| Oracle Audit Vault管理者ガイド リリース10.2.3 B50455-01 |
|
 戻る |
 次へ |
Oracle Audit Vaultは、監査データの統合、検出、監視、アラートおよびレポートを効率的に実行し、セキュリティ監査とコンプライアンスを実現する強力なエンタープライズ規模の監査ソリューションです。Oracle Audit Vaultでは、監査データとクリティカル・イベントを一元的でセキュアな監査ウェアハウスに統合できます。
Oracle Audit Vaultの利用目的
米国サーベンス・オクスリー法(Sarbanes-Oxley Act、SOX)、米国グラム・リーチ・ブライリー法(Gramm-Leach-Bliley Act、GLBA)、米国の医療保険の相互運用性と説明責任に関する法律(Healthcare Insurance Portability and Accountability Act、HIPAA)、クレジット・カード業界(Payment Card Industry、PCI)のセキュリティ基準、日本の個人情報保護法、欧州連合のプライバシに関する指令などの様々なコンプライアンス規制により、企業では、顧客、従業員およびパートナに関する業務データと個人データを保護し、ユーザー、アクティビティおよび関連データの監査を実施して、これらの規制へのコンプライアンスを示すことが求められています。
ビジネスでは、大量の監査ログ・データが生成される様々なシステム、データベースおよびアプリケーションが使用されます。エンタープライズ・データ・アクセスを全体的に把握するために、このデータを統合および監視する必要があります。監査者は、異機種が混在するシステム全体の監査ログ・データを適切なタイミングで分析する必要があります。このプロセスを円滑に行うには、すべてのシステムの監査データをセキュアかつスケーラブルで、信頼性および可用性の高い単一の監査データ・ウェアハウスに格納することがきわめて重要です。
Oracle Audit Vaultでは、次のようにしてこれらのセキュリティおよび監査の問題を解決します。
エンタープライズ全体の複数のシステムの監査情報を統合
通常のユーザーおよび特権ユーザーに関連するデータ変更を検出
変更および改ざんから監査データを保護
これまで、監査データはエンタープライズ中のサイロに格納されており、強力な権限を持つシステム・ユーザーによって監査データが改ざんされる可能性がありました。複数のデータベースやソースから監査データを安全に収集して統合し、必要なコンプライアンスおよびセキュリティの監査レポートを生成できれば、情報窃盗、不正なアクセスおよび改ざんの強力な抑止力になります。Oracle Audit Vaultを使用すると、複数のソースからの監査データの収集および統合、セキュアな監査ウェアハウスへの格納、必要な条件の検出、およびレポートの生成が可能になります。
監査は、ビジネスの機密情報の保護において重要な役割を果します。コンプライアンスおよびセキュリティの問題に対応するには、エンタープライズ監査ソリューションが必要です。エンタープライズの監査証跡は、エンタープライズ全体の監査証跡に統合される必要があります。これを可能にするため、Oracle Audit Vaultでは次の内容が実現されています。
様々な監査データを共通の監査形式にマッピングすることによる監査証跡の統合
エンタープライズ全体の全監査データの保護
監査ポリシーの集中管理の提供
適切なタイミングでの違反の検出を含む監査データの分析の許可
法規制遵守の簡素化
Oracle Audit Vaultには、監査データを収集するためのメカニズムがあります。Oracle Audit Vaultでは、次の監査データを収集できます。
Oracle9i Databaseリリース2(9.2)
Oracle Database 10gリリース2(10.2)
Oracle Database 11gリリース1(11.1)
Microsoft SQL Server 2000
Microsoft SQL Server 2005
監査データは、Oracle Databaseの監査証跡表、データベースのオペレーティング・システム監査ファイル、およびデータベースのREDOログ(値変更の前後に取得)から収集できます。また、SQL Serverデータベースでは、Windowsイベント・ログ、サーバー側トレース・ファイル、およびC2監査ログから収集できます。
監査証跡および監査データを統合すると、エンタープライズのすべてのシステムに、付加価値のある監査サービスを一貫した方法でプロビジョニングできます。また、統合された監査ソリューションなしでは提供できない、または提供することが非常に難しいエンタープライズ全体の機能の提供を可能にします。
ますます巧妙化する情報窃盗および内部のセキュリティ脅威により、企業は機密情報を保護するだけでなく、特権を持つ強力なユーザー(データベース管理者(DBA)、開発者およびマネージャなど)による機密情報へのアクセスを監視する必要があります。特権ユーザーには、機密データへの継続した直接アクセス権があるため、確実にコンプライアンスに準拠するための監視制御を実装することが重要です。
Oracle Audit Vaultには、データベースへの直接アクセス権を持つ特権ユーザーを含めて、どのユーザーがどのデータにいつ何をしたかを調査する有益な機能があります。データを保護し、コンプライアンス要件を満たすためには、機密データへのアクセス、変更、更新、削除または参照を行ったユーザーを把握する必要があります。Oracle Audit Vaultには、特権ユーザーの変更、スキーマの変更およびデータレベルのアクセスの履歴を検出、監視、アラートおよびレポートする機能があります。エンタープライズ全体の監査ソースの監査ポリシーと設定を、Oracle Audit Vaultから定義および管理できます。セキュリティの強化に加え、監査ポリシーの集中管理により、ビジネス全体の監査のコストと複雑さが低減されます。
Oracle Audit Vaultは、不審なアクティビティに関するアラートを生成するよう構成できます。また、アラート管理機能があり、内部のセキュリティ脅威を低減できます。システム定義のイベントおよびユーザー定義のイベントが発生した場合に、アラートを生成できます。たとえば、特権ユーザーが許可なしにユーザーを作成した場合や、機密データの表示を試行した場合にアラートを送信できます。Oracle Audit Vaultにより、収集されたデータが継続的に監視され、異常なアクティビティに関するアラートが生成されます。
