43.9 セキュリティ・トークン・サービスの監査

Oracle Fusion Middlewareにおいて、監査は、"誰が、いつ、何を行ったか"という質問に対する説明責任を果たし、回答を示すための手段となります。監査データは、ダッシュボードの作成、履歴データの集計、およびリスクの評価に使用できます。

記録された監査データを分析すれば、コンプライアンス担当者がコンプライアンス方針を定期的に確認できます。セキュリティ・トークン・サービスの共通監査設定を構成することと、設定した監査構成の検証がこの章の主題です。監査データの分析と使用についてはこの章では取り上げません。

Oracle Fusion Middlewareの共通監査フレームワークは、大量のランタイム・イベントと管理イベント(システムへの変更)の監査をサポートします。また、ロギングと例外を一様な形で取り扱い、すべての監査イベントの診断を行うことができます。

監査機能は有効または無効のどちらに設定しておくことも可能ですが、本番環境では有効にしておくのが普通です。監査による性能への影響は最小限に抑えられており、監査によって得られた情報は有用です(業務に不可欠な場合もあります)。監査フレームワークでは、1人のユーザーまたは一連のユーザーに対してデータ・キャプチャを有効にする、Oracle Access Managementコンソールで設定される構成パラメータを使用します。

監査データは、集中管理された1つのOracle Databaseインスタンスや、フラットファイルに書き込むことができます。監査記録の保存場所にかかわらず、記録には、特定の要件に合わせて構成することのできる一連の項目が含まれています。監査ログ・ファイルは、監査フレームワークが正常に機能しない場合に監査管理者がエラーを追跡したり問題を診断したりする助けとなります。

詳細は、次の各トピックを参照してください。

• セキュリティ・トークン・サービス監査レコードの格納について

• 監査レポートとBusiness Intelligence Publisherについて

• 監査ログについて

• セキュリティ・トークン・サービス・イベントの監査について

ノート:

セキュリティ・トークン・サービスは、コンプライアンス・レポートの事前定義セットを提供するOracle Business Intelligence Publisherと統合されています。

43.9.1 セキュリティ・トークン・サービス監査レコードの格納について

セキュリティ・トークン・サービスは、共通監査フレームワークでサポートされている様々なターゲットに監査レコードを書き込むように構成できます。

• ローカル・フラット・ファイル: デフォルトでは、セキュリティ・トークン・サービスは監査データをファイルに記録します。

• 中央データベース: 本番環境においては、共通監査フレームワークのスケーラビリティと高可用性を実現するために、データベース監査ストアを使用することをお薦めします。監査データは累積的なもので、その量は時間とともに増大します。これは監査データ専用のデータベースとして、他のアプリケーションは使用しないようにするのが理想です。

• プラットフォーム固有のログ(LinuxのSyslogおよびWindowsのイベント・ログ)

• Audit Vault

監査記録用の恒久的ストアとしてのデータベースに切り替えるには、まず、リポジトリ作成ユーティリティ(RCU)を使用して監査データ用のデータベース・スキーマを作成する必要があります。RCUは、データベースに監査記録を格納するために必要なスキーマを使用して、そのデータベース・ストアをシードします。スキーマ作成後にデータベース監査ストアを構成するには次の操作が必要です。

• 作成した監査スキーマを参照するデータ・ソースの作成

• そのデータ・ソースを参照する監査ストアの設定

関連項目:

• Oracle Platform Security Servicesによるアプリケーションの保護

• 「監査データベース・ストアの設定」

• 「監査設定の追加、表示、または編集」

43.9.2 監査レポートとBusiness Intelligence Publisherについて

データベース監査ストア内のデータは、Oracle Business Intelligence Publisherで事前定義されたレポートを使用して表示されます。

これらのレポートを使用すれば、ユーザー名、時間範囲、アプリケーション・タイプ、実行コンテキスト識別子(ECID)などの様々な基準に基づいて、監査データをドリルダウンできます。

セキュリティ・トークン・サービスには、そのまますぐに使用できるサンプル監査レポートがいくつか用意されており、これらのレポートにはOracle Business Intelligence Publisherでアクセスできます。また、Oracle Business Intelligence Publisherを使用してユーザー固有のカスタム監査レポートを作成することもできます。

関連項目:

「監査レポートとBusiness Intelligence Publisherについて」

43.9.3 監査ログについて

監査ログ・ファイルは、監査フレームワークが正常に機能しない場合に監査管理者がエラーを追跡したり問題を診断したりする助けとなります。

監査ログ・ファイルには、Date、Time、Initiator、EventType、EventStatus、MessageText、ECID、RID ContextFields、SessionId、TargetComponentType、ApplicationName、EventCategoryなどを含むいくつかのフィールドが記録されます。

関連項目:

『Oracle Platform Security Servicesによるアプリケーションの保護』の「監査の構成と管理」の監査ログに関するトピック。

43.9.4 セキュリティ・トークン・サービス・イベントの監査について

セキュリティ・トークン・サービスに対して監査可能な特定の管理イベントとランタイム・イベントは、まとめられています。

「管理イベントおよびランタイム・イベントの監査」を参照してください。

イベントに付随し、監査を設定および検証するための共通の手順が示されています。

詳細は、次のトピックを参照してください。

• 監査可能なセキュリティ・トークン・サービス・イベント

• Oracle Access Managementの監査の設定

• 監査とレポートの検証