22 セキュリティ技術導入ガイド

この項では、セキュリティ技術導入ガイド(STIG)ベースのコンプライアンス標準を使用する方法と、環境に固有の要件に応じてこれらをカスタマイズする方法について説明します。

22.1 セキュリティ技術導入ガイドについて

安全な環境を提供するというオラクル社の取組みに従って、Enterprise Managerは、コンプライアンス標準の形式での複数のセキュリティ技術導入ガイド(STIG)の導入をサポートしています。STIGは、国防総省(DOD)に指示されたセキュリティ要件へのコンプライアンスを確実にするために国防情報システム局(DISA)によって作成されたルール、チェックリストおよびその他のベスト・プラクティスのセットです。

現在使用可能なSTIGベースのコンプライアンス標準は、次のとおりです。

• セキュリティ技術導入ガイド(STIGバージョン1.8) (Oracle Database [リリース1.8]用)

• セキュリティ技術導入ガイド(STIGバージョン1.8) (Oracle Cluster Database [リリース1.8]用)

• セキュリティ技術導入ガイド(STIGバージョン8 リリース1.11) (Oracle Database用)

• セキュリティ技術導入ガイド(STIGバージョン8 リリース1.11) (Oracle Cluster Database用)

• Oracle 12c Database STIG - バージョン1、リリース3 (Oracle Database用)

• Oracle 12c Database STIG - バージョン1、リリース3 (Oracle Cluster Database用)

• Oracle 11.2g Database STIG - バージョン1、リリース6 (Oracle Database用)

• Oracle 11.2g Database STIG - バージョン1、リリース6 (Oracle Cluster Database用)

• セキュリティ技術導入ガイド(STIGバージョン1.1) (Oracle WebLogic Server 12c用)

• セキュリティ技術導入ガイド(STIGバージョン1.2) (Oracle WebLogic Server 12c用)

• Oracle HTTP Server 12.1.3のセキュリティ技術導入ガイド(STIGバージョン1)

STIGの詳細は、Information Assurance Support EnvironmentのWebサイト(http://iase.disa.mil/stigs/Pages/index.aspx)を参照してください。

22.2 STIGコンプライアンス標準ターゲットの関連付け

データベース、WebLogicドメインがSTIGコンプライアンス標準またはその他のサポートされているターゲット・タイプを満たしているかどうかを判断するには、データベースまたはWebLogicドメイン・ターゲットを標準と関連付ける必要があります。

1. 「エンタープライズ」メニューから「コンプライアンス」を選択し、「ライブラリ」を選択します。
2. 「コンプライアンス標準」タブを選択してSTIG標準を検索します。
3. 適切な標準を選択し、「ターゲットの関連付け」をクリックします。4つのターゲット・タイプ(Oracleデータベース、Oracleクラスタ・データベース、Oracle WebLogicドメインおよびOracle HTTP Server)があります。Oracle HTTP Server (OHS)ターゲット・タイプの場合は、管理対象OHSとスタンドアロンOHSの両方がサポートされています。OHS STIG標準は、管理対象OHSターゲットとスタンドアロンOHSターゲットに関連付けることができます。また、OHS STIG標準をOHSリリース12.1.3ターゲットに適用することもできます。
4. 「追加」をクリックして、モニターするデータベースまたはWebLogicドメイン・ターゲットを選択します。セレクタ・ダイアログを閉じると表にターゲットが表示されます。

   注意: WebLogic Server STIGは、JRFが有効なWebLogic 12.1.3ドメインに適用可能です。

5. 「OK」をクリックしてからアソシエーションを保存するか確認します。アソシエーションは、構成拡張"STIG構成"を適切な管理エージェントに内部的にデプロイします。
6. デプロイメント後に構成収集が発生すると、結果を表示できます。「エンタープライズ」メニューから「コンプライアンス」、「ダッシュボード」または「結果」の順に選択します。

22.3 STIGコンプライアンス標準の違反の処理

モニタリング・テンプレート、構成コレクションおよびコンプライアンス間の関係:

WLSおよびOracle HTTP Serverのコンプライアンス標準のSTIGにおけるコンプライアンス標準ルールは、「リポジトリ・ルール」のタイプに該当します。つまり、これに該当する自動化されたルールは、各ルールがEnterprise Managerによって管理リポジトリ内に収集および保存された構成アイテムと照合されるようになります。

既定では、このWLSコンプライアンス標準のSTIGと比較評価する必要のあるWLS構成アイテムは、あらかじめ有効化されています。ただし、管理者は、ターゲットの「メトリックと収集設定」ページ、またはモニタリング・テンプレートによってWLS構成の収集を無効化することもできます。このような収集の無効化は、WLS 12cのSTIGでコンプライアンスを評価するEnterprise Managerの機能に悪影響を及ぼすこともあります。

