの詳細は、第23章「OAAM管理機能およびパフォーマンスのモニタリング」を参照してください。
Oracle Adaptive Access Managerを介して、レポートを使用できます。カスタマイズ可能なレポート機能を使用するために、Oracle Business Intelligence Publisherの限定版ライセンスが含まれています。
Oracle Identity Management BI Publisher Reportsは、Oracle BI Publisherを使用して、Oracle Identity Management製品データベースの情報について問合せおよびレポートを行います。最小限の設定では、Oracle Identity Managementレポートを作成、管理および配信するための共通の方法がOracle Identity Management BI Publisher Reportsによって提供されます。
Oracle Identity Management BI Publisher Reportsに含まれているレポート・テンプレートは標準のOracle BI Publisherテンプレートであり、それぞれのテンプレートは、カスタマイズしてルック・アンド・フィールを変更できます。Oracle Identity Management製品のスキーマ定義を利用できる場合は、その情報を使用して独自のカスタム・レポートを変更および生成できます。
レポートの構成の詳細は、第24章「レポートおよび監査」を参照してください。
Oracle Adaptive Access Managerは、プラットフォームのプレゼンテーション層、ビジネス・ロジック層およびデータ層を区分するJ2EEベースの複数層デプロイメント・アーキテクチャに基づいています。層がこのように分離されているため、Oracle Adaptive Access Managerは、お客様のパフォーマンス要件に合せてすばやくスケールできます。このアーキテクチャでは、Java、XML、およびオブジェクト・テクノロジを組み合せた、最も柔軟なサポートされているクロス・プラットフォームJ2EEサービスを利用できます。Oracle Adaptive Access Managerは、このアーキテクチャによって、スケーラブルでフォルト・トレラントなソリューションとなっています。
ルール・エンジンやエンド・ユーザーのインタフェース・フローを含むランタイム・コンポーネントは1つの管理対象サーバーに含まれていますが、管理コンソールの機能はその管理対象サーバーに分散されています。管理コンソールには、カスタマ・サービスおよびセキュリティ・アナリストのケース管理機能が含まれており、この機能は、通話の量が多くなる可能性があるコール・センターの従業員が常に使用できる必要があります。
使用されているデプロイ方法に応じて、トポロジが少し変わります。ネイティブ・アプリケーション統合のデプロイメントでは、ランタイム・コンポーネントが組み込まれるため、管理コンソールが、デプロイメントに追加される唯一の追加的な管理対象サーバーとなります。また、Oracle Adaptive Access Managerは、パフォーマンスに対する高い要求に対応するために、完全にステートレスであり、クラスタ化デプロイメントを完全にサポートします。さらに、Oracle Databaseのすべての高可用性機能は、Oracle Adaptive Access Managerで使用することがサポートされています。
Oracle Adaptive Access Managerは、次の2つのコンポーネントで構成されています。
OAAM_ADMIN: このコンポーネントは、OAAM_SERVERアプリケーションの管理と構成のために使用されます。このコンポーネントは、Oracle JAVA ADF FrameworkのIdentity Managementシェルを使用して開発されており、J2EEコンテナにWebアプリケーションとしてデプロイされます。これは、EARファイルとしてパッケージされています。
OAAM_SERVER: このコンポーネントは、1つのWebアプリケーション内にOAAM AdminサブコンポーネントとOAAM Serverサブコンポーネントが含まれています。OAAM_SERVERコンポーネントはEARファイルとしてパッケージ化されており、Javaクラスに加えてサーブレットとJSPで構成されています。OAAM_SERVERのサブコンポーネントについては、次にレイヤー別に説明します。
プレゼンテーション・レイヤー: 通常、JSP、サーブレットなどのサービスを提供するWebアプリケーション。プレゼンテーション・レイヤーは、厳密認証機能を提供します。これはビジネス・レイヤーによって提供されるインタフェース(SOAPまたはJavaネイティブ)を使用してそのサービスにアクセスします。
ビジネス・ロジック・レイヤー: このレイヤーには、リスク分析エンジンを実装するコア・アプリケーション・ロジックが含まれています。このレイヤーは、プレゼンテーション・レイヤーのためのJavaおよびSOAPインタフェースを提供します。Javaインタフェースを使用する場合、ビジネス・ロジック・レイヤーとプレゼンテーション・レイヤーを1つのWebアプリケーションの一部とすることができます。SOAPインタフェースの場合は、これらのレイヤーは異なるアプリケーションとしてデプロイされます。
データ・アクセス・レイヤー: サポートされているリレーショナル・データベースに接続するためのデータ・アクセス・コンポーネントが含まれています。Oracle Adaptive Access Managerは、リレーショナル・データベースにJavaオブジェクトを格納するための強力で柔軟なフレームワークを提供するOracle TopLinkを使用します。