図1-1は、Oracle Audit Vaultのアーキテクチャの概要を示しています。アーキテクチャは、一連のサービスとエンタープライズ内で機能する収集システムで構成されています。この一連のサービスにより、記憶域管理、ポリシーの強制、アラート、分析、レポート作成およびアクティビティが簡素化されます。収集インフラストラクチャは、監査ソースとOracle Audit Vault Serverの間のアダプタとして機能する監査コレクタの使用を可能にします。
Audit Vault Serverの構成要素は次のとおりです。
監査データ・ストア
Audit Vaultコンソール
次のサービス:
コレクタの管理および監視
レポートの管理
アラートの管理
ポリシー管理を確立するための監査設定管理
Oracle Business Intelligence Publisherなどのレポート作成ツールとともに使用して、カスタマイズされたレポートを作成できる公開データ・ウェアハウス
監査データの収集および記憶域管理
構成サービスは、Oracle Audit Vaultで認識されるソースに関する情報の定義を容易にします。Oracle Audit Vaultでは、監査データのソースに関する情報(メタデータ)およびポリシー情報(データベースの監査設定)が格納されます。
Audit Vault収集エージェントは、Audit Vaultコレクタによる監査データ収集のランタイム・サポートを提供します。また、収集エージェントには、Oracle DatabaseソースおよびSQL Serverデータベース・ソースの監査データ・コレクタが含まれます。Oracle Databaseソース用のコレクタにはDBAUD、OSAUDおよびREDOがあり、SQL Serverデータベース・ソース用のコレクタにはMSSQLDBが提供されています。
図1-2に、Oracle Audit VaultアーキテクチャのAudit Vault ServerおよびAudit Vault収集エージェントの各構成要素の詳細を示します。ソース・データベースとして、Oracle Databaseの監査ログおよび表で取得した監査イベントが監査レコードに解析され、格納のためにAudit VaultのRAW監査データ・ストアに送信されます。レコードは公開データ・ウェアハウス内でさらに分析され、その分析からレポートを作成できます。同様に、SQL Serverデータベースでは、Windowsイベント・ログ、サーバー側トレース・ファイルおよびC2監査ログで取得されたすべての監査イベントがAudit VaultのRAW監査データ・ストアに送信されます。
Audit Vault Server
表1-1に、Audit Vault Serverの構成要素を示します。
表1-1 Audit Vault Serverの構成要素
| 構成要素 | 説明 |
|---|---|
|
OC4J |
WebアプリケーションのOracleコンテナ。次の要素で構成されています。
|
|
データベース・クライアント |
監査リポジトリと通信するためのインフラストラクチャで、次の要素で構成されています。
|
|
構成および管理ツール |
Oracle Audit Vaultの構成および管理に使用するユーティリティ。AVCA、AVCTL、AVORCLDB、AVMSSQLDBコマンドライン・ユーティリティなどです。これらを使用して、Oracle Audit Vaultで認識されているソースに関する情報を定義し構成します。Oracle Audit Vaultには、監査データのソースに関する情報(メタデータ)およびポリシー情報(Oracleデータベースの監査設定および発生するすべての監査レコードのアラート定義)が格納されます。 |
|
ログ |
Oracle Audit Vaultの情報メッセージおよびエラー・メッセージ(6.1項を参照)。 |
|
監査リポジトリ |
Oracleデータベースで監査証跡レコードを統合および管理するリポジトリで、次の要素で構成されています。
|
Audit Vault収集エージェント
表1-2に、Audit Vault収集エージェントの構成要素を示します。
表1-2 Audit Vault収集エージェントの構成要素
| 構成要素 | 説明 |
|---|---|
|
OC4J |
WebアプリケーションのOracleコンテナ。次の要素で構成されています。
|
|
データベース・クライアント |
監査リポジトリと通信するためのインフラストラクチャで、次の要素で構成されています。
|
|
構成および管理ツール |
Audit Vaultの構成および管理に使用するユーティリティ。AVCA、AVCTL、AVORCLDB、AVMSSQLDBコマンドライン・ユーティリティなどです。 |
|
ログ |
Audit Vaultの情報メッセージおよびエラー・メッセージ(6.1項を参照)。 |
|
コレクタ |
表1-3に、Audit Vault収集エージェントによりデプロイされるコレクタのタイプおよび監査レコードが抽出・収集される監査証跡を示します。 |
OSAUD、DBAUDおよびMSSQLDBコレクタは、OCCI/JDBCのパスワードベースの認証を使用して、有効および無効な監査レコードの送信、構成情報の取得、リカバリ・コンテキストの取得および送信、エラー・レコードの送信を行います(5.2項を参照)。
表1-3 Audit Vaultの監査ソースおよび監査証跡ごとのコレクタ・タイプのサポート
| コレクタ・タイプ | 監査ソース | 監査証跡 |
|---|---|---|
|
OSAUD |
Oracle Database |
LinuxおよびUNIXプラットフォーム: オペレーティング・システムのログ(監査ログ)(SYS$AUD)( LinuxおよびUNIXベースのプラットフォーム: オペレーティング・システムのログまたはsyslog。 Windowsプラットフォーム: オペレーティング・システムのWindowsイベント・ログおよびオペレーティング・システムのログ(監査ログ)XML( |
|
DBAUD |
Oracle Database |
Oracle Database監査証跡。 Oracle Databaseファイングレイン監査証跡。 Oracle Database Vault監査証跡。 |
|
REDO |
