2 セキュア・ターゲットの管理

ここでのトピック

• セキュア・ターゲットの管理について

• セキュア・ターゲットの設定の表示および変更

• セキュア・ターゲット・グループの作成および変更

• セキュア・ターゲット・データベースのコンプライアンスの管理

• セキュア・ターゲットおよびグループのアクセス権の設定

2.1 セキュア・ターゲットの管理について

セキュア・ターゲットはOracle Audit Vault and Database Firewall管理者によって作成されます。セキュア・ターゲットは、監査データを取得しようとするデータベースまたは他のサポート対象監査ソースごとに作成されます。また、Database Firewallで監視するデータベースに対しても作成されます。

監査者は、スーパー監査者からアクセス権を付与されたセキュア・ターゲットのデータを表示できます。

Audit Vault Serverコンソールの「セキュア・ターゲット」タブを使用して、アクセスできるセキュア・ターゲットを次のように制御できます。

• セキュア・ターゲットのリストを表示およびソートします。

  関連項目:

  UIでのオブジェクト・リストの使用

• 各セキュア・ターゲットの次の項目を表示、変更またはアクセスします。

  • 監査証跡

  • 強制ポイント

  • ファイアウォール・ポリシー

  • 監査ポリシー(Oracleデータベースのみ)

  • ユーザー権限(Oracleデータベースのみ)

  • ストアド・プロシージャ監査(SPA)

  • 保存ポリシー

• セキュア・ターゲット・グループを作成または変更します。

• 権限スナップショットおよびラベルを管理します。

2.2 セキュア・ターゲットの設定の表示および変更

ここでのトピック

• Oracleデータベースの監査ポリシー設定の表示

• Oracle Databaseセキュア・ターゲットのユーザー権限データの取得

• ストアド・プロシージャ監査のアクティブ化

• 監査証跡リストの表示

• ファイアウォール・ポリシーの選択

• 強制ポイント・リストの表示

• データ保存(アーカイブ)ポリシーの設定

2.2.1 Oracleデータベースの監査ポリシー設定の表示

Oracleデータベースの監査ポリシー設定は「セキュア・ターゲット」タブに表示できます。

「セキュア・ターゲット」ページでOracleデータベースの監査ポリシー設定を表示するには:

1. Audit Vault Serverコンソールに監査者としてログインします。
2. 「セキュア・ターゲット」タブをクリックします。
3. リストからセキュア・ターゲットを選択します。
4. 「セキュア・ターゲットの詳細」ページで矢印をクリックして、そのセキュア・ターゲットの「監査ポリシー」セクションを展開します。セキュア・ターゲットがOracleデータベースでない場合、「監査ポリシー」セクションは表示されません。

   「監査設定の取得」ボタンを使用すると、現時点でのこのOracle Databaseの監査設定を取得できます。

   このセキュア・ターゲットの監査ポリシーが表に表示され、監査タイプ、使用中の設定の数、必要な数、およびフラグが示されている問題の数が示されます。各監査タイプのリンクをクリックして「監査設定」ページ(「ポリシー」タブ)に移動し、そこから設定を変更できます。

関連項目:

• Audit Vault Serverコンソールへのログイン

• Oracleデータベースの監査設定の取得および変更

• 必要な監査設定の指定

• 監査ポリシーの詳細は、「Oracleデータベースの監査ポリシーの作成」を参照してください。

2.2.2 Oracle Databaseセキュア・ターゲットのユーザー権限データの取得

Oracle Databaseセキュア・ターゲットのユーザー権限データを取得すると、その時点のデータのスナップショットが、以前に取得された権限スナップショットに追加されます。そこで、スナップショットにラベルを付けて整理し、異なるスナップショットまたはラベルの権限データを比較できます。

権限データの取得をただちに開始するか、取得のスケジュールを設定できます。

セキュア・ターゲットの権限データを取得するには:

1. Audit Vault Serverコンソールに監査者としてログインします。

2. 「セキュア・ターゲット」タブをクリックします。

3. リストからセキュア・ターゲットを選択します。

4. そのセキュア・ターゲットの「ユーザー権限」セクションを展開します。

   権限データが最後に取得されたときのタイムスタンプが表示されます(該当する場合)。

5. 取得ジョブをただちに開始するには、「ユーザー・エンタイトルメント・データの取得」をクリックします。

   確認のメッセージが表示されます。必要に応じて、「ユーザー権限」セクションを再び展開します。

6. 取得をスケジュールするには:

   1. 「スケジュールされた取得」の横で、「有効」ラジオ・ボタンをクリックします。

   2. 「初回実行時間」フィールドで、カレンダ・アイコンを使用して日時を選択します。

   3. 「繰返し間隔」の横で、データを取得する頻度を選択します。

   4. 「保存」をクリックします。

左側の「クイック・リンク」メニューで「ジョブ」をクリックして、権限取得のステータスを確認できます。

関連項目:

• Audit Vault Serverコンソールへのログイン

• 権限スナップショットおよびラベルの使用

2.2.3 ストアド・プロシージャ監査のアクティブ化

Oracle Audit Vault and Database Firewallレポートでは、セキュア・ターゲットのストアド・プロシージャの変更を監査できます。データベース・セキュア・ターゲットについてこのデータを表示するには、セキュア・ターゲットのストアド・プロシージャ監査をアクティブ化する必要があります。

セキュア・ターゲットのストアド・プロシージャ監査をアクティブ化するには:

1. Audit Vault Serverコンソールに監査者としてログインします。

2. 「セキュア・ターゲット」タブをクリックし、必要なセキュア・ターゲットの名前をクリックします。

3. 下にスクロールして、「ストアド・プロシージャ監査」セクションを展開します。

4. 「ストアド・プロシージャ監査のアクティブ化」を選択します。

   
   図GUID-3A2CAA95-C525-49D9-83EC-0F9A7434CBFE-default.gifの説明

5. 次のフィールドを設定します。

   • 初回実行時間: このデータベースでストアド・プロシージャ監査を最初に実行する日付と時刻を選択します。

   • 繰返し間隔: このデータベースのストアド・プロシージャ監査を繰り返す頻度を選択します。

6. 「保存」をクリックします。

関連項目:

• セキュア・ターゲット・データベースからストアド・プロシージャの変更を収集する方法の詳細は、『Oracle Audit Vault and Database Firewall管理者ガイド』を参照してください。Oracle Audit Vault and Database Firewall管理者は、そのデータベースの正しいユーザー権限を設定するスクリプトを実行する必要があります。

• ストアド・プロシージャ監査レポート

• Audit Vault Serverコンソールへのログイン

2.2.4 監査証跡リストの表示

Oracle Audit Vault and Database Firewall管理者は、監査証跡を開始および停止します。監査者は、アクセスできるセキュア・ターゲットの監査証跡のリストを表示できます。1つのセキュア・ターゲットまたはすべてのセキュア・ターゲットで収集された証跡を表示できます。

• 1つのセキュア・ターゲットの監査証跡リストの表示

• すべてのセキュア・ターゲットの監査証跡リストの表示

2.2.4.1 1つのセキュア・ターゲットの監査証跡リストの表示

1つのセキュア・ターゲットの監査証跡を表示するには:

1. Audit Vault Serverコンソールに監査者としてログインします。
2. 「セキュア・ターゲット」タブをクリックします。
3. リストからセキュア・ターゲットを選択します。
4. 矢印をクリックして、そのセキュア・ターゲットの「監査証跡」セクションを展開します。

   そのセキュア・ターゲットの監査証跡が表に表示され、証跡、ステータス、証跡タイプ、および証跡が収集されたホストが示されます。

5. 列タイトルの上矢印または下矢印をクリックすると、その列によってソートすることもできます(昇順または降順)。

   関連項目:

   Audit Vault Serverコンソールへのログイン

2.2.4.2 すべてのセキュア・ターゲットの監査証跡リストの表示

すべてのセキュア・ターゲットの監査証跡リストを表示するには:

1. Audit Vault Serverコンソールに監査者としてログインします。
2. 「設定」タブまたは「セキュア・ターゲット」タブをクリックします。
3. 「クイック・リンク」メニューで、「監査証跡」をクリックします。

   すべてのセキュア・ターゲットの監査証跡が表に表示され、証跡、ステータス、セキュア・ターゲットの名前とタイプ、証跡が収集されたホスト、および証跡の場所とタイプが示されます。

   リスト表示は「アクション」メニューで調整できます。

4. 列タイトルをクリックして、その列でソートすることもできます。

   関連項目:

   • UIでのオブジェクト・リストの使用

   • Audit Vault Serverコンソールへのログイン

2.2.5 ファイアウォール・ポリシーの選択

セキュア・ターゲットがDatabase Firewallによって監視されるデータベースの場合、そのセキュア・ターゲットに割り当てられているファイアウォール・ポリシーをアップロードまたは変更できます。