STIGコンプライアンス標準を処理するオプションは4つあります。

• STIGチェックの推奨に従って違反を修正

• 手動ルール違反のクリア

• 違反の抑止

• コンプライアンス標準および構成拡張のカスタマイズ

22.3.1 STIGチェックの推奨に従って違反を修正

STIGチェックの推奨に従ってサポートされているターゲット・タイプ上のセキュリティ構成を修正することによって違反に対処します。

1. 「エンタープライズ」メニューから「コンプライアンス」を選択し、「結果」を選択します。

2. STIGコンプライアンス標準の行を選択し、「違反の管理」をクリックします。

3. 表のなかでルール違反の行を探し、右端の列の推奨される修正をメモします。

推奨に従って変更を加えた後、Enterprise ManagerでデータベースまたはWebLogicドメイン構成をリフレッシュします。たとえば、データベース・ターゲットについて考えてみます。

1. データベース・ターゲットのホーム・ページに移動します。
2. データベース・メニューから、「構成」、「最新収集」の順に選択します。
3. 右側の「アクション」メニューから「リフレッシュ」を選択します。
4. 「エンタープライズ」メニューから「コンプライアンス」を選択し、「結果」を選択します。データベース・ターゲットに違反が表示されなくなったことを確認します。

22.3.2 手動ルール違反のクリア

自動化できないチェックは、手動ルールとして実装されます。これらのチェックは、管理者がルール説明やSTIGガイドそのものに記載されている手順に従って実行する必要があります。

手動ルールを含むコンプライアンス標準が最初にターゲットに関連付けられると、各手動ルールによって1つの違反が生成されます。これにより、管理者はチェックの正常完了後に違反をクリアできるようになります。プロセス中、操作を実行しているユーザーおよび操作の説明が記録されます。また、ユーザーは有効期限を設定することもでき、この期限になると違反が再生成されます。これにより、コンプライアンスが定期的に再評価されます。

1. 「エンタープライズ」メニューから「コンプライアンス」を選択し、「結果」を選択します。

2. STIGコンプライアンス標準の行を選択し、「違反の管理」をクリックします。

3. 「手動ルール違反」タブを選択します。

4. 1つ以上のルールを選択し、「違反のクリア」をクリックします。

5. 理由および有効期限(オプション)を入力し、「OK」をクリックします。

22.3.3 違反の抑止

違反を抑止すると、結果およびコンプライアンス・スコアの計算から違反が削除されます。抑止されていても、抑止された違反が表示された管理ビューを使用してレポートを作成することはできます。

違反は永続的にも一時的にも抑止できるため、永続的な例外や猶予期間が可能になります。日付を入力するよう選択した場合、基礎となる条件が修正される結果として日付が消去されないかぎり、違反はその日付に再表示されます。

1. 「エンタープライズ」メニューから「コンプライアンス」を選択し、「結果」を選択します。
2. STIGコンプライアンス標準の行を選択し、「違反の管理」をクリックします。
3. 「抑止解除された違反」を選択します。
4. 抑止する違反がリストされた行を選択し、「違反の抑止」ボタンをクリックします。
5. 開いたダイアログで、「無期限」を選択するか、有効期限を選択します。抑止の理由を入力することもできます。「OK」をクリックします。

22.3.4 コンプライアンス標準および構成拡張のカスタマイズ

違反を検出するルールの意図は望ましいが、環境に合うようにそのルールの微調整が必要な場合があります。STIGコンプライアンス標準では、コンプライアンス標準の違反を評価する問合せを表示してカスタマイズすることができます。そのプロセスには次の作業が含まれます。

• 構成拡張のカスタマイズ

• コンプライアンス標準ルールのカスタマイズ

• カスタマイズしたルールを含むコンプライアンス標準の作成

プロセスを示すために、データベース・ルールDG0116 DBMS privileged role assignmentsの問合せを更新するシナリオを想定します。

22.3.4.1 構成拡張のカスタマイズ

STIG構成拡張をカスタマイズするには、次の手順を実行します。

1. 「エンタープライズ」メニューから「構成」を選択し、「構成拡張」を選択します。
2. 適切なSTIG構成表の行(データベース・インスタンスまたはクラスタ・データベース)を選択し、「類似作成」ボタンをクリックします。
3. 拡張に「カスタムSTIG構成」などの新しい名前を指定します。
4. 「ファイルとコマンド」タブで、すべてのコマンド行を選択して「削除」をクリックします。
5. 「SQL」タブで、ルール別名「DG0116 DBMS privileged role assignments」を探します。この上または下にある他のすべての行を削除します。
6. DG0116の問合せを変更して、たとえば「カスタムDG0116 DBMS privileged role assignments」などに別名を変更します。
7. 結果の確認: サンプル・ターゲットを選択して「プレビュー」をクリックします。
8. 違反がもう表示されない場合、「カスタムSTIG構成拡張」を保存します。

22.3.4.2 コンプライアンス標準ルールのカスタマイズ

コンプライアンス標準ルールをカスタマイズするには、次の手順を実行します。

1. 「エンタープライズ」メニューから「コンプライアンス」を選択し、「ライブラリ」を選択します。
2. 「コンプライアンス標準ルール」タブを選択して、エージェント側ルール・タイプのルールDG0116 DBMS privileged role assignmentsを検索します。
3. ルールを選択して「類似作成」ボタンをクリックします。
4. たとえば「カスタムDG0116 DBMS privileged role assignments」などに名前を変更します。「続行」をクリックします。
5. チェック定義ページで、新しいSTIG構成拡張(カスタムSTIG構成拡張)および別名(カスタムDG0116 DBMS privileged role assignments)を選択するために拡大鏡アイコンをクリックします。
6. カスタム構成拡張および別名を選択して「OK」をクリックし、「次」をクリックしてテスト・ページに移動します。
7. ターゲットを選択してコンプライアンス・ルールをテストします。
8. 「次」、「終了」の順にクリックして、新しいコンプライアンス・ルールを作成します。