Oracle Database |
REDOログの論理変更レコード(LCR)。 |
|
MSSQLDB |
Microsoft SQL Server |
C2監査ログ、サーバー側のトレース・ログおよびWindowsイベント・ログ。 |
Audit Vaultのソース
表1-4に、サポートされている監査データ・ソースを示します。これらのソースから、表1-3で説明した監査証跡の監査レコードが抽出・収集されます。
表1-4 Audit Vaultでサポートされている監査データ・ソース
| 監査データ・ソース | サポートされているリリース |
|---|---|
|
Oracle Database |
リリース9.2.X、10.1.X、10.2.Xおよび11.1.X(OSAUDおよびDBAUDコレクタ・タイプ) Enterprise Editionリリース9.2.0.8、10.2.0.3以上、および11.1.0.6以上(REDOコレクタ・タイプ) |
|
Microsoft SQL Serverデータベース |
Windows 2000 ServerおよびWindows 2003 Server(32ビット)プラットフォームでのSQL Server 2000およびSQL Server 2005 |
Oracle Audit Vaultのインタフェースおよび管理者アクセス
Oracle Audit Vaultでは、Audit Vaultコンソールおよび一連のコマンドライン・ユーティリティ(表1-5を参照)を使用してシステムを管理できます。
表1-5 Audit Vaultのコマンドライン・ユーティリティ
| コマンドライン・ユーティリティ | リファレンス情報 |
|---|---|
|
Audit Vaultコンフィギュレーション・アシスタント(AVCA) |
付録Aを参照してください。 |
|
Audit Vault Control(AVCTL) |
付録Bを参照してください。 |
|
Audit Vault Oracle Database(AVORCLDB) |
付録Cを参照してください。 |
|
SQL Serverデータベース(AVMSSQLDB) |
付録Dを参照してください。 |
これらのユーティリティを使用して、ソースおよびコレクタの構成と管理、収集エージェントおよびコレクタの管理と監視、データ・ウェアハウスへのデータの移入、および監査データ記憶域の管理ができます。
監査者、コンプライアンスおよび情報技術(IT)のセキュリティでは、ユーザー・アクセスや、失敗したログイン試行、システム権限の使用、データベース構造への変更などのアクティビティに基づいて組込みのレポートを使用できます。Oracle Audit Vaultコンソールを介して提供されるドリルダウン機能により、監査イベントの対象、場所、時間およびユーザーの詳細をすべて参照できます。また、Audit Vault監査者コンソールでは、エンタープライズ全体のアラートおよび監査イベントを監視できます。
Audit Vault管理者は、ロールの割当てに基づいて様々なコンポーネントを管理するために、異なるロールに割り当てられてOracle Audit Vaultへのアクセス権を付与されます。表1-6では、様々なAudit Vault管理者ロールと、各ロールに許可されているタスクについて説明しています。
Oracle Database Vaultは、不正アクセスからの監査データ・ウェアハウスの保護に使用されます。詳細は、第5章および『Oracle Database Vault管理者ガイド』を参照してください。Oracle Database Vaultのロールは、データベース・ユーザー・アカウントの作成およびAudit Vault管理者へのロールの付与に必要です。
表1-6 Audit Vaultの管理者ロールとタスクの割当て
| ロール | ロールが付与される時 | ロールが付与されるユーザー | 説明 |
|---|---|---|---|
|
|
サーバーのインストール時 |
Audit Vault管理者 |
Oracle Audit Vaultサービスにアクセスして、稼働中のOracle Audit Vaultシステムを管理および構成できます。このロールを付与されたユーザーは、監査ソース、収集エージェント、コレクタ、ソースと収集エージェントの設定、およびウェアハウスを構成および管理します。Audit Vault Serverのインストール時に、ユーザーが作成されてこのロールが付与されます。他のAudit Vault管理者に適切なロール( |
|
|
サーバーのインストール時 |
Audit Vault監査者 |
Audit Vaultのレポートおよび分析サービスにアクセスして、コンポーネントの監視、セキュリティ・リスクの検出、アラート・シナリオの作成と評価、システム全体のイベントの詳細とサマリー・レポートの作成、およびレポートの管理を実行できます。このロールを付与されたユーザーは、集中管理の監査設定およびアラートを管理します。このユーザーは、データ・ウェアハウス・サービスも使用して、監査データをさらに分析し、傾向、侵入、異常および関心のあるその他の項目の検出を支援します。Audit Vault Serverのインストール時に、ユーザーが作成されてこのロールが付与されます。 |
|
|
収集エージェントの登録時 |
収集エージェント・ソフトウェア・コンポーネント |
収集エージェントおよびコレクタを開始、停止およびリセット(停止して再開)して管理します。収集エージェントの登録時に(AVCA add_agentコマンド)、ユーザーが作成されてこのロールが付与されます。Audit Vault収集エージェント・ソフトウェアは、実行時にこのロールを使用してOracle Audit Vaultへの構成情報の問合せを行います。 |
|
|
ソースの登録時 |
コレクタ・ソフトウェア・コンポーネント |
監査データ収集用のソースの設定を管理できます。ソースおよびコレクタを構成する前にユーザーをあらかじめ作成しておき、 |
|
|
サーバーのインストール時 |
Database Vault所有者 |
|
|
|
サーバーのインストール時 |
Database Vaultアカウント管理者 |
