| Oracle® Audit Vault and Database Firewall監査者ガイド リリース12.2 E70391-18 |
|
 前 |
 次 |
Oracle Audit Vault and Database Firewallでは、一連のデフォルト権限レポートが提供され、Oracle Databaseセキュア・ターゲットから権限データを取得できます。また、特定の時点の権限データのスナップショットを作成できます。ラベルを指定してグループ分けしておくと、レポート内で比較することができます。
レポートをフィルタ処理して、以前のスナップショット(ラベル)のデータを表示したり、2つのスナップショット(2つのラベル)の権限データを比較したりすることができます。たとえば、2つのスナップショットまたはラベルの間でユーザー権限がどのよに変更されたかを確認できます。
ノート:
Oracle Database 12cセキュア・ターゲットでは、マルチテナント・コンテナ・データベース(CDB)を使用しない場合、以前のバージョンのOracle Databaseの場合と同じように権限データが表示されます。CDBを使用している場合、各プラガブル・データベース(PDB)またはCDBは個別のセキュア・ターゲットとしてAudit Vault Serverで構成され、権限データはそれに応じてスナップショットおよびレポートに表示されます。
権限データを管理および表示する通常のステップは次のとおりです。
セキュア・ターゲットから権限データを取得し、その時点のデータのスナップショットを作成します。
必要に応じて、スナップショットをわかりやすくグループ分けするためのラベルを作成し、ラベルをスナップショットに割り当てます。
権限レポートを表示します。スナップショットとラベルを使用して、データをフィルタ処理および比較します。
Oracle Databaseセキュア・ターゲットから権限データを取得すると、そのデータのスナップショットが作成され、「セキュア・ターゲット」タブの「ユーザー権限スナップショット」ページのリストに追加されます。
権限スナップショットは、特定の時点のユーザー権限情報の状態を取得します。スナップショットには、ユーザーのメタデータと、ユーザーがそのOracle Databaseに対して持っているロール(システムおよび他のSQL権限、オブジェクト権限、ロール権限およびユーザー・プロファイル)のメタデータが含まれます。表示および管理できるのは、アクセス権を持っているセキュア・ターゲットのスナップショットだけです。
各スナップショットはセキュア・ターゲットに対して一意です。スナップショットの名前は、権限データが取得されたときに割り当てられたタイム・スタンプです(例: 9/22/2009 07:56:17 AM)。この時刻にすべてのセキュア・ターゲットの権限データを取得した場合、各セキュア・ターゲットに対してそれぞれの9/22/2012 07:56:17 AMスナップショットが生成されます。
ラベルを使用して、スナップショットをわかりやすく分類することができ、スナップショットのグループをまとめて表示したり比較したりできます。たとえば、セキュア・ターゲットpayroll、salesおよびhrそれぞれに9/22/2012 07:56:17 AMというスナップショットがあるとします。ラベルを作成して、これら3つのスナップショットをそのラベルに割り当てることができます。こうすると、3つのセキュア・ターゲットのその時点の権限データを同じレポートで一緒に比較できます。
スナップショットにラベルを割り当てる前に、Oracle Databaseセキュア・ターゲットから権限データを取得する必要があります。そのたびにスナップショットが作成されます。
Audit Vault Serverコンソールに監査者としてログインします。
「セキュア・ターゲット」タブをクリックします。
左側の「権限スナップショット」メニューで「ラベルの管理」をクリックします。
ユーザー権限データのスナップショット・リストが表示されます。データが収集されたタイムスタンプとスナップショットに割り当てられたラベル(ある場合)も含まれます。
リスト表示は「アクション」メニューで調整できます。
スナップショットにラベルを割り当てるには:
スナップショットを選択し、セキュア・ターゲットのチェック・ボックスを選択して、「ラベルの割当て」をクリックします。
リストからラベルを選択します。
必要に応じて説明も入力します。
「保存」をクリックします。
スナップショットを削除するには、スナップショットを選択して、「削除」をクリックします。
スナップショットおよびラベルを使用すると、レポートの権限データをフィルタ処理して比較できます。スナップショットが作成されてから、必要に応じてラベルを作成して割り当てると、権限レポートを確認するための準備が整います。
権限レポートのタイプによって、スナップショットごとの権限データまたはラベルごとの権限データを表示できます。セキュア・ターゲットごとにデータを表示するレポート(たとえば、「セキュア・ターゲット別のユーザー・アカウント」)では、特定のセキュア・ターゲットのスナップショットを表示して比較できます。他の権限レポート(ユーザー・アカウント)では、すべてのセキュア・ターゲットの権限データをラベルごとに表示して比較できます。