22.3.4.3 カスタマイズしたルールを含むコンプライアンス標準の作成

新しいルールでコンプライアンス標準を作成するには、次の手順を実行します。

1. 「エンタープライズ」メニューから「コンプライアンス」を選択し、「ライブラリ」を選択します。
2. 「コンプライアンス標準」タブを選択し、エージェント側ルール・タイプのデータベース・インスタンス用のSTIGを検索します。
3. コンプライアンス標準を選択して「類似作成」ボタンをクリックします。
4. 名前を変更します(たとえば、「カスタム・セキュリティ技術導入ガイド」など)。「続行」をクリックします。
5. 左側のペインでOracle Databaseチェック・プロシージャ・フォルダを開き、「DG0116 DBMS privileged role assignments」までスクロール・ダウンします。
6. ルールを右クリックしてポップアップ・メニューから「ルール参照の削除」を選択します。「OK」をクリックして削除を確認します。
7. Oracle Databaseチェック・プロシージャ・フォルダを右クリックして、ポップアップ・メニューから「ルールの追加」を選択します。
8. 表のなかで「カスタムDG0116 DBMS privileged role assignments」の行を探し、「OK」をクリックします。
9. コンプライアンス標準の類似作成ページで、「保存」ボタンをクリックして新しいコンプライアンス標準を作成します。

カスタム・コンプライアンス標準は、ターゲット・データベースと関連付けできるようになりました。詳細は、「STIGコンプライアンス標準ターゲットの関連付け」を参照してください。

22.4 STIGコンプライアンス標準ルール例外

Enterprise Managerのセキュリティ技術導入ガイドの実装では、いくつかの例外があります。次の項に例外を示します。

• Windowsデータベース

• Oracle WebLogicドメイン

• Oracle HTTP Server

22.4.1 Windowsデータベース

Enterprise ManagerのOracle Database用セキュリティ技術導入ガイドの実装では、Windowsデータベースを完全にはサポートしていません。次のルールは、Windowsデータベースでは違反をレポートしません。

• DG0009 DBMSソフトウェア・ライブラリの権限
• DG0019 DBMSソフトウェアの所有権
• DG0012 DBMSソフトウェアの記憶域の場所
• DG0102 DBMSカスタム・アカウント専用のサービス
• DO0120 Oracleアカウント・ホスト・システムの権限の処理
• DO0145 Oracle SYSDBA OSグループ・メンバーシップ
• DG0152 DBMSネットワーク・ポート、プロトコルおよびサービス(PPS)の使用
• DG0179 DBMS警告バナー
• DO0286 Oracle接続タイムアウト・パラメータ
• DO0287 Oracle SQLNET.EXPIRE_TIMEパラメータ
• DO6740 OracleリスナーADMIN_RESTRICTIONSパラメータ
• DO6746 Oracleリスナーホスト参照
• DO6751 SQLNET.ALLOWED_LOGON_VERSION

22.4.2 Oracle WebLogicドメイン

Enterprise Managerのセキュリティ技術導入ガイド(STIGバージョン1.1)およびOracle WebLogic Server 12c用セキュリティ技術導入ガイド(STIGバージョン1.2)の実装は、完全には自動化されていません。

