1. 監査者ガイド
  2. グローバル・セット/データ検出の管理

5 グローバル・セット/データ検出の管理

Oracle AVDF 20.9では、Oracle Databaseターゲットで特権ユーザーおよび機密オブジェクトのグローバル・セットを作成できるデータ検出が導入されました。Oracle AVDF 20.10では、この機能の名前がグローバル・セットに変更され、グローバルIPアドレス、OSユーザー、クライアント・プログラムおよびデータベース・ユーザー・セットを追加で作成できるように拡張されました。

グローバル・セットは、複数のDatabase Firewallポリシーで一度に使用でき、ポリシーの作成を簡素化できます。

グローバル・セットは、次の場合に使用する必要があります。
  • セット内の要素が複数のDatabase Firewallポリシーで使用される場合
ローカル・セットは、次の場合に使用する必要があります。
  • セットが1つのDatabase Firewallポリシーでのみ使用される場合
  • テスト用のDatabase Firewallポリシーなどにおいて、ポリシーが削除される際にセットを削除する場合

5.1 グローバル・セット - Oracle AVDF 20.10以降

Oracle AVDF 20.10以降では、任意のタイプのターゲット・データベースでグローバル・セットを使用して、グローバルIPアドレス、OSユーザー、クライアント・プログラムおよびデータベース・ユーザー・セットを作成できます。また、Oracle Databaseターゲットに特権ユーザーと機密オブジェクトのグローバル・セットを作成できます。

5.1.1 グローバル・セットについて

Oracle AVDF 20.10以降では、任意のタイプのターゲット・データベースでグローバル・セットを使用して、グローバルIPアドレス、OSユーザー、クライアント・プログラムおよびデータベース・ユーザー・セットを作成できます。また、Oracle Databaseターゲットに特権ユーザーと機密オブジェクトのグローバル・セットを作成できます。

グローバル・セットを使用すると、IPアドレス、OSユーザー名、クライアント・プログラム名およびデータベース・ユーザー名をセットに追加またはインポートできます。

また、グローバル・セットでは、ユーザー権限およびDatabase Security Assessment Tool (DBSAT)をOracle Databaseに適用して、特権ユーザーと機密オブジェクトを識別します。これは、ユーザー権限および機密オブジェクトの検出ジョブを実行およびスケジュールすることで有効になります。特権ユーザーと機密オブジェクトが検出されていると、それらは特権ユーザーおよび機密オブジェクトのセットに追加できます。

こうしたセットはグローバルであり、複数のデータベース・ファイアウォール・ポリシーで使用できます。グローバル・セットで作成されたグローバル・セットは、Database Firewallポリシー・エディタの対応するタブで表示できます。

関連トピック

5.1.2 特権ユーザーおよび機密オブジェクトのグローバル・セットを作成するための前提条件

特権ユーザーおよび機密オブジェクトのグローバル・セットを作成するには、まず、administratorが検出およびユーザー権限ジョブを実行するためのOracle Databaseの権限を有効にしておく必要があり、そのジョブを開始およびスケジュールする必要があります。

5.1.3 グローバル・セットの作成

グローバル・セットを作成して要素を追加することで、複数のDatabase Firewallポリシーで使用できる1つのセットを作成できます。IPアドレス、OSユーザー、クライアント・プログラムおよびデータベース・ユーザー・セットは、任意のタイプのターゲット・データベースで使用できます。

グローバル・セットに要素を追加するには:

  1. 「グローバル・セット」タブをクリックします。
  2. 目的のIPアドレス、OSユーザー、クライアント・プログラムまたはデータベース・ユーザーのいずれかのセクションを展開し、「追加」をクリックします。
  3. グローバル・セットの名前を入力します。
  4. オプションで、グローバル・セットの説明を入力します。
  5. 「収集データから」、「値の入力」または「ファイル・インポート」の3つの方法のうち1つ以上で、要素をグローバル・セットに追加できます。
    • 収集データから - ターゲットから特定の要素を選択できます。
      1. 「使用可能」列で1つ以上のターゲットを選択し、矢印を使用して「選択済」列に移動します。ターゲットを検索することもできます。
      2. 過去24時間、1週間、1か月間、特定の期間のいずれのデータを表示するかを選択します。
      3. 「検索」ボタンをクリックします。
      4. グローバル・セットに追加する要素を選択します。
    • 値の入力 - 複数の項目を一度に入力できるため、要素をグローバル・セットに一括で追加できます。要素はカンマ区切りリストとして入力するか、1行に1つの要素を入力できます。両方の区切り方法を使用することもできます。
    • ファイル・インポート - .txtファイルをアップロードして、要素をグローバル・セットに一度に追加できます。ファイルには、要素をカンマ区切りリストとして含めるか、1行に1つの要素を含めることができます。両方の区切り方法を使用することもできます。

      ノート:

      ファイルをインポートする場合は、UTF-8形式でエンコードする必要があります。
  6. グローバル・セットに要素を追加したら、「保存」をクリックします。

5.1.4 特権ユーザー・セットの作成

特権ユーザーは、ユーザー権限によってターゲットOracle Databasesで識別されます。

  1. 「グローバル・セット」タブをクリックします。
  2. 「特権ユーザー・セット」セクションを展開し、「追加」をクリックします。
  3. グローバル・セットの名前を入力します。
  4. オプションで、グローバル・セットの説明を入力します。
  5. 「使用可能」列で1つ以上のターゲットを選択し、矢印を使用して「選択済」列に移動します。ターゲットを検索することもできます。
  6. セットに追加するすべてのユーザーを選択します。ユーザーを検索することもできます。
  7. 「追加」をクリックします。
  8. 「保存」をクリックします。

関連トピック

5.1.5 機密オブジェクト・グローバル・セットの作成

機密オブジェクトは、Database Security Assessment Tool (DBSAT)の統合によってターゲットOracle Databasesで識別されます。

  1. 「グローバル・セット」タブをクリックします。
  2. 「特権ユーザー・セット」セクションを展開し、「追加」をクリックします。
  3. グローバル・セットの名前を入力します。
  4. オプションで、グローバル・セットの説明を入力します。
  5. 「使用可能」列で1つ以上のターゲットを選択し、矢印を使用して「選択済」列に移動します。ターゲットを検索することもできます。
  6. カテゴリを選択します。デフォルトでは、いくつかの機密カテゴリが選択した列にリストされていて、フィルタを使用すると削除できます。
    次に、選択可能な機密カテゴリとタイプを示します。
    • 識別情報: 国別識別子、個人識別子および公開識別子の機密タイプが含まれます。例として、米国社会保障番号(SSN)、カナダ社会保険番号(SIN)などの国民ID番号、ビザ番号、氏名などが挙げられます。
    • 経歴情報:住所、家族データ、拡張PII、制限付きデータ処理の機密タイプが含まれます。例として、完全な住所、母親の旧姓、誕生日、宗教などが挙げられます。
    • IT情報: ユーザーITデータおよびデバイス・データの機密タイプが含まれます。例として、ユーザーID、パスワード、IPアドレスなどが挙げられます。
    • 財務情報: 支払カード・データ、銀行口座データの機密タイプが含まれます。例として、カード番号、カード・セキュリティPIN、銀行口座番号などが挙げられます。
    • 医療情報: 健康保険データ、医療提供者データおよび医療データの機密タイプが含まれます。例として、健康保険番号、医療提供者、血液型などが挙げられます。
    • 雇用情報: 従業員基本データ、組織データおよび給与データの機密タイプが含まれます。例として、役職、退職日、収入、貯蓄などが挙げられます。
    • 学業情報: 学生基本データ、機関データおよび成績データの機密タイプが含まれます。例として、学資援助、大学名、学年、専門科目の記録などが挙げられます。
  7. セットに追加するすべてのユーザーを選択します。ユーザーを検索することもできます。
  8. 「追加」をクリックします。
  9. 「保存」をクリックします。

