プライマリ・コンテンツに移動
Oracle® Enterprise Manager Cloud Control Oracleコンプライアンス標準リファレンス
13c リリース1
E72555-01
  目次へ移動
目次

前
 
次
 

22 セキュリティ技術導入ガイド

この項では、セキュリティ技術導入ガイド(STIG)ベースのコンプライアンス標準を使用する方法と、環境に固有の要件に応じてこれらをカスタマイズする方法について説明します。

22.1 セキュリティ技術導入ガイドについて

安全な環境を提供するというオラクル社の取組みに従って、Enterprise Managerは、コンプライアンス標準の形式での複数のセキュリティ技術導入ガイド(STIG)の導入をサポートしています。STIGは、国防総省(DOD)に指示されたセキュリティ要件へのコンプライアンスを確実にするために国防情報システム局(DISA)によって作成されたルール、チェックリストおよびその他のベスト・プラクティスのセットです。

現在使用可能なSTIGベースのコンプライアンス標準は、次のとおりです。

  • セキュリティ技術導入ガイド(STIGバージョン1.8) (Oracle Database [リリース1.8]用)

  • セキュリティ技術導入ガイド(STIGバージョン1.8) (Oracle Cluster Database [リリース1.8]用)

  • セキュリティ技術導入ガイド(STIGバージョン8 リリース1.11) (Oracle Database用)

  • セキュリティ技術導入ガイド(STIGバージョン8 リリース1.11) (Oracle Cluster Database用)

  • Oracle 11.2g Database STIG - バージョン1、リリース2 (Oracle Database用)

  • Oracle 11.2g Database STIG - バージョン1、リリース2 (Oracle Cluster Database用)

  • セキュリティ技術導入ガイド(STIGバージョン1.1) (Oracle WebLogic Server 12c用)

STIGの詳細は、Information Assurance Support EnvironmentのWebサイト(http://iase.disa.mil/stigs/Pages/index.aspx)を参照してください。

22.2 STIGコンプライアンス標準ターゲットの関連付け

データベースまたはWebLogicドメインがSTIGコンプライアンス標準を満たしているかどうかを判断するには、データベースまたはWebLogicドメイン・ターゲットを標準と関連付ける必要があります。

  1. 「エンタープライズ」メニューから「コンプライアンス」を選択し、「ライブラリ」を選択します。

  2. 「コンプライアンス標準」タブを選択してSTIG標準を検索します。

  3. 適切な標準を選択し、「ターゲットの関連付け」をクリックします。3つのターゲット・タイプ(Oracleデータベース、Oracleクラスタ・データベースおよびOracle WebLogicドメイン)があります。

  4. 「追加」をクリックして、監視するデータベースまたはWebLogicドメイン・ターゲットを選択します。セレクタ・ダイアログを閉じると表にターゲットが表示されます。

    注意: WebLogic Server STIGは、JRFが有効なWebLogic 12.1.3ドメインに適用可能です。

  5. 「OK」をクリックしてからアソシエーションを保存するか確認します。アソシエーションは、構成拡張"STIG構成"を適切な管理エージェントに内部的にデプロイします。

  6. デプロイメント後に構成収集が発生すると、結果を表示できます。「エンタープライズ」メニューから「コンプライアンス」「ダッシュボード」または「結果」の順に選択します。

22.3 STIGコンプライアンス標準の違反の処理

STIGコンプライアンス標準を処理するオプションは4つあります。

22.3.1 STIGチェックの推奨に従って違反を修正

STIGチェックの推奨に従ってデータベースまたはWebLogicドメイン上のセキュリティ構成を修正することによって違反に対処します。

  1. 「エンタープライズ」メニューから「コンプライアンス」を選択し、「結果」を選択します。

  2. STIGコンプライアンス標準の行を選択し、「違反の管理」をクリックします。

  3. 表のなかでルール違反の行を探し、右端の列の推奨される修正をメモします。

推奨に従って変更を加えた後、Enterprise ManagerでデータベースまたはWebLogicドメイン構成をリフレッシュします。たとえば、データベース・ターゲットについて考えてみます。