次のルールは、常に違反をレポートし、手動で検証する必要があります。

• WBLC-01-000013 WebLogicセキュリティ関連情報の監査
• WBLC-01-000014 WebLogicネットワーク・プロトコルの無効化
• WBLC-01-000018 WebLogicアカウント作成の監査
• WBLC-01-000019 WebLogicアカウント変更の監査
• WBLC-01-000030 WebLogic優先アクティビティのログ
• WBLC-01-000032 WebLogic無効な連続アクセス試行
• WBLC-01-000033 WebLogic無効なユーザー・アクセス施行
• WBLC-01-000034 WebLogicユーザー・アカウントのロック
• WBLC-02-000069 WebLogic DoD選択監査レコードのログ
• WBLC-02-000073 WebLogic HTTPDイベントのログ
• WBLC-02-000074 WebLogic JVMイベントのログ
• WBLC-02-000075 WebLogic重大度レベルのログ
• WBLC-02-000083 WebLogic監査失敗イベントのアラート
• WBLC-02-000084 WebLogic監査処理失敗のアラート
• WBLC-02-000086 WebLogic監査処理失敗の通知
• WBLC-02-000093 WebLogic監査レコードのシステム・クロックの使用
• WBLC-02-000094 WebLogicシステム・クロックの同期
• WBLC-02-000095 WebLogic不正な監査情報読取りアクセスの保護
• WBLC-02-000098 WebLogic不正な監査ツール・アクセスの保護
• WBLC-02-000099 WebLogic不正な監査ツール変更の保護
• WBLC-02-000100 WebLogic不正な監査ツール削除の保護
• WBLC-03-000125 WebLogicソフトウェア・ライブラリの権限の制限
• WBLC-03-000127 WebLogic必要な機能の有効化
• WBLC-03-000128 WebLogic不正なアイテムの使用の制限
• WBLC-05-000150 WebLogicユーザーの識別および認証
• WBLC-05-000153 WebLogicユーザーの個別の認証
• WBLC-05-000168 WebLogic認証用のパスワードの暗号化
• WBLC-05-000169 WebLogic認証用のLDAP暗号化
• WBLC-05-000174 WebLogicユーザー・アカウントのPKIベース認証
• WBLC-05-000176 WebLogic構成のFIPS準拠の暗号化
• WBLC-05-000177 WebLogicユーザーおよびプロセスのFIPS準拠の暗号化
• WBLC-08-000214 WebLogicコンパートメント化された機密のNSAで承認された暗号化
• WBLC-08-000218 WebLogicパブリック情報の保護
• WBLC-08-000222 WebLogicホスト・アプリケーションの分離
• WBLC-08-000236 WebLogicサービス拒否
• WBLC-08-000237 WebLogicリソースの優先度付け
• WBLC-08-000238 WebLogic障害の保護
• WBLC-09-000252 WebLogicセキュリティ関連エラー
• WBLC-09-000253 WebLogicメッセージ修正処理のログ
• WBLC-09-000254 WebLogicメッセージ制限アクセスのログ
• WBLC-09-000257 WebLogic担当者の対応の通知
• WBLC-10-000270 WebLogicサブシステム障害通知の監査
• WBLC-10-000271 WebLogic集中管理されたエンタープライズ・ツール
• WBLC-10-000272 WebLogic多元的なユーザー認証

22.4.3 Oracle HTTP Server

Enterprise ManagerのOracle HTTP Server 12.1.3用セキュリティ技術導入ガイド(STIGバージョン1)の実装は、完全には自動化されていません。

次のルールは、常に違反をレポートし、手動で検証する必要があります。

• OH12-1X-000225 Webコンテンツ・ディレクトリ・ツリーでのシンボリック・リンクの不使用
• OH12-1X-000226 OHSセキュア管理
• OH12-1X-000266 OHSアカウント検証

Enterprise ManagerのOHS 12.1.3用STIGバージョン1のコンプライアンス標準には、DISAから公開されたOHS 12.1.3用STIGバージョン1のCAT Iレベル・ルールが含まれます。CAT IIおよびCAT IIIルールはコンプライアンス標準に含まれていないため、Enterprise Manager Cloud Controlの外部で追跡する必要があります。DISAから公開されたOHS 12.1.3用STIGバージョン1の全ルールの完全なリストは、http://iase.disa.mil/stigs/app-security/web-servers/Pages/index.aspxを参照してください。

22.5 Oracle Database STIGコンプライアンス標準のガイドからの変更点

Enterprise ManagerのOracle Database 11g STIGおよび12c STIGの実装は、チェックリストとは少し異なっています。変更された点は、エラー修正、チェックの機能強化(追加のデフォルト・ユーザー)、手動チェックを指定できる自動スクリプトなどです。変更内容を確認および理解して、それらを環境で受容できるか確認することが重要です。受容できない場合は、要件に合うように前述のカスタマイズ手順に従ってください。変更の詳細は、オラクル社によって強化されたセキュリティ技術導入ガイドライン(STIG)ルールを参照してください。

注意:

Oracle WebLogic Server 12c用セキュリティ技術導入ガイド(STIGバージョン1.1)、Oracle WebLogic Server 12c用セキュリティ技術導入ガイド(STIGバージョン1.2)、およびOracle HTTP Server 12.1.3用セキュリティ技術導入ガイド(STIGバージョン1)のコンプライアンス標準に変更や逸脱はありません。

