| Oracle® Fusion Middleware Oracle Access Management管理者ガイド 11g リリース2 (11.1.2.3) for All Platforms E61950-08 |
|
 前 |
 次 |
| Oracle® Fusion Middleware Oracle Access Management管理者ガイド 11g リリース2 (11.1.2.3) for All Platforms E61950-08 |
|
|
前 |
次 |
現在では多くのビジネスにおいて、アイデンティティ情報や、アプリケーションおよびデバイスへのユーザー・アクセスを監査できることが求められます。
コンプライアンス監査は、企業が法的要件を満たしていることを確認する助けとなります - 例としては、Sarbanes-Oxley ActやHealth Insurance Portability and Accountability Act (HIPAA)の2つがあげられます。
ここでは、次のトピックについて説明します。
Oracle Access Managementでは、Oracle Fusion Middlewareの共通監査フレームワークを使用し、大量のユーザー認証ランタイム・イベントおよび認可ランタイム・イベントと、管理イベント(システムへの変更)の監査を支援します。Oracle Fusion Middlewareの共通監査フレームワークを使用すれば、ロギングと例外を一様な形で取り扱い、すべての監査イベントの診断を行うことができます。
監査は、Oracle Access Managementコンソールを使用して設定される構成パラメータに基づいており、1人のユーザーまたは一連のユーザーに対してデータ・キャプチャが有効になります。監査機能は有効または無効のどちらに設定しておくことも可能ですが、本番環境では有効にしておくのが普通です。監査データは、集中管理された1つのOracle Databaseインスタンスや、バスストップ・ファイルと呼ばれるフラット・ファイルに書き込むことができます。
ノート:
Oracle Fusion Middleware共通監査フレームワークのデータベース監査ストアは、Access Managerポリシーやセッション・データを含まず、Oracle Access Managementコンソールからは構成されません。
監査によるパフォーマンスへの影響は最小限に抑えられており、監査によって得られた情報は有用です(業務に不可欠な場合もあります)。監査ログ・ファイルは、監査フレームワークが正常に機能しない場合に監査管理者がエラーを追跡したり問題を診断したりする助けとなります。
管理者は、Oracle Access Managementコンソールを使用して一定の監査パラメータを制御します。この監査構成は、oam-config.xmlファイルに記録されます。
その他の監査構成は、共通管理フレームワークを通じて設定する必要があります。
ノート:
変更にはOracle Access ManagementコンソールまたはWebLogic Scripting Tool (WLST)コマンドのみを使用することをお薦めします。oam-config.xmlファイルを直接編集しないでください。
イベント構成(レベルへのイベントのマッピング)は、component_events.xmlファイルで発生します。監査レコードには、特定の要件を満たすために構成できるアイテムのシーケンスが含まれます。
Oracle Access Managementコンソール内では、ログ・ファイルとログ・ディレクトリの最大サイズを設定できます。監査ポリシー(フィルタ・プリセットと呼ばれます)は、特定のコンポーネントについて監査フレームワークによって取得されるイベントのタイプを宣言します。
Fusion Middleware Controlを使用して監査ポリシーを構成することはできません。Oracle Access Managementは、監査構成でJPSインフラストラクチャを使用しません。監査用のWebLogic Scripting Tool (WLST)コマンドはありません。
監査データは、集中管理された1つのOracle Databaseインスタンスや、バスストップ・ファイルと呼ばれるフラット・ファイルに書き込むことができます。監査データはデフォルトでこのファイルに記録されますが、管理者は、監査データをデータベースに記録するように構成を変更できます。書式は異なりますが、監査データの内容はフラット・ファイルの場合もデータベースの場合も同じです。
監査バスストップ: 監査データ・レコードが監査データ・ストアにプッシュされる前に格納されるローカル・ファイルです。監査データ・ストアが構成されていない場合、監査データはこれらのバスストップ・ファイルに残ります。バスストップ・ファイルは、問い合せて特定の監査イベントを簡単に見つけることができるシンプルなテキスト・ファイルです。監査データ・ストアが配備されている場合、バスストップはコンポーネントと監査データ・ストア間の中間的な場所として機能します。これらのローカル・ファイルは、構成可能な時間間隔に基づいて、監査データ・ストアに定期的にアップロードされます。
Javaコンポーネント用のバスストップ・ファイルは、次の場所にあります。
$DOMAIN_HOME/servers/$SERVER_NAME/logs/auditlogs/OAM/audit.log
システム・コンポーネント用のバスストップ・ファイルは、次の場所にあります。
$ORACLE_INSTANCE/auditlogs/OAM/oam_server1/audit.log
データベース・ロギング: Oracle Fusion Middlewareの全製品について共通監査フレームワークを実行します。その利点は、プラットフォーム・レベルで監査機能が共通化されることです。
データベース監査ストア: 本番環境においては、共通監査フレームワークのスケーラビリティと高可用性を実現するために、データベース監査ストアを使用することをお薦めします。監査データ・ストアの主な利点は、複数のコンポーネントの監査データ(すべてのミドルウェア・コンポーネントやインスタンスにおける認証失敗など)をレポート内で関係付けて結合できる点です。監査データは累積され、時間とともに大きくなるため、監査データ専用のスタンドアロンRDBMSデータベースとし、他のアプリケーションには使用されないようにすることが理想的です。
ノート:
本番環境において望ましいモードは、監査データ専用のスタンドアロンRDBMSデータベースに監査記録を書き込むことです。