  1. データベース・ターゲットのホーム・ページに移動します。

  2. データベース・メニューから、「構成」「最新収集」の順に選択します。

  3. 右側の「アクション」メニューから「リフレッシュ」を選択します。

  4. リフレッシュが完了したら左側のペインの構成拡張を選択し、失敗した構成の表示がないことを確認します。

  5. 「エンタープライズ」メニューから「コンプライアンス」を選択し、「結果」を選択します。データベース・ターゲットに違反が表示されなくなったことを確認します。

22.3.2 手動ルール違反のクリア

自動化できないチェックは、手動ルールとして実装されます。これらのチェックは、管理者がルール説明やSTIGガイドそのものに記載されている手順に従って実行する必要があります。

手動ルールを含むコンプライアンス標準が最初にターゲットに関連付けられると、各手動ルールによって1つの違反が生成されます。これにより、管理者はチェックの正常完了後に違反をクリアできるようになります。プロセス中、操作を実行しているユーザーおよび操作の説明が記録されます。また、ユーザーは有効期限を設定することもでき、この期限になると違反が再生成されます。これにより、コンプライアンスが定期的に再評価されます。

  1. 「エンタープライズ」メニューから「コンプライアンス」を選択し、「結果」を選択します。

  2. STIGコンプライアンス標準の行を選択し、「違反の管理」をクリックします。

  3. 「手動ルール違反」タブを選択します。

  4. 1つ以上のルールを選択し、「違反のクリア」をクリックします。

  5. 理由および有効期限(オプション)を入力し、「OK」をクリックします。

22.3.3 違反の抑止

違反を抑止すると、結果およびコンプライアンス・スコアの計算から違反が削除されます。抑止されていても、抑止された違反が表示された管理ビューを使用してレポートを作成することはできます。

違反は永続的にも一時的にも抑止できるため、永続的な例外や猶予期間が可能になります。日付を入力するよう選択した場合、基礎となる条件が修正される結果として日付が消去されないかぎり、違反はその日付に再表示されます。

  1. 「エンタープライズ」メニューから「コンプライアンス」を選択し、「結果」を選択します。

  2. STIGコンプライアンス標準の行を選択し、「違反の管理」をクリックします。

  3. 「抑止解除された違反」を選択します。

  4. 抑止する違反がリストされた行を選択し、「違反の抑止」ボタンをクリックします。

  5. 開いたダイアログで、「無期限」を選択するか、有効期限を選択します。抑止の理由を入力することもできます。「OK」をクリックします。

22.3.4 コンプライアンス標準および構成拡張のカスタマイズ

違反を検出するルールの意図は望ましいが、環境に合うようにそのルールの微調整が必要な場合があります。STIGコンプライアンス標準では、コンプライアンス標準の違反を評価する問合せを表示してカスタマイズすることができます。そのプロセスには次の作業が含まれます。

プロセスを示すために、データベース・ルールDG0116 DBMS privileged role assignmentsの問合せを更新するシナリオを想定します。

22.3.4.1 構成拡張のカスタマイズ

STIG構成拡張をカスタマイズするには、次の手順を実行します。

  1. 「エンタープライズ」メニューから「構成」を選択し、「構成拡張」を選択します。

  2. 適切なSTIG構成表の行(データベース・インスタンスまたはクラスタ・データベース)を選択し、「類似作成」ボタンをクリックします。

  3. 拡張に「カスタムSTIG構成」などの新しい名前を指定します。

  4. 「ファイルとコマンド」タブで、すべてのコマンド行を選択して「削除」をクリックします。

  5. 「SQL」タブで、ルール別名「DG0116 DBMS privileged role assignments」を探します。この上または下にある他のすべての行を削除します。