表22-1 Oracle Database 12c, バージョン1, リリース3 STIGSとの相違点

STIG ID	Oracleの変更内容
SV-75899r1_rule	従来システムまたは統合システムを使用して監査が有効化されているかをチェックするためにルール問合せを結合しました。監査データが少なくとも1年間保持されているか手動でチェックする必要があります。
SV-75903r1_rule	インスタンス名にバージョン番号が含まれているかをチェックするために、さらに詳細な問合せを用意しました。
SV-75905r1_rule	dba_repcatalogにレコードがある場合にのみ違反としてdb_linkを返すようにルール問合せを結合しました。
SV-75907r1_rule	各ファイルが別々のRAIDデバイスにあるか手動でチェックする必要があります。
SV-75909r1_rule	違反を取得するためのより厳しい問合せを使用しました。RAIDデバイスが使用されているか手動でチェックする必要があります。
SV-75923r1_rule	デフォルトのユーザー/ロールを問合せに追加しました - 'APEX_030200'、'APEX_040200'、'DVSYS'、'SYSKM'および'DV_ACCTMGR'。
SV-75927r1_rule	デフォルトのユーザー/ロールを問合せに追加しました - 'DBA'、'DV_ACCTMGR'、'DV_OWNER'、'RECOVERY_CATALOG_OWNER'、'SPATIAL_CSW_ADMIN_USR'および'SPATIAL_WFS_ADMIN_USR'。
SV-75931r2_rule	オラクル社がスクリプトを提供しました。
SV-75937r2_rule	オラクル社がスクリプトを提供しました。
SV-75945r1_rule	必須ではないアプリケーション・ユーザー権限の割当てを分析するために権限分析ポリシーが定義/実行されているかをチェックする問合せを追加しました。
SV-75947r1_rule	従来システムまたは統合システムを使用して監査が有効化されているかをチェックするためにルール問合せを結合しました。
SV-75951r1_rule	デモ・アカウント - 'HR'、'OE'、'PM'、'IX'、'SH'および'SCOTT'を含めるように問合せを変更しました。
SV-75953r1_rule	オラクル社がスクリプトを提供しました。
SV-75957r1_rule	リストにないデフォルトのユーザー/ロールを追加するように問合せを変更しました。
SV-76001r1_rule	オラクル社がスクリプトを提供しました。
SV-76017r1_rule	ルール問合せを結合しました。
SV-76021r2_rule	オラクル社がスクリプトを提供しました。
SV-76023r1_rule	オラクル社がスクリプトを提供しました。
SV-76025r1_rule	オラクル社がスクリプトを提供しました。
SV-76035r1_rule	オラクル社がスクリプトを提供しました。
SV-76037r1_rule	オラクル社がスクリプトを提供しました。
SV-76039r1_rule	オラクル社がスクリプトを提供しました。
SV-76041r1_rule	オラクル社がスクリプトを提供しました。
SV-76043r1_rule	従来システムまたは統合システムを使用して監査が有効化されているかをチェックするためにルール問合せを結合しました。セキュリティ情報にアクセスしているリモート・セッションが監査されているか手動でチェックする必要があります。
SV-76045r1_rule	オラクル社がスクリプトを提供しました。
SV-76051r1_rule	オラクル社が問合せを追加しました。
SV-76053r1_rule	オラクル社が問合せを追加しました。
SV-76055r1_rule	従来システムまたは統合システムを使用して監査が有効化されているか、およびアカウントの作成が監査されているかをチェックするためにルール問合せを結合しました。
SV-76059r1_rule	従来システムまたは統合システムを使用して監査が有効化されているか、およびアカウントの変更が監査されているかをチェックするためにルール問合せを結合しました。
SV-76061r1_rule	従来システムまたは統合システムを使用して監査が有効化されているかをチェックするためにルール問合せを結合しました。アカウントの無効化が監査されているか手動でチェックする必要があります。
SV-76063r1_rule	従来システムまたは統合システムを使用して監査が有効化されているか、およびアカウントの終了が監査されているかをチェックするためにルール問合せを結合しました。
SV-76081r1_rule	オラクル社が問合せを追加しました。
SV-76085r1_rule	従来システムまたは統合システムを使用して監査が有効化されているかをチェックするためにルール問合せを結合しました。特権アカウントのすべての使用が監査されているか手動でチェックする必要があります。
SV-76093r1_rule	オラクル社が問合せを追加しました。
SV-76095r1_rule	オラクル社が問合せを追加しました。
SV-76097r1_rule	オラクル社が問合せを追加しました。
SV-76099r1_rule	オラクル社がスクリプトを提供しました。
SV-76101r1_rule	オラクル社がスクリプトを提供しました。
SV-76103r1_rule	オラクル社が問合せを追加しました。
SV-76105r1_rule	オラクル社が問合せを追加しました。
SV-76111r1_rule	従来システムまたは統合システムを使用して監査が有効化されているかをチェックするためにルール問合せを結合しました。
SV-76115r1_rule	従来システムまたは統合システムを使用して監査が有効化されているかをチェックするためにルール問合せを結合しました。
SV-76117r1_rule	従来システムまたは統合システムを使用して監査が有効化されているかをチェックするためにルール問合せを結合しました。
SV-76121r1_rule	従来システムまたは統合システムを使用して監査が有効化されているかをチェックするためにルール問合せを結合しました。
SV-76123r1_rule	従来システムまたは統合システムを使用して監査が有効化されているかをチェックするためにルール問合せを結合しました。
SV-76125r1_rule	従来システムまたは統合システムを使用して監査が有効化されているかをチェックするためにルール問合せを結合しました。
SV-76127r1_rule	従来システムまたは統合システムを使用して監査が有効化されているかをチェックするためにルール問合せを結合しました。
SV-76129r1_rule	従来システムまたは統合システムを使用して監査が有効化されているかをチェックするためにルール問合せを結合しました。
SV-76131r1_rule	従来システムまたは統合システムを使用して監査が有効化されているかをチェックするためにルール問合せを結合しました。
SV-76143r2_rule	オラクル社が問合せを追加しました。
SV-76145r1_rule	オラクル社が問合せを追加しました。
SV-76147r1_rule	オラクル社が問合せを追加しました。
SV-76157r1_rule	オラクル社が問合せを追加しました。
SV-76159r1_rule	監査レコードが保護されているかをチェックするためにルール問合せを結合しました。
SV-76161r1_rule	オラクル社がスクリプトを提供しました。
SV-76163r1_rule	オラクル社が問合せを追加しました。
SV-76167r1_rule	オラクル社が問合せを追加しました。
SV-76173r1_rule	追加されている特殊文字が原因で問合せが正常に実行できないため、手動で操作するようにしました。
SV-76175r1_rule	オラクル社がスクリプトを提供しました。
SV-76181r1_rule	オラクル社が問合せを追加しました。
SV-76193r1_rule	オラクル社がスクリプトを提供しました。
SV-76195r1_rule	オラクル社がスクリプトを提供しました。
SV-76197r1_rule	オラクル社がスクリプトを提供しました。
SV-76199r1_rule	オラクル社がスクリプトを提供しました。
SV-76203r1_rule	オラクル社がスクリプトを提供しました。
SV-76205r1_rule	オラクル社がスクリプトを提供しました。
SV-76207r1_rule	オラクル社が問合せを追加しました。
SV-76209r1_rule	オラクル社が問合せを追加しました。
SV-76211r2_rule	オラクル社が問合せを追加しました。
SV-76213r1_rule	オラクル社が問合せを追加しました。
SV-76215r1_rule	オラクル社が問合せを追加しました。
SV-76217r1_rule	オラクル社が問合せを追加しました。
SV-76219r1_rule	オラクル社が問合せを追加しました。
SV-76221r1_rule	オラクル社が問合せを追加しました。
SV-76229r1_rule	オラクル社が問合せを追加しました。
SV-76237r1_rule	オラクル社がスクリプトを提供しました。
SV-76245r1_rule	オラクル社が問合せを追加しました。
SV-76247r2_rule	オラクル社が問合せを追加しました。
SV-76249r1_rule	オラクル社がスクリプトを提供しました。
SV-76251r1_rule	オラクル社が問合せを追加しました。
SV-76253r1_rule	オラクル社が問合せを追加しました。
SV-76255r1_rule	オラクル社が問合せを追加しました。
SV-76257r1_rule	オラクル社が問合せを追加しました。
SV-76261r1_rule	'SYSTEM'、'SYSAUX'、'UD1'、'TEMP'、'SYSEXT'および'UNDOTBS'を除外するように問合せを変更しました。
SV-76263r1_rule	'SYSTEM'、'SYSAUX'、'UD1'、'TEMP'、'SYSEXT'および'UNDOTBS'を除外するように問合せを変更しました。
SV-76275r1_rule	オラクル社が問合せを追加しました。
SV-76287r2_rule	従来システムまたは統合システムを使用して監査が有効化されているか、およびアカウントの作成が監査されているかをチェックするために結合しました。通知されているか手動でチェックする必要があります。
SV-76289r2_rule	従来システムまたは統合システムを使用して監査が有効化されているか、およびアカウントの変更が監査されているかをチェックするために結合しました。通知されたか手動でチェックする必要があります。
SV-76291r2_rule	従来システムまたは統合システムを使用して監査が有効化されているか、およびアカウントの無効化が監査されているかをチェックするために結合しました。通知されたか手動でチェックする必要があります。
SV-76293r2_rule	従来システムまたは統合システムを使用して監査が有効化されているか、およびアカウントの終了が監査されているかをチェックするために結合しました。通知されたか手動でチェックする必要があります。
SV-76299r1_rule	oracleのデフォルトのユーザー/ロールを除外するように問合せを変更しました。
SV-76301r1_rule	オラクル社がスクリプトを提供しました。
SV-76307r1_rule	オラクル社が問合せを追加しました。
SV-76309r1_rule	オラクル社が問合せを追加しました。
SV-76339r1_rule	オラクル社が問合せを追加しました。
SV-76365r1_rule	オラクル社がスクリプトを提供しました。
SV-76377r1_rule	オラクル社が問合せを追加しました。
SV-76455r1_rule	オラクル社がスクリプトを提供しました。
SV-76457r1_rule	オラクル社が問合せを追加しました。

