ここでのトピック
Audit Vault Serverコンソールを使用すると、Oracleデータベース・セキュア・ターゲットから監査ポリシーを取得できます。その後、ポリシーを変更するか新しいポリシーを作成し、Oracleデータベースにプロビジョニングできます。次のタイプのOracleデータベース監査ポリシーを取得および変更できます。
SQL文
スキーマ・オブジェクト
権限
ファイングレイン監査
取得ルール(REDOログ・ファイル・アクティビティの場合)
セキュア・ターゲットOracleデータベースから監査設定を取得するたびに、その時点でのデータベース監査設定の状態を確認します。「監査設定」ページ(Audit Vault Serverコンソールの「ポリシー」タブをクリックすると表示される)に、セキュア・ターゲットOracleデータベースで使用中の監査設定の概要が表示されます。また、これらの設定と、それらのデータベースに対してOracle AVDF監査ポリシーで必要と指定した設定の違いが表示されます。次に、現在の設定のうちどれが必要かを指定できます。
表4-1で、「監査設定」ページに表示される列を説明します。
表4-1 「監査設定」ページの「監査設定の適用」のフィールド
列 | 説明 |
---|---|
ターゲット名 |
セキュア・ターゲットの名前 |
使用中 |
セキュア・ターゲットで使用中の監査設定の数 |
必要 |
監査者が必要であると指定した監査設定の数 |
競合 |
データベースで使用中の監査設定と、Oracle AVDF監査ポリシーでそのデータベースに必要と指定された数の違い。 この数が0よりも大きい場合、最後にOracle AVDFから監査ポリシーをプロビジョニングした後で、新しい監査設定がデータベースで作成されている可能性があります。最後に監査ポリシーをプロビジョニングした後で、必要に応じて監査設定がさらに選択されている可能性があります。 問題を解決するには、新しい監査設定が必要かどうかを指定したり、再度ポリシーをプロビジョニングします。こうして、「問題」列の数が0に戻ります。 |
最終取得 |
選択したデータベースの監査情報が最後に取得された時刻 |
プロビジョニング時刻 |
監査設定がOracle AVDFからデータベースに最後にプロビジョニングされた時刻 |
セキュア・ターゲットOracleデータベースから監査設定を取得したら、表示し、必要に応じて変更できます。取得した時点で使用中の監査設定を変更することに注意してください。変更された可能性がある場合は、再び取得する必要があります。
Audit Vault Serverコンソールに監査者としてログインします。
「セキュア・ターゲット」タブをクリックし、必要なOracleデータベース・セキュア・ターゲットの名前をクリックします。
「監査設定」ページで、必要なセキュア・ターゲット・データベースの名前をクリックします。
このセキュア・ターゲットの「監査設定の概要」ページが表示され、次の監査タイプに関して使用中の監査設定と必要とマークされた監査設定が示されます。
文
オブジェクト
権限
FGA
取得ルール
いずれかの監査タイプの設定を更新するには、そのリンク(たとえば、「オブジェクト」)をクリックします。
その監査タイプの「監査設定」ページが表示され、現在の監査設定が示されます。2番目の列には、セキュア・ターゲット・データベースでの設定とOracle Audit Vault and Database Firewallの設定に違いがある場合に問題を示すアイコンが表示されます。
必要と判断した監査設定それぞれのチェック・ボックスを選択し、「必要として設定」をクリックします。
監査設定を削除するには、削除する監査設定のチェック・ボックスを選択して「不要として設定」をクリックします。
この監査タイプ(たとえば、「文」)の新しい監査設定を作成するには、「作成」をクリックします。
ここでのトピック
セキュア・ターゲットOracleデータベースから監査ポリシー設定を取得し、使用中の設定で必要なものを選択したら、Oracleデータベースの新しいポリシー設定を作成することもできます。
ここでのトピック
文監査は、文が作用する特定のスキーマ・オブジェクトではなく、文の種類によってSQL文を監査します。文監査は、対象を広げることも絞ることもでき、たとえば、全データベース・ユーザーのアクティビティや、ユーザーの選択リストのみのアクティビティを監査できます。一般的な範囲の広い文監査では、オプションごとに関連する複数のタイプのアクションの使用を監査します。これらの文は、次のカテゴリに分類されます。
データ定義文(DDL)。たとえば、AUDIT TABLE
はすべてのCREATE TABLE
文とDROP TABLE
文を監査します。AUDIT TABLE
は、文の発行対象の表に関係なく、複数のDDL文を追跡します。また、選択したユーザーまたはデータベースのすべてのユーザーを監査するように文監査を設定することもできます。