  6. DG0116の問合せを変更して、たとえば「カスタムDG0116 DBMS privileged role assignments」などに別名を変更します。

  7. 結果の確認: サンプル・ターゲットを選択して「プレビュー」をクリックします。

  8. 違反がもう表示されない場合、「カスタムSTIG構成拡張」を保存します。

22.3.4.2 コンプライアンス標準ルールのカスタマイズ

コンプライアンス標準ルールをカスタマイズするには、次の手順を実行します。

  1. 「エンタープライズ」メニューから「コンプライアンス」を選択し、「ライブラリ」を選択します。

  2. 「コンプライアンス標準ルール」タブを選択して、エージェント側ルール・タイプのルールDG0116 DBMS privileged role assignmentsを検索します。

  3. ルールを選択して「類似作成」ボタンをクリックします。

  4. たとえば「カスタムDG0116 DBMS privileged role assignments」などに名前を変更します。「続行」をクリックします。

  5. チェック定義ページで、新しいSTIG構成拡張(カスタムSTIG構成拡張)および別名(カスタムDG0116 DBMS privileged role assignments)を選択するために拡大鏡アイコンをクリックします。

  6. カスタム構成拡張および別名を選択して「OK」をクリックし、「次」をクリックしてテスト・ページに移動します。

  7. ターゲットを選択してコンプライアンス・ルールをテストします。

  8. 「次」「終了」の順にクリックして、新しいコンプライアンス・ルールを作成します。

22.3.4.3 カスタマイズしたルールを含むコンプライアンス標準の作成

新しいルールでコンプライアンス標準を作成するには、次の手順を実行します。

  1. 「エンタープライズ」メニューから「コンプライアンス」を選択し、「ライブラリ」を選択します。

  2. 「コンプライアンス標準」タブを選択し、エージェント側ルール・タイプのデータベース・インスタンス用のSTIGを検索します。

  3. コンプライアンス標準を選択して「類似作成」ボタンをクリックします。

  4. 名前を変更します(たとえば、「カスタム・セキュリティ技術導入ガイド」など)。「続行」をクリックします。

  5. 左側のペインでOracle Databaseチェック・プロシージャ・フォルダを開き、「DG0116 DBMS privileged role assignments」までスクロール・ダウンします。

  6. ルールを右クリックしてポップアップ・メニューから「ルール参照の削除」を選択します。「OK」をクリックして削除を確認します。

  7. Oracle Databaseチェック・プロシージャ・フォルダを右クリックして、ポップアップ・メニューから「ルールの追加」を選択します。

  8. 表のなかで「カスタムDG0116 DBMS privileged role assignments」の行を探し、「OK」をクリックします。

  9. コンプライアンス標準の類似作成ページで、「保存」ボタンをクリックして新しいコンプライアンス標準を作成します。

カスタム・コンプライアンス標準を、22.2項で説明しているようにターゲット・データベースと関連付けできるようになりました。

22.4 STIGコンプライアンス標準ルール例外

Enterprise Managerのセキュリティ技術導入ガイドの実装では、いくつかの例外があります。次の項に例外を示します。

22.4.1 Windowsデータベース

Enterprise ManagerのOracle Database用セキュリティ技術導入ガイドの実装では、Windowsデータベースを完全にはサポートしていません。次のルールは、Windowsデータベースでは違反をレポートしません。


DG0009 DBMS software library permissions
DG0019 DBMS software ownership
DG0012 DBMS software storage location
DG0102 DBMS services dedicated custom account
DO0120 Oracle process account host system privileges
DO0145 Oracle SYSDBA OS group membership
DG0152 DBMS network port, protocol and services (PPS) use
DG0179 DBMS warning banner
DO0286 Oracle connection timeout parameter
DO0287 Oracle SQLNET.EXPIRE_TIME parameter
DO6740 Oracle listener ADMIN_RESTRICTIONS parameter
DO6746 Oracle Listener host references
DO6751 SQLNET.ALLOWED_LOGON_VERSION

22.4.2 Oracle WebLogicドメイン

Enterprise ManagerのOracle WebLogic Server 12c用セキュリティ技術導入ガイド(STIGバージョン1.1)の実装は、完全に自動化されていません。

