12 一般的なOracle Key Vaultの管理

一般的な管理は、システムおよび監査の各管理タスクで構成されます。これらのタスクを実行するには、システム管理者ロールおよび監査マネージャ・ロールを持つ管理ユーザーである必要があります。

• 一般的なOracle Key Vaultの管理について
  
• SNMPを使用したリモート・モニタリング
  
• 電子メール通知
  
• Oracle Key Vaultシステムの管理
  
• Oracle Key Vaultアラートの構成
  
• Oracle Key Vault監査
  
• Oracle Key Vaultのレポート
  
• Oracle Key Vaultサーバー・ソフトウェアのアップグレード
  

12.1 一般的なOracle Key Vaultの管理について

システム管理者は、システム設定、リモート・モニタリング、電子メール通知、バックアップおよびリカバリを構成します。監査マネージャは、アラートを構成したり、システム診断をダウンロードして詳細なデバッグおよび分析を行います。

関連項目:

Oracle Key Vaultユーザーの管理

Oracle Key Vaultエンドポイントの管理

Oracle Key Vault仮想ウォレットとセキュリティ・オブジェクトの管理

12.2 SNMPを使用したリモート・モニタリング

SNMPを有効にすると、システム管理者はKey Vaultアプライアンスとそのサービスをリモートでモニタリングできます。収集されたデータは、企業のニーズに応じてさらに処理して提示できます。

• Oracle Key VaultでのSNMPの使用について
  
• ユーザーへのSNMPアクセス権の付与
  
• SNMPユーザー名およびパスワードの変更
  
• スタンバイ・サーバー上のSNMP設定の変更
  
• SNMPを使用したOracle Key Vaultのリモート・モニタリング
  
• Oracle Key VaultのSNMP管理情報ベース変数
  
• 例: SNMPを使用したOracle Key Vaultの簡略化されたリモート・モニタリング
  

12.2.1 Oracle Key VaultでのSNMPの使用について

Simple Network Management Protocol (SNMP)を使用して、ネットワーク上のデバイスのリソース使用状況を監視できます。

Oracle Key Vaultのモニタリングは、数百、数千のOracleおよびMySQLのデータベースがそれぞれのTDEマスター暗号化キーをOracle Key Vaultに格納する場合に、Oracle Key Vaultの可用性がどれほど重要であるかを示す重大な側面です。監視する必要があるリソース使用状況のタイプには、メモリー、CPU使用率およびプロセスがあります。

簡易ネットワーク管理プロトコル(SNMP)のサード・パーティ・ツールを使用すると、Oracle Key Vaultにアクセスするリモート・システムを監視できます。SNMPを使用してOracle Key Vaultを監視する利点は次のとおりです。

• Oracle Key VaultへのSSHアクセスを許可する必要がありません。(SSHアクセスは、使用されている期間のみ有効にする必要があります。)
• SNMPモニタリング操作を実行するために追加ツールをインストールする必要はありません。

Oracle Key Vaultでは、ユーザー認証およびデータ暗号化機能にSNMPバージョン3が使用されます。読取り可能でセキュアでないプレーンテキストで通信が行われるSNMPバージョン1および2とは異なり、SNMP 3では、ユーザーが認証され、モニタリング・サーバーとターゲットの間の通信チャネル上のデータが暗号化されます。侵入者が通信チャネルを傍受したとしても、Oracle Key Vaultからの情報を読み取ることはできません。

さらに、Oracle Key VaultでSNMPを有効にすると、キー管理サーバー(KMIPデーモン)が稼働しているかどうかを確認できます。Oracle Key VaultにはSNMPクライアント・ソフトウェアが用意されていないため、この情報を追跡するには、サード・パーティのSNMPクライアントを使用してOracle Key Vaultインスタンスをポーリングする必要があります。

Oracle Key Vaultでは、SNMP資格証明の作成と変更が監査されます。

ユーザー名およびパスワードを持つSNMPアカウントを構成するには、システム管理者ロールを持つユーザーである必要があります。SNMPデータにアクセスする際には、これらのSNMP資格証明が必要になります。

注意:

SNMPユーザー名およびパスワードが、Oracle Key Vault管理ユーザー・アカウント(システム管理者、キー管理者または監査マネージャ・ロール)のいずれのユーザー名およびパスワードとも同じでないことを確認する必要があります。

12.2.2 ユーザーへのSNMPアクセス権の付与

Oracle Key Vault管理者以外のユーザーを含め、任意のユーザーにSNMPデータへのアクセス権を付与できます。

1. システム管理者ロールを持っているユーザーとしてOracle Key Vault管理コンソールにログインします。
2. 「System」タブを選択し、左側のバーから「Monitoring Settings」を選択します。

   「Monitoring」ページが表示されます。

3. 「Monitoring」ページで、次の情報を入力します。
   • SNMP Access: すべてのIPアドレスのクライアントにOracle Key Vaultに対する情報のポーリングを許可するには、「All」を選択し、クライアントIPアドレスに関係なく、Oracle Key Vaultに対してクライアントが情報をポーリングできないようにするには、「Disabled」を選択し、特定のIPアドレスを持つクライアントにポーリングを制限するには、「IP Address(es)」を選択します。「IP Address(es)」を選択した場合は、アクセス権を付与するユーザーのIPアドレスを「IP Address」フィールドに入力します。複数のIPアドレスはスペースで区切ります。IPアドレスの範囲を入力することはできません。各IPアドレスを個別にリストする必要があります。
   • Username: SNMP構成に関連付けるモニタリング担当者の名前を入力します。
   • 「Password」/「Confirm Password」: 大文字、小文字、数字、特殊文字がそれぞれ1文字以上含まれる、このユーザーのためのセキュアなパスワードを入力します。使用可能な特殊文字は、ピリオド(.)、カンマ(,)、アンダースコア(_)、プラス記号(+)、コロン(:)およびスペースです。SNMPパスワードは、いずれの管理ロールでOracle Key Vault管理コンソールへのログインに使用するパスワードとも同じでない必要があります。
4. 「Save」をクリックします。

12.2.3 SNMPユーザー名およびパスワードの変更

ノードのSNMPユーザー名およびパスワードはいつでも変更できます。

1. システム管理者ロールを持っているユーザーとしてOracle Key Vault管理コンソールにログインします。
2. 「System」タブを選択し、「Monitoring Settings」を選択します。
3. 「Username」、「Password」および「Reenter Password」フィールドに、ユーザー名およびパスワード情報を入力します。
4. 「Save」をクリックします。

12.2.4 スタンバイ・サーバー上のSNMP設定の変更

SNMP設定は、スタンバイ・サーバー上のコマンドラインから変更します。プライマリ・スタンバイ環境でSNMPサポートを追加するには、プライマリ・サーバーとスタンバイ・サーバーをペアにする前に、両方のサーバーでSNMPを構成する必要があります。これは、すべてのリクエストがプライマリ・サーバーに転送され、Oracle Key Vault管理コンソールからスタンバイ・サーバーにアクセスできなくなるためです。ただし、プライマリ・スタンバイ環境でスタンバイ・サーバー上のSNMP設定を変更できます。

1. supportユーザーとしてスタンバイ・サーバーにログインします。
2. rootユーザーに切り替えます。

   su -
   

3. Oracle Key Vaultのbinディレクトリに移動します。

   cd /usr/local/okv/bin/

4. stdby_snmp_enableスクリプトを実行します。

   ./stdby_snmp_enable parameter "options"

   このように指定した場合:

   • parameterは次のとおりです。
     • -aは、SNMPアクセスを設定します。次のoptionsを受け入れます。
       • allは、SNMPアクセスを付与します。
       • disabledは、SNMPアクセスを無効にします。
       • IP_addressesは、SNMPアクセスが付与される1つ以上のIPアドレスを指定します。各IPアドレスはスペースで区切ります。
     • -uは、ユーザーのSNMP名を設定します。
     • -pは、ユーザーのSNMPパスワードを設定します。
   • optionsは、-aパラメータでのみ使用されます。

次の例では、スタンバイ・サーバー上のSNMP設定を変更する方法を示します。

すべてのIPアドレスに対してSNMPアクセスを付与し、ユーザー名snmpuserおよびパスワードpasswordを割り当てる方法は、次のとおりです。

./stdby_snmp_enable -a "all" -u "snmpuser" -p "password"

すべてのIPアドレスからのSNMPアクセスを無効にするには、次のようにします。

./stdby_snmp_enable -a "disabled"

特定のIPアドレスに対してSNMPアクセスを付与し、ユーザー名snmpuserおよびパスワードpasswordを割り当てる方法は、次のとおりです。

./stdby_snmp_enable -a "192.0.2.1 192.0.2.3 192.0.2.3" -u "snmpuser" -p "password"

12.2.5 SNMPを使用したOracle Key Vaultのリモート・モニタリング

SNMPを使用すると、Oracle Key Vaultに新しいソフトウェアをインストールしなくてもOracle Key Vaultの重要なコンポーネントをリモートで監視できます。SNMPによってOracle Key Vaultから抽出される情報をグラフィック表示するサード・パーティ・ツールもありますが、ここに示す例は、Oracle Key VaultのSNMPアカウントにネットワーク接続されているリモート・コンピュータのコマンドラインからsnmpwalkおよびsnmpgetを使用して提示されています。

