8 管理イベントおよびランタイム・イベントの監査

Oracle Fusion Middlewareでは、監査とは、管理イベント、認証イベントおよびランタイム・イベントに関連する特定の情報を確認するために収集するプロセスのことを指します。監査は、ポリシーへの準拠、ユーザー・アクセス制御およびリスク管理手順の評価を支援するもので、"誰が、いつ、何を"という質問に対する説明責任と答えの手段を提供します。

監査データは、ダッシュボードの作成、履歴データの集計、およびリスクの評価に使用できます。記録された監査データを分析すれば、コンプライアンス担当者がコンプライアンス方針を定期的に確認できます。(監査データの分析と使用についてはこの章では取り上げません。)

次の各トピックでは、Oracle Access Managementサービスで監査可能な管理イベントおよびランタイム・イベントと、一般的な監査設定の構成および監査構成の検証について説明します。

8.1 Oracle Fusion Middleware監査の概要

監査は、説明責任の手段を提供し、誰がいつ何を行ったかというデータを記録します。

『Oracle Platform Security Servicesによるアプリケーションの保護』の次の各トピックに関する項を確認し、Oracle Fusion Middlewareの監査および監査フレームワークについて理解してください。

ノート:

アイデンティティ・コンテキストの監査に関連する固有または個別の事項はありません。特に明記しないかぎり、情報はOracle Access Managementサービスすべてに対して同一です。

8.2 Oracle Access Management監査

現在では多くのビジネスにおいて、アイデンティティ情報や、アプリケーションおよびデバイスへのユーザー・アクセスを監査できることが求められます。

コンプライアンス監査は、企業が法的要件を満たしていることを確認する助けとなります - 例としては、Sarbanes-Oxley ActやHealth Insurance Portability and Accountability Act (HIPAA)の2つがあげられます。

ここでは、次のトピックについて説明します。

8.2.1 Oracle Access Management監査の理解

Oracle Access Managementでは、Oracle Fusion Middlewareの共通監査フレームワークを使用し、大量のユーザー認証ランタイム・イベントおよび認可ランタイム・イベントと、管理イベント(システムへの変更)の監査を支援します。Oracle Fusion Middlewareの共通監査フレームワークを使用すれば、ロギングと例外を一様な形で取り扱い、すべての監査イベントの診断を行うことができます。

監査は、Oracle Access Managementコンソールを使用して設定される構成パラメータに基づいており、1人のユーザーまたは一連のユーザーに対してデータ・キャプチャが有効になります。監査機能は有効または無効のどちらに設定しておくことも可能ですが、本番環境では有効にしておくのが普通です。監査データは、集中管理された1つのOracle Databaseインスタンスや、バスストップ・ファイルと呼ばれるフラット・ファイルに書き込むことができます。

ノート:

Oracle Fusion Middleware共通監査フレームワークのデータベース監査ストアは、Access Managerポリシーやセッション・データを含まず、Oracle Access Managementコンソールからは構成されません。

監査によるパフォーマンスへの影響は最小限に抑えられており、監査によって得られた情報は有用です(業務に不可欠な場合もあります)。監査ログ・ファイルは、監査フレームワークが正常に機能しない場合に監査管理者がエラーを追跡したり問題を診断したりする助けとなります。

8.2.2 Oracle Access Managementの監査構成について

管理者は、Oracle Access Managementコンソールを使用して一定の監査パラメータを制御します。

その他の監査構成は、共通管理フレームワークを通じて設定する必要があります。

ノート:

変更には、Oracle Access ManagementコンソールまたはWebLogic Scripting Tool (WLST)コマンドのみを使用することをお薦めします。「OAM構成の更新」を参照してください

イベント構成(レベルへのイベントのマッピング)は、component_events.xmlファイルで発生します。監査レコードには、特定の要件を満たすために構成できるアイテムのシーケンスが含まれます。

Oracle Access Managementコンソール内では、ログ・ファイルとログ・ディレクトリの最大サイズを設定できます。監査ポリシー(フィルタ・プリセットと呼ばれます)は、特定のコンポーネントについて監査フレームワークによって取得されるイベントのタイプを宣言します。

Fusion Middleware Controlを使用して監査ポリシーを構成することはできません。Oracle Access Managementは、監査構成でJPSインフラストラクチャを使用しません。監査用のWebLogic Scripting Tool (WLST)コマンドはありません。

関連項目:

8.2.3 監査記録の保存について

監査データは、集中管理された1つのOracle Databaseインスタンスや、バスストップ・ファイルと呼ばれるフラット・ファイルに書き込むことができます。監査データはデフォルトでこのファイルに記録されますが、管理者は、監査データをデータベースに記録するように構成を変更できます。書式は異なりますが、監査データの内容はフラット・ファイルの場合もデータベースの場合も同じです。