次のルールは、常に違反をレポートし、手動で検証する必要があります。


WBLC-01-000013 WebLogicセキュリティ関連情報の監査
WBLC-01-000014 WebLogicネットワーク・プロトコルの無効化
WBLC-01-000018 WebLogicアカウント作成の監査
WBLC-01-000019 WebLogicアカウント変更の監査
WBLC-01-000030 WebLogic優先アクティビティのログ
WBLC-01-000032 WebLogic無効な連続アクセス試行
WBLC-01-000033 WebLogic無効なユーザー・アクセス試行
WBLC-01-000034 WebLogicユーザー・アカウントのロック
WBLC-02-000069 WebLogic DoD選択監査レコードのログ
WBLC-02-000073 WebLogic HTTPDイベントのログ
WBLC-02-000074 WebLogic JVMイベントのログ
WBLC-02-000075 WebLogic重大度レベルのログ
WBLC-02-000083 WebLogic監査失敗イベントのアラート
WBLC-02-000084 WebLogic監査処理失敗のアラート
WBLC-02-000086 WebLogic監査処理失敗の通知
WBLC-02-000093 WebLogic監査レコードのシステム・クロックの使用
WBLC-02-000094 WebLogicシステム・クロックの同期
WBLC-02-000095 WebLogic不正な監査情報読取りアクセスの保護
WBLC-02-000098 WebLogic不正な監査ツール・アクセスの保護
WBLC-02-000099 WebLogic不正な監査ツール変更の保護
WBLC-02-000100 WebLogic不正な監査ツール削除の保護
WBLC-03-000125 WebLogicソフトウェア・ライブラリの権限の制限
WBLC-03-000127 WebLogic必要な機能の有効化
WBLC-03-000128 WebLogic不正なアイテムの使用の制限
WBLC-05-000150 WebLogicユーザーの識別および認証
WBLC-05-000153 WebLogicユーザーの個別の認証
WBLC-05-000168 WebLogic認証用のパスワードの暗号化
WBLC-05-000169 WebLogic認証用のLDAP暗号化
WBLC-05-000174 WebLogicユーザー・アカウントのPKIベース認証
WBLC-05-000176 WebLogic構成のFIPS準拠の暗号化
WBLC-05-000177 WebLogicユーザーおよびプロセスのFIPS準拠の暗号化
WBLC-08-000214 WebLogicコンパートメント化された機密のNSAで承認された
暗号化
WBLC-08-000218 WebLogicパブリック情報の保護
WBLC-08-000222 WebLogicホスト・アプリケーションの分離
WBLC-08-000236 WebLogicサービス拒否
WBLC-08-000237 WebLogicリソースの優先度付け
WBLC-08-000238 WebLogic障害の保護
WBLC-09-000252 WebLogicセキュリティ関連エラー
WBLC-09-000253 WebLogicメッセージ修正処理のログ
WBLC-09-000254 WebLogicメッセージ制限アクセスのログ
WBLC-09-000257 WebLogic担当者の対応の通知
WBLC-10-000270 WebLogicサブシステム障害通知の監査
WBLC-10-000271 WebLogic集中管理されたエンタープライズ・ツール
WBLC-10-000272 WebLogic多元的なユーザー認証

22.5 Oracle Database STIGコンプライアンス標準のガイドからの変更点

Enterprise ManagerのOracle Database 11g STIGの実装は、チェックリストとは少し異なっています。変更された点は、エラー修正、チェックの機能強化(追加のデフォルト・ユーザー)、手動チェックを指定できる自動スクリプトなどです。変更内容を確認および理解して、それらを環境で受容できるか確認することが重要です。受容できない場合は、要件に合せて前述のカスタマイズ手順を実行します。これらの変更内容の詳細は、第23章「オラクル社によって強化されたセキュリティ技術導入ガイドライン(STIG)ルール」を参照してください。


注意:

Oracle WebLogic Server 12c用セキュリティ技術導入ガイドライン(STIGバージョン1.1)のコンプライアンス標準に変更および相違点はありません。