関連トピック

5.1.6 グローバル・セットの変更

グローバル・セット内の要素を変更することで、グローバル・セットを保持しながら、そのセットに対して要素を追加または削除できます。グローバル・セットを変更すると、新しいセットを作成することなく、ターゲットの変更または特定のニーズに基づいてDatabase Firewallポリシーを簡単に更新できます。

要素の追加

IPアドレス、OSユーザー、クライアント・プログラムおよびデータベース・ユーザー・セットについて、要素を手動または一括ですべての既存セットに追加できます。
  1. 「グローバル・セット」タブをクリックします。
  2. いずれかのセクションを展開し、既存のグローバル・セットをクリックします。
  3. IPアドレス、OSユーザー、クライアント・プログラムおよびデータベース・ユーザー・セットについて、「追加」「ファイルから追加」または「収集データからの追加」をクリックします。特権ユーザーまたは機密オブジェクトのセットの場合は、「追加」のみクリックできます。
  4. 「追加」をクリックした場合、表示されたフィールドで、追加する要素を入力します。要素はカンマ区切りリストとして入力するか、1行に1つの要素を入力できます。
  5. 「ファイルから追加」または「収集データからの追加」をクリックした場合のプロセスは、グローバル・セットを新規作成するときと同じです。

    ノート:

    ファイルをインポートする場合は、UTF-8形式でエンコードする必要があります。
  6. 「保存」をクリックします。

要素の削除

既存のすべてのセットから要素を手動で削除できます。
  1. 「グローバル・セット」タブをクリックします。
  2. いずれかのセクションを展開し、既存のグローバル・セットをクリックします。
  3. グローバル・セットから削除する要素をリストから1つ以上選択します。特定の要素を検索することもできます。
  4. 「削除」をクリックします。
  5. 「保存」をクリックします。

5.1.7 グローバル・セットの変更による影響の理解

グローバル・セットが変更された場合、そのグローバル・セットを使用するポリシーを再度デプロイする必要があります。

「グローバル・セット」ページから、データベース・ファイアウォール・ポリシーで現在使用されているグローバル・セットを確認できます。使用中のセットが変更されるたび、つまり要素がそのセットに対して追加または削除されるたびに、そのセットを使用するポリシーのダイアログ・ボックスが表示されます。これらのポリシーは、自動的にデプロイメントが必要ステータスになります。Oracle AVDFの「データベース・ファイアウォール・ポリシー」セクションから、この状態の複数のポリシーを選択してデプロイできます。これらのポリシーをデプロイすると、ポリシーが以前にデプロイされていたすべてのターゲットに自動的にデプロイされます。

データベース・ファイアウォール・ポリシーは、使用するセットの変更後にデプロイメントが必要ステータスになりますが、Database Firewallでは、変更がデプロイされるまで、最後にデプロイされたバージョンのポリシーが引き続き使用されます。

たとえば、次の使用例を考えてみます。UserAおよびUserBで構成されているAllowedUsersというグローバル・セットがあり、このグローバル・セットはデプロイされたデータベース・ファイアウォール・ポリシーPolicy1によって現在使用されています。AllowedUsersセットがUserCを追加で含めるように変更されると、Policy1はデプロイメントが必要ステータスになります。Policy1が再度デプロイされるまで、データベース・ファイアウォールはUserAおよびUserBからのトラフィックのみを許可します。Policy1が再度デプロイされると、データベース・ファイアウォールはUserA、UserBおよびUserCからのトラフィックを許可します。

ノート:

ポリシーは、セットに対する変更が取り消された場合でも、デプロイメントが必要ステータスになります。たとえば、セットに要素を追加した直後にその要素を削除し、セットに以前と同じ要素のみが含まれるようにすると、そのセットを使用するポリシーはデプロイメントが必要でマークされます。

5.2 データ検出 - Oracle AVDF 20.9

Oracle AVDF 20.9では、データ検出をOracleデータベースに使用して、複数のDatabase Firewallポリシーで使用できる特権ユーザーおよび機密オブジェクトのグローバル・セットを作成できます。