1. Oracle Key Vaultを監視するリモート・ホストにログインします。
2. Oracle Key Vaultを監視しているリモート・ホストに、UCD-SNMP-MIBがインストールされていることを確認します。
3. Oracle Key VaultでサポートされているSNMP管理情報ベース(MIB)変数のオブジェクトIDを問い合せます。
   たとえば、SNMPホストで実行中のプロセスの数を追跡するとします。サード・パーティのSNMPクライアント・ユーティリティを使用して、オブジェクトIDが1.3.6.1.4.1.2021.2のKMIP MIBのステータスを次のように問い合せることができます。

   third_party_snmp_client_command -v 3 OKV_IP_address -u SNMP_user -a SHA -A SNMP_password -x AES -X SNMP_password -l authPriv iso.3.6.1.4.1.2021.2.1.2.1  
   

   出力は、次のようになります。

   iso.3.6.1.4.1.2021.2.1.2.1 = STRING: "mwecsvc"              <== Event collector
   iso.3.6.1.4.1.2021.2.1.2.2 = STRING: "httpd"                <== httpd
   iso.3.6.1.4.1.2021.2.1.2.3 = STRING: "kmipd"                <== KMIP daemon
   iso.3.6.1.4.1.2021.2.1.2.4 = STRING: "ora_pmon_dbfwdb"      <== embedded DB

12.2.6 Oracle Key VaultのSNMP管理情報ベース変数

Oracle Key Vaultには、追跡可能な一連のSNMP管理情報ベース(MIB)変数が用意されています。

次の表に、サポートされているMIB変数の一覧を示します。

表12-1 SNMPでOracle Key Vaultの追跡に使用されるMIB

MIB変数	オブジェクトID	説明
hrSystemUptime	1.3.6.1.2.1.25.1.1	Oracle Key Vaultインスタンスの実行時間を追跡します。
ifAdminStatus.x	1.3.6.1.2.1.2.2.1.7	Oracle Key Vaultネットワーク・インタフェース(x)の状態(実行中、停止中またはテスト中)を追跡します。値は次のとおりです。 1: インスタンスは実行中 2: インスタンスは停止中 3: インスタンスはテスト中
memAvailReal	1.3.6.1.4.1.2021.4.6	使用可能なRAMを追跡します。
memTotalReal	1.3.6.1.4.1.2021.4.5	RAMの合計使用量を追跡します。
ssCpuRawIdle	1.3.6.1.4.1.2021.11.53	CPUをモニタリングする場合に、アイドル状態で費やされたティック数(通常1/100秒単位)を追跡します。
ssCpuRawInterrupt	1.3.6.1.4.1.2021.11.56	CPUをモニタリングする場合に、ハードウェアの中断の処理に費やされたティック数(通常1/100秒単位)を追跡します。
ssCpuRawKernel	1.3.6.1.4.1.2021.11.55	CPUをモニタリングする場合に、カーネルレベルのコードの処理に費やされたティック数(通常1/100秒単位)を追跡します。
ssCpuRawNice	1.3.6.1.4.1.2021.11.51	CPUをモニタリングする場合に、優先順位の低いコードの処理に費やされたティック数(通常1/100秒単位)を追跡します。
ssCpuRawSystem	1.3.6.1.4.1.2021.11.52	CPUをモニタリングする場合に、システムレベルのコードの処理に費やされたティック数(通常1/100秒単位)を追跡します。
ssCpuRawUser	1.3.6.1.4.1.2021.11.50	CPUをモニタリングする場合に、ユーザーレベルのコードの処理に費やされたティック数(通常1/100秒単位)を追跡します。
ssCpuRawWait	1.3.6.1.4.1.2021.11.54	CPUをモニタリングする場合に、入出力(IO)待ち状態で費やされたティック数(通常1/100秒単位)を追跡します。
UCD-SNMP-MIB.prTable	1.3.6.1.4.1.2021.2	特定の名前で実行されているプロセスの数を追跡します。モニタリング対象の名前は、httpd (httpサーバー)、kmipd (kmipデーモン)およびora_pmon_dbfwdb (DBが停止しているかどうかを示すインジケータ)です。

関連項目:

詳細は、http://www.net-snmp.orgでNet-SNMPのドキュメントを参照してください。

12.2.7 例: SNMPを使用したOracle Key Vaultの簡略化されたリモート・モニタリング

Linuxでは、Oracle Key Vault情報を検索するために手動で入力したSNMPコマンドを簡略化できますが、有益で詳細な出力も引き続き利用できます。

この項の構成では、信頼できるユーザーにSNMPアクセス権を付与していることを前提としています。また、Oracle Key Vaultを監視するリモート・ホストにSNMP管理情報ベース(MIB)の変数がインストールされていることも前提としています。

たとえば、snmp_adminというSNMPユーザーに関する長いバージョンのsnmpwalkコマンドは次のとおりです。

snmpwalk -v3 OKV_IP_address -n "" -l authPriv -u snmp_admin -a SHA -A snmp_user_password -x AES -X snmp_user_password 

このコマンドでは、Oracle Key Vaultで実行されている重要なサービスをリストします。ただし、このコマンド(および他のSNMPコマンド)を変更して短くするだけでなく、サービスが実行中か停止中かなどの追加情報を表示することも可能です。

このタイプのコマンドを簡略化するために、入力するSNMPコマンドに、デフォルトのユーザーやデフォルトのセキュリティ・レベルなど、よく使用される設定が自動的に含まれるように/etc/snmp/snmp.conf構成ファイルを編集できます。このトピックの例では、ユーザーが対話形式でパスワードをコマンドラインに入力できるように、パスワード・パラメータが省略されています。

1. Oracle Key Vaultを監視するリモート・ホストにログインします。
2. 次のように表示される/etc/snmp/snmp.confを編集します。

   # As the snmp packages come without MIB files due to license reasons, 
   # loading MIBs is disabled by default. If you added the MIBs you 
   # can reenable loading them by commenting out the following line. 
     mibs : 

3. # mibs :行をコメント・アウトしてから、次のように、次の行を追加します。

   # loading MIBs is disabled by default. If you added the MIBs you 
   # can reenable loading them by commenting out the following line. 
   # mibs : 
   defSecurityName snmp_admin 
   defSecurityLevel authPriv 
   defAuthType SHA 
   defPrivType AES 

   この例の詳細は次のとおりです。

   • defSecurityName: SNMPアクセス権を付与したユーザーの名前を入力します。この例では、snmp_adminを使用します。
   • defSecurityLevel: 使用するデフォルトのセキュリティ・レベルを入力します。この例では、authPrivを使用し、これにより、認証およびプライバシによる通信が可能になります。
   • defAuthType: デフォルトの認可タイプを入力します。この例では、SHAを使用します。
   • defPrivType: デフォルトの権限タイプを入力します。この例では、AESを使用します。
4. snmpdを再起動して構成ファイルをロードします。

   たとえば、Linux 7の場合:

   systemctl restart snmpd

   Linux 6の場合:

   service snmpd restart

5. 前に示したsnmpwalkコマンドの簡略化したバージョンを実行するには、次のコマンドを入力します。

   snmpwalk okv_ip_address prNames -A snmp_user_pwd -X snmp_user_pwd

   このコマンドでは、prNamesは"プロセス名"を表し、プロセスの数ではなく名前を表示します。次に例を示します。

   $ snmpwalk 192.0.2.254 prNames -A snmp_user_pwd -X snmp_user_pwd
   UCD-SNMP-MIB::prNames.1 = STRING: mwecsvc
   UCD-SNMP-MIB::prNames.2 = STRING: httpd
   UCD-SNMP-MIB::prNames.3 = STRING: kmipd
   UCD-SNMP-MIB::prNames.4 = STRING: ora_pmon_dbfwdb

snmptableコマンドの実行例は、次のようになります。

snmptable okv_ip_address prTable -A snmp_user_pwd -X snmp_user_pwd 

出力は、次のようになります。

SNMP table: UCD-SNMP-MIB::prTable 
prIndex         prNames prMin prMax prCount prErrorFlag prErrMessage prErrFix prErrFixCmd
      1         mwecsvc     1     1       1     noError      noError            
      2           httpd     1    20       9     noError      noError                
      3           kmipd     1     2       2     noError      noError                
      4 ora_pmon_dbfwdb     1     1       1     noError      noError

次の例は、snmpdfコマンドを実行する方法を示しています。

snmpdf okv_ip_address -A snmp_user_pwd -X snmp_user_pwd

出力は、次のようになります。

Description                Size (kB)  Used    Available   Used% 
/                              20027260   7249732 12777528      36%
/dev/shm                        8174120         0  8174120       0% < –- not used by Oracle Key Vault
/usr/local/dbfw                  999320    251180   748140      25% < –- not used by Oracle Key Vault
/usr/local/dbfw/tmp             6932408     15764  6916644       0%
/var/tmp                        5932616     15848  5916768       0% < –- not used by Oracle Key Vault
/opt/dbfw                        999320      1544   997776       0% < –- not used by Oracle Key Vault
/home                            999320      6416   992904       0% < –- not used by Oracle Key Vault
/var/log                        5932616     22992  5909624       0%
/tmp                            1999184      3072  1996112       0%
/var/dbfw                       2966224      4524  2961700       0% < –- not used by Oracle Key Vault
/usr/local/dbfw/volatile        1048576         0  1048576       0% < –- not used by Oracle Key Vault
/var/lib/oracle               143592160  45620964  97971196      31% 