表22-2 Oracle Database 11g, V8, R8およびR11 STIGとの相違点

STIG ID	Oracleの変更内容
DG0008	デフォルトのユーザー/ロールを追加しました。
DG0009	オラクル社がスクリプトを提供しました。
DG0012	オラクル社がスクリプトを提供しました。
DG0019	オラクル社がスクリプトを提供しました。
DG0077	デフォルトのユーザー/ロールを追加しました。
DG0079	問合せが間違っています。NULLを文字列'NULL'に置換しました。
DG0091	デフォルト・ユーザーを追加しました。
DG0102	オラクル社がスクリプトを提供しました。
DG0116	デフォルト・ユーザーを追加しました。
DG0117	デフォルト・ユーザーを追加しました。
DG0119	デフォルト・ユーザーを追加しました。
DG0121	デフォルト・ユーザーを追加しました。
DG0123	デフォルト・ユーザーを追加しました。
DG0152	オラクル社がスクリプトを提供しました。
DG0179	オラクル社がスクリプトを提供しました。
DO0120	オラクル社がスクリプトを提供しました。
DO0145	オラクル社がスクリプトを提供しました。
DO0155	デフォルト・ユーザーを追加しました。
DO0221	デフォルト・インスタンス名としてorclを使用しました。
DO0231	デフォルト・ユーザーを追加しました。
DO0250	dba_repcatalogにレコードがある場合にのみ違反としてdb_linkを返すようにルール問合せを結合しました。
DO0270	違反を取得するためのより厳しい問合せを使用しました。
DO0286	オラクル社がスクリプトを提供しました。
DO0287	オラクル社がスクリプトを提供しました。
DO0340	デフォルト・ユーザーを追加しました。
DO0350	デフォルトのユーザー/ロールを追加しました。
DO3536	問合せを結合しました。制限のDEFAULT値を逆参照しました。
DO3609	デフォルトのユーザー/ロールを追加しました。
DO3689	デフォルトのユーザー/ロールを追加しました。
DO6740	オラクル社がスクリプトを提供しました。
DO6746	オラクル社がスクリプトを提供しました。