データ操作文(DML)。たとえば、AUDIT SELECT TABLE
は、表かビューかに関係なくすべてのSELECT ... FROM TABLE
文またはSELECT ... FROM VIEW
文を監査します。
表4-2に、「文」ページで使用される列を示します。
表4-2 「文監査設定」ページの列
列 | 説明 |
---|---|
(一番左の列) |
監査設定を選択するためのチェック・ボックス |
問題アイコン |
感嘆符のアイコンは、次のいずれかの状態を示します。
|
設定 |
監査対象の文です。 |
使用中 |
設定がセキュア・ターゲット・データベースでアクティブである場合は上向き矢印、プロビジョニングされていない場合または非アクティブである場合は下向き矢印です。 |
必要 |
監査設定が設定がOracle AVDFで必要とマークされている場合は上向き矢印、監査設定が不要とマークされている場合は下向き矢印です。 使用中ではない監査設定を必要として設定すると、「使用中」の矢印はプロビジョニング後に上向きになります。使用中の監査設定を不要として設定すると、その監査設定はプロビジョニング後に表示されなくなります。 |
監査粒度 |
監査の粒度です( |
実行条件 |
監査対象の実行条件: |
プロキシ・ユーザー |
データベースのプロキシ・ユーザーです(存在する場合)。 |
ユーザー |
この設定が適用されるユーザーです(存在する場合)。 |
スキーマ・オブジェクト監査は、AUDIT SELECT ON HR.EMPLOYEES
などの特定のスキーマ・オブジェクトに対する特定の文の監査です。スキーマ・オブジェクト監査は対象を非常に限定するものであり、データベースの全ユーザーの特定のスキーマ・オブジェクトに対する特定の文のみを監査します。
たとえば、オブジェクト監査は、特定の表に対するSELECT
文やDELETE
文のように、オブジェクト権限によって許可されるすべてのSELECT
文とDML文を監査できます。これらの権限を制御するGRANT
文およびREVOKE
文も監査されます。
オブジェクト監査を使用すると、非常に機密性が高いプライベートなデータをユーザーが表示または削除できるようにする強力なデータベース・コマンドの使用を監査できます。表、ビュー、順序、スタンドアロンのストアド・プロシージャやファンクションおよびパッケージを参照する文を監査できます。
Oracle Databaseにより、データベースの全ユーザーに対してスキーマ・オブジェクト監査オプションが設定されます。これらのオプションは、特定のユーザーのリストに対しては設定できません。
表4-3に、「オブジェクト」ページで使用される列を示します。
表4-3 「オブジェクト監査設定」ページの列
列 | 説明 |
---|---|
(一番左の列) |
監査設定を選択するためのチェック・ボックス |
問題アイコン |
感嘆符のアイコンは、次のいずれかの状態を示します。
|
設定 |
監査対象の文です。 |
使用中 |
設定がセキュア・ターゲット・データベースでアクティブである場合は上向き矢印、プロビジョニングされていない場合または非アクティブである場合は下向き矢印です。 |
必要 |
監査設定が設定がOracle AVDFで必要とマークされている場合は上向き矢印、監査設定が不要とマークされている場合は下向き矢印です。 使用中ではない監査設定を必要として設定すると、「使用中」の矢印はプロビジョニング後に上向きになります。使用中の監査設定を不要として設定すると、その監査設定はプロビジョニング後に表示されなくなります。 |
オブジェクト・タイプ |
この設定が適用されるオブジェクト(データベース表など) |
オブジェクト所有者名 |
この設定が適用されるデータベース・スキーマです。 |
オブジェクト名 |
指定したスキーマのオブジェクトの名前。 |
監査粒度 |
監査の粒度です( |
実行条件 |
監査対象の実行条件: |
ここでのトピック
権限監査は、システム権限を使用するSQL文の監査です。すべてのシステム権限の使用を監査できます。文監査と同様に、権限監査では、全データベース・ユーザーのアクティビティも、特定のリストのユーザーのみのアクティビティも監査できます。
たとえば、AUDIT SELECT ANY TABLE
を有効にすると、Oracle Databaseは、SELECT ANY TABLE
権限を持つユーザーが発行したすべてのSELECT
tablename
文を監査します。この種の監査機能は、サーベンス・オクスリー(SOX)法のコンプライアンス要件にとって非常に重要です。企業改革法および他のコンプライアンス規則では、不適切なデータ変更や不正なレコード変更がないか特権ユーザーを監査する必要があることが規定されています。
権限監査では、対応するアクションを有効にする強力なシステム権限の使用が監査されます(AUDIT CREATE TABLE