表22-1 Oracle Database 11g V8 R8およびR11 STIGとの相違点

STIG ID Oracleの変更内容

DG0008

デフォルトのユーザー/ロールを追加しました。

DG0009

オラクル社がスクリプトを提供しました。

DG0012

オラクル社がスクリプトを提供しました。

DG0019

オラクル社がスクリプトを提供しました。

DG0077

デフォルトのユーザー/ロールを追加しました。

DG0079

問合せが間違っています。NULLを文字列'NULL'に置換しました。

DG0091

デフォルト・ユーザーを追加しました。

DG0102

オラクル社がスクリプトを提供しました。

DG0116

デフォルト・ユーザーを追加しました。

DG0117

デフォルト・ユーザーを追加しました。

DG0119

デフォルト・ユーザーを追加しました。

DG0121

デフォルト・ユーザーを追加しました。

DG0123

デフォルト・ユーザーを追加しました。

DG0152

オラクル社がスクリプトを提供しました。

DG0179

オラクル社がスクリプトを提供しました。

DO0120

オラクル社がスクリプトを提供しました。

DO0145

オラクル社がスクリプトを提供しました。

DO0155

デフォルト・ユーザーを追加しました。

DO0221

デフォルト・インスタンス名としてorclを使用しました。

DO0231

デフォルト・ユーザーを追加しました。

DO0250

dba_repcatalogにレコードがある場合にのみ違反としてdb_linkを返すようにルール問合せを結合しました。

DO0270

違反を取得するためのより厳しい問合せを使用しました。

DO0286

オラクル社がスクリプトを提供しました。

DO0287

オラクル社がスクリプトを提供しました。

DO0340

デフォルト・ユーザーを追加しました。

DO0350

デフォルトのユーザー/ロールを追加しました。

DO3536

問合せを結合しました。制限のDEFAULT値を逆参照しました。

DO3609

デフォルトのユーザー/ロールを追加しました。

DO3689

デフォルトのユーザー/ロールを追加しました。

DO6740

オラクル社がスクリプトを提供しました。

DO6746

オラクル社がスクリプトを提供しました。


表22-2 Oracle Database 11gR2 V1リリース2 STIGとの相違点

STIG ID Oracleの変更内容

SV-66381r1_rule

オラクル社が問合せを実装しました。デフォルト・ユーザーをカウント対象外としました。

SV-66395r1_rule

フィルタとして'SYSTEM'および'DELETE_CATALOG_ROLE'を追加しました。

SV-66401r1_rule

問合せ内の表名を固定しました。チェック対象の権限を追加しました。デフォルト・ユーザーをカウント対象外としました。

SV-66405r1_rule

問合せ内の表名を固定しました。チェック対象の権限を追加しました。デフォルト・ユーザーをカウント対象外としました。

SV-66419r1_rule

STIGドキュメントに間違った問合せがあります。ルールの新しい問合せを準備しました。デフォルト・ユーザーをカウント対象外としました。

SV-66427r1_rule

3つの条件を1つに結合しました。次の場合、問合せで違反が発生します。

  1. audit_trailパラメータがnoneに設定されている場合。

  2. audit_trailがnoneに設定されていて、table_spaceが暗号化されていない場合。

SV-66439r1_rule

デフォルト・ユーザーをカウント対象外としました。

SV-66441r1_rule

デフォルト・プロファイルを参照解除しました。

SV-66459r1_rule

ルールによるデータベース・アーカイブ・ログ・モードのチェックは、"archive log list"コマンドを使用せずにリポジトリ表から行われます。

SV-66485r1_rule

オラクル社が問合せを提供しました。Fix Textからlimit=35を使用しました。

SV-66489r1_rule

オラクル社が問合せを提供しました。Fix Textからlimit=6を使用しました。

SV-66507r1_rule

デフォルト・プロファイルを参照解除しました。

SV-66553r1_rule

オラクル社が問合せを提供しました。

SV-66571r1_rule

オラクル社が問合せを提供しました。Fix Textからlimit=35を使用しました。

SV-66599r1_rule

オラクル社が問合せを提供しました。デフォルト・ユーザーをカウント対象外としました。