  • 監査バスストップ: 監査データ・レコードが監査データ・ストアにプッシュされる前に格納されるローカル・ファイルです。監査データ・ストアが構成されていない場合、監査データはこれらのバスストップ・ファイルに残ります。バスストップ・ファイルは、問い合せて特定の監査イベントを簡単に見つけることができるシンプルなテキスト・ファイルです。監査データ・ストアが配備されている場合、バスストップはコンポーネントと監査データ・ストア間の中間的な場所として機能します。これらのローカル・ファイルは、構成可能な時間間隔に基づいて、監査データ・ストアに定期的にアップロードされます。

    Javaコンポーネント用のバスストップ・ファイルは、次の場所にあります。

    $DOMAIN_HOME/servers/$SERVER_NAME/logs/auditlogs/OAM/audit.log

    システム・コンポーネント用のバスストップ・ファイルは、次の場所にあります。

    $ORACLE_INSTANCE/auditlogs/OAM/oam_server1/audit.log

  • データベース・ロギング: Oracle Fusion Middlewareの全製品について共通監査フレームワークを実行します。その利点は、プラットフォーム・レベルで監査機能が共通化されることです。

  • データベース監査ストア: 本番環境においては、共通監査フレームワークのスケーラビリティと高可用性を実現するために、データベース監査ストアを使用することをお薦めします。監査データ・ストアの主な利点は、複数のコンポーネントの監査データ(すべてのミドルウェア・コンポーネントやインスタンスにおける認証失敗など)をレポート内で関係付けて結合できる点です。監査データは累積され、時間とともに大きくなるため、監査データ専用のスタンドアロンRDBMSデータベースとし、他のアプリケーションには使用されないようにすることが理想的です。

    ノート:

    本番環境において望ましいモードは、監査データ専用のスタンドアロンRDBMSデータベースに監査記録を書き込むことです。

    監査記録用の恒久的ストアとしてのデータベースに切り替えるには、まず、リポジトリ作成ユーティリティ(RCU)を使用して監査データ用のデータベース・スキーマを作成する必要があります。RCUは、データベースに監査記録を格納するために必要なスキーマを使用して、そのデータベース・ストアをシードします。スキーマ作成後にデータベース監査ストアを構成するには次の操作が必要です。

    • 作成した監査スキーマを参照するデータ・ソースの作成

    • そのデータ・ソースを参照する監査ストアの設定

    前述のとおり、Oracle Fusion Middleware監査フレームワーク・スキーマはRCUによって提供されます。

    図8-1は、サポート対象データベースを使用した監査アーキテクチャの簡略図です。

    図8-1 データベースによる監査アーキテクチャ

    図8-1の説明が続きます
    「図8-1 データベースによる監査アーキテクチャ」の説明

    関連項目:

    独立した監査ローダー・プロセスがフラット・ログ・ファイルを読み込んで、Oracleデータベースのログ表にレコードを挿入します。管理者は、監査ストアを使用することにより、Oracle Business Intelligence Publisherのそのまますぐに使用できる各種レポートを使用して監査データを公開できます。

8.2.4 監査レポートとBusiness Intelligence Publisherについて

Oracle Access ManagementをOracle Business Intelligence Publisherと統合すると、Oracle Business Intelligence Publisherからあらかじめ設定された一連のコンプライアンス・レポートが提供され、このレポートを介してデータベース監査ストアのデータが公開されます。これらのレポートを使用すれば、ユーザー名、時間範囲、アプリケーション・タイプ、実行コンテキスト識別子(ECID)などの様々な基準に基づいて、監査データをドリルダウンできます。

Oracle Access Managementには、そのまますぐに使用できるサンプル監査レポートがいくつか用意されており、これらのレポートにはOracle Business Intelligence Publisherでアクセスできます。また、Oracle Business Intelligence Publisherを使用してユーザー固有のカスタム監査レポートを作成することもできます。

8.2.5 Oracle BI Enterprise Edition (Oracle BI EE)

Oracle BI Enterprise Edition (Oracle BI EE)は包括的な一連のエンタープライズ・ビジネス・インテリジェンス・ツールおよびインフラストラクチャであり、拡張性のある効率的な問合せおよび分析サーバー、非定型の問合せおよび分析ツール、インタラクティブ・ダッシュボード、プロアクティブ・インテリジェンスとアラート、リアルタイム予測インテリジェンス、エンタープライズ・レポート・エンジンなどが含まれます。

Oracle BI EEのコンポーネントは、共通のサービス指向アーキテクチャ、データ・アクセス・サービス、分析および計算インフラストラクチャ、メタデータ管理サービス、意味的ビジネス・モデル、セキュリティ・モデルやユーザー・プリファレンスおよび管理ツールを共有します。Oracle BI EEは、各データ・ソース向けに最適化された分析生成、最適化されたデータ・アクセス、高度な計算、インテリジェント・キャッシュ・サービスおよびクラスタリングにより、スケーラビリティとパフォーマンスを提供します。

関連項目:

『Oracle Platform Security Servicesによるアプリケーションの保護』「監査分析と監査レポートの使用」

Oracle Access Managementの監査レポートとともに使用するためにOracle BI EEの準備が必要な場合があります。

「Oracle Business Intelligence Publisher EEの準備」を参照してください。

Oracle BI EEのレポートには、データ・フィールドと一目で内容が理解できるラベルの列挙フィールドが含まれています。このレポートの内容については、表8-1に示します(My Oracle Supportのナレッジ・ベース・ドキュメントID 1495333.1からの引用)。

表8-1 Oracle Business Intelligence Enterprise EditionのOAMに関するレポート

レポートのタイプ 説明

アカウント管理

ユーザーID | タイムスタンプ | コンポーネント/アプリケーション名 | イベント詳細

Authentication_Statistics

Authentication_statistics

失敗 | ユーザーID | イベント数

AuthenticationFromIPByUser

IPアドレス | 個々のユーザー数 | 合計試行回数 | ユーザー

AuthenticationPerIP

IPアドレス | 個々のユーザー | 合計試行回数

AuthenticationStatisticsPerServer

サーバー・インスタンス名 | 成功件数 | 失敗件数

Errors_and_Exceptions

All_Errors_and_Exceptions

ユーザーID | タイムスタンプ | コンポーネント/アプリケーション名 | クライアントIPアドレス | メッセージ・イベント | イベント詳細

Authentication_Failures

ユーザーID | タイムスタンプ | コンポーネント/アプリケーション名 | クライアントIPアドレス | 認証方式 | メッセージ・イベント詳細 | Authorization_Failures

Users_Activities

Authentication_History

ユーザーID | タイムスタンプ | コンポーネント/アプリケーション名 | クライアントIPアドレス | 認証方式 | メッセージ・イベント詳細 | Authorization_Failures

Multiple_Logins_From_Same_IP

IPアドレス | 使用ユーザー名

次のトピックを参照してください。

8.2.6 監査ログとデータについて

監査ログ・ファイルは、監査フレームワークが正常に機能しない場合に監査管理者がエラーを追跡したり問題を診断したりする助けとなります。監査ログ・ファイルには、Date、Time、Initiator、EventType、EventStatus、MessageText、ECID、RID ContextFields、SessionId、TargetComponentType、ApplicationName、EventCategoryなどを含む(これだけとはかぎりません)いくつかのフィールドが記録されます。

関連項目:

『Oracle Platform Security Servicesによるアプリケーションの保護』「監査の管理」

8.3 監査可能なAccess Managerイベント

Oracle Access Managementでは、Oracle Fusion Middlewareの共通監査フレームワークを使用し、大量のユーザー認証ランタイム・イベントおよび認可ランタイム・イベントと、管理イベントの監査を支援します。

次の各トピックでは、Access Managerイベントの監査方法について説明します。

関連項目:

8.3.1 監査可能なAccess Manager管理イベント

管理イベントとは、Oracle Access Managementコンソール使用時に作成されるイベントです。

監査可能なAccess Manager固有の管理イベントと、これらのイベントで取得される内容の詳細を表8-2に示します。これらのイベントの定義と構成は、Oracle Platform Security Servicesの監査サービスの一部として実行されます。

ノート:

「監査構成」セクションでフィルタ・プリセットを選択することによって、記録される情報の量とタイプが制御されます。各フィルタ・プリセットの監査可能イベントは、読取専用のcomponent_events.xmlファイル内に指定されています。このファイルをカスタマイズしたり編集したりすることはできません。

表8-3に、取得される詳細を示します。

表8-2 Access Manager管理監査イベント

管理イベント 含まれるイベント・データ

Oracle Access Managementコンソールのログインの成功/失敗

  • ユーザー名

  • リモートIP

  • ロール

認証ポリシーの作成

  • ポリシー名

  • 認証スキームの詳細

  • リソースの詳細

  • ポリシー・タイプ(認証または認可)

認証ポリシーの変更

  • ポリシー名

  • 認証スキームの詳細

  • リソースの詳細

  • ポリシー・タイプ(認証または認可)

  • 古いポリシー名

  • 古い認証スキームの詳細

  • 古いリソースの詳細

認証ポリシーの削除

  • ポリシー名

  • 認証スキームの詳細

  • リソースの詳細

  • ポリシー・タイプ(認証または認可)