ここでのトピック
権限レポートは、ユーザーがOracle Databaseセキュア・ターゲットに対して持っているアクセス権のタイプを示します。セキュア・ターゲットで使用される、ユーザー、ロール、プロファイルおよび権限の情報を提供します。
たとえば、権限レポートは、重要なデータのアクセス権限や特定のユーザーに割り当てられた権限などの情報を取得します。これらのレポートは、データへの不必要なアクセスの追跡、重複した権限の検出、および権限付与の簡易化に役立ちます。
デフォルト権限レポートを生成してから、ユーザー、ロール、プロファイルおよび権限情報を示すメタデータのスナップショットを表示できます。これによって、異なるスナップショット・ラベルを比較して、権限が時間とともにどのように変化したかを確認するといったタスクを実行できます。
関連項目:
権限レポート・データの生成と表示の詳細は、「権限レポートの生成」を参照してください。
権限レポートからユーザー定義レポートを作成する方法の詳細は、「組込みレポートのカスタマイズ」を参照してください。
「ユーザー・アカウント」レポートはユーザー・アカウントのサマリーを示し、「セキュア・ターゲット別のユーザー・アカウント」レポートはセキュア・ターゲット別にグループ化されたユーザー・アカウントのサマリーを示します。これらのレポートを使用して、ユーザー・アカウントに関する次の情報を追跡します。ユーザー・アカウントが作成されたセキュア・ターゲット、ユーザー・アカウント名、アカウント・ステータス(LOCKEDまたはUNLOCKED)、パスワードの期限、初期ロック状態(アカウントがロックされる日付)、デフォルト表領域、一時表領域、初期リソース・コンシューマ・グループ、ユーザー・アカウントの作成日時、関連プロファイル、外部名(使用されている場合はOracle Enterprise User DN名)です。
Oracle Database 12cに関連する列
Oracle Database 12cセキュア・ターゲットに関連する次の追加の列を選択できます。
エディション有効: このユーザーのエディションが有効かどうか。
認証タイプ: このユーザーの認証メカニズム。
プロキシのみ接続: このユーザーがプロキシを介してのみ接続できるかどうか。
共通: このユーザーがPDBおよびCDBに共通かどうか。Yは共通ユーザー、NはユーザーがPDBに対してローカルであること、nullはデータベースがPDBでもCDBでもないことを示します。
最終ログイン時間: このユーザーの最終ログイン・タイムスタンプ。
Oracle管理: Oracle Databaseが提供するスクリプトによってユーザーが作成され、メンテナンスされているかどうか。Y値は、Oracle Databaseが提供するスクリプトを実行する以外の方法でこのユーザーを変更できないことを示します。
コンテナ: コンテナ名データベースがPDBでもCDBでもない場合、これはnullになります。
「ユーザー権限」レポートはユーザー権限のサマリーを示し、「セキュア・ターゲット別のユーザー権限」レポートはセキュア・ターゲット別にグループ化されたユーザー権限のサマリーを示します。これらのレポートを使用して、ユーザー権限に関する次の情報を追跡します。権限が作成されたセキュア・ターゲット、ユーザー名、権限、スキーマ所有者、表名、列名、アクセス・タイプ(直接アクセスまたはロールを介した場合はロール名)、ユーザー権限がADMINオプションで作成されたかどうか、ユーザーが権限を他のユーザーに付与できるかどうか、および誰から権限を付与されたかです。
Oracle Database 12cに関連する列
Oracle 12cセキュア・ターゲットに関連する次の追加の列を選択できます。
階層: 権限に階層オプションがあります。
タイプ: オブジェクト・タイプ(表、ビュー、順序など)
共通: このユーザーがPDBおよびCDBに共通かどうか。Yは共通ユーザー、NはユーザーがPDBに対してローカルであること、nullはデータベースがPDBでもCDBでもないことを示します。
コンテナ: コンテナ名データベースがPDBでもCDBでもない場合、これはnullになります。
「ユーザー・プロファイル」レポートはユーザー・プロファイルのサマリーを示し、「セキュア・ターゲット別のユーザー・プロファイル」レポートはセキュア・ターゲット別にグループ化されたユーザー・プロファイルのサマリーを示します。これらのレポートを使用して、ユーザー・プロファイルに関する次の情報を追跡します。ユーザー・プロファイルが作成されたセキュア・ターゲット、プロファイル名、リソース名、リソース・タイプ(KERNEL、PASSWORDまたはINVALID)およびプロファイル制限です。
Oracle Database 12cに関連する列
Oracle 12cセキュア・ターゲットに関連する次の追加の列を選択できます。
共通: このユーザーがPDBおよびCDBに共通かどうか。Yは共通ユーザー、NはユーザーがPDBに対してローカルであること、nullはデータベースがPDBでもCDBでもないことを示します。
コンテナ: コンテナ名データベースがPDBでもCDBでもない場合、これはnullになります。