12.3 電子メール通知

電子メール通知を使用すると、管理コンソールにログインせずに、Key Vaultステータスの変化を管理者に直接送信できます。

電子メール通知を有効にするには、Key Vaultで電子メール設定を設定する必要があります。更新が必要なイベントを選択できます。イベントには、Key Vaultシステム・ステータス(ディスク使用率、バックアップおよび高可用性など)やユーザーおよびエンドポイントのステータス(ユーザー・パスワード、エンドポイント証明書およびキーの有効期限など)が含まれます。

• 電子メール通知について
  
• 電子メール設定の構成
  
• 電子メール構成のテスト
  
• ユーザーに対する電子メール通知の無効化
  

12.3.1 電子メール通知について

電子メール通知を使用すると、Oracle Key Vaultのステータスの変化に関するアラートをユーザーに通知する以外に、管理者はエンドポイント・エンロールやユーザー・パスワードのリセットのプロセスを完了できます。

次に例を示します。

• エンドポイント・エンロール中に生成されたエンロール・トークンをOracle Key Vaultからエンドポイント管理者に直接メールで送信できます。

• Oracle Key Vaultシステム管理者は、ユーザー・パスワードのリセット時に、ランダムな一時パスワードをユーザーに直接送信できます。

電子メール通知を正常に有効化するには、Oracle Key VaultとSMTPサーバーとの間に直接接続が存在する必要があります。

電子メール通知はいつでも無効化できます。

12.3.2 電子メール設定の構成

電子メール通知を有効化するには、ユーザーの電子メール・アカウントのSimple Mail Transfer Protocol (SMTP)サーバー・プロパティを構成します。Oracle Key Vaultは、SMTPサーバーに対する匿名かつセキュアでない接続をサポートしています。

デフォルトでは、Key VaultのJavaライブラリとともにパッケージ化されているデフォルトのJavaトラストストアを使用して、サーバー証明書が検証されます。オプションで、SMTP設定を構成すると同時にカスタム・トラストストアをアップロードして、特定の証明書または証明書チェーンが使用されるようにすることもできます。

SMTPサーバー構成はいつでも変更できます。最初はカスタムのSMTP証明書が使用され、後でユーザーがデフォルトを使用することを決定した場合は、トラストストア設定をカスタムからデフォルトに変更することのみが必要です。

電子メール設定を構成するには、次のステップに従います。

1. システム管理者ロールを持っているユーザーとしてOracle Key Vault管理コンソールにログインします。
2. 「System」タブをクリックしてから、「Email Settings」をクリックします。「Email Settings」ページが表示されます。

   図12-1 電子メール設定

   
   
   「図12-1 Email Settings」の説明
   
3. 「Email Settings」ページで、次の値を入力します。

   • SMTP Server Address: ユーザー・アカウント用の有効なSMTPサーバー・アドレスまたはホスト名を入力します。この設定は、ユーザーの電子メール・アカウントのSMTPサーバー設定と一致する必要があります。Key VaultからSMTPサーバーまたはホスト名に到達可能であることを確認します。SMTPホスト名を入力した場合は、「System Settings」メニューからDNSを構成して、ホスト名が解決されるようにする必要があります。

   • SMTP Port: 送信SMTPサーバーのSMTPポート番号(通常は465)を入力します。組織内で明示的な構成を使用している場合は、このポート番号を別の番号にすることができます。

   • Name: 電子メールの差出人フィールドに表示されるSMTPユーザーの別名を入力します。

   • From Address: 送信者として指定する電子メール・アドレスを入力します。

   • SMTPサーバーがセキュアな接続を必要とする場合は、「Require Secure Connection」を選択します。

     注意:

     Microsoft Exchange Serverで匿名リレー、あるいはGmailまたはOffice365など、外部のSMTPサーバーを使用している場合は、「Require Secure Connection」を選択しないでください。外部のSMTPサーバーへのSMTPリクエストの転送がファイアウォール・ルールで許可されていることを確認してください。

     「Require Secure Connection」が選択されている場合は、「SSL」および「TLS」の2つのオプションを備えた「Authentication Protocol」フィールドが表示されます。

     • 電子メール・サーバーの認証プロトコル(「SSL」または「TLS」)を選択します。デフォルト値は「TLS」です。

   • SMTPユーザー・アカウントがある場合は、「Require Credentials」ボックスを選択します。選択すると、「Username」、「Password」および「Reenter Password」の入力フィールドが表示されます。

     • SMTPユーザー・アカウントのユーザー名を入力します。

     • SMTPユーザー・アカウントのパスワードを入力します。

     • SMTPユーザー・アカウントのパスワードを再入力します。

     注意:

     SMTPサーバーへのセキュアな接続を使用することをお薦めします。これにより、管理ユーザーやKey Vaultシステム・アラートの作成などの操作で、自動生成されたトークンが電子メールを介して送信されます。

     セキュアでない接続の場合は、「Require Credentials」を選択しないでください。

   • 「Custom SMTP Server Certificate」を選択すると、「Upload Certificate File」フィールドが表示され、その右側に「Choose File」ボタンが示されます。カスタムSMTPサーバーの証明書をアップロードして、SMTPとOracle Key Vault間でTLSセッションを確立する場合は、このオプションを選択します。デフォルトのJavaトラストストアに必要な証明書が含まれていない場合、管理者はこの方法を使用してカスタム・トラストストアを追加できます。

     • Upload Certificate File: 「Choose File」をクリックして、カスタム証明書ファイルをアップロードします。

4. 「Configure」をクリックします。

   構成が成功した場合は、「SMTP successfully configured」メッセージが表示されます。

   構成が失敗した場合は、ユーザーの電子メール・アカウントのSMTPサーバー設定をチェックし、設定が正しいことを確認する必要があります。エラー・メッセージの表示に伴い、問題の特定に役立つように、エラーがあるフィールドが強調表示されます。

12.3.3 電子メール構成のテスト

構成を保存したら、SMTPユーザー・アカウントの電子メール構成をいつでもテストできます。既存のSMTP構成を変更する場合は、構成をテストするためにその構成を保存する必要があります。

電子メール構成をテストする手順:

1. システム管理者ロールを持っているユーザーとしてOracle Key Vault管理コンソールにログインします。
2. 「System」タブを選択し、「Email Settings」を選択します。

   「Email Settings」ページが表示されます。

3. ユーザーのSMTP設定を構成します。
4. 構成を保存します。構成をテストするためには、その構成を保存する必要があります。
5. 「Send Test Email」セクションで、「Email Address」フィールドにユーザーの電子メール・アドレスを入力します。その後、「Test」をクリックします。

   「Oracle Key Vault: Test Message」という件名行の電子メールがユーザーに送信されます。

   Oracle Key Vaultサーバーのタイムスタンプによっては、最新の電子メールとして電子メール通知が表示されません。

   電子メール通知が受信ボックスに表示されないこともあります。この場合は、スパム・フォルダを確認してください。

   電子メール通知が受信されない場合は、「Reports」タブをクリックして、左側のサイドバーから「System Reports」を選択します。「System Reports」ページで、「Notification Report」をクリックします。リストをチェックして、電子メール通知の送信中に発生した問題を特定してください。

関連項目:

電子メール設定の構成

12.3.4 ユーザーに対する電子メール通知の無効化

Oracle Key Vaultユーザーは、電子メール・アラートを受け取らないようにすることもできます。システム管理者ロールを持つユーザーまたは自分でアカウントを管理しているユーザーのみが、電子メール通知を無効化できます。

電子メール通知を無効化する手順:

1. システム管理者ロールを持っているユーザーとしてOracle Key Vault管理コンソールにログインします。
2. 「Users」タブを選択します。

   「Manage Users」ページが表示されます。

3. ユーザーの「User Name」をクリックします。

   「User Details」ページが表示されます。

4. 「Do not receive email alerts」というテキストの左側にあるチェック・ボックスを選択します。
5. 右上にある「Save」ボタンをクリックします。

   「Successfully updated user attributes」という確認メッセージが表示されます。

12.4 Oracle Key Vaultシステムの管理

システム管理者は、「System」タブおよびメニューにアクセスできる唯一の管理ユーザーです。このユーザーは、システム設定を構成したり、他の管理ユーザーがいない場合にシステムをリカバリしたり、詳細な分析のためにシステム診断ファイルをダウンロードします。

• システム設定の構成
  
• システム・リカバリ
  
• システム診断のダウンロード
  
• Oracle Key Vaultダッシュボードの表示
  
• ダッシュボードの各種ステータス・ペイン
  

12.4.1 システム設定の構成

システム時間、syslog、DNS、ネットワーク・サービス、RESTfulサービスおよびOracle Audit Vault統合を構成できます。さらに、Oracle Key Vaultを再起動したり、電源をオフにすることもできます。

システムの「Settings」ページで、システム時間、syslog、DNS、ネットワーク・サービス、RESTfulサービスおよびOracle Audit Vault統合を構成できます。このページにアクセスするには、「System」をクリックし、左側のサイドバーで「System Settings」をクリックします。

システム設定を構成する手順:

1. システム管理者ロールを持っているユーザーとしてKey Vault管理コンソールにログインします。
2. 「System」を選択し、左側のサイドバーで「System Settings」を選択します。