など)。文と権限の両方で類似した監査オプションを設定しても、生成される監査レコードは1つのみです。たとえば、文の句TABLE
とシステム権限のCREATE TABLE
の両方を監査すると、表が作成されるたびに監査レコードが1つのみ生成されます。文監査句TABLE
はCREATE TABLE
文、ALTER TABLE
文、およびDROP TABLE
文を監査します。ところが権限監査オプションCREATE TABLE
が監査するのはCREATE TABLE
文のみですが、これはCREATE TABLE
文のみがCREATE TABLE
権限を必要とするためです。
既存の所有者およびスキーマ・オブジェクト権限によりアクションがすでに許可されている場合は、権限監査は行われません。権限監査は、これらの権限では不十分な場合、つまりシステム権限によってのみアクションが可能になる場合にのみ、トリガーされます。
権限監査は、次の理由から文監査より対象が限定されます。
関連する文のリストではなく、特定の種類のSQL文のみを監査するため。
対象の権限の使用のみを監査するため。
表4-4に、「権限監査設定」ページで使用される列を示します。
表4-4 「権限監査設定」ページの列
列 | 説明 |
---|---|
(一番左の列) |
監査設定を選択するためのチェック・ボックス |
問題アイコン |
感嘆符のアイコンは、次のいずれかの状態を示します。
|
設定 |
監査対象の文です。 |
使用中 |
設定がセキュア・ターゲット・データベースでアクティブである場合は上向き矢印、プロビジョニングされていない場合または非アクティブである場合は下向き矢印です。 |
必要 |
監査設定が設定がOracle AVDFで必要とマークされている場合は上向き矢印、監査設定が不要とマークされている場合は下向き矢印です。 使用中ではない監査設定を必要として設定すると、「使用中」の矢印はプロビジョニング後に上向きになります。 使用中の監査設定を不要として設定すると、その監査設定はプロビジョニング後に表示されなくなります。 |
監査粒度 |
監査の粒度です( |
実行条件 |
監査対象の実行条件: |
ユーザー |
この設定が適用されるユーザーです(存在する場合)。 |
プロキシ・ユーザー |
データベースのプロキシ・ユーザーです(存在する場合)。 |
ファイングレイン監査(FGA)では、監査が行われるために存在する必要のある特定の条件を定義するポリシーを作成できます。たとえば、ファイングレイン監査を使用すると、次のタイプのアクティビティを監査できます。
午後9時から午前6時の間、または土曜日と日曜日に表にアクセスする場合
社内ネットワーク外部のIPアドレスを使用する場合
表の列を選択または更新する場合
表の列の値を変更する場合
ファイングレイン監査ポリシーでは、SELECT、INSERT、UPDATEおよびDELETE操作の粒度を指定します。また、監査を必要な条件のみに制限することで、生成される監査情報の量を減らします。これにより、コンプライアンス要件をサポートする有意義な監査証跡が生成されます。たとえば、中央の税務当局は、ファイングレイン監査を使用すると、所員による権限外の閲覧を防止するために、どのデータがアクセスされたかを判断できる十分な詳細を使用して納税申告書へのアクセスを追跡することができます。特定のユーザーが特定の表に対してSELECT
権限を使用したことを知るだけでは不十分です。ファイングレイン監査では、ユーザーが表を問い合せた時刻や、アクションを実行したユーザーのコンピュータIPアドレスなど、詳しい監査を得ることができます。
ファイングレイン監査ポリシーを定義するとき、関連列と呼ばれる1つ以上の特定の列を、条件が満たされた場合の監査対象とすることができます。この機能を使用すると、特に重要なデータ、機密性の高いデータ、あるいはプライバシに関するデータ(たとえばクレジット・カード番号、患者の診断結果、社会保障番号といった列にあるデータなど)に、監査対象として焦点を当てることができます。監査は、問合せで特定の列が参照されたときにのみトリガーされるため、関連列の監査を使用すると、誤ったインスタンスや不要な監査レコードの削減に役立ちます。
また、監査ポリシーに条件を追加して、特定の列および行に対する監査を微調整することもできます。たとえば、「ファイングレイン監査の作成」ページの次のフィールドに入力するとします。
条件: department_id = 50
列: salary, commission_pct
この設定では、部門50の従業員のsalary
列およびcommission_pct
列からデータを選択しようとするすべてのユーザーが監査されます。
関連列を指定しない場合、Oracle Databaseでは、表のすべての列に監査が適用されます。つまり、行が返されるかどうかに関係なく、指定した種類の文が任意の列に影響を与えるときは必ず監査が行われます。