リソースの作成

  • リソース名

  • URI

  • 操作

  • リソース・タイプ

リソースの変更

  • リソース名

  • URI

  • 操作

  • リソース・タイプ

  • 古いリソース名

  • 古いURI

  • 古い操作

リソースの削除

  • リソース名

  • URI

  • 操作

  • リソース・タイプ

認証スキームの作成

  • スキーム名

  • 認証モジュール

  • レベル

認証スキームの変更

  • スキーム名

  • 認証モジュール

  • レベル

  • 古いスキーム名

  • 古い認証モジュール

  • 古いレベル

認証スキームの削除

  • スキーム名

  • 認証モジュール

  • レベル

レスポンスの作成

  • レスポンス名

  • レスポンス・キー

  • データ・ソース

  • レスポンス・タイプ

レスポンスの変更

  • レスポンス名

  • レスポンス・キー

  • データ・ソース

  • レスポンス・タイプ

  • 古いレスポンス名

  • 古いレスポンス・キー

  • 古いデータ・ソース

レスポンスの削除

  • レスポンス名

  • レスポンス・キー

  • データ・ソース

  • レスポンス・タイプ

パートナの追加

  • パートナ名

  • パートナID

  • パートナURL

  • ログアウトURL

パートナの変更

  • パートナ名

  • パートナID

  • パートナURL

  • ログアウトURL

  • 古いパートナ名

  • 古いパートナURL

  • 古いログアウトURL

パートナの削除

  • パートナ名

  • パートナID

  • パートナURL

  • ログアウトURL

条件の作成

  • 条件名

  • 条件タイプ

  • 条件データ

条件の変更

  • 条件名

  • 条件タイプ

  • 条件データ

  • 古い条件名

  • 古い条件タイプ

  • 古い条件データ

条件の削除

  • 条件名

  • 条件タイプ

  • 条件データ

サーバー・ドメインの作成

  • ドメイン名

サーバー・ドメインの変更

  • ドメイン名

  • 古いドメイン名

サーバー・ドメインの削除

  • ドメイン名

サーバーの構成変更

  • 新しい詳細

  • 古い詳細

  • インスタンス名

  • アプリケーション名

  • ユーザー名

  • リモートID

  • ロール

  • 日付と時刻

8.3.2 監査可能なAccess Managerランタイム・イベント

ランタイム・イベントは、Access Managerのコンポーネント・エンジンが互いに連携動作するときに生成される一部のイベントによって作成されるイベントです。発生時に監査可能なランタイム・イベントです。これらのイベントの定義と構成は、Oracle Platform Security Servicesの監査サービスの一部として実行されます。

ノート:

「監査構成」でフィルタ・プリセットを選択することによって、記録される情報の量とタイプが制御されます。各フィルタ・プリセットの監査可能イベントは、読取専用のcomponent_events.xmlファイル内に指定されています。このファイルをカスタマイズしたり編集したりすることはできません。

表8-3 Access Managerランタイム監査イベント

ランタイム・イベント 発生時期 含まれるイベント詳細

認証の試行

ユーザーが保護されたリソースにアクセスしようとして、SSOサーバーにリクエストが到着した時。このイベントの後には、資格証明の送信と認証の成功または失敗の各イベントが発生します。