データベース・セキュア・ターゲットのファイアウォール・ポリシーを設定または変更するには:

1. Audit Vault Serverコンソールに監査者としてログインします。
2. 「セキュア・ターゲット」タブをクリックします
3. リストからセキュア・ターゲットを選択します。
4. 矢印をクリックして、そのセキュア・ターゲットの「ファイアウォール・ポリシー」セクションを展開します。

   このセキュア・ターゲットに設定されているファイアウォール・ポリシーが表示されます。

   (セキュア・ターゲットがデータベースでない場合、「ファイアウォール・ポリシー」セクションは表示されません。)

5. ファイアウォール・ポリシーを変更するには、「変更」をクリックし、ドロップダウン・リストから別のポリシーを選択して、「保存」をクリックします。

   ドロップダウン・リストには、事前にロードされたファイアウォール・ポリシーと監査者が作成したファイアウォール・ポリシーが含まれます。

関連項目:

• ファイアウォール・ポリシーの詳細は、「Database Firewallポリシーの作成」を参照してください。

• Audit Vault Serverコンソールへのログイン

2.2.6 強制ポイント・リストの表示

Oracle Audit Vault and Database Firewall管理者は、データベース・ファイアウォールによって監視されるデータベース・セキュア・ターゲットの強制ポイントを作成します。監査者は、アクセス権があるデータベース・セキュア・ターゲットに構成された強制ポイントを表示できます。1つのセキュア・ターゲットまたはすべてのセキュア・ターゲットの強制ポイントを表示できます。

• 1つのデータベース・セキュア・ターゲットの強制ポイント・リストの表示

• すべてのセキュア・ターゲット・データベースの強制ポイント・リストの表示

2.2.6.1 1つのデータベース・セキュア・ターゲットの強制ポイント・リストの表示

1つのデータベース・セキュア・ターゲットの強制ポイントを表示するには:

1. Audit Vault Serverコンソールに監査者としてログインします。
2. 「セキュア・ターゲット」タブをクリックします。
3. 「セキュア・ターゲット」リストからセキュア・ターゲットを選択します。
4. 矢印をクリックして、そのセキュア・ターゲットの「強制ポイント」セクションを展開します。セキュア・ターゲットがデータベースでない場合、このセクションは表示されません。
5. 詳細を表示する強制ポイントの名前をクリックします。

   関連項目:

   Audit Vault Serverコンソールへのログイン

2.2.6.2 すべてのセキュア・ターゲット・データベースの強制ポイント・リストの表示

すべてのデータベース・セキュア・ターゲットに構成されている強制ポイントを表示するには:

1. Audit Vault Serverコンソールに監査者としてログインします。
2. 「設定」タブまたは「セキュア・ターゲット」タブをクリックします。
3. 「クイック・リンク」メニューで、「強制ポイント」をクリックします。
4. 詳細を表示する強制ポイントの名前をクリックします。

   関連項目:

   Audit Vault Serverコンソールへのログイン

2.2.7 データ保存(アーカイブ)ポリシーの設定

セキュア・ターゲットのデータ保存ポリシーによって、そのターゲットの監査データが保存される期間が決まります。Oracle Audit Vault and Database Firewall管理者が保存ポリシーを作成して、監査者が使用可能なポリシーから1つを選択してセキュア・ターゲットに割り当てます。

セキュア・ターゲットに対して保存ポリシーを選択しなかった場合、デフォルトの保存ポリシーが使用されます(12か月のオンライン保存およびパージ前に12か月のアーカイブ)。

セキュア・ターゲットでデータ収集が開始された後に、保存ポリシーを設定しないでください。

新しい保存ポリシーは、ポリシーを選択する日付の時点で有効になりますが、既存のデータには適用されません。

セキュア・ターゲットの保存ポリシーを設定するには:

1. Audit Vault Serverコンソールに監査者としてログインします。
2. 「セキュア・ターゲット」タブをクリックします。
3. リストからセキュア・ターゲットを選択します。
4. 矢印をクリックして、そのセキュア・ターゲットの「データ保持ポリシー」セクションを展開します。

   現在の保存ポリシーが表示されます(設定されている場合)。

5. 保存ポリシーを設定または変更するには、「変更」をクリックして、使用可能な保存ポリシーを選択します。
6. 「保存」をクリックします。

関連項目:

• 保存(アーカイブ)ポリシーの構成の詳細は、『Oracle Audit Vault and Database Firewall管理者ガイド』を参照してください。