   「Settings」ページが表示されます。

   図12-2 Oracle Key Vaultのシステム設定

   
   「図12-2 Oracle Key Vaultのシステム設定」の説明

   システムの「Settings」ページは次のペインで構成されます。

   • System Time

     NTPサーバーを使用して現在の時間との同期を維持するようにOracle Key Vaultを構成できます。NTPサーバーが使用できない場合は、手動で現在の時間を設定できます。カレンダ・アイコンを使用して日付と時間を設定し、これらの値が正しい形式で格納されるようにする必要があります。高可用性デプロイメントでは、プライマリ・サーバーとスタンバイ・サーバーを同じ時間に設定する必要があります。

   • Syslog

     すべてシステム関連のアラートがsyslogに送信されます。これらには、ディスク使用率、システム・バックアップ、システム・バックアップの失敗、高可用性ロールの変更、高可用性の宛先に関する障害、およびSSHトンネルに関する障害が含まれます。

     syslogファイルを転送するプロトコルを選択します。プロトコルは、信頼性の高い接続指向のプロトコルである「TCP」(Transmission Control Protocol)、またはコネクションレスのベスト・エフォート型プロトコルである「UDP」(User Datagram Protocol)のいずれかです。

     syslogファイルの宛先コンピュータを設定するには、「Syslog Destinations」フィールドに表示された形式でIPアドレス(およびTCPのポート番号)を入力します。宛先コンピュータが複数ある場合は、それぞれの宛先コンピュータのIPアドレス(およびTCPのポート番号)をスペースで区切ります。

     注意:

     TCPの場合、IPアドレスとポート番号を指定します。UDPの場合、IPアドレスのみを指定します。

     Key Vaultアラートをsyslogに送信して、外部モニタリングを許可するように選択できます。

   • Network

     このペインのフィールドには、Oracle Key VaultサーバーのIPアドレスおよびホスト名が自動的に移入されます。ただし、なんらかの変更がある場合は、Key Vaultインストール環境に応じて、「Host Name」、「IP Address」、「Network Mask」および「Gateway」を更新できます。「MAC Address」はネットワーク・インタフェースのハードウェアに設定されたアドレスであるため、変更できません。

     高可用性を構成している場合、IPアドレスを変更する前に、プライマリおよびスタンバイOracle Audit Vaultサーバーのペアを解除する必要があります。プライマリまたはスタンバイOracle Audit Vault ServerのIPアドレスを変更した後、2つのサーバーを再度ペアに設定します。ペア作成プロセスを完了した後、Oracle Audit Vaultエージェントを再デプロイして、プライマリとスタンバイのOracle Audit Vaultサーバーの両方の新しいIPアドレスで更新されるようにします。

   • DNS

     ホスト名をIPアドレスに変換するように、ドメイン名サービス(DNS)を構成できます。アクセス対象のサーバーのホスト名のみがわかり、IPアドレスはわからない場合に、このことが役立ちます。たとえば、電子メール通知のためにSMTPサーバーを構成しているとき、DNSを設定した後、オプションで、IPアドレスではなくホスト名を入力できます。

   • Network Services

     次のいずれかのオプションを選択して、「Web Access」および「SSH Access」(セキュア・シェル・アクセス)のサービスをすべてのクライアントまたは一部のクライアント(IPアドレスで指定)に対して有効にすることや、完全に無効にすることができます。

     • All: すべてのIPアドレスが選択されます。

     • IP address(es): 隣のフィールドに一連のIPアドレスをスペースで区切って指定することで、それらが選択されます。

     「Web Access」のオプションとして「IP address(es)」を使用すると、組織のニーズに応じて特定のユーザーを指定し、Oracle Key Vault管理コンソールへのアクセスを一連の限られたユーザーのみに制限できます。

     「SSH Access」を有効化すると、コマンドラインからKey Vaultにアクセスできるようになります。このことは、管理コンソールからすぐには理解できない問題の診断に役立ちます。ユーザー'support'として、インストール時に作成したサポート・パスワードを使用してログインします。

     Bashシェルを使用している場合は、SSHアクセスで機能するパッチ・セットまたはセキュリティ修正のダウンロードが必要になることがあります。パッチ・セットまたはセキュリティ修正のダウンロードと有効化の方法は、パッチ・セットのリリース・ノートを参照してください。

     Best Practice: 診断やトラブルシューティングの目的でSSHアクセスを短期間だけ有効化し、作業が終了したらすぐに無効化します。

     注意:

     SSHアクセスを有効化または無効化すると、Oracle Key VaultサーバーへのインバウンドSSH接続が有効化または無効化されます。この方法でSSHアクセスを有効化または無効化しても、SSHトンネル設定またはOracle Key Vaultサーバー自体が確立した他のアウトバウンドSSH接続に影響はありません。SSHトンネル設定の場合のように、Oracle Key Vaultでは他のサーバーへのSSH接続も確立できます。

   • RESTful Services

     • 最初に、「Network Services」の「Web Access」オプションが設定されていることを確認します。

     • 次に、「Enable」の後にあるチェック・ボックスを選択して、RESTfulサービスを有効化します。RESTfulサービスを使用すると、エンドポイント・エンロールおよびプロビジョニングを自動化できます。

   • Oracle Audit Vault Integration

     「Enable」の後ろにあるチェック・ボックスを選択して、Key VaultとAudit Vaultの間の監査レポート統合を有効化します。パスワードと確認用パスワードを入力するよう求められます。

3. システム設定のいずれかを変更して、「Save」をクリックします。
4. Key Vaultサーバーを再起動したり、電源をオフにするには、右上にある「Reboot」および「Power Off」をクリックします。

12.4.2 システム・リカバリ

緊急時に管理ユーザーがいない場合、または管理ユーザーのパスワードを変更する必要がある場合は、Key Vaultのインストール時に作成したリカバリ・パスフレーズを使用してシステムをリカバリできます。また、セキュリティのベスト・プラクティスに従ってリカバリ・パスフレーズを変更することもできます。

• 管理者の資格証明のリカバリ
  
• リカバリ・パスフレーズの変更
  
• インストール・パスフレーズの変更
  

12.4.2.1 管理者の資格証明のリカバリ

管理ユーザーの資格証明を追加して、システムをリカバリできます。

1. HTTPSを使用するWebブラウザで、Oracle Key VaultインストールのIPアドレスを入力します。
2. Oracle Key Vaultのログイン・ページでログインしないでください。
3. ページの右下隅にある「System Recovery」リンクをクリックします。
4. 「Recovery Passphrase」フィールドにリカバリ・パスフレーズを入力し、「Login」をクリックします。

   上部に「Administrator Recovery」および「Recovery Passphrase」の2つのタブが配置された「Administrator Recovery」ページが表示されます。

5. 「Administrator Recovery」ページで、「Key Administrator」、「System Administrator」および「Audit Manager」のフィールドに記入して、これらのロールを新規や既存のユーザー・アカウントに割り当てます。
6. 「Save」をクリックします。

12.4.2.2 リカバリ・パスフレーズの変更

リカバリ・パスフレーズを変更する場合は、常に、システム管理者ロールを持っているユーザーが新しくバックアップを行って、最新のリカバリ・パスフレーズで保護されたバックアップが常に存在する状態にすることをお薦めします。これにより、最新のデータを含むバックアップが必ず1つ以上存在することになります。

リカバリ・パスフレーズを変更する手順:

1. Webブラウザで、Key VaultインストールのIPアドレスを入力します。Key Vaultログイン・ページが表示されます。ログインしないでください。
2. 「System Recovery」リンクをクリックします。

   「Recovery Passphrase」フィールドのみを含む新しいログイン・ページが表示されます。

3. リカバリ・パスフレーズを入力し、「Login」をクリックします。

   上部に「Administrator Recovery」および「Recovery Passphrase」の2つのタブが配置された「Administrator Recovery」ページが表示されます。

4. 「Recovery Passphrase」をクリックします。

   新しいパスフレーズを入力および再入力するための2つのフィールドを含む「Recovery Passphrase」ページが表示されます。

5. 2つのフィールドに新しいリカバリ・パスフレーズを入力します。
6. 「Submit」をクリックします。

12.4.2.3 インストール・パスフレーズの変更

インストール・パスフレーズは、インストール時に指定します。インストール・パスフレーズは、Oracle Key Vaultにログインして、インストール後タスクを完了するために使用します。

インストール・パスフレーズは8文字以上で、英大文字、英小文字、数字および特殊文字(ピリオド(.)、カンマ(,)、アンダースコア(_)、プラス記号(+)、コロン(:)、スペース)をそれぞれ1つ以上含める必要があります。

インストール・パスフレーズを忘れた場合は、新しいインストール・パスフレーズを指定できます。

インストール・パスフレーズは安全な方法で格納することが重要です。

インストール・パスフレーズを変更する手順:

1. SSHを使用して、システム管理者としてOracle Key Vaultサーバーのターミナルにログインします。

   「Oracle Key Vault Server <Release Number>」画面が表示されます。

   図12-3 「Oracle Key Vault Server <Release Number>」画面

   
   「図12-3 「Oracle Key Vault Server <Release Number>」画面」の説明
2. 「Change Installation Passphrase」を選択し、[Enter]を押します。

   「New Passphrase」画面が表示されます。

   図12-4 「New Passphrase」画面

   
   「図12-4 「New Passphrase」画面」の説明
3. 「New Passphrase」および「Confirm」フィールドに新しいインストール・パスフレーズを入力します。「OK」を選択し、[Enter]を押します。