5.2.1 データ検出について

Oracle AVDF 20.9では、データ検出をOracleデータベースに使用して、複数のDatabase Firewallポリシーで使用できる特権ユーザーおよび機密オブジェクトのグローバル・セットを作成できます。

データ検出では、ユーザー権限およびDatabase Security Assessment Tool (DBSAT)をOracle Databaseに適用して、特権ユーザーと機密オブジェクトを識別します。これは、ユーザー権限および機密オブジェクトの検出ジョブを実行およびスケジュールすることで有効になります。特権ユーザーと機密オブジェクトが検出されていると、それらは特権ユーザーおよび機密オブジェクトのセットに追加できます。こうしたセットはグローバルであり、複数のデータベース・ファイアウォール・ポリシーで使用できます。

「データ検出」で作成した特権ユーザーと機密オブジェクトのセットは、「データ検出」や「データベース・ファイアウォール・ポリシー」エディタの「データベース・ユーザー・セット」タブと「データベース・オブジェクト・セット」タブで表示できます。「データ検出」は、データベース・ファイアウォール・ポリシーの作成にも使用できます。また、「データ検出」で作成したポリシーの表示と編集もできます。

関連トピック

5.2.2 特権ユーザーおよび機密オブジェクトのグローバル・セットを作成するための前提条件

特権ユーザーおよび機密オブジェクトのグローバル・セットを作成するには、まず、administratorが検出およびユーザー権限ジョブを実行するためのOracle Databaseの権限を有効にしておく必要があり、そのジョブを開始およびスケジュールする必要があります。

5.2.3 特権ユーザー・グローバル・セットの作成

特権ユーザーは、ユーザー権限によってターゲットOracle Databasesで識別されます。

特権ユーザー・セットを作成するには
  1. 「ポリシー」タブをクリックします。
  2. 左側のナビゲーション・メニューの「データ検出」タブをクリックします。
  3. 「特権ユーザー・セット」セクションで、「追加」をクリックします。
  4. セット名を入力します。
  5. ターゲットを選択します。
  6. 「特権ユーザー」のリストからユーザーを選択します。このリストに含まれていない新しいユーザーを追加するには、「追加」ボタンをクリックして、そのユーザーの名前を入力します。
  7. 終了したら、「保存」をクリックします。

5.2.4 機密オブジェクト・グローバル・セットの作成

機密オブジェクトは、Database Security Assessment Tool (DBSAT)の統合によってターゲットOracle Databasesで識別されます。

機密オブジェクト・セットを作成するには

  1. 「ポリシー」タブをクリックします。
  2. 左側のナビゲーション・メニューの「データ検出」タブをクリックします。
  3. 「機密オブジェクト・セット」セクションで、「追加」をクリックします。
  4. セット名を入力します。
  5. ターゲットを選択します。
  6. カテゴリを選択します。デフォルトでは、いくつかの機密カテゴリが選択した列にリストされていて、フィルタを使用すると削除できます。
    次に、選択可能な機密カテゴリとタイプを示します。
    • 識別情報: 国別識別子、個人識別子および公開識別子の機密タイプが含まれます。例として、米国社会保障番号(SSN)、カナダ社会保険番号(SIN)などの国民ID番号、ビザ番号、氏名などが挙げられます。
    • 経歴情報:住所、家族データ、拡張PII、制限付きデータ処理の機密タイプが含まれます。例として、完全な住所、母親の旧姓、誕生日、宗教などが挙げられます。
    • IT情報: ユーザーITデータおよびデバイス・データの機密タイプが含まれます。例として、ユーザーID、パスワード、IPアドレスなどが挙げられます。
    • 財務情報: 支払カード・データ、銀行口座データの機密タイプが含まれます。例として、カード番号、カード・セキュリティPIN、銀行口座番号などが挙げられます。
    • 医療情報: 健康保険データ、医療提供者データおよび医療データの機密タイプが含まれます。例として、健康保険番号、医療提供者、血液型などが挙げられます。
    • 雇用情報: 従業員基本データ、組織データおよび給与データの機密タイプが含まれます。例として、役職、退職日、収入、貯蓄などが挙げられます。
    • 学業情報: 学生基本データ、機関データおよび成績データの機密タイプが含まれます。例として、学資援助、大学名、学年、専門科目の記録などが挙げられます。
  7. 「機密オブジェクト」のリストからオブジェクトを選択します。このリストに含まれていない新しい機密オブジェクトを追加するには、「追加」ボタンをクリックして、その機密オブジェクトの名前を入力します。
  8. 終了したら、「保存」をクリックします。