SV-66623r1_rule

オラクル社が問合せを提供しました。デフォルト・ユーザーをカウント対象外としました。

SV-66627r1_rule

デフォルト・ユーザーをカウント対象外としました。

SV-66647r1_rule

ドキュメントから問合せを結合しました。デフォルト・ユーザーをカウント対象外としました。

SV-66651r1_rule

ドキュメントから問合せを結合しました。デフォルト・ユーザーをカウント対象外としました。

SV-66657r1_rule

オラクル社がスクリプトを提供しました。

SV-66663r1_rule

SYSTEM表領域のチェックを追加しました。

SV-66665r1_rule

SYSTEM表領域のチェックを追加しました。

SV-66669r1_rule

Oracleではこのルールは常に合格します。

SV-66673r1_rule

Oracleではこのルールは常に合格します。

SV-68205r1_rule

ユーザーはレプリケーションに使用するdb_linksを手動でカウント対象外とする必要があります。

SV-68229r1_rule

デフォルト・ユーザーを追加しました。

SV-68233r1_rule

違反コンテキストの改良のために、問合せで追加の列を選択しました。

SV-68235r1_rule

デフォルト・ユーザーを追加しました。

SV-68241r1_rule

違反コンテキストの改良のために、問合せで追加の列を選択しました。

SV-68249r1_rule

デフォルト・ユーザーを追加しました。

SV-68257r1_rule

デフォルト・ユーザーを追加しました。

SV-68283r1_rule

オラクル社がスクリプトを提供しました。

SV-66431r1_rule

問合せでsys.v$parameterではなくv$parameterを使用します。


22.6 Oracle WebLogic STIGコンプライアンス標準

Enterprise ManagerのOracle WebLogic Server 12c用セキュリティ技術導入ガイド(STIGバージョン1.1)の実装には、自動化されたルールが含まれます。これらのルールでは、WebLogic構成設定を確認し、違反を生成します。実装されたルールを確認および理解して、それらを環境で受容できるか確認することが重要です。


WBLC-01-000009 WebLogicリモート管理セッションの暗号化
WBLC-01-000010 WebLogicリモート・セッションの暗号化
WBLC-01-000011 WebLogicリモート・セッションの監視および制御
WBLC-02-000062 WebLogic特定のユーザー・アクションのログ
WBLC-02-000065 WebLogic複数のコンポーネントの監査レコードのログ
WBLC-02-000076 WebLogicイベント時間のログ
WBLC-02-000077 WebLogicイベント原因のログ
WBLC-02-000078 WebLogicプロセス・ソースのログ
WBLC-02-000079 WebLogic結果インジケータのログ
WBLC-02-000080 WebLogicアイデンティティ情報のログ
WBLC-02-000081 WebLogic監査レコード・コンテンツのログ
WBLC-03-000129 WebLogicプログラム実行の防止
WBLC-05-000160 WebLogicパスワードで使用する最小パスワード長
WBLC-05-000162 WebLogicパスワードで使用する大文字
WBLC-05-000163 WebLogicパスワードで使用する小文字
WBLC-05-000164 WebLogicパスワードで使用する数字
WBLC-05-000165 WebLogicパスワードで使用する特殊文字
WBLC-05-000172 WebLogicトラスト・アンカーを使用したPKIベース認証
WBLC-06-000190 WebLogic暗号化メンテナンスおよび診断通信
WBLC-06-000191 WebLogicセキュアなメンテナンスおよび診断セッション
WBLC-08-000210 WebLogicセッションの非アクティブのタイムアウト
WBLC-08-000211 WebLogic信頼通信パス
WBLC-08-000223 WebLogicセッションの認証
WBLC-08-000224 WebLogicセッションの脆弱性
WBLC-08-000229 WebLogic安全でない状態
WBLC-08-000231 WebLogicアプリケーションの機密性
WBLC-08-000235 WebLogicアプリケーションのデータ整合性
WBLC-08-000239 WebLogicセキュアな暗号化メカニズム