   「Installation Passphrase」画面が表示されます。

   図12-5 「Installation Passphrase」画面

   
   「図12-5 「Installation Passphrase」画面」の説明
4. 古いインストール・パスフレーズを入力し、[Enter]を押します。

インストール・パスフレーズが変更されます。

12.4.3 システム診断のダウンロード

「Status」ページでは、ディスク使用量、サーバー稼働時間、バージョン、高可用性およびバックアップに関するステータス情報を確認できます。さらに、診断ファイルをダウンロードし、それをOracle Supportに提供して詳細な分析やデバッグを依頼することができます。問題が発生した場合は、この機能を使用して、高度なデバッグおよびトラブルシューティングを実行できます。

Oracle Key Vault 12.2.0.6.0以降では、診断レポートは、デフォルトで有効になっていません。診断レポートを生成するには、ユーザーがこの機能を有効にする必要があります。有効にすると、診断レポートに取得されるようにする必要な情報をユーザーが構成できます。ユーザーは診断レポートを柔軟にカスタマイズしてパッケージ化できます。

Oracle Key Vaultをアップグレードする場合は、アップグレードする前に診断生成ユーティリティを削除する必要があります。

診断ファイルをダウンロードする手順:

1. rootユーザーとしてOracle Key Vault管理コンソールにログインします。
2. 「System」を選択します。「Status」ページが表示されます。

   図12-6 システム・ステータス・ページ

   
   「図12-6 システム・ステータス・ページ」の説明

   「Status」ページには次の情報が表示されます。

   • Uptime

   • Free Space

   • Version

   • High Availability Status

   • Backup Status

   • Disk Usage

3. 「Download Diagnostics」をクリックします。

   診断生成ユーティリティがインストールされていない場合

   1. diagnostics-not-enabled.readmeファイルを保存するように求められます。

   2. diagnostics-not-enabled.readmeを保存して開きます。指示に従って、診断生成ユーティリティをインストール、有効化および実行します。

   3. 診断生成ユーティリティをインストールします。

      /usr/local/dbfw/bin/priv/dbfw-diagnostics-package.rb --install

   4. 診断の収集を有効にします。

      /usr/local/dbfw/bin/priv/dbfw-diagnostics-package.rb --enable ALL

4. 診断収集が有効になっている場合は、診断レポートを含む.zipファイルをダウンロードするように求められます。

   診断レポートを含む.zipファイルを保存します。

/usr/local/dbfw/etc/ディレクトリのdbfw-diagnostics-package.ymlファイルをカスタマイズして、複数のカテゴリのファイルの組合せを含めたり除外することができます。dbfw-diagnostics-package.ymlの各セクションには、値をtrueまたはfalseに設定することにより、特定のカテゴリの有効と無効を切り替えるためのオプションが含まれています。

診断生成ユーティリティをインストール、有効化および実行する方法の詳細は、ヘルプを参照してください。

/usr/local/dbfw/bin/priv/dbfw-diagnostics-package.rb --help

ディスク領域を解放するには、診断生成ユーティリティをインストールした後にdbfw-diagnostics-package.rbを削除します。また、Oracle Key Vaultをアップグレードする前に、診断生成ユーティリティを削除する必要もあります。

/usr/local/dbfw/bin/priv/dbfw-diagnostics-package.rb --remove

12.4.4 Oracle Key Vaultダッシュボードの表示

管理コンソールにログインすると、その「Home」タブにダッシュボードが表示されます。ダッシュボードは、Oracle Key Vaultの現在のステータスを高レベルで示すものであり、すべてのユーザーに公開されます。

ログイン時に最初に表示されるセクションは、「Alerts」および「Managed Content」です。

図12-7 「Alerts and Managed Content」ペイン

図12-7「「Alerts and Managed Content」ペイン」の説明

「Home」ページの「Data Interval」、「Operations」、「Endpoint Activity」および「User Activity」ペインが「Alerts」および「Managed Content」の後に続きます。

図12-8 「Data Interval」、「Operations」、「Endpoint Activity」および「User Activity」の各ペイン

図12-8「「Data Interval」、「Operations」、「Endpoint Activity」および「User Activity」の各ペイン」の説明

12.4.5 ダッシュボードの各種ステータス・ペイン

ダッシュボードのステータス・ペインには、次のような有用な高レベルの情報が表示されます。

• Alerts

  特定のアラートに対して修正処理を実行する手順:

  1. 「Details」列で、アラートに対応するリンクをクリックします。適切なページが表示されます。

  2. アラートに適した修正処理を実行します。

  ダッシュボードに表示するアラートを構成する手順:

  1. 「Reports」タブをクリックし、左側のサイドバーで「Alerts」をクリックします。

     「Alerts」ページが表示されます。

  2. 右上にある「Configure」をクリックするか、左側のサイドバーの「ALERTS」で「Configure Alerts」をクリックします。

     「Configure Alerts」ページが表示されます。

  3. 「Alert Type」を選択し、「Save」をクリックします。

• Managed Content

  ダッシュボードの「Managed Content」ペインには、Oracle Key Vaultで現在格納および管理されているセキュリティ・オブジェクトに関する集計情報が表示されます。

  このステータス・ペインでは、集計情報が、鍵、証明書、不透明オブジェクト、秘密鍵およびTDEマスター・キー、さらに項目の状態(プレアクティブ、アクティブ、非アクティブ化済)など、項目タイプに基づいて分類されます。

  「Managed Content」ペインには、「Data Interval」ステータス・ペインに示されるリフレッシュ間隔によって設定された前回リフレッシュ時点での項目タイプと項目の状態が表示されます。

• Data Interval

  このペインには、期間の長さが表示されます。

  この期間は、「Last 24 hours」、「Last week」、「Last Month」またはユーザー定義の日付範囲です。ここには、後で説明する「Operations」、「Endpoint Activity」および「User Activity」セクションのリフレッシュ間隔も表示されます。

• Operations

  「Operations」ペインには、キー関連の操作(たとえば、位置確認とアクティブ化、エンドポイントの追加、デフォルト・ウォレットの割当て)を棒で表した棒グラフが含まれます。

• Endpoint Activity

  「Endpoint Activity」ペインには、各エンドポイントで実行された操作の数を追跡する棒グラフが含まれます。

• User Activity

  「User Activity」ペインには、各ユーザーが実行した操作の数を追跡する3D棒グラフが含まれます。

関連項目:

項目タイプと項目の状態の詳細は、セキュリティ・オブジェクト項目の検索を参照してください。

12.5 Oracle Key Vaultアラートの構成

Oracle Key Vaultダッシュボードに表示するアラートのタイプを選択できます。ダッシュボードは、管理コンソールにログインしたときに最初に表示されるページです。このページにナビゲートするには、「Home」タブをクリックします。セキュリティ・オブジェクトに関するアラートはそのオブジェクトへのアクセス権を持つすべてのユーザーに表示されますが、アラートを構成できるのはシステム管理者ロールを持っているユーザーのみです。

• アラートの構成について
  
• アラートの構成
  
• オープン・アラートの表示
  

12.5.1 アラートの構成について

Oracle Key Vaultに備えられた様々なアラートには、要件に応じて適切なしきい値を構成できます。構成できるアラートは、次のとおりです。

• ディスク使用率

• エンドポイントの証明書の有効期限

• 失敗したシステム・バックアップ

• 高可用性Data Guard Brokerステータス

• 高可用性Data Guardファスト・スタート・フェイルオーバー・ステータス

• 高可用性の宛先に関する障害

• 高可用性(HA)制限モード

• 高可用性ロールの変更

• キー・ローテーション

• SSHトンネルの障害

• システム・バックアップ

• ユーザー・パスワード有効期限

• 無効なHSM構成

関連項目:

Oracle Key Vaultユーザーの作成

Oracle Key Vault Hardware Security Moduleとの統合

12.5.2 アラートの構成

アラートを構成する手順:

1. システム管理者ロールを持っているユーザーとしてOracle Key Vault管理コンソールにログインします。
2. 「Reports」タブを選択します。
3. 左側のサイドバーで「Configure Alerts」を選択します。

   「Configure Alerts」ページが表示されます。

   図12-9 「Configure Alerts」ページ

   
   「図12-9 「Configure Alerts」ページ」の説明
4. アラート・タイプの右側にある「Enabled」列のチェック・ボックスを選択して、アラートを有効化します。その後、「Limit」の下のボックスでしきい値を設定します。この値により、アラートの送信タイミングを決定します。ダッシュボードに表示する必要がないアラートについては、対応するチェック・ボックスの選択を解除します。
5. 「Save」をクリックします。

関連項目:

Oracle Key Vaultダッシュボードの表示

12.5.3 オープン・アラートの表示

システム管理者ロールを持つユーザーは、すべてのアラートを表示できます。システム管理者権限のないユーザーは、自分がアクセス権を持つオブジェクトに関するアラートのみを表示できます。

オープン・アラートを表示するには、次のステップに従います。

1. システム管理者ロールを持っているユーザーとしてOracle Key Vault管理コンソールにログインします。
2. 「Reports」タブをクリックします。「Audit Trail」が表示されます。
3. 左側のサイドバーで「Alerts」をクリックします。