  • リモートIP

  • リソースID

  • パートナID

  • リソースID

  • 認証スキームID

  • 認証ポリシーID

認証の成功

クライアントが資格証明を送信して資格証明の検証に成功したとき。

  • リモートIP

  • ユーザー名

  • ユーザーDN

  • リソースID

  • 認証スキームID

  • 認証ポリシーID

  • パートナID

認証の失敗

クライアントが資格証明を送信して資格証明の検証に失敗したとき。

  • リモートIP

  • ユーザー名

  • ユーザーDN

  • リソースID

  • 認証スキームID

  • 失敗エラー・コード

  • 再試行回数

  • 認証ポリシーID

  • パートナID

セッションの作成

認証に成功した時。

  • SSOセッションID

  • ユーザー名

  • ユーザーDN

  • リモートIP

  • リソースID

  • 認証スキームID

  • 認証ポリシーID

セッションの破棄

認証に成功した時。

  • SSOセッションID

  • ユーザー名

  • ユーザーDN

  • パートナID

ログインの成功

クライアントがログイン手順を完了して、それがエージェントに転送された時。

  • リモートIP

  • ユーザー名

  • ユーザーDN

  • 認証レベル

  • リソースID

  • 認証スキームID

  • 認証ポリシーID

  • パートナID

ログインの失敗

クライアントがログインに失敗したとき。このイベントは、認められている認証の再試行にすべて失敗した場合、またはアカウントがロックされた場合のみ発生します。

  • リモートIP

  • ユーザー名

  • 認証レベル

  • リソースID

  • 認証スキームID

  • 認証ポリシーID

  • パートナID

ログアウトの成功

クライアントがログアウト手順を完了して、それがエージェントに転送された時。

  • リモートIP

  • ユーザーDN

  • 認証レベル

  • SSOセッションID

  • パートナID

ログアウトの失敗

クライアントがログアウトに失敗したとき。

  • リモートIP

  • ユーザーDN

  • SSOセッションID

  • 失敗の詳細

  • パートナID

資格証明コレクション

クライアントが資格証明コレクション・ページにリダイレクトされた時。

  • リモートIP

  • リソース名

  • リソースID

  • 認証スキームID

  • 認証ポリシーID

資格証明の送信

クライアントが資格証明を送信したとき。

  • リモートIP

  • ユーザー名

  • リソースID

  • 認証スキームID

  • 認証ポリシーID

認可の成功

クライアントがリソースへのアクセスを認可された時。

  • リモートIP

  • ユーザーDN

  • リソースID

  • 認可ポリシーID

認可の失敗

クライアントがリソースへのアクセスを認可されなかった時。

  • リモートIP

  • ユーザーDN

  • リソースID

  • 認可ポリシーID

サーバーの起動

サーバーが起動したとき。

  • 日付と時刻

  • インスタンス名

  • アプリケーション名

  • ユーザー名

サーバーの停止

サーバーが停止したとき。

  • 日付と時刻

  • インスタンス名

  • アプリケーション名

  • ユーザー名

8.3.3 認証イベントの監査

認証中にイベントを監査することは、管理者がシステム内のセキュリティ上の弱点を精査する助けとなります。

認証時の監査のために管理者が構成できるイベントには次のようなものがあります。

  • 認証の成功

  • 認証の失敗

  • 認証ポリシー・データの作成、変更、削除、または表示

認証されるユーザーに関する情報には次のものが含まれます。

  • IPアドレス

  • ブラウザ・タイプ

  • ユーザーのログインID

  • アクセス時間

ノート:

ユーザー・パスワードなどの取り扱いに注意を要するユーザー属性の監査、ロギング、またはトレースは避けることをお薦めします。

認証を要求しているユーザーやブルート・フォース攻撃に関する情報を、ファイル・システムやバックエンド・データベースに保存することができます。

8.4 監査可能なIdentity Federationイベント

Identity Federationサービスは、監査にFusion Middleware監査フレームワークも使用します。

次のデータは、監査されるイベントまたはイベント・タイプに関係なく、各監査レコードに含まれています。

  • timestamp - 監査イベントが発生したときの日付と時刻

  • initiator - 監査イベントのイニシエータ(一部のイベントでは、この属性は空になる場合があります)

  • ECID - 実行コンテキストID

Fusion Middleware監査フレームワークは、次の監査レベルをサポートしています。

  • なし

  • カスタム

イベントは、各種カテゴリおよび監査レベルで監査できます。

表8-4に、イベント・カテゴリを示します。

表8-4 Identity Federationの監査イベントのカテゴリ

カテゴリ 参照先 ...

セッション管理

Identity Federationのセッション管理イベント

プロトコル・フロー

Identity Federationのプロトコル・フロー・イベント

サーバー構成

Identity Federationのサーバー構成イベント

セキュリティ

Identity Federationのセキュリティ・イベント

次の各項では、詳細を説明します。

8.4.1 Identity Federationのセッション管理イベント

本リリースのIdentity Federationのセッション管理イベントには、以前のリリースの監査可能なイベントのサブセットが含まれています。

表8-5 Identity Federationのセッション管理イベント

監査可能なイベント このリリースで監査がサポートされていないイベント

CreateUserSession –

ログイン成功後のセッションの作成

CreateUserFederation –

2つのリモート・サーバー間でのユーザー・フェデレーションの作成

DeleteUserSession –

ログアウト後のセッションの削除

UpdateUserFederation -

2つのリモート・サーバー間でのユーザー・フェデレーションの更新

CreateActiveUserFederation –

ログイン成功後のアクティブ・フェデレーションの作成

DeleteUserFederation –

2つのリモート・サーバー間でのユーザー・フェデレーションの削除

CreateActiveUserFederation –

ログイン成功後のアクティブ・フェデレーションの作成

DeleteActiveUserFederation -

ログアウト後のアクティブ・フェデレーションの削除

LocalAuthentication –

OIFでのユーザーの認証

LocalLogout - Identity Federationでのユーザーのログアウト

8.4.2 Identity Federationのプロトコル・フロー・イベント

本リリースのIdentity Federationのプロトコル・フロー・イベントには、以前のリリースの監査可能なイベントのサブセットが含まれています。

表8-6 Identity Federationのプロトコル・フロー・イベント

監査可能なイベント このリリースで監査がサポートされていないイベント

IncomingMessage

Identity Federationが受信したメッセージ

AssertionCreation

Identity Federationによるアサーションの作成(成功した場合のみ)

OutgoingMessage

Identity Federationが送信したメッセージ(成功した場合のみ)

AssertionConsumption

Identity Federationによるアサーションの処理(成功した場合のみ)

8.4.3 Identity Federationのサーバー構成イベント

本リリースのIdentity Federationの監査可能なサーバー構成イベントには、以前のリリースの監査可能なイベントのサブセットが含まれています。

表8-7 Identity Federationのサーバー構成

監査可能なイベント このリリースで監査がサポートされていないイベント

CreateConfigProperty

新しい構成プロパティの追加(成功した場合のみ)

SetDataStoreType

データ・ストアのタイプの変更(成功した場合のみ)

ChangeConfigProperty

既存の構成プロパティ値の変更(成功した場合のみ)

ChangeDataStore

フェデレーション・データ・ストアの設定(成功した場合のみ)

DeleteConfigProperty

構成プロパティの削除(成功した場合のみ)

CreatePeerProvider

信頼できるプロバイダ・リストへの新しいプロバイダの追加(成功した場合のみ)