表22-3 Oracle Database 11gR2, V1リリース2 STIGとの相違点

STIG ID	Oracleの変更内容
SV-66381r1_rule	オラクル社が問合せを実装しました。デフォルト・ユーザーをカウント対象外としました。
SV-66395r1_rule	フィルタとして'SYSTEM'および'DELETE_CATALOG_ROLE'を追加しました。
SV-66401r1_rule	問合せ内の表名を固定しました。チェック対象の権限を追加しました。デフォルト・ユーザーをカウント対象外としました。
SV-66405r1_rule	問合せ内の表名を固定しました。チェック対象の権限を追加しました。デフォルト・ユーザーをカウント対象外としました。
SV-66419r1_rule	STIGドキュメントに間違った問合せがあります。ルールの新しい問合せを準備しました。デフォルト・ユーザーをカウント対象外としました。
SV-66427r1_rule	3つの条件を1つに結合しました。次の場合、問合せで違反が発生します。 audit_trailパラメータがnoneに設定されている場合。 audit_trailがnoneに設定されていて、table_spaceが暗号化されていない場合。
SV-66439r1_rule	デフォルト・ユーザーをカウント対象外としました。
SV-66441r1_rule	デフォルト・プロファイルを参照解除しました。
SV-66459r1_rule	ルールによるデータベース・アーカイブ・ログ・モードのチェックは、"archive log list"コマンドを使用せずにリポジトリ表から行われます。
SV-66485r1_rule	オラクル社が問合せを提供しました。Fix Textからlimit=35を使用しました。
SV-66489r1_rule	オラクル社が問合せを提供しました。Fix Textからlimit=6を使用しました。
SV-66507r1_rule	デフォルト・プロファイルを参照解除しました。
SV-66553r1_rule	オラクル社が問合せを提供しました。
SV-66571r1_rule	オラクル社が問合せを提供しました。Fix Textからlimit=35を使用しました。
SV-66599r1_rule	オラクル社が問合せを提供しました。デフォルト・ユーザーをカウント対象外としました。
SV-66623r1_rule	オラクル社が問合せを提供しました。デフォルト・ユーザーをカウント対象外としました。
SV-66627r1_rule	デフォルト・ユーザーをカウント対象外としました。
SV-66647r1_rule	ドキュメントから問合せを結合しました。デフォルト・ユーザーをカウント対象外としました。
SV-66651r1_rule	ドキュメントから問合せを結合しました。デフォルト・ユーザーをカウント対象外としました。
SV-66657r1_rule	オラクル社がスクリプトを提供しました。
SV-66663r1_rule	SYSTEM表領域のチェックを追加しました。
SV-66665r1_rule	SYSTEM表領域のチェックを追加しました。
SV-66669r1_rule	Oracleではこのルールは常に合格します。
SV-66673r1_rule	Oracleではこのルールは常に合格します。
SV-68205r1_rule	ユーザーはレプリケーションに使用するdb_linksを手動でカウント対象外とする必要があります。
SV-68229r1_rule	デフォルト・ユーザーを追加しました。
SV-68233r1_rule	違反コンテキストの改良のために、問合せで追加の列を選択しました。
SV-68235r1_rule	デフォルト・ユーザーを追加しました。
SV-68241r1_rule	違反コンテキストの改良のために、問合せで追加の列を選択しました。
SV-68249r1_rule	デフォルト・ユーザーを追加しました。
SV-68257r1_rule	デフォルト・ユーザーを追加しました。
SV-68283r1_rule	オラクル社がスクリプトを提供しました。
SV-66431r1_rule	問合せでsys.v$parameterではなくv$parameterを使用します。

22.6 Oracle WebLogic STIGコンプライアンス標準

Enterprise ManagerのOracle WebLogic Server 12c用セキュリティ技術導入ガイド(STIGバージョン1.1)およびOracle WebLogic Server 12c用セキュリティ技術導入ガイド(STIGバージョン1.2)の実装には、自動化されたルールが含まれます。これらのルールでは、WebLogic構成設定を確認し、違反を生成します。実装されたルールを確認および理解して、それらを環境で受容できるか確認することが重要です。