   「Alerts」ページが表示され、未解決のすべてのアラートが一覧表示されます。アラート・メッセージで言及されている問題を解決すると、アラートが自動的に削除されます。これらを明示的に削除することはできません。

   図12-10 「Alerts」ページ

   
   「図12-10 「Alerts」ページ」の説明

   Oracle Key Vaultでは、システム・アラートはすべてsyslogに送信されます。次に、syslogのシステム・アラートの例を示します。

   July 29 18:36:29 okv080027361e7e logger[13171]: No successful backup done for 4 day(s)

   次の表に、アラートをトリガーする条件と、関連するシステム・アラート・メッセージを示します。

   条件	システム・アラート・メッセージ
   キー・ローテーション	Key expiration: <date>
   エンドポイントの証明書の有効期限	Endpoint certificate expiration: <date>
   ユーザー・パスワード有効期限	Password expiration: <date>
   ディスク使用率	Free disk space is below <threshold value> (currently <current value>)
   システム・バックアップ	No successful backup for <number> day(s)
   失敗したシステム・バックアップ	Most recent backup failed!
   高可用性ロールの変更	HA role changed. Primary IP Address: <IP address>
   高可用性の宛先に関する障害	HA destination failure
   SSHトンネルの障害	SSH tunnel is not available
   高可用性(HA)制限モード	HA running in read-only restricted mode
   高可用性Data Guardファスト・スタート・フェイルオーバー・ステータス	HA FSFO is not synchronized. FSFO status is <HA status>
   高可用性Data Guard Brokerステータス	Dataguard Broker is disabled
   OKV Server Certificate Expiration	The Oracle Key Vault Server certificate is expiring within 30 days. Please refer to the Oracle Key Vault Administrator's Guide.
   無効なHSM構成	HSM configuration error. Please refer to the "HSM Alert" section in the Oracle Key Vault Integration with Hardware Security Module

12.6 Oracle Key Vault監査

Oracle Key Vaultでは、あらゆるエンドポイント・アクティビティおよびユーザー・アクティビティとそのタイムスタンプが記録され、アクションを開始したユーザー、実行されたアクション、使用されたキーやトークンおよびアクションの結果が詳細に示されます。

• Oracle Key Vaultの監査について
  
• 監査レコードを格納するようにSyslogを構成
  
• 監査レコードの表示
  
• 監査レコードのエクスポートまたは削除
  
• Audit Vault and Database Firewallとの監査統合
  

12.6.1 Oracle Key Vaultの監査について

Oracle Key Vaultでは、エンドポイント・エンロールやユーザー・パスワードのリセットから、キーやウォレットの管理、システム設定やSNMP資格証明の変更に至る、すべてのエンドポイント・アクティビティおよびユーザー・アクティビティが、エンドポイント・グループおよびユーザー・グループを含めて記録されます。また、各アクションが成功したか失敗したかも記録されます。

このような包括的なシステム・アクティビティの記録は監査証跡として提供され、すべてのユーザーに公開されますが、これらの管理は監査マネージャ・ロールを持つユーザーにのみ許可されます。指定した日付までの監査レコードをエクスポートまたは削除する権限は、このユーザーのみが持ちます。

監査はバックグラウンドで行われ、Key Vaultでは常に有効化されています。これを無効にすることはできません。

監査マネージャ・ロールを持っているユーザーは、すべての監査レコードを参照および管理できます。その他のユーザーは、自分が作成したか、アクセス権が付与されているセキュリティ・オブジェクトに関連する監査レコードのみを参照できます。

監査レコードをエクスポートして、システム・アクティビティをオフラインで確認できます。エクスポートしたレコードは、リソースを解放するために、システムから削除できます。

関連項目:

監査マネージャ権限の詳細は、管理ロールの概要を参照してください。

12.6.2 監査レコードを格納するようにSyslogを構成

監査レコードを格納するようにOracle Key Vaultシステム・ログを構成できます(システム管理者がこの機能を有効にしている場合)。

監査レコードを格納するようにOracle Key Vaultシステム・ログを構成するには:

1. 監査マネージャとしてOracle Key Vault管理コンソールにログインします。
2. 「Reports」タブをクリックします。「Audit Trail」ページが表示されます。

   図12-11 「Audit Trail」ページ

   
   「図12-11 「Audit Trail」ページ」の説明
3. 「Send Audit Records To Syslog」をクリックします。

   Syslogが構成されていない場合、「Syslog forwarding to remote machines not enabled.」というエラー・メッセージが表示されます。

   図12-12 エラー・メッセージ - リモートのSyslogが有効化されていない

   
   「図12-12 エラー・メッセージ - リモートのSyslogが有効化されていない」の説明

   Syslogの構成の詳細は、「システム設定の構成」を参照してください。

4. Syslogが構成されている場合、「Settings」ページが表示されます。「Syslog」セクションで、次のことを行います。
   1. Syslogファイルの転送に使用するプロトコルを選択します: TCPまたはUDP。
   2. Syslogファイルが格納されているリモート・システムのIPアドレスを入力します。

   図12-13 「Settings」ページ

   
   「図12-13 「Settings」ページ」の説明
5. 「Save」をクリックします。

リモートのSyslogに監査レコードが格納されます。

12.6.3 監査レコードの表示

「Reports」ページには、デフォルトで「Audit Trail」が表示されます。「Audit Trail」ページには、すべてのシステム・アクティビティがリストされ、だれ(「Subject Name」)が、どのような操作(「Operation」)を、いつ(「Time」)、何(「Object」)を使用して実行し、そのアクションの結果(Result)がどうなったかが詳細に示されます。

監査証跡を表示するには、次のステップに従います。

1. 監査マネージャ・ロールを持っているユーザーとしてOracle Key Vault管理コンソールにログインします。
2. 「Reports」タブをクリックします。

   「Audit Trail」ページが表示されます。

図12-14 「Audit Trail」ページ

「図12-14 「Audit Trail」ページ」の説明

12.6.4 監査レコードのエクスポートまたは削除

監査マネージャ・ロールを持っているユーザーは、必要に応じて監査証跡をエクスポートまたは削除できます。監査レコードは、ユーザーのローカル・システムにダウンロード可能な.csvファイル形式でエクスポートされます。.csvファイルの内容は、「Reports」ページの「Audit Trail」に表示される詳細と同じです。

.csvファイルのタイムスタンプには、レコードがエクスポートされた特定のKey Vaultサーバーのタイムゾーンが反映されることに注意してください。

監査証跡をエクスポートまたは削除する手順:

1. 監査マネージャ・ロールを持っているユーザーとしてOracle Key Vault管理コンソールにログインします。
2. 「Reports」タブをクリックします。

   「Audit Trail」が表示されます。

3. 右上にある「Export/Delete」をクリックします。

   「Export/Delete Audit Records」ページが表示されます。

   図12-15 「Export/Delete Audit Records」ページ

   
   「図12-15 「Export/Delete Audit Records」ページ」の説明
4. カレンダ・アイコンをクリックして日付を選択します。

   レコードの数が表示されます。

5. 「Export」をクリックして、監査レコードを.csvファイル形式でローカル・フォルダにダウンロードします。

   エクスポートしたレコードは、リソースを解放するために、Key Vaultから削除できます。

6. 「Delete」をクリックして、監査レコードを削除します。

   監査レコードが永久に失われることを警告する確認メッセージが表示されます。

7. 削除するには「OK」をクリックし、中止するには「Cancel」をクリックします。

12.6.5 Audit Vault and Database Firewallとの監査統合

監査統合のために、Audit Vault and Database Firewall (AVDF)にOracle Key Vault監査データを転送できます。

AVDFとの監査統合を有効化する手順:

1. システム管理者ロールを持っているユーザーとしてOracle Key Vault管理コンソールにログインします。
2. 「System」タブを選択し、「System Settings」をクリックします。

   「Settings」ページが表示されます。

3. 「Oracle Audit Vault Integration」ペインで、「Enable」の右側にあるボックスをクリックします。「Enter Password」および「Reenter Password」の2つのパスワード・フィールドが表示されます。
4. パスワードと確認用パスワードを入力します。

   このパスワードは安全な場所に保管する必要があります。これはAVDF側でセキュア・ターゲットを作成するときに必要になります。

関連項目:

• Key Vaultのシステム設定は、図12-2

• Audit Vault Database Firewallの統合の手順

12.7 Oracle Key Vaultのレポート

Oracle Key Vaultでは、システム・アクティビティ、証明書/キー/パスワードの有効期限、資格ステータスおよびメタデータに関する統計情報が4つのレポート・カテゴリ(エンドポイント、ユーザー、キーおよびシステム)で収集されます。

• Oracle Key Vaultのレポートについて
  
• エンドポイント、ユーザー、キーおよびウォレット、システムに関するレポートの表示
  

12.7.1 Oracle Key Vaultのレポートについて

Oracle Key Vaultには、エンドポイント、ユーザー、キーおよびウォレット、システムに関する4つのタイプのレポートが用意されています。

次に、4つのレポート・タイプとそれぞれの説明を示します。

• エンドポイント・レポートには、すべてのエンドポイント・アクティビティとエンドポイント・グループ・アクティビティ、証明書とパスワードの有効期限、およびアクセス権限の詳細が含まれています。

• ユーザー・レポートには、すべてのユーザー・アクティビティとユーザー・グループ・アクティビティ、証明書とパスワードの有効期限、およびアクセス権限の詳細が含まれています。

