30 監査ポリシーの構成
Oracle Databaseには、アクティビティを監査するための様々な方法が用意されています。
- 監査ポリシーについて
監査ポリシーは、データベースでのユーザー動作の特定の部分を監査できる監査設定の名前付きグループです。 - 監査対象
Oracle Database環境で最も脆弱な領域を監査する必要があります。 - 強制的に監査されるアクティビティ
セキュリティ・センシティブな特定のデータベース・アクティビティは常に監査され、このような監査構成は無効化できません。 - すべてのPDBに共通する監査構成
共通監査構成は、すべてのPDBで表示でき、強制されます。 - 監査タイプの選択
一般的なアクティビティ(SQL文のアクションなど)や一般的に使用される監査アクティビティ、ファイングレイン監査のシナリオを監査できます。 - 事前定義の統合監査ポリシーを使用したアクティビティの監査
Oracle Databaseには、よく使用されるセキュリティ関連の監査設定を対象とする、事前定義の統合監査ポリシーがあります。 - 一般的な監査データ・ディクショナリ・ビュー
Oracle Databaseには、監査で使用するための様々なタイプのデータ・ディクショナリ・ビューおよび動的ビューが用意されています。
親トピック: 監査を使用したデータベース・アクティビティの監視
30.1 監査ポリシーについて
監査ポリシーは、データベースにおけるユーザー動作の特定の部分を監査できる監査設定の名前付きグループです。
選択した監査ポリシーのタイプに応じて、次のような様々なアクティビティをモニターする監査ポリシーを作成できます。
-
ユーザー・アカウント(
SYSDBA
管理権限でログインする管理ユーザーを含む)、ロールおよび権限 -
表の削除やプロシージャの実行などのオブジェクト・アクション
-
アプリケーション・コンテキスト値
-
Oracle Database Real Application Security、Oracle Recovery Manager、Oracle Data Pumpなど、他のOracle Database製品からのアクティビティ。
Oracle Databaseでは、監査ポリシーを作成するために次の3つの方法があります。
- 一般的に監査されるアクティビティには、事前定義の統合監査ポリシーを使用します。事前定義の監査ポリシーを使用すると、Center for Internet Securityの推奨事項やセキュリティ技術導入ガイドの標準など、特定の業界基準に従うことができます。事前定義のポリシーは、失敗したログインなどの一般的な監査タスクや、Oracle Database Real Application SecurityやOracle Database Vaultなどの他のOracle製品にも使用できます。ほとんどの監査ニーズには事前定義の監査ポリシーで十分ですが、そうでない場合は、カスタム監査ポリシーまたはファイングレイン監査ポリシーを作成できます。
- より特殊なアクティビティには、カスタム統合監査ポリシーを作成します。このタイプを使用すると、ロールの使用の監査や、表などのオブジェクトに対して実行されたアクションなどの幅広いアクティビティを監査できます。
CREATE AUDIT POLICY
文を使用して統合監査ポリシーを作成し、AUDIT
文を使用して有効にします。CREATE AUDIT POLICY
構文は、たとえば、条件を組み込んだり、アプリケーション・コンテキスト値を監査するのに十分な柔軟性があります。 - より詳細な監査ニーズには、ファイングレイン監査ポリシーを作成します。ファイングレイン監査ポリシーは統合監査ポリシーではありません。
DBMS_FGA
PL/SQLパッケージを使用して、ファイングレイン監査ポリシーを作成します。このタイプのポリシーを使用すると、条件およびハンドラを作成してPL/SQLコードに含め、たとえば、ユーザーが監査ポリシーに違反した場合に管理者にアラートを送信できます。
親トピック: 監査ポリシーの構成
30.2 監査対象
Oracle Database環境で最も脆弱な領域を監査する必要があります。
監査する一般的なアクティビティには、次のものが含まれます。
- 失敗したログイン
- アプリケーションまたは監視ツールの外部からのログイン
- データ定義言語 - データベース・オブジェクトの作成、削除または変更
- データ制御言語 - 特にユーザーの作成、ユーザーの変更、権限およびロール付与
- Oracle Data Pump Importの操作
- Oracle Database Vaultアクティビティまたはルール違反
SYSDBA
またはデータベース管理者のアクティビティ
次の監査では、大量の監査レコードが生成される可能性があることに注意してください。
- 機密データへのアクセス。必要に応じて、生成される監査レコードの量を減らすために、アプリケーションの外部から機密データにアクセスするように監査ポリシーを変更します
- アプリケーションの外部からのアクティビティ(特に、データを直接問い合せるパワー・ユーザーからのアクティビティ)