Oracle Adaptive Access Managerは、次の2つのコンポーネントで構成されています。
OAAM管理
OAAMサーバー
OAAM管理は、セキュリティ管理者(ルール管理者)、調査担当者、サポート担当者およびシステム管理者によって使用されるOAAM管理コンソールです。セキュリティ管理者は、ポリシーのインポートおよびエクスポート、新しいポリシーの作成、セッションの表示およびKBAやOTP AnywhereなどのOracle Adaptive Access Manager機能の構成を行います。調査担当者(不正調査担当者および不正調査マネージャ)およびサポート担当者(CSRおよびCSRマネージャ)は、Oracle Adaptive Access Managerのケース管理ツールを使用して、セキュリティおよびカスタマ・ケースを処理します。システム管理者は、環境レベルのプロパティおよびトランザクションを構成します。
図1-10に示すように、Oracle Adaptive Access Managerでは、ほとんどのデプロイメント・ニーズを満たすために、多くのデプロイメント・オプションをサポートしています。どのデプロイメント・タイプを採用するかは、通常、必要なユース・ケースと保護する対象となるアプリケーションに基づいて決定します。
図1-10は、次のシナリオを示しています。
SOAPサービス・ラッパーAPI統合のシナリオ: アプリケーションは、OAAMネイティブ・クライアントAPI (SOAPサービス・ラッパーAPI)を使用してOracle Adaptive Access Managerと通信します。
In-Proc統合のシナリオ: 関与するのはローカルAPIコールのみであるため、リモート・サーバーのリスク・エンジン・コール(SOAPコール)は関係ありません。
UIOプロキシ・シナリオ: リバース・プロキシがクライアント(ブラウザ)とサーバー(Webアプリケーション)の間のHTTPトラフィックをインターセプトし、そのトラフィックはOAAMサーバーにリダイレクトされ、次にOAAMサーバーがOAAM管理と通信します。
注意: 現在はUIOプロキシを使用できますが、11.1.2.2から非推奨になり、12.1.4以降のリリースには含まれずサポート対象外になる予定です。UIOプロキシのかわりにTrusted Authentication Protocol (TAP)を使用して、ネイティブ統合またはAdvanced Oracle Access Management Access ManagerとOracle Adaptive Access Managerの統合を使用することをお薦めします。ネイティブ統合の詳細は、Oracle Adaptive Access Manager開発者ガイドの第2章「Oracle Adaptive Access Managerのネイティブ統合」、第3章「ネイティブ.NETアプリケーションの統合」および第4章「OAAMとJavaアプリケーションのネイティブ統合」を参照してください。TAPを使用するAccess ManagerとOracle Adaptive Access Managerの統合の詳細は、Oracle Identity Management Suite統合ガイドを参照してください。 |
OAAM管理コンソール: 管理およびカスタマ・サービスと、不正調査ケース管理機能が含まれます。
表1-3では、OAAMデプロイメントのタイプについて説明しています。
表1-3 Oracle Adaptive Access Managerのデプロイメント・オプション
デプロイメント | 説明 |
---|---|
シングル・サインオン統合 |
仮想デバイス、デバイスのフィンガープリント処理、リアルタイムのリスク分析およびリスク・ベースのチャレンジを含む高度なログイン・セキュリティを実現するために、Oracle Adaptive Access Managerには、Oracle Access Management Access Managerとの標準的な統合が備えられています。11g以降、 Oracle Adaptive Access ManagerとAccess Managerの統合には、基本と拡張の2つのバージョンがあります。基本統合では、Oracle Adaptive Access ManagerをAccess Managerのランタイム・サーバーに埋め込みます。これには、Oracle Adaptive Access Managerから使用できる、ログイン・セキュリティの数多くのユース・ケースが含まれており、フットプリントが削減されます。カスタマは、拡張機能と拡張性を得るために、拡張統合を使用してデプロイできます。OTP Anywhere、チャレンジ・プロセッサ・フレームワーク、共有ライブラリ・フレームワーク、安全なセルフサービスのパスワード管理フローなどの機能を使用するには、拡張統合オプションが必要となります。また、必要に応じて、システム・インテグレータを介して、Oracle Adaptive Access Managerとサード・パーティのシングル・サインオンを統合することもできます。 図1-10に、このオプションは示されていません。 Access ManagerとOracle Adaptive Access Managerの統合の詳細は、Oracle Identity Management Suite統合ガイドを参照してください。 |
ユニバーサル・インストール・オプションのリバース・プロキシ |