• 鍵およびウォレットのレポートには、すべての鍵およびウォレットに付与されているアクセス権限、およびKey Vaultで管理されているTDEマスター・キーの詳細がリストされます。

• システム・レポートには、実行されたシステム・バックアップとスケジュールされているシステム・バックアップの履歴、リモート・リストア・ポイントの詳細、およびRESTful APIの使用状況が含まれています。

監査マネージャはすべてのレポートを表示できます。キー管理者はユーザー・レポートとキーおよびウォレットのレポートを表示できます。システム管理者権限を持つユーザーは、エンドポイント・レポート、ユーザー・レポート、システム・レポートを表示できます。

関連項目:

監査レポートの詳細は、Oracle Key Vault監査を参照してください。

12.7.2 エンドポイント、ユーザー、キーおよびウォレット、システムに関するレポートの表示

「Reports」ページでは、左側のサイドバーの「REPORTS」という見出しの下に4つのレポート・タイプがリストされます。

エンドポイント、ユーザー、キーおよびウォレット、システムに関するレポートを表示する手順:

1. 監査マネージャ・ロールを持っているユーザーとしてOracle Key Vault管理コンソールにログインします。
2. 「Reports」タブをクリックして、「Reports」ページにアクセスします。
3. 「REPORTS」という見出しの下に、「Endpoint Reports」、「User Reports」、「Keys and Wallets Reports」および「System Reports」という4つのレポートが表示されます。

• エンドポイント・レポートの表示
  
• ユーザー・レポートの表示
  
• キーおよびウォレットのレポートの表示
  
• システム・レポートの表示
  

関連項目:

図12-14に、Key Vaultの監査証跡を示します。

12.7.2.1 エンドポイント・レポートの表示

Key Vaultには、「Endpoint Activity」、「Endpoint Certificate Expiry」、「Endpoint Entitlement」および「Endpoint Metadata」という4つのエンドポイント・レポートが用意されています。

エンドポイント・レポートを表示する手順:

1. 監査マネージャ・ロールを持っているユーザーとしてOracle Key Vault管理コンソールにログインします。
2. 「Reports」タブをクリックして、「Reports」ページにアクセスします。
3. 左側のサイドバーの「Reports」の下で「Endpoint Reports」をクリックします。

   「Endpoint Reports」ページが表示され、4つのタイプのエンドポイント・レポートが示されます。

   図12-16 Endpoint Reports

   
   「図12-16 Endpoint Reports」の説明

   「Name」の下のリンクをクリックして、目的のレポートを表示します。

4. 「Endpoint Activity Report」をクリックして、対応するレポートを表示します。

   図12-17 Endpoint Activity Report

   
   「図12-17 Endpoint Activity Report」の説明
5. 「Endpoint Certificate Expiry Report」をクリックして、対応するレポートを表示します。

   図12-18 Endpoint Certificate Expiry Report

   
   「図12-18 Endpoint Certificate Expiry Report」の説明
6. 「Endpoint Entitlement Report」をクリックして、対応するレポートを表示します。

   図12-19 Endpoint Entitlement Report

   
   「図12-19 Endpoint Entitlement Report」の説明
7. 「Endpoint Metadata Report」をクリックして、対応するレポートを表示します。

   図12-20 Endpoint Metadata Report

   
   「図12-20 Endpoint Metadata Report」の説明

12.7.2.2 ユーザー・レポートの表示

Key Vaultには、「User Activity」、「User Entitlement」、「User Expiry」および「User Failed Login」という4つのユーザー・レポートが用意されています。

ユーザー・レポートを表示する手順:

1. 監査マネージャ・ロールを持っているユーザーとしてOracle Key Vault管理コンソールにログインします。
2. 「Reports」タブをクリックします。
3. 「User Reports」をクリックして、ユーザー固有のレポートを表示します。

   「User Reports」ページが表示され、4つのタイプのユーザー・レポートが示されます。

   レポート名をクリックして、対応するユーザー・レポートを表示します。

   図12-21 User Reports

   
   「図12-21 User Reports」の説明

12.7.2.3 キーおよびウォレットのレポートの表示

Key Vaultには、「Entitlement」および「TDE Key Metadata」という2つのキー/ウォレット・レポートが用意されています。

キーおよびウォレットのレポートを表示する手順:

1. 監査マネージャ・ロールを持っているユーザーとしてOracle Key Vault管理コンソールにログインします。
2. 「Reports」タブをクリックします。
3. 「REPORTS」という見出しの下で「Keys and Wallets Reports」をクリックします。

   「Keys and Wallets Reports」ページが表示され、使用可能なレポートが示されます。レポート名をクリックして、対応するレポートを表示します。

図12-22 Keys and Wallets Reports

「図12-22 Keys and Wallets Reports」の説明

12.7.2.4 システム・レポートの表示

Key Vaultには、「Backup History」、「Backup Restoration Catalog」および「RESTful API Usage」という3つのシステム・レポートが用意されています。

システム・レポートを表示する手順:

1. 監査マネージャ・ロールを持っているユーザーとしてOracle Key Vault管理コンソールにログインします。
2. 「Reports」タブをクリックします。
3. 「REPORTS」という見出しの下で「System Reports」をクリックします。

   「System Reports」ページが表示され、使用可能なシステム・レポートが示されます。

   レポート・タイプをクリックして、対応するシステム・レポートを表示します。

   図12-23 System Reports

   
   「図12-23 System Reports」の説明

12.8 Oracle Key Vaultサーバー・ソフトウェアのアップグレード

Key Vaultサーバー・ソフトウェア・アプライアンスをアップグレードするときには、エンドポイント・ソフトウェアもアップグレードして、最新の拡張を取得することをお薦めします。ただし、直前のバージョンのエンドポイント・ソフトウェアは、引き続き、アップグレードされたOracle Key Vaultサーバーとともに機能します。

• Oracle Key Vaultサーバー・ソフトウェアのアップグレードの仕組み
  
• ステップ1: アップグレード前のサーバーのバックアップ
  
• ステップ2: リリース12.2.0.0.0のためのアップグレード前タスク
  
• ステップ3: Oracle Key Vaultサーバーまたはサーバー・ペアのアップグレード
  
• ステップ4: エンドポイント・ソフトウェアのアップグレード
  
• ステップ5: アップグレード直後のサーバーのバックアップ
  

12.8.1 Oracle Key Vaultサーバー・ソフトウェアのアップグレードの仕組み

アップグレードのステップは、次に示す順序に従う必要があります。最初にKey Vaultのフル・バックアップを実行し、Key Vaultサーバー、または高可用性デプロイメントの場合はサーバー・ペアをアップグレードし、エンドポイント・ソフトウェアをアップグレードし、最後に、アップグレード済のサーバーに対して再度フル・バックアップを実行します。アップグレードする場合は、Oracle Key Vaultアプライアンスの再起動が必要となることに注意してください。

アップグレード中の限られた時間、エンドポイントではOracle Key Vaultサーバーを使用できません。永続キャッシュ機能を有効にすると、アップグレード・プロセス中にエンドポイントで操作を継続できます。

12.8.2 ステップ1: アップグレード前のサーバーのバックアップ

Key Vaultサーバーをアップグレードする前に、アップグレード対象のサーバーをバックアップすることをお薦めします。このステップにより、アップグレードが予期せず失敗したときに確実にリカバリできるようにします。

注意:

このステップはスキップしないでください。アップグレードの実行前にサーバーをバックアップして、データを安全かつリカバリ可能な状態にします。

12.8.3 ステップ2: リリース12.2.0.0.0のためのアップグレード前タスク

Oracle Key Vault 12.2.0.0.0に円滑にアップグレードできるように、次のステップをお薦めします。

• アップグレードのための最小のディスク領域要件が満たされていることを確認します。

• フル・バックアップや増分バックアップのジョブが実行されていないことを確認してください。アップグレードの前に、スケジュールされたフル・バックアップまたは増分バックアップのジョブをすべて削除してください。

• 次の仕様に従い、停止時間を計画します。

  Oracle Key Vaultの使用	停止時間の必要性
  ウォレットのアップロードまたはダウンロード	いいえ
  Javaキーストアのアップロードまたはダウンロード	いいえ
  Transparent Data Encryption (TDE)直接接続	はい
  高可用性デプロイメントにおけるプライマリ・サーバーのアップグレード	はい

  Oracle Key Vaultでオンライン・マスター・キー(旧称はTDE直接接続)を使用する場合は、Oracle Databaseエンドポイント・ソフトウェアのアップグレード中に、15分の停止時間を計画してください。合計停止時間を短縮するため、データベース・エンドポイントは同時にアップグレードできます。

  高可用性デプロイメントにおけるプライマリ・サーバーのアップグレードについては、1時間の停止時間を計画してください。

12.8.4 ステップ3: Oracle Key Vaultサーバーまたはサーバー・ペアのアップグレード

Oracle Key Vaultサーバーのアップグレード方法は、スタンドアロン環境を使用しているか高可用性デプロイメントを使用しているかによって異なります。

• Oracle Key Vaultサーバーまたはサーバー・ペアのアップグレードについて
  
• スタンドアロンKey Vaultサーバーのアップグレード
  
• 高可用性デプロイメントにおけるKey Vaultサーバーのペアのアップグレード
  

12.8.4.1 Oracle Key Vaultサーバーまたはサーバー・ペアのアップグレードについて

Oracle Key Vaultは、テスト環境や開発環境でスタンドアロン・アプライアンスとしてデプロイしたり、本番環境において高可用性構成でデプロイすることができます。スタンドアロン・デプロイメントでは単一のKey Vaultサーバーをアップグレードする必要がありますが、高可用性デプロイメントではプライマリとスタンバイの両方のKey Vaultサーバーをアップグレードする必要があります。永続キャッシュを有効にすると、アップグレード・プロセス中にエンドポイントで操作を継続できます。

