1. Oracle Advanced AuthenticationおよびOracle Adaptive Risk Managementの管理
  2. Oracle Advanced Authentication、Oracle Adaptive Risk ManagementおよびOracle Universal Authenticatorの概要
  3. Oracle Adaptive Risk Managementの概要
  4. OARMの用語の理解

2.3 OARMの用語の理解

OARMでは、次の用語が使用されます:

ユーザー・アクティビティ

ユーザー・アクティビティは、監視が必要なユーザーによって実行された操作です。たとえば、ログイン、パスワードのリセットなどです。

OARMには、すぐに利用可能なユーザー認証と呼ばれるユーザー・アクティビティがあり、事前に用意された一連の豊富なルールが組み込まれています。ユーザー認証は、ユーザー・アクティビティを評価して、頻繁に発生する脅威を検出し、改善措置を実行するか、アラートを生成します。

カスタム・アクティビティ

即時利用可能なユーザー認証アクティビティに加えて独自のカスタム・アクティビティを作成し、このカスタム・アクティビティから収集された情報を使用するルールを作成できます。ルールはビジネスのニーズに合せてカスタマイズされます。これらのルールは本質的にトランザクション的になる可能性があり、ビジネスが関心を持つユーザー・アクティビティの様々な側面をモニターします。カスタム・アクティビティの例としては、インターネット・バンキングやバンキング・アプリケーションでの請求書の支払いがあります。支払金額やユーザー情報などの情報を使用して不正送金を識別するルールを追加できます。

条件

条件は構成可能な評価文で、OARMのルール評価プロセスとフローにおいて、アクセス・リクエストが満たす必要のある1つ以上の基準を指定します。条件では、履歴データおよび実行時データのデータ・ポイントを使用してリスクまたはビジネス・ロジックを評価します。

各認証ルールには1つ以上の条件が指定されており、ルールで保護されたリソースへのアクセスをユーザーに許可するか拒否するかは、この条件に定義されています。条件はシステムで事前にパッケージ化されており、ユーザーが作成することはできません。条件は、ルールへの追加時にユーザーが入力する場合があります。

ルール

ルールは、OARMにおける意思決定の主要な構成要素です。ルールでは、それらを構成する様々な条件の結果がまとめられます。ルールは、アクションをトリガーするか、アラートを生成するかを決定するために使用できます。

新たな不正データに基づいて、新しいルールを実装したり、既存のルールを編集したりして、ビジネス・ニーズに合せることが可能です。

アクション

アクションは、構成済ルールの評価の結果に基づいてトリガーされます。たとえば、アクションを使用して、ユーザーにセキュリティ・プロファイルの登録や、アクセスのブロックを強制したり、リスクのあるIPをチェックするルールに基づいてPINやパスワードの入力を強制したりできます。OARMには、いくつかの標準アクションが用意されています。最も重要なアクションは、ALLOWCHALLENGEおよびBLOCKです。

アラート

アラートは、構成されたルールの評価結果に基づいて、注意が必要な状況を知らせるメッセージです。たとえば、ユーザーが新しい国からログインすると、アラートが生成されます。アラートが発行されると、管理者は「ユーザー・セッション」ページに記録されたインスタンスを表示できます。

グループ

グループは、構成ワークロードを簡素化するために類似のアイテムをまとめたものです。グループは、ルール条件やアクション、アラートなどで使用できます。ユーザーID、ユーザー名、ロケーション、デバイス、アクション、アラートからグループのタイプを選択できます。

たとえば、Risky IPというルールを作成するには、ログインに使用されているユーザーIPが、構成されているリスクのあるIPのリストに含まれているかどうかを確認する条件を追加する必要があります。リスクのあるIPはIPタイプのRisky IPとしてグループ化され、ルール条件でこのグループが使用されます。

プロファイル

プロファイルは、アクセス・データのダイジェストを作成することで、システムにアクセスしているユーザー、デバイスおよびロケーションの動作を記録します。その後、ダイジェストまたはプロファイル情報が履歴データ表に格納され、ルールを使用して現在のリスクを計算するために使用されます。

セッション

セッションは、認証時から構成済のOARMリスク管理ルールの結果まで、ユーザーの属性とライフサイクルを取得します。作成されたOARMセッションは、認証されているユーザーとクライアントの両方にバインドされます。

OARMは、ユーザーのセッションの履歴を保持します。各セッション・エントリには、ユーザー名、デバイスID、IPアドレスおよびセッションIDが含まれます。セッション情報は、「ユーザー・セッション」ページで表示できます。

「ユーザー・セッション」ページには、不正分析の特定のセッションで発生したイベントの概要が表示されます。セッション情報、デバイス情報、ユーザーがログインした場所の情報、セッションに関連付けられたユーザー・アクティビティ、セッションに対してトリガーされたルール、アクションおよびアラートなど、セッションに関するすべての関連情報のサマリーが表示されます。

OARMには、セッションに関する詳細情報を収集する機能と、セッションに関連する詳細をさらにドリルダウンできる機能があります。たとえば、あなたが、Acme Corpのセキュリティ・チームのメンバーだとします。普段からOARMを使用して作業し、エスカレーションされた顧客の問題やセキュリティ・アラートを追跡しています。1日を通して約2時間おきにセッション検索を実行して、注意が必要な問題を特定します。