監査証跡データの整合性を変更や改ざんから保護し、保証することが重要です。外部または内部の侵入者は、監査証跡レコードを変更して痕跡を隠そうとする可能性があります。Oracle Audit Vaultには、監査データの保護を目的として設計されたロックダウンされた監査ウェアハウスがあります。Oracle Audit Vaultへのアクセスを許可されるのは、表1-6で説明した事前定義済のロールのみです。データベース管理者(DBA)を含むその他すべてのロールは、監査データへのアクセスを拒否されます。
図1-3に、Audit Vaultの様々な使用例を示します。これらの例では、表1-6で説明したOracle Audit Vault管理者ロールが重要な役割を果しています。
Audit Vaultの使用シナリオは、次のようにグループ化できます。
使用シナリオの監視、検出、アラートおよびレポート
監査者(AV_AUDITORロールを付与されたユーザー)は、コンプライアンスの目的で、内部と外部の両方のレポートの詳細およびサマリー・タイプを作成、表示および管理します。セキュリティ管理者は、特定のアラート条件に一致するイベントにより発生したアラート表に記録済のシステム生成のアラートを検査し、さらに評価します。監査者管理者も、Audit Vaultの監査ポリシーを設定および表示します。
収集の使用シナリオ
Audit Vaultソース・ユーザーが自動的に作成され(AV_SOURCEロールを付与されたユーザー)、監査証跡データ・ソースからAudit Vaultに監査データを挿入します。Audit Vault Agentユーザーを通じて、このタスクを実行するためのプロキシ接続権限がこのユーザーに付与されます。
管理の使用シナリオ
Audit Vault管理者(AV_ADMINロールを付与されたユーザー)は、監査データの統合操作の監視および管理を監視します。このユーザーは、監査データの収集タスクや、Oracle Audit Vaultに対するコレクタの構成(ソースおよびコレクタの追加)も実行します。このユーザーは、Oracle Audit Vaultのシステム・セキュリティのすべてを監視します。
この項では、Oracle Audit Vaultの収集エージェントとコレクタ、監査サービスおよびこれらのサービスによって実行されるタスクのタイプを説明します。
Oracle Audit Vaultでは、コレクタを介して監査データ・ソースと通信します。収集エージェントは、Audit Vault Serverシステム、監査データ・ソースをホストするシステム、または別の第三者システム上で実行され、Audit Vault Serverのかわりに監査データ・コレクタを管理するプログラムです。コレクタはAudit Vaultサービスとの接続の設定を収集エージェントに依存しています。収集エージェントは、コレクタを管理および監視する管理サービスとの通信も担当します。収集エージェントは、監査データ・ソースから監査データを読み取り、データを解析して監査レコードをAudit Vault内のRAW監査データ・ストアに送信します。
収集エージェント: Audit Vaultコレクタによる監査データ収集のランタイム・サポートを提供します。収集エージェントはコレクタをロードして、監査データを送信するためのAudit Vault監査サービスへの接続を提供します。また、Audit Vault管理サービスからのコールを処理して適切なコレクタにルーティングし、コレクタのランタイム・メトリックをAudit Vault管理サービスに送信します。
コレクタ: 監査ソースとAudit Vault間のプライマリ収集コンポーネントを起動および停止します。コレクタは、ネイティブのログ・レコードの読取りまたは解析を行い、監査サービスを使用してAudit Vaultに送信します。起動またはリセット(停止後に起動)すると、コレクタは監査サービスから提供された監査構成オブジェクトを読み取ります。このオブジェクトには、Oracle Audit Vaultから送信されたリカバリ情報、構成情報およびポリシー情報が含まれています。
管理および監視サービスにより、すべてのコレクタが管理されます。このサービスを使用すると、スケジュールに基づいたコレクタの停止と開始が可能になり、各コレクタのメトリックを格納できます。
この項では、Audit Vault ServerおよびAudit Vault収集エージェントのデプロイ・オプションを、監査されるソース・データベースが存在するホスト・システムとの関連において説明します。
Audit Vault Server
Audit Vault Serverは、専用のホストにインストールするか、Enterprise Manager Grid ControlまたはOracle Recovery Manager(RMAN)リポジトリ・データベースなどの他のリポジトリ・データベースが存在するホストにインストールします。これは、ソース・データとは別のシステムでAudit Vault Serverの高可用性を確保し、セキュアかつ統合された監査証跡を実現するためです。
スケーラビリティおよび可用性を高めるため、Audit Vault Serverでは、障害時リカバリのためにReal Applications Cluster(RAC)およびData Guardをオプションで実装できます。
Audit Vault収集エージェント
Audit Vault収集エージェントは、次のいずれかにインストールできます。
監査の対象となるソース・データベースと同一のホスト
これは推奨されるデプロイ・オプションです。データベース監査証跡の出力先がオペレーティング・システム・ログである場合は、それらのオペレーティング・システム・ファイルと同一のホスト上にAudit Vault収集エージェントをインストールする必要があります。
Audit Vault Serverのホスト・システム
データベース監査証跡の出力先がデータベース表(SYS.AUD$、SYS.FGA_LOG$またはDVSYS.AUDIT_TRAIL$)である場合は、Audit Vault ServerのホストにAudit Vault収集エージェントをインストールできます。
Audit Vault Serverおよび監査対象のソース・データベースとは別のホスト・システム
データベース監査証跡の出力先がデータベース表(SYS.AUD$、SYS.FGA_LOG$またはDVSYS.AUDIT_TRAIL$)である場合は、監査対象のデータベースやAudit Vault Serverとは異なるホストにAudit Vault収集エージェントをインストールできます。