ファイングレイン監査ポリシーでは、イベント・ハンドラを指定して監査イベントを処理できます。イベント・ハンドラを使用すると、監査イベントのトリガーの処理方法を柔軟に決定できます。たとえば、さらに分析するために監査イベントを特別な監査表に書き込んだり、セキュリティ管理者のページャや電子メールにアラートを送信したりできます。この機能により、適切なレベルまでエスカレーションするように監査の対応を微調整できます。
実装の柔軟性を高めるため、ユーザー定義の関数を使用してポリシー条件を決定したり、監査の関連列(監査列)を特定したりできます。たとえば、関数を使用すると、ユーザーが社内からデータにアクセスしているかぎりは給与情報へのアクセスを監査せず、社外からアクセスしたときには重役レベルの給与情報へのアクセスの監査を指定することができます。
表4-5に、「ファイングレイン監査設定」ページで使用される列を示します。
表4-5 「ファイングレイン監査設定」ページの列
フィールド | 説明 |
---|---|
(一番左の列) |
監査設定を選択するためのチェック・ボックス |
問題アイコン |
感嘆符のアイコンは、次のいずれかの状態を示します。
|
ポリシー名 |
ファイングレイン監査ポリシーの名前です。 |
使用中 |
設定がセキュア・ターゲットでアクティブである場合は上向き矢印、プロビジョニングされていない場合または非アクティブである場合は下向き矢印です。 |
必要 |
監査設定が設定がOracle AVDFで必要とマークされている場合は上向き矢印、監査設定が不要とマークされている場合は下向き矢印です。 使用中ではない監査設定を必要として設定すると、「使用中」の矢印はプロビジョニング後に上向きになります。使用中の監査設定を不要として設定すると、その監査設定はプロビジョニング後に表示されなくなります。 |
オブジェクト所有者 |
この監査設定が適用されるスキーマ |
オブジェクト |
この監査設定が適用される、指定スキーマ内のオブジェクト |
文の種類 |
この監査設定が適用されるSQL文値は次のとおりです。
|
列 |
監査対象のデータベース列。関連列と呼ばれることもあります。このフィールドが空の場合は、すべての列が監査されます。 |
データベースREDOログ・ファイルで値の変更前と変更後を追跡する取得ルールを作成できます。Oracle DatabaseによってデータベースREDOログがスキャンされるときに確認が必要なDMLおよびDDL変更を取得ルールで指定します。取得ルールは、表やスキーマに個別に適用することも、データベース全体にグローバルに適用することもできます。文、オブジェクトおよび権限の監査ポリシーやファイングレイン監査ポリシーとは異なり、セキュア・ターゲットから取得ルール設定を取得してアクティブ化することはできません。セキュア・ターゲットでは取得ルールを作成できないためです。取得ルールを作成できるのはAudit Vault Serverコンソールのみです。
ノート:
セキュア・ターゲット・データベースで、REDOログ・ファイルの監査に使用する予定の表が、DBA_STREAMS_UNSUPPORTED
データ・ディクショナリ・ビューに指定されていないことを確認します。
表4-6に、「取得ルール」ページで使用される列を示します。
表4-6 「取得ルール」ページの列
列 | 説明 |
---|---|
(一番左の列) |
監査設定を選択するためのチェック・ボックス |
問題アイコン |
感嘆符のアイコンは、次のいずれかの状態を示します。
|
ルール・タイプ |
取得ルールのタイプは次のとおりです。
|
使用中 |
設定がセキュア・ターゲットでアクティブである場合は上向き矢印、プロビジョニングされていない場合または非アクティブである場合は下向き矢印です。 |
必要 |
監査設定が設定がOracle AVDFで必要とマークされている場合は上向き矢印、監査設定が不要とマークされている場合は下向き矢印です。 使用中ではない監査設定を必要として設定すると、「使用中」の矢印はプロビジョニング後に上向きになります。使用中の監査設定を不要として設定すると、その監査設定はプロビジョニング後に表示されなくなります。 |
スキーマ |
このルールが適用されるスキーマを示します。 |
表 |
表取得ルールの場合に、このルールが適用される表を示します。 |
文の種類 |
監査される文の種類( |
セキュア・ターゲットOracleデータベースの監査ポリシーを更新または作成した(あるいは両方を行った)後で、監査ポリシーの変更をそのデータベースにプロビジョニングすることができます。
監査ポリシー設定は次の方法でプロビジョニングできます。
注意:
Audit Vault Serverコンソールで「必要」と指定されていない監査設定は、セキュア・ターゲットではオフになります。「必要な監査設定の指定」を参照してください。