5.2.5 グローバル・セットの表示

「データ検出」で作成した特権ユーザーと機密オブジェクトのセットは、グローバルであり、複数のポリシーで使用できます。それらのリストは、「データ検出」で表示できます。

セットを表示するには
  1. 「ポリシー」タブをクリックします。
  2. 左側のナビゲーション・メニューの「データ検出」タブをクリックします。
  3. 「データ検出」の対応するセットのセクションで、セット名をクリックします。このセットに含まれるすべての特権ユーザーまたは機密オブジェクトのリストが表示されます。「アクション」メニューを使用すると、セットにフィルタを適用できます。

特権ユーザーのセットと機密オブジェクトのセットは、それぞれ、データベース・ファイアウォール・ポリシーの「セット/プロファイル」「データベース・ユーザー・セット」タブと「データベース・オブジェクト・セット」タブでも表示できます。

ノート:

セットは編集できません。既存のセットを調整する場合は、新しいセットを削除してから作成する必要があります。

関連トピック

5.2.6 「データ検出」からのデータベース・ファイアウォール・ポリシーの作成

既存の特権ユーザーと機密オブジェクトのセットを使用するデータベース・ファイアウォール・ポリシーは、「データ検出」セクションから作成できます。

データベース・ファイアウォール・ポリシーを作成するには

  1. 「ポリシー」タブをクリックします。
  2. 左側のナビゲーション・メニューの「データ検出」タブをクリックします。
  3. 「データベース・ファイアウォール・ポリシー」セクションで、「追加」をクリックします。
  4. ポリシー名を入力します。
  5. ターゲットを選択します。
  6. 特権ユーザー・セットを選択します。
  7. 機密オブジェクト・セットを選択します。
  8. 文クラスを選択して、実行するアクションを選択します。
  9. 終了したら、「保存」をクリックします。
完了すると、次の構成内容の新しいポリシーが作成されます。
  • DBユーザー・セット - 特権ユーザー・セットが作成されていた場合に作成されます
  • プロファイル - ポリシーに特権ユーザーを選択した場合に作成されます
  • セッション・コンテキスト・ルール - ポリシーに特権ユーザーのみを選択した場合に作成されます
  • データベース・オブジェクト・ルール - 機密表または文クラスを選択した場合に作成されます。プロファイルが作成されていた場合は、ルールによってプロファイルが適用されます。

プロファイルは、データベース・ファイアウォール・ポリシーを編集するワークフローで表示できます。

5.2.7 データベース・ファイアウォール・ポリシーの表示と編集

「データ検出」で作成したDatabase Firewallポリシーは、「データ検出」セクションまたは「データベース・ファイアウォール・ポリシー」セクションで表示できます。

「データ検出」で作成したデータベース・ファイアウォール・ポリシーを表示するには
  1. 「ポリシー」タブをクリックします。
  2. 左側のナビゲーション・メニューで「データ検出」または「データベース・ファイアウォール・ポリシー」をクリックします。

グローバル・セットを使用するポリシーは、「データベース・ファイアウォール・ポリシー」セクションで標準のポリシー作成ワークフローを使用して作成されていた場合、「データ検出」ページのリストに表示されません。

「データベース・ファイアウォール・ポリシー」セクションでは、「データ検出」で作成したポリシーが「ユーザー定義のデータベース・ファイアウォール・ポリシー」のリストに表示されますが、指定方法が異なることはありません。

データベース・ファイアウォール・ポリシーを編集するには、ポリシー名をクリックしてから、「Database Firewallポリシーの編集」を参照してください。