Oracle RACの場合は、DBAUDおよびREDOコレクタを実行する1つのインスタンスを決定します。OSAUDコレクタを使用し、監査ファイルがそのインスタンスのローカル・ファイルである場合にのみ、収集エージェントをすべてのインスタンスにインストールする必要があります。
この項では、選択したソースおよび監査データを収集する監査証跡に基づいて、コレクタを選択してデプロイする方法を説明します。表1-7に、サポートされるソース、ソース・タイプ、およびこれらの監査証跡から監査データを収集するコレクタのタイプを示します。詳細は、『Oracle Audit Vault監査者ガイド』の監査データの収集に関するデータベース要件の項を参照してください。
表1-7 サポートされるソース、ソース・タイプ、コレクタ・タイプおよび監査証跡
| ソース | ソース・タイプ | コレクタ・タイプ | 監査証跡 |
|---|---|---|---|
|
Oracle Database |
ORCLDB |
OSAUD(表1-8を参照) DBAUD(表1-9を参照) REDO(表1-10を参照) |
オペレーティング・システム・ログ データベース監査表 REDOログ |
|
SQL Serverデータベース |
MSSQLDB |
MSSQLDB(表1-12を参照) |
C2監査ログ、サーバー側のトレース・ログ、Windowsイベント・ログ |
次のディシジョン・ツリーを使用すると、Audit Vaultに登録するソースおよびコレクタ・タイプを選択して、必要なすべての監査証跡から監査データを収集できます。
監査レコードを収集する監査ソースはどれですか。(Oracle DatabaseまたはSQL Serverデータベース)
Oracle Databaseソースから収集する場合は、このソースを登録します。(2)に進みます。
SQL Serverデータベースソースから収集する場合は、このソースを登録します。(3)に進みます。
2つ以上異なるソースから収集する場合は、異なるソースごとにこのソース選択プロセスを繰り返してください。
Oracle Database Source
監査データを収集するOracle Database監査証跡は次のうちどれですか。
各表(表1-8、表1-9および表1-10)に、Oracle Database監査証跡の概要、ソースでの各監査の設定、実装する監査対象の操作、および監査データを収集する監査証跡の選択に役立つその他の重要なコメントを示します。
表1-8 Oracle Databaseソース(ソース・タイプORCLDB)およびOSAUDコレクタ
| 監査証跡 | 監査証跡の設定 | 監査対象の操作 | コメント |
|---|---|---|---|
|
オペレーティング・システム・ログ脚注1 |
権限を持つユーザーからのセキュリティを強化します。 |
||
|
LinuxおよびUNIXベースのプラットフォーム(.aud) |
|
SELECT、DML、DDL。成功および失敗、SQLテキスト(SYS)、SYS監査、業務の分離。 管理者を監査するには、 |
なし |
|
LinuxおよびUNIXベースのプラットフォーム(.xml) |
|
SELECT、DML、DDL。成功および失敗、SQLテキスト( 管理者を監査するには、 |
extendedにより、SQLテキストおよびSQLバインドの監査証跡への書込みが可能になります。 |
|
LinuxおよびUNIXベースのプラットフォーム(syslog) |
|
SELECT、DML、DDL。成功および失敗、SQLテキスト( 管理者を監査するには、
実行または試行された操作のアクション・コード、操作の実行に使用されたシステム権限、完了コードまたは試行された操作の結果(成功の場合は0、それ以外の場合はOracleエラー・コード)が記録されます。 |
オペレーティング・システムの監査証跡に格納された監査レコードよりも安全に保護されます。 |
|
Windowsプラットフォーム Windowsイベント・ログ |
|
SELECT、DML、DDL。成功および失敗、SQLテキスト( 管理者を監査するには、 |
なし |
|
Windowsプラットフォーム オペレーティング・システムXMLファイル( |
|
SELECT、DML、DDL。成功および失敗、SQLテキスト( 管理者を監査するには、 |
extendedにより、SQLテキストおよびSQLバインドの監査証跡への書込みが可能になります。 |
脚注1 OSAUDコレクタでは、ファイルに格納された監査証跡から監査レコードを収集できる監査ファイルのサイズが2GBに制限されています。これには、SYSLOG、.AUDおよび.XMLなどのファイルが含まれます。ファイル・サイズが2GBより大きい場合、OSAUDコレクタは、2GBを超過した後の監査レコードをすべて無視します。オペレーティング・システム監査証跡のサイズを制御し、設定する監査証跡タイプを選択するには、DBMS_AUDIT_MGMT.SET_AUDIT_TRAIL_PROPERTY PL/SQLプロシージャを使用してDBMS_AUDIT_MGMT.OS_FILE_MAX_SIZEプロパティおよびDBMS_AUDIT_MGMT.AUDIT_TRAIL_TYPEタイプを設定します。チュートリアル情報は4.4項を、リファレンス情報は付録Gを参照してください。
表1-9 Oracle Databaseソース(ソース・タイプORCLDB)およびDBAUDコレクタ
| 監査証跡 | 監査証跡の設定 | 監査対象の操作 | コメント |
|---|---|---|---|
|
データベース監査表 |
デフォルトですべてのデータベース監査表から収集します。 |
||
|
|
|
SELECT、DML、DDL、成功および失敗、SQLテキスト |
extendedにより、SQLテキストおよびSQLバインドの監査証跡への書込みが可能になります。 |
|
|
|
表へのSELECT、INSERT、UPDATE、DELETE操作、ターゲット固有の列および行 |
特定的な監査条件の追跡、FGAデータの収集。 |
|
|
Oracle Database Vaultの監査アクティビティ |
Database Vault監査アクティビティの追跡、レルムのaudit_options、command_rulesなどの指定。 |
表1-10 Oracle Databaseソース(ソース・タイプORCLDB)およびREDOコレクタ
| 監査証跡 | 監査証跡の設定 | 監査対象の操作 | コメント |
|---|---|---|---|