UpdatePeerProvider

信頼できるプロバイダ・リストに存在するプロバイダの情報の更新(成功した場合のみ)

DeletePeerProvider

信頼できるプロバイダ・リストからのプロバイダの削除(成功した場合)

LoadMetadata

メタデータのロード(成功した場合のみ)

ChangeFederation

信頼できるプロバイダの変更(成功した場合のみ)

ChangeServerProperty

サーバー構成プロパティの変更(成功した場合のみ)

8.4.4 Identity Federationのセキュリティ・イベント

本リリースのIdentity Federationの監査可能なセキュリティ・イベントには、以前のリリースの監査可能なイベントがすべて含まれています。

表8-8 Identity Federationのセキュリティ・イベント

監査可能なイベント このリリースで監査がサポートされていないイベント

CreateSignature

Identity Federationによるデジタル署名の作成

n/a

VerifySignature

Identity Federationによるデジタル署名の検証

EncryptData

Identity Federationによるデータの暗号化

DecryptData

Identity Federationによるデータの復号化

8.5 Oracle Access Managementの監査の設定

Oracle Access Managementの監査を実行する前に、必ず監査データ・ストアを設定し、監査レポートの発行を設定します。

次の概要には、監査の前に実行しておく必要があるタスクのリストを示します。

  1. 監査データ・ストアを設定します。

    「監査データベース・ストアの設定」を参照してください。

  2. 監査レポートの発行を設定します。

    「Oracle Business Intelligence Publisher EEの準備」を参照してください。

  3. 次のトピックの説明に従って、Oracle Access Managementコンソールで監査構成を編集します。

監査構成をテストおよび検証する方法の詳細は、「監査とレポートの検証」を参照してください。

8.5.1 監査データベース・ストアの設定

ここでは、監査データベースを作成し、リポジトリ作成ユーティリティ(RCU)を使用してスキーマを拡張するために必要なタスクの概要を示します。

監査データをデータベースに保存するよう選択した場合、Oracle Access Managementのイベントを監査できるようにするにはこのタスクが必要になります。

関連項目:

  • 『Oracle Platform Security Servicesによるアプリケーションの保護』「監査ストアの管理」

  • Oracle Fusion Middleware Repository Creation Utilityユーザーズ・ガイド

監査データベース・ストアを作成するには、次のようにします。

  1. 監査データベース(リリース11.1.0.7以降)を作成します。

    『Oracle Platform Security Servicesによるアプリケーションの保護』監査データベースの管理に関する項を参照してください。

  2. データベースに対してRCUを実行します。

    『Oracle Fusion Middleware Repository Creation Utilityユーザーズ・ガイド』のRCUを使用した監査スキーマの作成に関する項を参照してください。

  3. 監査ローダーの監査データ・ソースを設定し、OAMサーバー用に構成します。

    『Oracle Platform Security Servicesによるアプリケーションの保護』監査データ・ソースに関する項を参照してください。

    • WebLogic Server用のJava EE監査ローダー構成を使用

    • 前述のステップ2で設定したデータベースを参照するデータ・ソースjdbc/AuditDBのJNDI名を使用

  4. ドメイン・ファイル($DOMAIN_HOME/config/fmwconfig/jps-config.xml)に指定されたサービス・インスタンス内で、プロパティaudit.loader.repositoryTypeの値をDB_ORACLEに変更することによって、データベース監査を有効にします。たとえば:
    <serviceInstance name="audit.db" provider="audit.provider">
         <property name="audit.loader.repositoryType" value="DB_ORACLE"/>
         <property name="audit.timezone" value="utc"/>
         <property name="audit.loader.interval" value="15"/>
         <property name="audit.maxFileSize" value="104857600"/>
         <property name="audit.reports.jndi" value="jdbc/AuditViewDataSource"/>
         <property name="audit.filterPreset" value="None"/>
         <property name="audit.loader.jndi" value="jdbc/AuditAppendDataSource"/>
         <propertySetRef ref="props.db.1"/>
</serviceInstance>
  5. WebLogic Serverを再起動します。
  6. 『Oracle Platform Security Servicesによるアプリケーションの保護』監査用語に関する項の説明に従って、監査ローダーがOAMサーバー用に構成されていることと、そのローダーが適切なデータベースを参照していることを確認します。
  7. 『Oracle Platform Security Servicesによるアプリケーションの保護』バスストップ・ファイルの管理に関する項に従って、バスストップ・ファイルのメンテナンスを行います。

8.5.2 Oracle Business Intelligence Publisher EEの準備

Oracle Business Intelligence Publisher Enterprise Edition (EE)をOracle Access Managementの監査レポートとともに使用するには、準備する必要があります。

ここでは、Oracle Business Intelligence Publisher EEを準備する手順を概説します。

関連項目:

Oracle Business Intelligence Publisherを準備するには、次のようにします。

  1. Oracle BI Publisherをインストールします。

    『Oracle Business Intelligence Enterprise Edition Installation and Upgrade Guide』を参照してください。