• Audit Vault Serverコンソールへのログイン

2.3 セキュア・ターゲット・グループの作成および変更

ここでのトピック

• セキュア・ターゲット・グループについて

• セキュア・ターゲット・グループの作成および変更

2.3.1 セキュア・ターゲット・グループについて

スーパー監査者は、個々のセキュア・ターゲットではなくグループとしてのアクセス権を監査者に付与するために、セキュア・ターゲットをグループに編成することができます。

Oracle AVDFでは、HIPAAまたはDPAなどコンプライアンスに関連した一連の事前構成済ユーザー・グループが提供されます。そのようなグループにセキュア・ターゲットを追加して、それらのデータベースに関連する特定のコンプライアンス・レポートを生成できます。

2.3.2 セキュア・ターゲット・グループの作成および変更

スーパー監査者は、他の管理者にセキュア・ターゲットのアクセス権を個別ではなくグループとして付与するために、セキュア・ターゲット・グループを作成できます。

セキュア・ターゲット・グループを作成するには:

1. Audit Vault Serverコンソールに監査者としてログインします。

2. 「セキュア・ターゲット」タブをクリックします。

3. 左側の「管理」メニューで「グループ」をクリックします。

   事前構成済グループが下のペインに表示され、ユーザー定義グループが上のペインに表示されます。

   下のペインのリスト表示は「アクション」メニューで調整できます。

4. 「作成」をクリックし、グループの名前と説明(オプション)を入力します。

5. セキュア・ターゲットをグループに追加するには、セキュア・ターゲットを選択し、「メンバーの追加」をクリックします。

6. 「保存」をクリックします。

   「グループ」ページの上のペインに新しいグループが表示されます。

セキュア・ターゲット・グループを変更するには:

1. Audit Vault Serverコンソールに監査者としてログインします。

2. 「セキュア・ターゲット」タブをクリックします。

3. 左側の「管理」メニューで「グループ」をクリックします。

   事前構成済グループが下のペインに表示され、ユーザー定義グループが上のペインに表示されます。

   下のペインのリスト表示は「アクション」メニューで調整できます。

4. グループ名をクリックします。

5. 「セキュア・ターゲット・グループの変更」ページで、追加または削除するセキュア・ターゲットを選択してから、「メンバーの追加」または「メンバーの削除」をクリックします。

6. ユーザー定義グループの名前または説明を変更することもできます。

7. 「保存」をクリックします。

関連項目:

• UIでのオブジェクト・リストの使用

• Audit Vault Serverコンソールへのログイン

2.4 セキュア・ターゲット・データベースのコンプライアンスの管理

セキュア・ターゲット・データベースについて正しいコンプライアンス・レポートが確実に生成されるようにするには、適切な事前構成済グループにそれらのセキュア・ターゲットを追加します。

セキュア・ターゲットをコンプライアンス・グループに割り当てるには:

1. Audit Vault Serverコンソールに監査者としてログインします。
2. 「セキュア・ターゲット」タブをクリックします。
3. 「管理」メニューで「グループ」をクリックします。

   「グループ」ページが表示され、ユーザー定義グループと事前構成済セキュア・ターゲット・グループが示されます。

4. 「事前構成済のセキュア・ターゲット・グループ」セクションでコンプライアンス・グループをクリックします。たとえば、HIPAAを選択します。
5. 「セキュア・ターゲット・グループの変更」ページで、このコンプライアンス・グループに追加するセキュア・ターゲットを選択してから、「メンバーの追加」をクリックします。
6. コンプライアンス・グループからセキュア・ターゲット・データベースを削除するには、セキュア・ターゲットを選択してから、「メンバーの削除」をクリックします。
7. 「保存」をクリックします。

   関連項目:

   • コンプライアンス・レポートの詳細は、コンプライアンス・レポートを参照してください。

   • Audit Vault Serverコンソールへのログイン

2.5 セキュア・ターゲットおよびグループのアクセス権の設定

Oracle Audit Vault and Database Firewallのスーパー監査者ロールがある場合は、セキュア・ターゲットおよびグループのアクセス権を設定できます。特定のセキュア・ターゲットまたはグループのアクセス権を付与された監査者のみが、セキュア・ターゲットやグループまたは関連するデータを表示できます。セキュア・ターゲットまたはグループごと、またはユーザーごとにアクセス権を管理できます。

関連項目:

詳細は、「ユーザー・アカウントおよびアクセスの管理」を参照してください。