|
REDOログ |
監査ポリシー: 取得ルール |
DML、DDL、前後の値 |
機密データを含む列の変更前および変更後の値を追跡します。 |
|
関連項目: データベース監査の概要は、『Oracle Database概要』の「データベースのセキュリティ」で、データベース監査の概要とファイングレイン監査に関する項を参照してください。データベース監査の詳細は、『Oracle Databaseセキュリティ・ガイド』の「データベース監査: セキュリティの考慮事項」の章を参照してください。 |
表1-11のオプションを1つ以上選択します。選択したオプションによって、監査レコードを収集する監査証跡に合せてAudit Vaultに登録するコレクタが決まります。
表1-11 Oracle Database監査証跡と一致するコレクタの選択
| オプション | 監査証跡 | コレクタ・タイプ | コメント |
|---|---|---|---|
|
a. |
オペレーティング・システム・ログ |
OSAUD |
このコレクタの使用は推奨されています。 権限を持つユーザーからのセキュリティが向上します。 |
|
b. |
データベース監査表 |
DBAUD |
|
|
c. |
REDOログ |
REDO |
2つ以上の監査証跡から収集する場合は、監査データを収集する監査証跡ごとにコレクタを登録します。たとえば、3つのOracle Database監査証跡のすべてから監査データを収集する場合は、Audit Vaultでのソースの登録と、そのソースのコレクタ・タイプOSAUD、DBAUDおよびREDOの登録が必要です。
Oracle Database監査ソースとそのコレクタを登録する手順は、2.2項を参照してください。
SQL Serverデータベース・ソース
監査データを収集するSQL Serverデータベース監査証跡は次のうちどれですか。
表1-12に、3つのSQL Server監査証跡の概要、ソースでの各監査の設定、監査対象の操作、および監査データを収集する監査証跡の選択に役立つその他の重要なコメントを示します。
表1-12 Microsoft SQL Serverデータベース・ソース(ソース・タイプMSSQLDB)とそのMSSQLDBコレクタ
| 監査証跡 - 監査ログ | 監査証跡の設定 | 監査対象の操作 | コメント |
|---|---|---|---|
|
C2監査ログ |
SQL Server Enterprise Managerを使用してSQL Serverのセキュリティ・プロパティを構成します。 |
C2評価に準拠した監査 文およびオブジェクトへのアクセスの試行(成功および失敗の両方)が記録されます。 全部かゼロかの方法による監査。 |
すべてが記録されます。 |
|
サーバー側のトレース・ログ |
ストアド・プロシージャを実行して、トレースの開始および停止、トレースの構成およびフィルタを行います。 |
ファイングレイン・セキュリティ関連のアクティビティが記録されます。 監査するイベントおよび各イベントで記録する情報を正確に選択できます。 トレースの構成情報は非永続的です。SQL Serverを再起動したときに失われます。 |
特定のアクティビティが記録されます。 特定のアクティビティのみを記録するようにトレースを構成できます。 結果をフィルタして、SQLの動詞(たとえば、SELECT、INSERT、UPDATE、DELETE)など、特定のパターンと一致するアクティビティ、または特定のオブジェクト(たとえば、特定の表)に関係のあるアクティビティのみを記録できます。 |
|
Windowsイベント・ログ |
デフォルトで実行されています。 |
標準の集中的な方法によって、アプリケーション(およびオペレーティング・システム)で重要なソフトウェアおよびハードウェアのイベントを記録します。 |
なし |
AVMSSQLDB add_collectorコマンドを使用してMSSQLDBコレクタをAudit Vaultに登録すると、デフォルトでは、3つの監査証跡すべてから監査レコードが収集されます。デフォルトの設定を変更するには、表1-13のオプションを1つ以上選択した後、AVMSSQLDB alter_collectorコマンドで、必要なMSSQLDBコレクタ属性の設定を指定します。
表1-13 SQL Server監査証跡から収集するMSSQLDBコレクタの構成
| オプション | 監査証跡 | AVMSSQLDB alter_collectorコマンドで選択済の監査証跡に指定するコレクタ属性 | デフォルト設定 |
|---|---|---|---|
|
a. |
C2監査ログ |
|
1 |
|
b. |
サーバー側のトレース・ログ |
|
1 |
|
c. |
Windowsイベント・ログ |
|
1 |
たとえば、2つ以下の監査証跡から収集する場合は、監査レコードを収集しない監査証跡を表すMSSQLDBコレクタの属性を変更してフラグ値に0(ゼロ)の値を指定します。たとえば、サーバー側のトレース・ログから監査証跡レコードを収集しない場合は、AVMSSQLDB alter_collectorコマンドで、属性AUDIT_SERVERSIDE_TRACES_FLAG=0を指定します。
前述のとおり、選択したオプションによって、監査データを収集する監査証跡に合せてMSSQLDBコレクタの構成および登録の方法が決まります。
SQL Serverデータベースの監査ソースとMSSQLDBコレクタを登録する手順は、2.3項を参照してください。
この項では、Oracle Databaseコレクタの選択に関する考慮事項を重点的に説明します。
どのタイプの監査情報を生成し、管理する必要があるかに応じて、各Oracle Database監査ソースに1つのコレクタまたは3つのコレクタをすべてデプロイする場合があります。
Oracle DatabaseのDBAUDコレクタ
表1-8で指定されているように監査を設定した場合、DBAUDコレクタは、Oracle Databaseの標準データベース監査証跡のディクショナリ表SYS.AUD$、ファイングレイン監査証跡のディクショナリ表SYS.FGA_LOG$、およびOracle Database Vault監査証跡データベースのディクショナリ表DVSYS.AUDIT_TRAIL$から監査レコードを収集します。ただし、SYSユーザーの監査アクティビティは、オペレーティング・システム監査ログ・ファイルに常に書き込まれるため、このコレクタでは収集できません。