    ノート:

    構成アシスタントでBIドメインを構成するときは、次のステップを実行して、OAMレポートを表示できるように「Business Intelligence Publisher」のみを選択します。Business Intelligence PublisherBusiness Intelligence Enterprise Editionと統合する場合、またはBusiness Intelligence Enterprise Editionのみを選択する場合は、BI Publisher管理コンソールからしかレポートをアップロードできないので、次のステップは適用されません。
  2. 次のタスクを実行します。

    『Oracle Platform Security Servicesによるアプリケーションの保護』Oracle Business Intelligence Publisherでのタイム・ゾーンに関する項を参照してください。

    • 共通のレポートAuditReportTemplates.jarを場所$OAM_MW_HOME/oracle_common/modules/oracle.iau/reportsから$BI_DOMAIN/bidata/components/bipublisher/repository/Reports/に解凍します。

    • OAM固有のレポートoam_audit_reports.zipを場所$OAM_ORACLE_HOME/oam/server/reportsから$BI_DOMAIN_HOME/bidata/components/bipublisher/repository/Reports/Oracle_Fusion_Middleware_Audit/Component_Specificに解凍します。

    • 監査データ・ソースのJNDI接続または監査データベースのJDBC接続を設定します。

      データソース名は、Auditにする必要があります。

  3. 監査レポート・テンプレートを設定します。『Oracle Platform Security Servicesによるアプリケーションの保護』監査レポートに関する項
  4. 『Oracle Platform Security Servicesによるアプリケーションの保護』Fusion Middleware Controlを使用した監査ポリシーの管理に関する項に従って、監査レポート・フィルタを設定してください。
  5. 次のパスからレポートを表示します: Reports/Oracle_Fusion_Middleware_Audit_Reports/Component_Specific/OAM

8.5.3 監査構成のためのOracle Access Managementコンソールの使用

Oracle Access Management内では、特定の「監査構成」設定には「システム構成」の「共通設定」でアクセスできます。データベースに対して監査を行なう時は、これらの設定は必要ありません。

図8-2は、「共通設定」ページの「監査構成」セクションを示しています。

図8-2 「共通設定」: 「監査構成」

図8-2の説明が続きます
「図8-2 「共通設定」: 「監査構成」」の説明

「監査中」セクションには、「ログ・ディレクトリ」、「フィルタ設定」、および「監査構成」の「ユーザー」に対する設定が表示されます。

ノート:

実際のログ・ディレクトリは、Oracle Access Managementコンソールを使用して構成できません。これは、共通監査フレームワークの監査ローダーのデフォルト・ディレクトリです。このディレクトリの変更は監査ローダーに影響が及ぶため、サポートされません。

「監査構成」ページの要素を表8-9に示します。

表8-9 監査構成要素

要素 説明

最大ディレクトリ・サイズ

監査出力ファイルが格納されるディレクトリの最大サイズ(MB)。たとえば最大ファイル・サイズが10であるとすると、このパラメータの値を100にした場合はそのディレクトリに最大10個のファイルを格納できることになります。最大ディレクトリ・サイズに達すると、監査ロギングは停止します。

たとえば値を100とすると、ファイル・サイズが10MBの場合は最大10ファイルと指定したことになります。サイズがこの値を超えると、監査ログ・ファイルの作成は停止します。

これは、構成ファイルjps-config.xmlに記述されたmax.DirSizeプロパティを使って構成されます。このプロパティは、『Oracle Platform Security Servicesによるアプリケーションの保護』Java SEアプリケーションでの監査に関する項の説明に従って、Javaコンポーネントのバスストップ・ディレクトリの最大サイズを制御します。

最大ファイル・サイズ

監査ログ・ファイルの最大サイズ(MB)。ファイルのサイズが最大サイズに達すると、新しいログ・ファイルが作成されます。たとえば値を10に指定すると、ファイル・サイズが10MBに達した時点でファイル・ローテーションが指示されます。

これは、構成ファイルjps-config.xmlに記述されたmax.fileSizeプロパティを使って構成されます。このプロパティは、『Oracle Platform Security Servicesによるアプリケーションの保護』Java SEアプリケーションでの監査に関する項の説明に従って、Javaコンポーネントのバスストップ・ファイルの最大サイズを制御します。

フィルタ有効

イベント・フィルタリングを有効にするにはこのボックスを選択します。

フィルタの事前設定

フィルタを有効にしたときにログに記録される情報の量とタイプを定義します。デフォルト値は「低」です。

  • 「すべて」: 監査可能なすべてのOAMイベントを取得して記録します。

  • 「低」: 監査可能なOAMイベントの特定セットを取得して記録します。

  • 「中」: 「低」設定の対象となるイベントと他のいくつかの監査可能OAMイベントを取得して記録します。

  • 「なし」: OAMイベントの取得と記録を行いません。

各フィルタ・プリセットのイベントは、読取専用のcomponent_events.xmlファイル内に指定されています。Oracle Access Managementでは、このファイルの編集やカスタマイズはサポートされていません。指定されたフィルタ・プリセットに監査対象として構成された項目だけが監査可能です。