Oracle Adaptive Access Managerは、ログイン・リクエストを捕捉し、高度なログイン・セキュリティを提供するために、Apacheモジュールを使用してデプロイできます。使用できるフローは、拡張シングル・サインオン統合オプションの場合と同じです。 Oracleユニバーサル・インストール・オプション(UIO)デプロイメントの主要な利点は、保護されるアプリケーションとの統合がほとんどまたは一切必要なく、シングル・サインオン(SSO)も必要ないことです。 ユニバーサル・インストール・オプション・デプロイメント・オプションの詳細は、Oracle Adaptive Access Manager開発者ガイドの「Oracle Adaptive Access Managerプロキシ」を参照してください。 |
ネイティブ・アプリケーション統合 |
Oracle Adaptive Access Managerは、非常に高いパフォーマンスと高度にカスタマイズ可能なセキュリティを実現するために、アプリケーションとネイティブ統合できます。ネイティブ統合では、保護されるアプリケーション内に、プロセス内のOAAMが組み込まれます。アプリケーションでは、Oracle Adaptive Access Manager APIを直接起動して、リスクとチャレンジのフローにアクセスします。 ネイティブ統合の詳細は、Oracle Adaptive Access Manager開発者ガイドを参照してください。 |
Webサービス・アプリケーション統合 |
ネイティブ統合に似た高度な要件を持ち、かつ、直接的なJava API統合ではなくSOAP Webサービスを使用することが必要なカスタマは、このオプションを選択できます。 Webサービス・アプリケーション統合の詳細は、Oracle Adaptive Access Manager開発者ガイドを参照してください。 |
Java Message Serviceキュー統合 |
複数のアプリケーションやデータ・ソースを必要とするアクセスモニタリング要件のあるカスタマは、セキュリティおよびコンプライアンスについて率先した姿勢で措置を講じることができるようになりました。付属のJava Message Service Queue (JMSQ)を使用すると、カスタマはほぼリアルタイムのリスク分析を実装できるため、疑わしい不正や誤用を積極的に特定できます。 図1-10に、このオプションは示されていません。 Java Message Serviceキュー統合の詳細は、Oracle Adaptive Access Manager開発者ガイドを参照してください。 |
Oracle Adaptive Access Management 11.1.2では、次の表で説明する新機能および拡張機能が提供されています。
領域 | 機能および拡張機能 |
---|---|
モバイル・セキュリティの強化 | モバイル・セキュリティは、次のように強化されました。
|
トランザクション自動学習 | 新しいトランザクション自動学習は、次のとおりです。
|
調査ツール | 調査をより迅速で簡単にするために、新しい調査ツールが追加されました。
|
エンティティ拡張機能 | エンティティの拡張は、次のとおりです。
|
アクセス・モニタリング・ツールキット | アクセス・モニタリング・ツールキットは、次のとおりです。
|
機能 | 10.1.4.5 | 11.1.1.3.0 | 11.1.2 | 11.1.2.2 | 11.1.2.3 |
---|---|---|---|---|---|
リアルタイムおよびオフライン・ルール・エンジン | X | X | X | X | X |
仮想認証デバイス | X | X | X | X | X |
ナレッジベース認証 | X | X | X | X | X |
適応デバイス識別* | X | X | X | X | X |
基本セキュリティ・ポリシー(継続的な更新) | X | X | X | X | X |
リアルタイム・ダッシュボード(改善) | X | X | X | X | X |
カスタマ・サービス・モジュール | X | X | X | X | X |
アクティビティ・データへのリアルタイム・アクセス | X | X | X | X | X |
アクション、アラートおよびリスク・スコアリング | X | X | X | X | X |
ルール条件 | X | X | X | X | X |
最適化されたログ・データ管理 | X | X | X | X | X |
ルール・データ・オブジェクトの拡張されたキャッシング | X | X | X | X | X |
拡張された統合API | X | X | X | X | X |
ルール作成ユーザー・インタフェース | X | X | X | X | X |
トランザクション定義およびマッピング・ユーザー・インタフェース | X | X | X | X | X |
データ・エンティティ定義およびマッピング・ユーザー・インタフェース | X | X | X | X | X |
動作パターン構成インタフェース | X | X | X | X | X |
構成可能なアクション | X | X | X | X | X |
サーバー生成のワンタイム・パスワード(OTP) | 可(すべてのデプロイメント・タイプ) | 可(すべてのデプロイメント・タイプ) | X | X | |
カスタマイズ可能なレポートBI Publisher (付属) | X | X | X | X | X |
ツリー・ベースのナビゲーションおよびポリシー参照 | X | X | X | X | |
表形式のマルチタスク・ユーザー・インタフェース | X | X | X | X | |
カスタマイズ可能な検索画面 | X | X | X | X | |
共通監査フレームワーク | X | X | X | X | |