Oracle DatabaseのOSAUDコレクタ(推奨)
監査したSYSユーザーのイベントを監査ログ・ファイルから収集するにはOSAUDコレクタを使用します。
データベースに対するパフォーマンスのオーバーヘッドを最小化するため、オペレーティング・システムを監査証跡のプライマリ・ロケーションとして使用し、OSAUDコレクタをデプロイすることをお薦めします。監査レコードをオペレーティング・システム・ファイルに格納すると、ファイルへのアクセスの際にDBAの権限に含まれていないファイル・アクセス権を要求することが可能となるため、データベースに格納された監査レコードよりも安全に保護されます。もう1つの利点として、オペレーティング・システムに監査レコードを保存すると、データベースが一時的にアクセス不能な場合でも監査レコードにアクセスできるという点で、可用性が高くなります。
Oracle Database REDOログのREDOコレクタ
REDOコレクタを使用して、給与などの機密データを含む列の変更前および変更後の値を追跡します。また、SYSユーザーの監査アクティビティもこのコレクタを使用して収集できます。
REDOコレクタはOracle Streamsテクノロジを使用して、REDOログから論理変更レコード(LCR)を取得します。LCRは監査レコードに変換された後、Audit Vaultに送信されます。ソース・データベースでは、Streams取得プロセスによりLogMinerが使用され、ユーザーが定義した取得ルールに基づいてREDOログから新しいLCRが抽出されます。その後、Streams伝播プロセスにより、データベース・リンクを介してLCRがAudit Vaultに転送されます。一方、Audit Vaultでは特別に記述された適用ハンドラにより、LCRが監査レコードに変換され、RAW監査データ・ストアに格納されます(図1-2を参照)。
この項では、サポートされた監査ソースに関して、Oracle Audit Vault監査イベントのカテゴリ、各カテゴリの属性、および関連する監査イベントとイベントIDの情報を入手できる場所を説明します。この情報により、監査イベントの各監査ソースでのAudit Vaultイベント・カテゴリへのマッピングを理解できます。たとえば、LOGONおよびLOGOFF監査イベントは、どちらもOracle Database監査ソースのユーザー・セッション監査イベント・カテゴリに分類されます。
Oracle Audit Vault監査イベント・カテゴリの情報は、次の場所で入手できます。
サポートされている各監査ソースのイベントは、『Oracle Audit Vault監査者ガイド』の監査イベントの付録(たとえば、「Oracle Database監査イベント」)を参照してください。各監査イベント・カテゴリの属性、関連イベント名およびイベントIDの情報が記載されています。
Audit Vault管理者コンソール。
Audit Vault管理者としてAudit Vaultコンソールにログインします。
「構成」タブをクリックします。
「監査イベント・カテゴリ」をクリックします。
「監査イベント・カテゴリ管理」ページで、ソース・タイプ・オプションORCLDBおよびMSSQLDBを選択できます。デフォルトで、ORCLDB監査ソース・タイプが選択されています。監査イベント・カテゴリを選択します。たとえば、「アカウント管理」を選択し、「表示」をクリックします。
「監査イベント・カテゴリの表示」ページには、デフォルトで、属性名、属性のデータ型、および属性の元(汎用または特定のソース)が表示されます。「監査イベント」をクリックします。
「監査イベント・カテゴリの表示」ページに、「アカウント管理」監査イベント・カテゴリの監査イベントと関連ソース・イベントIDが表示されます。
Oracle Audit Vaultには、エンタープライズ全体の監査データの管理タスクを簡素化する次の機能があります。
Oracle Audit Vaultでは、監査ポリシー(監査設定)を作成し、エンタープライズ内のOracle Database監査ソースにポリシーをプロビジョニングできます。AV_AUDITORロールを付与されたユーザーによって制御されるこの機能を使用すると、コンプライアンスとセキュリティ要件を満たすための監査設定を効率的に作成および適用できます。
Oracle Audit Vaultは、すべての監査データ・ソースでアラート・メカニズムを使用しています。アラートは、エンタープライズ内の機密性の高いシステムで監査データをリアルタイム・ベースで監視する必要がある場合は特に役立ちます。この機能もAV_AUDITORロールを付与されたユーザーによって制御されます。この機能を使用すると、アラート・アクションの発生時、アラートの発生時、およびプロンプト通知と処理に関するアラート・レコードのエンキュー時に、そのようなタイプのシステムのルール条件を構成および適用できます。アラート・メカニズムにより、問題の早期検出のレベルが上がるため、管理者は事後ではなく早期に対応できます。
AV_ADMINロールを付与されたユーザーは、レポート作成および分析の目的で、データ・ウェアハウス内の監査データのアーカイブのリフレッシュ、パージおよびリロードをスケジュールします。AV_AUDITORロールを付与されたユーザーは、標準(即時利用可能)のレポートを定期的に生成してコンプライアンスの指針に準拠できます。また、このユーザーは、特定の要件を満たすために特別なレポートまたはカスタマイズされたレポートを作成できます。
Oracle Audit Vaultでは、監査データ・ウェアハウスに非常にセキュアなモデルが使用されているため、監査証跡および監査データへのアクセスがすべてのシステム管理者に制限されています。Oracle Database Vaultは、監査データ・ウェアハウスの保護に使用されます。Oracle Audit Vaultでは、Audit Vault管理者ロールによって指定された、非常に少数の選ばれた信頼できるAudit Vault管理者にのみアクセスが許可されています。