30.3 強制的に監査されるアクティビティ
セキュリティ・センシティブな特定のデータベース・アクティビティは常に監査され、このような監査構成は無効化できません。
UNIFIED_AUDIT_TRAIL
データ・ディクショナリ・ビューでは、SYSDBA
、SYSBACKUP
、SYSKM
などの管理ユーザーからのアクティビティを取得します。さらに、SQLファイアウォールのすべての管理アクションが強制的に監査されます。
統合監査証跡を監査する必要はありません。統合監査証跡は、AUDSYS
スキーマ内の読取り専用表にあります。したがって、統合監査証跡ビューに対するDMLは許可されません。AUDSYS
スキーマからの基礎となるディクショナリ表に対するDMLおよびDDL操作も許可されません。
Oracle DatabaseポリシーORA$MANDATORY
は、強制的に監査されたアクティビティが実行されると、UNIFIED_AUDIT_TRAIL
データ・ディクショナリ・ビューのUNIFIED_AUDIT_POLICIES
列に示されます。強制的に監査されたアクティビティを追跡する統合監査ポリシーが他にもある場合は、ORA$MANDATORY
が常に最初にこの列に示されます。
SYSTEM_PRIVILEGE_USED
列は、アクティビティに使用された管理権限のタイプを示します。
監査ポリシーの変更など、次の監査関連のアクティビティは強制的に監査されます。
-
CREATE AUDIT POLICY
-
ALTER AUDIT POLICY
-
DROP AUDIT POLICY
-
AUDIT
-
NOAUDIT
-
DBMS_FGA
PL/SQLパッケージのEXECUTE
-
DBMS_AUDIT_MGMT
PL/SQLパッケージのEXECUTE
-
AUDSYS
監査証跡表でのALTER TABLE
の試行(この表は監査できません) -
管理ユーザー
SYS
、SYSDBA
、SYSOPER
、SYSASM
、SYSBACKUP
、SYSDG
およびSYSKM
によるトップ・レベルの文(データベースがオープンするまで)。データベースがオープンされると、Oracle Databaseはシステムの監査構成(AUDIT
文のBY
句などを使用して適用された構成だけでなく、AUDIT
文にBY
句がない場合や、EXCEPT
句が使用され、これらのユーザーが除外されなかった場合に、すべてのユーザーに対して適用された構成)を使用して、これらのユーザーを監査します。 -
SYS.AUD$
およびSYS.FGA_LOG$
ディクショナリ表に対してユーザーが発行したすべてのDML文 -
統合監査内部表のデータまたはメタデータの変更。この表に対する
SELECT
文はデフォルトで、または強制的に監査されます。 -
Oracle Database Vaultに対して行われるすべての構成変更
-
Oracle Optimizerディクショナリ表内の機密列へのアクセス。
DBMS_STATS
パッケージによるこれらの表列への内部アクセスでは、必須の監査レコードは生成されないということに注意してください。事前定義されたORA$DICTIONARY_SENS_COL_ACCESS
監査ポリシーを使用して、これらの表を監査できます。オプティマイザ・ディクショナリ表を次に示します。オプティマイザ・ディクショナリ表 列 SYS.HIST_HEAD$
minimum
、maximum
、lowval
、hival
SYS.HISTGRM$
endpoint
、epvalue_raw
SYS.WRI$_OPTSTAT_HISTHEAD_HISTORY
minimum
、maximum
、lowval
、hival
SYS.WRI$_OPSTAT_HISTGRM_HISTORY
endpoint
、epvalue_raw
-
ブロックチェーンおよび不変表に対する次の操作:
-
CREATE TABLE
-
DROP TABLE
-
失敗した
ALTER TABLE
操作 -
失敗した
DELETE
操作 -
失敗した
FLASHBACK TABLE
操作 -
失敗した
RENAME
操作 -
失敗した
TRUNCATE TABLE
操作 -
失敗した
UPDATE
操作
-
親トピック: 監査ポリシーの構成
30.4 すべてのPDBに共通する監査構成
共通監査構成は、すべてのPDBで表示でき、強制されます。
監査構成は、ローカルまたは共通のいずれかです。他のローカルまたは共通現象(ユーザーやロールなど)に適用されるすべてのスコープ指定ルールが、監査構成にも適用されます。
ノート:
監査初期化パラメータは、CDBレベルに存在し、各PDBには存在しません。
PDBでは、次の監査オプションがサポートされます。
-
オブジェクト監査
オブジェクト監査とは、特定のオブジェクトに対する監査構成のことを指します。共通監査構成に含めることができるのは、共通オブジェクトのみです。ローカル監査構成には、共通オブジェクトを含めることはできません。
-
監査ポリシー
監査ポリシーは、ローカルまたは共通のいずれかです。
-
ローカル監査ポリシー