監査記録用の恒久的ストアとしてのデータベースに切り替えるには、まず、リポジトリ作成ユーティリティ(RCU)を使用して監査データ用のデータベース・スキーマを作成する必要があります。RCUは、データベースに監査記録を格納するために必要なスキーマを使用して、そのデータベース・ストアをシードします。スキーマ作成後にデータベース監査ストアを構成するには次の操作が必要です。
作成した監査スキーマを参照するデータ・ソースの作成
そのデータ・ソースを参照する監査ストアの設定
前述のとおり、Oracle Fusion Middleware監査フレームワーク・スキーマはRCUによって提供されます。
図8-1は、サポート対象データベースを使用した監査アーキテクチャの簡略図です。
関連項目:
『Oracle Platform Security Servicesによるアプリケーションの保護』の「監査の構成と管理」を参照してください。
「監査データベース・ストアの設定」を参照してください。
独立した監査ローダー・プロセスがフラット・ログ・ファイルを読み込んで、Oracleデータベースのログ表にレコードを挿入します。管理者は、監査ストアを使用することにより、Oracle Business Intelligence Publisherのそのまますぐに使用できる各種レポートを使用して監査データを公開できます。
Oracle Access ManagementをOracle Business Intelligence Publisherと統合すると、Oracle Business Intelligence Publisherからあらかじめ設定された一連のコンプライアンス・レポートが提供され、このレポートを介してデータベース監査ストアのデータが公開されます。これらのレポートを使用すれば、ユーザー名、時間範囲、アプリケーション・タイプ、実行コンテキスト識別子(ECID)などの様々な基準に基づいて、監査データをドリルダウンできます。
Oracle Access Managementには、そのまますぐに使用できるサンプル監査レポートがいくつか用意されており、これらのレポートにはOracle Business Intelligence Publisherでアクセスできます。また、Oracle Business Intelligence Publisherを使用してユーザー固有のカスタム監査レポートを作成することもできます。
Oracle BI Enterprise Edition (Oracle BI EE)は包括的な一連のエンタープライズ・ビジネス・インテリジェンス・ツールおよびインフラストラクチャであり、拡張性のある効率的な問合せおよび分析サーバー、非定型の問合せおよび分析ツール、インタラクティブ・ダッシュボード、プロアクティブ・インテリジェンスとアラート、リアルタイム予測インテリジェンス、エンタープライズ・レポート・エンジンなどが含まれます。
Oracle BI EEのコンポーネントは、共通のサービス指向アーキテクチャ、データ・アクセス・サービス、分析および計算インフラストラクチャ、メタデータ管理サービス、意味的ビジネス・モデル、セキュリティ・モデルやユーザー・プリファレンスおよび管理ツールを共有します。Oracle BI EEは、各データ・ソース向けに最適化された分析生成、最適化されたデータ・アクセス、高度な計算、インテリジェント・キャッシュ・サービスおよびクラスタリングにより、スケーラビリティとパフォーマンスを提供します。
関連項目:
『Oracle Platform Security Servicesによるアプリケーションの保護』の「監査分析と監査レポートの使用」
Oracle Access Managementの監査レポートとともに使用するためにOracle BI EEの準備が必要な場合があります。
「Oracle Business Intelligence Publisher EEの準備」を参照してください。
Oracle BI EEのレポートには、データ・フィールドと一目で内容が理解できるラベルの列挙フィールドが含まれています。このレポートの内容については、表8-1に示します(My Oracle Supportのナレッジ・ベース・ドキュメントID 1495333.1からの引用)。
表8-1 Oracle Business Intelligence Enterprise EditionのOAMに関するレポート
| レポート・タイプ | 説明 |
|---|---|
アカウント管理 |
ユーザーID | タイムスタンプ | コンポーネント/アプリケーション名 | イベント詳細 |
Authentication_Statistics |
Authentication_statistics 失敗 | ユーザーID | イベント数 AuthenticationFromIPByUser IPアドレス | 個々のユーザー数 | 合計試行回数 | ユーザー AuthenticationPerIP IPアドレス | 個々のユーザー | 合計試行回数 AuthenticationStatisticsPerServer サーバー・インスタンス名 | 成功件数 | 失敗件数 |
Errors_and_Exceptions |
All_Errors_and_Exceptions ユーザーID | タイムスタンプ | コンポーネント/アプリケーション名 | クライアントIPアドレス | メッセージ・イベント | イベント詳細 Authentication_Failures ユーザーID | タイムスタンプ | コンポーネント/アプリケーション名 | クライアントIPアドレス | 認証方式 | メッセージ・イベント詳細 | Authorization_Failures Users_Activities Authentication_History ユーザーID | タイムスタンプ | コンポーネント/アプリケーション名 | クライアントIPアドレス | 認証方式 | メッセージ・イベント詳細 | Authorization_Failures Multiple_Logins_From_Same_IP IPアドレス | 使用ユーザー名 |
監査ログ・ファイルは、監査フレームワークが正常に機能しない場合に監査管理者がエラーを追跡したり問題を診断したりする助けとなります。監査ログ・ファイルには、Date、Time、Initiator、EventType、EventStatus、MessageText、ECID、RID ContextFields、SessionId、TargetComponentType、ApplicationName、EventCategoryなどを含む(これだけとはかぎりません)いくつかのフィールドが記録されます。
関連項目:
『Oracle Platform Security Servicesによるアプリケーションの保護』の監査を構成および管理する際の監査ログに関するトピック。