Enterprise ManagerのOHS 12.1.3用STIGバージョン1のコンプライアンス標準には、DISAから公開されたOHS 12.1.3用STIGバージョン1のCAT Iレベル・ルールが含まれます。CAT IIおよびCAT IIIルールはコンプライアンス標準に含まれていないため、Enterprise Manager Cloud Controlの外部で追跡する必要があります。DISAから公開されたOHS 12.1.3用STIGバージョン1の全ルールの完全なリストは、http://iase.disa.mil/stigs/app-security/web-servers/Pages/index.aspxを参照してください。

• WBLC-01-000009 WebLogicリモート管理セッションの暗号
• WBLC-01-000010 WebLogicリモート・セッションの暗号化
• WBLC-01-000011 WebLogicリモート・セッションのモニターおよび制御
• WBLC-02-000062 WebLogic特定のユーザー・アクションのログ
• WBLC-02-000065 WebLogic複数のコンポーネントの監査レコードのログ
• WBLC-02-000076 WebLogicイベント時間のログ
• WBLC-02-000077 WebLogicイベント原因のログ
• WBLC-02-000078 WebLogicプロセス・ソースのログ
• WBLC-02-000079 WebLogic結果インジケータのログ
• WBLC-02-000080 WebLogicアイデンティティ情報のログ
• WBLC-02-000081 WebLogic監査レコード・コンテンツのログ
• WBLC-03-000129 WebLogicプログラム実行の防止
• WBLC-05-000160 WebLogicパスワードで使用する最小パスワード長
• WBLC-05-000162 WebLogicパスワードで使用する大文字
• WBLC-05-000163 WebLogicパスワードで使用する小文字
• WBLC-05-000164 WebLogicパスワードで使用する数字
• WBLC-05-000165 WebLogicパスワードで使用する特殊文字
• WBLC-05-000172 WebLogicトラスト・アンカーを使用したPKIベース認証
• WBLC-06-000190 WebLogic暗号化メンテナンスおよび診断通信
• WBLC-06-000191 WebLogicセキュアなメンテナンスおよび診断セッション
• WBLC-08-000210 WebLogicセッションの非アクティブのタイムアウト
• WBLC-08-000211 WebLogic信頼通信パス
• WBLC-08-000223 WebLogicセッションの認証
• WBLC-08-000224 WebLogicセッションの脆弱性
• WBLC-08-000229 WebLogic安全でない状態
• WBLC-08-000231 WebLogicアプリケーションの機密性
• WBLC-08-000235 WebLogicアプリケーションのデータ整合性
• WBLC-08-000239 WebLogicセキュアな暗号化メカニズム

22.7 Oracle HTTP Server STIGコンプライアンス標準

Enterprise ManagerのOracle HTTP Server 12.1.3用セキュリティ技術導入ガイド(STIGバージョン1)の実装には、自動化されたルールが含まれます。これらのルールはOracle HTTP Server構成設定を確認し、違反を生成します。実装されたルールを確認および理解して、それらを環境で受容できるか確認することが重要です。

• OH12-1X-000007 LoadModule ossl_moduleディレクティブの有効化によるリモート接続の暗号化
• OH12-1X-000008 SSLFIPSディレクティブの有効化によるリモート接続の暗号化
• OH12-1X-000010 SSLCipherSuiteディレクティブの有効化によるリモート接続の暗号化
• OH12-1X-000011 LoadModule ossl_moduleディレクティブの有効化によるリモート・セッションの整合性の保護
• OH12-1X-000012 SSLFIPSディレクティブの有効化によるリモート・セッションの整合性の保護
• OH12-1X-000013 SSLEngine、SSLProtocolおよびSSLWalletの有効化と構成によるリモート・セッションの整合性の保護
• OH12-1X-000014 SSLCipherSuiteディレクティブの有効化によるリモート・セッションの整合性の保護
• OH12-1X-000211 ベンダーがサポートするOHSバージョン
• OH12-1X-000234 mod_plsqlディレクティブのPlsqlDatabasePasswordの不明瞭化
• OH12-1X-000240 LoadModule ossl_moduleディレクティブの有効化による送信時のパスワードの暗号化
• OH12-1X-000241 SSLFIPSディレクティブの有効化による送信時のパスワードの暗号化
• OH12-1X-000242 SSLEngine、SSLProtocolおよびSSLWalletの有効化と構成によるパスワードの暗号化
• OH12-1X-000243 SSLCipherSuiteディレクティブの有効化による送信時のパスワードの暗号化
• OH12-1X-000294 LoadModule ossl_moduleディレクティブの有効化による暗号化保護の実装
• OH12-1X-000295 SSLFIPSディレクティブの有効化による暗号化保護の実装
• OH12-1X-000296 SSLEngine、SSLProtocolおよびSSLWalletの有効化と構成による暗号化保護の実装
• OH12-1X-000297 SSLCipherSuiteディレクティブの有効化による暗号化保護の実装
• OH12-1X-000308 LoadModule ossl_moduleディレクティブの有効化による無許可な情報公開の防止
• OH12-1X-000309 SSLFIPSの有効化による無許可な情報公開の防止
• OH12-1X-000310 SSLEngine、SSLProtocolおよびSSLWalletの有効化と構成による無許可な情報公開の防止。
• OH12-1X-000311 SSLCipherSuiteディレクティブの有効化による送信時の無許可な情報公開の防止