Oracle Audit Vaultのコマンドライン・ユーティリティには、Audit Vaultコンフィギュレーション・アシスタント(AVCA)、Audit Vault Control(AVCTL)、Audit Vault Oracle Database(AVORCLDB)、およびAudit Vault Microsoft SQL Serverデータベース(AVMSSQLDB)があり、構成および管理タスクで使用できます。Oracle Audit Vaultには、業務の分離を強制して、管理および構成タスクの円滑な実行を可能にするAudit Vaultコンソールがあります。Audit Vaultでは、管理者はわかりやすいインタフェースを使用してAudit Vaultを構成および管理できます。Oracle Audit Vaultインストール時の追加オプションとして、AV_ADMINロールを付与されている管理者はAV_AUDITORロールを付与され、システム全体を管理できます。
Audit Vault ServerとAudit Vault収集エージェントのインストールが完了したら、次の一般的なタスク・セットをここに記載された順序で実行する必要があります。
LinuxおよびUNIXプラットフォームのみ: Audit Vault Server、Audit Vault収集エージェントおよび監査データ・ソースと対話する各シェルの環境変数を確認し、設定します(第2章を参照)。
Audit Vault Serverと通信するシェルに適用可能な場合は、ORACLE_HOME、ORACLE_SID、PATH、LD_LIBRARY_PATH(Linux x86、Linux x86-64およびSolaris SPAC_64の場合)、SHLIB_PATH(HP-UXの場合)またはLIBPATH(AIXの場合)に環境変数を確認して設定します。Audit Vault Serverシェルで、/usr/local/binディレクトリにあるcoraenvスクリプト(Cシェル)およびoraenvスクリプト(Bourne、BashまたはKornシェル)を実行して、これらの環境変数を設定できます。
Audit Vault収集エージェントと対話するシェルで、ORACLE_HOME、LD_LIBRARY_PATHおよびPATHの環境変数を確認して設定します。これらの環境変数は、Audit Vault収集エージェントのシェルでsetenvコマンドを使用して手動で設定する必要があります(第2章を参照)。
Audit Vault ServerシェルおよびAudit Vault収集エージェント・シェルで、AVMSSQLDBコマンドライン・ユーティリティを使用する場合、LANG環境変数を選択したネイティブ言語のロケール・カテゴリに設定します。これにより、すべての翻訳情報が指定したロケール言語で表示されます。NLS_LANG環境変数はOracle固有の設定であり、AVORCLDBコマンドライン・ユーティリティで有効であっても、AVMSSQLDBコマンドライン・ユーティリティには効果がありません。一方、LANG環境変数は、ネイティブ言語のロケール・カテゴリの標準の設定方法です。
監査データ・ソースと対話するシェルの環境変数を確認して設定します。/usr/local/binディレクトリにあるcoraenvスクリプト(Cシェル)およびoraenvスクリプト(Bourne、BashまたはKornシェル)を実行して、これらの環境変数を設定できます。
ソースおよびコレクタを追加します(第2章を参照)。
最初に必要な構成および管理タスクには、ソース・ユーザーの作成、OSAUDおよびDBAUDコレクタのポリシーを管理する権限と、REDOおよびMSSQLDBコレクタを操作する権限の付与、Audit Vault収集エージェント・ホームのコレクタ・タイプとソースの互換性の検証、ソースの追加、コレクタの追加、Oracle Databaseソースから収集エージェントへのデータベース・リンクの設定、接続の検証などがあります。
Audit Vaultコンポーネントを構成および管理します(第3章を参照)。
その他の構成タスクには、収集エージェント、コレクタおよび監査データ・ソースの追加、変更および削除、データ・ウェアハウス操作のスケジューリング、監査データ・ストレージの管理操作の設定、データ・ウェアハウスでのアーカイブからのロード操作に対するアラートをグローバルに無効化および有効化する処理などがあります。データ・ウェアハウスのスケジュール・タスクには、アーカイブされた監査データのリロードのスケジューリング、および監査データのリフレッシュとパージのスケジュールの設定が含まれます。まずこれらのタスクを実行してからAudit Vaultを構成すると、その後はコンポーネントのみ再構成されます。
収集エージェントおよびコレクタは、メンテナンスのための停止と起動などの管理が必要です。Audit Vault管理者は、監査データを使用して、データ・ウェアハウスのリフレッシュ、パージおよびロードの履歴を参照する必要があります。必要に応じて、リフレッシュ、パージおよびリロード操作をすぐに起動できます。Audit Vault管理者は、エラー・メッセージ情報を参照し、システムの大まかな状態を監視する必要があります。これらのタスクは必要に応じて実行できます。
Audit Vault Serverと収集エージェント間の管理用の通信をセキュリティで保護します(第5章を参照)。
Audit Vault Serverと収集エージェント間の管理用の通信をセキュリティで保護することが重要なセキュリティ・タスクとしてあげられます。本番環境に移行する前に、このタスクを実行して管理用通信の安全を確保することをお薦めします。
Oracle Audit Vaultの詳細は、次のリソースを参照してください。
特定の情報および推奨事項については、Oracle Audit VaultのWebサイトで「Oracle Audit Vault Best Practices」を参照してください。
http://www.oracle.com/technology/products/audit-vault/index.html
Webサイトの次のURLにあるOracleMetaLinkを参照してください。
https://metalink.oracle.com
現行のOracleサポート・サービスの契約がない場合は、次のURLでも同じ情報にアクセスできます。
http://www.oracle.com/technology/support/metalink/content.html
WebサイトでOracle Audit Vault Discussion Forumsを参照してください。
http://forums.oracle.com/forums/forum.jspa?forumID=391