注意:

• アップグレードするシステムに8GBのメモリーがあることを確認してください。リリース12.2.0.2.0以降の場合は、8GBのメモリーが必要です。高可用性デプロイメントでは、プライマリ・サーバーとスタンバイ・サーバーの両方に8GBのシステム・メモリーが必要です。

• メモリーが4GBのシステムからアップグレードする場合は、まずアップグレード前に4GBのメモリーをシステムに追加してください。

12.8.4.2 スタンドアロンKey Vaultサーバーのアップグレード

この手順は、テスト環境や開発環境で最も一般的なデプロイメントであるスタンドアロン・デプロイメントで、単一のKey Vaultサーバーをアップグレードする場合のものです。

Oracle Key Vault 12.2.0.0.0をアップグレードする手順:

1. データを安全かつリカバリ可能な状態にするために、アップグレード対象のサーバーをバックアップしてあることを確認します。このステップを完了することなく先に進まないでください。
2. 管理コンソールにログインし、「System Settings」→「Network Services」→「SSH Access」を確認することによって、SSHアクセスが有効になっていることを確認します。
3. 宛先ディレクトリ内に、アップグレードISOに十分な領域があることを確認します。
4. SSHを介して、ユーザーsupportとしてOracle Key Vaultサーバーにログインし、次に、ユーザーをrootに切り替えます(su)。
5. セキュア・コピー・プロトコルか、その他のセキュアな転送方法を使用して、アップグレードISOファイルを宛先ディレクトリにコピーします。

   scp remote_host:remote_path/okv-upgrade-disc-12.2.0.0.0.iso /var/lib/oracle/<destination_directory where you are copying the iso file to>

   説明:

   remote_hostはISOアップグレード・ファイルが含まれているコンピュータのIPアドレスです。

   remote_pathはISOアップグレード・ファイルのディレクトリです。

6. mountコマンドを使用して、アップグレードをアクセス可能にします。

   root# /bin/mount -oloop,ro /var/lib/oracle/okv-upgrade-disc-12.2.0.0.0.iso /images 

7. 次のコマンドを使用してキャッシュをクリアします。

   root# yum -c/images/upgrade.repo clean all

8. 次のコマンドを使用してアップグレードを適用します。

   root# /usr/bin/ruby /images/upgrade.rb --confirm

   システムが正常にアップグレードされた場合は、このコマンドによって、次のメッセージが表示されます。

   Remove media and reboot now to fully apply changes

   エラー・メッセージが表示された場合は、ログ・ファイル/var/log/messagesで追加情報を確認します。

9. 次のコマンドを実行して、Key Vaultサーバーを再起動します。

   root# /sbin/reboot

   アップグレード後の最初の再起動で、変更内容がシステムに適用されます。これには、最大で45分かかることがあります。この間システムを停止しないでください。

   「Oracle Key Vault Server 12.2.0.0.0」という見出しの画面が表示されると、アップグレードは完了です。リビジョンには、アップグレードされたリリースが反映されます。見出しの下には、「Display Appliance Info」というメニュー項目が表示されます。「Display Appliance Info」を選択し、[Enter]キーを押して、アプライアンスのIPアドレス設定を表示します。

10. システム管理者としてOracle Key Vault管理コンソールUIにログインします。「System」タブを選択し、「Status」を選択します。表示されているバージョンが12.2.0.0.0であることを確認します。

12.8.4.3 高可用性デプロイメントにおけるKey Vaultサーバーのペアのアップグレード

注意:

• スタンバイにアップグレードした後、プライマリ・サーバーへのアップグレードに1時間を割り当ててください。スタンバイ・サーバーとプライマリ・サーバーは1つのセッションでアップグレードし、スタンバイのアップグレードとプライマリのアップグレードの間に時間を空けないようにする必要があります。アップグレード時間は概算であり、Oracle Key Vaultで格納および管理されているデータのボリュームに応じて変化することに注意してください。データのボリュームが大きいと、アップグレード時間が1時間を超える場合があります。

• アップグレードが進行している間に、設定を変更したり、次に示すアップグレード手順の一部ではない他の操作を実行しないでください。

• アップグレード・プロセスでは、アップグレード中にエンドポイントを停止することが必要になるため、計画されたメンテナンス・ウィンドウの間にOracle Key Vaultサーバーをアップグレードしてください。

• プライマリとスタンバイの両方のシステムに8GBのメモリーがあることを確認してください。

• 永続キャッシュを有効にすると、アップグレード・プロセス中にエンドポイントで操作を継続できます。

高可用性のために構成されたOracle Key Vaultサーバーのペアをアップグレードする手順:

1. データを安全かつリカバリ可能な状態にするために、アップグレード対象のサーバーをバックアップしてあることを確認します。このステップを完了することなく先に進まないでください。
2. 最初に、プライマリ・サーバーの実行中にスタンバイ・サーバーをアップグレードします。

   スタンドアロン・モードのアップグレード・プロセスのステップ2からステップ10までを実行します。

3. アップグレードされたスタンバイOracle Key Vaultサーバーが再起動し、実行されていることを確認します。
4. スタンドアロン・モードのアップグレードのステップ1-10に従って、プライマリOracle Key Vaultサーバーをアップグレードします。

   スタンバイおよびプライマリの両方のKey Vaultサーバーがアップグレードされた後、2つのサーバーは自動的に同期されます。

5. システム管理者としてOracle Key Vault管理コンソールにログインします。「System」タブを選択し、「Status」を選択します。「Version」フィールドに、新しいソフトウェア・バージョンである12.2.0.0.0が表示されていることを確認します。

12.8.5 ステップ4: エンドポイント・ソフトウェアのアップグレード

エンドポイント・ソフトウェアをアップグレードする手順:

1. ステップ1の説明に従ってKey Vaultサーバーをアップグレードしたことを確認します。直接接続用に構成された、Oracle Databaseのためのエンドポイント・ソフトウェアをアップグレードする場合は、データベースを停止します。

2. 次のように、Oracle Key Vaultサーバーから、プラットフォームに適したエンドポイント・ソフトウェア(okvclient.jar)をダウンロードします。

   1. Oracle Key Vault管理コンソールのログイン画面に移動します。

   2. 「Endpoint Enrollment and Software Download」リンクをクリックします。

   3. 「Download Endpoint Software」セクションに移動し、ドロップ・ダウン・リストから適切なプラットフォームを選択します。

   4. 「Download」ボタンをクリックします。

3. アップグレード対象となる、既存のエンドポイントのインストールへのパスを指定します。たとえば、/home/oracle/okvutilとします。

4. 次のコマンドを実行して、エンドポイント・ソフトウェアをインストールします。

   java -jar okvclient.jar -d <path to the existing endpoint directory>

   たとえば、java -jar okvclient.jar -d /home/oracle/okvutilとします。

5. UNIXプラットフォームでは、エンドポイントのインストール・ディレクトリのbinディレクトリから、root.shを実行して、Oracle Databaseエンドポイントの最新のliborapkcs.soファイルをコピーします。Windowsプラットフォームでは、エンドポイントのインストール・ディレクトリのbinディレクトリから、root.batを実行して、Oracle Databaseエンドポイントの最新のliborapkcs.dllファイルをコピーします。このステップは、Oracle Key VaultによるオンラインTDEマスター・キーの管理のためにのみ必要です。次に例を示します。

   $ sudo ./$OKV_HOME/bin/root.sh
   

   bin\root.bat

   または

   $ su -
   # bin/root.sh
   

   Windowsプラットフォームでroot.batを実行すると、使用中のRDBMSのバージョンを要求されます。

6. ステップ1でエンドポイントを停止した場合は、再起動します。

12.8.6 ステップ5: アップグレード直後のサーバーのバックアップ

アップグレードが正常に完了した後、次のタスクを実行する必要があります。

• アップグレード済のOracle Key Vaultサーバー・データベースのフル・バックアップを新しいリモート宛先に取得します。新しいバックアップのために、古いバックアップ先を使用することは避けます。

• 前述のステップで定義した新しい宛先への定期的な増分バックアップを新たにスケジュールします。

• バージョン12.1.0.2以降、パスワード・ハッシュがよりセキュアな標準にアップグレードされました。この変更により、オペレーティング・システムのパスワード、サポートおよびルートに影響があります。アップグレードした後、Oracle Key Vaultの管理パスワードを変更していない場合は、よりセキュアなハッシュを活用するために、変更する必要があります。

  パスワード・ハッシュは、Oracle Key Vault 12.1.0.0.0からOracle Key Vault 12.2.0.0.0に直接アップグレードする場合と、Oracle Key Vault 12.1.0.1.0からOracle Key Vault 12.2.0.0.0に直接アップグレードする場合にのみ適用されます。この修正は、Oracle Key Vault 12.1.0.2.0以降に含められました。