「データベース・ロール」レポートはデータベースおよびアプリケーション・ロールの情報を示し、「セキュア・ターゲット別のデータベース・ロール」レポートはセキュア・ターゲット別にグループ化されたデータベースおよびアプリケーション・ロールの情報を示します。これらのレポートを使用して、データベース・ロールとアプリケーション・ロールの名前を追跡します。ロールがセキュア・アプリケーション・ロールの場合、レポートの「スキーマ」列と「パッケージ」列に、ロールの有効化に使用された基本のPL/SQLパッケージが示されます。
Oracle Database 12cに関連する列
Oracle 12cセキュア・ターゲットに関連する次の追加の列を選択できます。
Oracle管理: Oracle Databaseが提供するスクリプトによってユーザーが作成され、メンテナンスされているかどうか。Y値は、Oracle Databaseが提供するスクリプトを実行する以外の方法でこのユーザーを変更できないことを示します。
共通: このユーザーがPDBおよびCDBに共通かどうか。Yは共通ユーザー、NはユーザーがPDBに対してローカルであること、nullはデータベースがPDBでもCDBでもないことを示します。
コンテナ: コンテナ名データベースがPDBでもCDBでもない場合、これはnullになります。
「システム権限」レポートはシステム権限およびユーザーへのこれらの付与を示し、「セキュア・ターゲット別のシステム権限」レポートはセキュア・ターゲット別にグループ化されたシステム権限およびユーザーへのこれらの付与を示します。これらのレポートを使用して、システム権限に関する次の情報を追跡します。システム権限が作成されたセキュア・ターゲット、システム権限を付与したユーザー、権限名、アクセス・タイプ(直接アクセスまたはロールを介した場合はロール名)、およびADMINオプションで付与されたかどうかです。
Oracle Database 12cに関連する列
Oracle 12cセキュア・ターゲットに関連する次の追加の列を選択できます。
共通: このユーザーがPDBおよびCDBに共通かどうか。Yは共通ユーザー、NはユーザーがPDBに対してローカルであること、nullはデータベースがPDBでもCDBでもないことを示します。
コンテナ: コンテナ名データベースがPDBでもCDBでもない場合、これはnullになります。
「オブジェクト権限」レポートはオブジェクト権限およびユーザーへのこれらの付与を示し、「セキュア・ターゲット別のオブジェクト権限」レポートはセキュア・ターゲット別にグループ化されたオブジェクト権限およびユーザーへのこれらの付与を示します。これらのレポートを使用して、オブジェクト権限およびユーザーへのこれらの付与に関する次の情報を追跡します。オブジェクト権限が作成されたセキュア・ターゲット、オブジェクト権限を付与したユーザー、スキーマ所有者、ターゲット名(表、パッケージ、プロシージャ、ファンクション、順序および他のオブジェクトのリスト)、列名(つまり、列レベルの権限)、権限(SELECTなど、オブジェク権限トまたはシステム権限)、オブジェクトに許可されたアクセス・タイプ(直接アクセスまたはロールを介した場合はロール名)、オブジェクト権限を付与できるかどうか、および誰が権限を付与したかです。
Oracle Database 12cに関連する列
Oracle 12cセキュア・ターゲットに関連する次の追加の列を選択できます。
階層: 権限に階層オプションがあります。
タイプ: オブジェクト・タイプ(表、ビュー、順序など)。
共通: このユーザーがPDBおよびCDBに共通かどうか。Yは共通ユーザー、NはユーザーがPDBに対してローカルであること、nullはデータベースがPDBでもCDBでもないことを示します。
コンテナ: コンテナ名データベースがPDBでもCDBでもない場合、これはnullになります。
「特権ユーザー」レポートは特権ユーザーについての情報を示し、「セキュア・ターゲット別の特権ユーザー」レポートはセキュア・ターゲット別にグループ化された特権ユーザーの情報を示します。これらのレポートを使用して、特権ユーザーに関する次の情報を追跡します。特権ユーザー・アカウントが作成されたセキュア・ターゲット、ユーザー名、ユーザーに付与された権限、アクセス・タイプ(直接アクセスまたはロールを介した場合はロール名)、および特権ユーザーにADMINオプションが付与されたかどうかです。
12cより前のバージョンのOracle Databaseでは、特権ユーザーはこれらのロールで識別されます。
DBA SYSDBA SYSOPER
Oracle Databaseバージョン12cの場合は、次のロール以外に、前述の2つのロールが権限ユーザーを識別します。
SYSASM SYSBACKUP SYSDG SYSKM
Oracle Database 12cに関連する列
Oracle 12cセキュア・ターゲットに関連する次の追加の列を選択できます。
共通: このユーザーがPDBおよびCDBに共通かどうか。Yは共通ユーザー、NはユーザーがPDBに対してローカルであること、nullはデータベースがPDBでもCDBでもないことを示します。
コンテナ: コンテナ名データベースがPDBでもCDBでもない場合、これはnullになります。