モバイル・ブラウザのユーザー操作性の向上 | X | X | X | ||
モバイル用に調整されたセキュリティ・ポリシー | X | X | X | ||
モバイル・アプリケーション開発者用のRESTサービスとSDK | X | X | X | ||
モバイル・デバイス・フィンガープリント | X | X | X | ||
紛失および盗難されたモバイル・デバイスのセキュリティ | X | X | X | ||
カスタマイズ可能なパターン化 | X | X | X | ||
トランザクション・ルール条件 | X | X | X | ||
改善されたケース管理 | X | X | X | ||
ユーティリティ・パネルのクイック検索 | X | X | X | ||
ユーティリティ・パネルのメモ・ペイン | X | X | X | ||
トランザクションの検索 | X | X | X | ||
トランザクション詳細 | X | X | X | ||
トランザクションの比較 | X | X | X | ||
効率化されたホワイト・リスト/ブラック・リスト作成 | X | X | X | ||
リンクされたエンティティ | X | X | X | ||
エンティティのCRUD操作 | X | X | X | ||
ターゲットを指定したパージ | X | X | X | ||
JMSQインタフェース | X | X | X | ||
データベース・ビュー生成 | X | X | X | ||
統合されたOracle Identity Managerパスワード管理フロー | X | X | X | X | |
Oracle Installerとリポジトリ作成ユーティリティ | X | X | X | X | |
Oracleパッチ | X | X | X | X | |
Oracle Adaptive Access Managerオフライン・ユーザー・インタフェース | X | X | X | X | X |
モデルの記録 | X | ||||
グローバリゼーション | X | X | X | X | X |
tracker.transaction.condition.computeDuration.useSystemTimeプロパティ | X | X | X | ||
トリガーされたルールおよびトリガーされないルールの表示 | X | X | |||
「セッション詳細」ページ: セッション内のチェックポイントおよびトランザクションのページ付けされたリスト | X | X | |||
「セッション詳細」ページ: 表問合せツール | X | X | |||
「セッション詳細」ページ: 「チェックポイント」パネルでは、アクション、アラート、構成可能なアクションおよびポリシーを表に表示 | X | X | |||
「セッション詳細」ページ: 「ユーザー」タブ、「デバイス」タブおよび「ロケーション」タブの追加 | X | X | |||
JavaScriptフィンガープリント | X | X | |||
わかりやすい名前でのデバイスの検索 | X | X | |||
OAAM認証後セキュリティ・ポリシーの変更 | X | X | |||
新規OAAM Mobile and Social統合 - 認証後セキュリティ・ポリシー | X | X | |||
ルール・コンテキスト評価 | X | X | |||
CLIを使用したスナップショットのインポートおよびエクスポート | X | X | |||
「シングル・ログイン」ページの構成 | X | X | |||
チャレンジ選択 - エンドユーザーは、SMS経由のOTPについて登録され、電子メール経由のOTPについても登録されている場合、認証の方法を決定できます | X | ||||
OAAMチャレンジ・ポリシーの変更 | X | ||||
OTPでのOTP複数UMSサポート | X | ||||
新規チャレンジ選択タスク・プロセッサ | X | ||||
Oracle Technology Network (OTN)上の拡張OAAMライブラリ・インタフェース | X |
統合 | 10.1.4.5 | 11.1.1.3.0 | 11.1.2 | 11.1.2.2 | 11.1.2.3 |
---|---|---|---|---|---|
Oracle Access Management Access Manager統合 | X | X | X | X | X |
Oracle Identity Manager統合 | X | X | X | X | |
Juniper SSL VPN統合 | X | X | X | ||
共存しているOracle Access Manager 10gおよびAccess Manager 11gとのOAAM統合 | X | ||||
トンネリングを使用したAccess ManagerおよびOAAM TAPのDCC WebGateとの統合 | X |
ハードウェアとソフトウェアの要件、プラットフォーム、データベースおよびその他の情報の詳細は、システム要件と動作要件のドキュメントを参照してください。いずれのドキュメントもOracle Technology Network (OTN)から入手できます。
OTNには次でアクセスできます:
http://www.oracle.com/technetwork
システム要件のドキュメントには、ハードウェアとソフトウェアの要件、ディスク領域とメモリーの最小要件、必要なシステム・ライブラリ、パッケージまたはパッチなどの情報が記載されています。
動作要件のドキュメントには、サポートされているインストール・タイプ、プラットフォーム、オペレーティング・システム、データベース、JDK、ディレクトリ・サーバーおよびサードパーティ製品が記載されています。