Users

フィルタが有効になったときだけアクションが含められるユーザーのリストを指定します。特別なユーザーのアクションは、フィルタ・プリセットにかかわらずすべて監査されます。管理者は、この表の特別なユーザーを追加、削除、または編集することができます。

8.5.4 監査設定の追加、表示、または編集

管理者は、「OAMサーバー共通プロパティ」ページの「監査構成」タブでフィルタ・プリセットを選択することによって、記録される情報の量とタイプを制御します。

ノート:

各フィルタ・プリセットの監査可能イベントは、読取専用のcomponent_events.xmlファイル内に指定されています。このファイルをカスタマイズしたり編集したりすることはできません。

次の手順では、OAMサーバー共通監査構成の設定を追加、表示または編集する方法を示します。Fusion Middleware Controlを使用して個々の管理ポリシーを構成することはできません。Oracle Access Managementは、監査構成でJPSインフラストラクチャを使用しません。監査用のWebLogic Scripting Tool (WLST)コマンドはありません。

  1. Oracle Access Managementコンソールで、ウィンドウの上部にある「構成」をクリックします。
  2. 「設定」セクションで、「表示」メニューから「共通設定」を選択します。
  3. 「監査構成」セクションで、使用環境の詳細を正しく入力します(表8-9を参照)。

    • 最大ログ・ディレクトリ・サイズ

    • 最大ログ・ファイル・サイズ

    • フィルタ有効

    • フィルタ・プリセット(監査データの冗長性を定義)

    • 監査から特定のユーザーを含めるための「ユーザー」。「ユーザー」表の上の「追加」(+)ボタンをクリックしてフィールドに値を入力します。

  4. 「適用」をクリックして、「監査構成」を送信します(または変更を適用しないでページを閉じます)。

8.6 監査とレポートの検証

ランタイム・イベントの監査構成をテストできます。

始める前に:

  1. 認証ベントを検証する手順: ここで説明するようにコンソールのログインの成功/失敗を監査するか、管理イベントを監査します。

    表8-2を参照してください。

    1. Oracle Access Managementコンソールからサインアウトします。

    2. 無効なユーザー(管理者以外)の資格証明を使用して、Oracle Access Managementコンソールにサインインします。

    3. 適切な管理者の資格証明を使用して、Oracle Access Managementコンソールにサインインします。

    4. ログ・ファイルの確認: 監査ログ・ファイルを開き、最新の管理イベント・エントリを検索します。 

      $DOMAIN_HOME/servers/$ADMINSERVER_NAME/logs/auditlogs/OAM/audit.log

    5. データベース・ログの確認:

      1. 次のタスクを実行します。

        「監査データベース・ストアの設定」を参照してください。

      2. ステップ1の説明に従って、認証イベントを生成します。

      3. データベースに接続し、データベースに接続してIAU_BASE表の監査イベントを確認します。

  2. ランタイム・イベントを検証する手順: ここで説明するように認可の成功/失敗を監査するか、ランタイム・イベントを監査します。

    表8-3を参照してください。

    1. ブラウザ・ウィンドウで、自分には権限のない保護されているリソースへのURLを入力します。

    2. ログ・ファイルの確認: 監査ログ・ファイルを開き、最新の管理イベント・エントリを検索します。 

      $DOMAIN_HOME/servers/$RUNTIMESERVER_NAME/logs/auditlogs/OAM/audit.log

    3. データベース・ログの確認:

      1. 次のタスクを実行します。

        「監査データベース・ストアの設定」を参照してください。

      2. ステップ1の説明に従って、認証イベントを生成します。

      3. データベースに接続し、データベースに接続してIAU_BASE表の監査イベントを確認します。

  3. 監査構成の変更を検証するには:

    「監査設定の追加、表示、または編集」も参照してください。

    1. Oracle Access Managementコンソールの「システム構成」タブから、「共通構成」を展開し、「最大ディレクトリ・サイズ(MB)」と「最大ファイル・サイズ(MB)」のパラメータを変更します。

    2. このステップを繰り返し、監査が機能していることを確認します。

  4. レポートを表示するには:

    1. Oracle BI EEにサインインします。たとえば:

      http://host:port/xmlpserver

      ここで、hostはコンピュータをホストするOracle BI Publisher、portはBI Publisherのリスニング・ポート、xmlpserverはBI Publisherのログイン・ページです。

    2. Oracle BI Publisher Enterpriseで、希望するレポートを探します。たとえば:

      「共有フォルダ」をクリックして、表示するレポートを含むコンポーネントをクリックし、目的のレポートを選択します。

    3. 必要に応じて分析を行うか、監査構成の編集を行います。

      $MW_HOME/user_projects/domains/base_domain/servers/oam_server1/logs/ 
auditlogs/OAM/

  5. 自社のポリシーに従って監査ログのアーカイブと管理を行います。