ローカル監査ポリシーは、1つのPDBに適用されます。ローカル監査ポリシーは、このPDBのみのローカルおよび共通ユーザーに対して実行できます。ローカル監査ポリシーをすべてのコンテナにわたって実行しようとすると、エラーが発生します。
いかなる場合でも、ローカル監査ポリシーの実行は、ローカル監査フレームワークの一部です。
-
共通監査ポリシー
共通監査ポリシーは、すべてのコンテナに対して適用されます。このポリシーには、アクション、システム権限、共通ロールおよび共通オブジェクトのみを含めることができます。共通監査ポリシーは、共通ユーザーに対してのみ適用できます。ローカル・ユーザーに対する共通監査ポリシーをすべてのコンテナにわたって実行しようとすると、エラーが発生します。
-
共通監査構成は、ルートのSYS
スキーマに格納されています。ローカル監査構成は、適用対象のPDBのSYS
スキーマに格納されています。
監査証跡は、関連PDBのSYS
またはAUDSYS
スキーマに格納されています。オペレーティング・システムおよびPDBのXML監査証跡は、AUDIT_FILE_DEST
(非推奨)初期化パラメータで指定されたディレクトリのサブディレクトリに格納されています。
親トピック: 監査ポリシーの構成
30.5 監査タイプの選択
一般的なアクティビティ(SQL文のアクションなど)や一般的に使用される監査アクティビティ、ファイングレイン監査のシナリオを監査できます。
- 一般的に使用されるセキュリティ関連アクティビティの監査
Oracle Databaseには、デフォルトの統合監査ポリシーが用意されており、これらは一般的に使用されるセキュリティ関連の監査用に選択できます。 - SQL文、権限および他の一般アクティビティの監査
SQL文からOracle Label Securityなどの他のOracle Databaseコンポーネントまで、様々なタイプのオブジェクトに対してカスタム監査ポリシーを作成できます。 - 特定のファイングレイン・アクティビティの監査
個々の列を監査またはイベント・ハンドラを使用する場合は、ファイングレイン監査を使用します。
親トピック: 監査ポリシーの構成
30.5.1 一般的に使用されるセキュリティ関連アクティビティの監査
Oracle Databaseには、デフォルトの統合監査ポリシーが用意されており、これらは一般的に使用されるセキュリティ関連の監査用に選択できます。
- 事前定義の統合監査ポリシーのいずれかを選択します。
AUDIT
文を使用してポリシーを有効にし、1人以上のユーザーに監査設定をオプションで適用(または除外)します。UNIFIED_AUDIT_TRAIL
ビューを問い合せ、生成された監査レコードを検索します。- 監査証跡の内容を定期的にアーカイブして削除します。
30.5.2 SQL文、権限および他の一般アクティビティの監査
SQL文からOracle Label Securityなどの他のOracle Databaseコンポーネントまで、様々なタイプのオブジェクトに対してカスタム監査ポリシーを作成できます。
また、条件を使用するポリシーも作成できます。ただし、特定の列を監査したり、イベント・ハンドラを使用する場合は、ファイングレイン監査を使用する必要があります。
このタイプの監査を実行する一般的なステップは次のとおりです。
親トピック: 監査タイプの選択
30.5.3 特定のファイングレイン・アクティビティの監査
個々の列を監査またはイベント・ハンドラを使用する場合は、ファイングレイン監査を使用します。
- ファイングレイン監査ポリシーを作成します。
DBMS_FGA
PL/SQLパッケージを使用して、ファイングレイン監査ポリシーを構成します。UNIFIED_AUDIT_TRAIL
またはALL_AUDIT_POLICIES
ビューを問い合せ、生成された監査レコードを検索します。- 監査証跡の内容を定期的にアーカイブして削除します。
親トピック: 監査タイプの選択
30.6 事前定義の統合監査ポリシーを使用したアクティビティの監査
Oracle Databaseには、よく使用されるセキュリティ関連の監査設定を対象とする、事前定義の統合監査ポリシーがあります。
- 事前定義の統合監査ポリシーを使用したアクティビティの監査について
Oracle Databaseには、ほとんどの監査ニーズに対応する一連の事前定義の統合監査ポリシーがあります。 - ログオン失敗の事前定義済統合監査ポリシー
ORA_LOGIN_LOGOUT
統合監査ポリシーは、失敗したログオンのみを追跡し、その他のログオンは追跡しません。 - セキュア・オプションの事前定義の統合監査ポリシー
ORA_SECURECONFIG
統合監査ポリシーには、セキュアな構成監査オプションがすべて用意されています。 - Oracle Databaseパラメータ変更の事前定義の統合監査ポリシー
ORA_DATABASE_PARAMETER
ポリシーでは、よく使用されるOracle Databaseのパラメータ設定を監査します。 - ユーザー・アカウントおよび権限管理の事前定義の統合監査ポリシー
ORA_ACCOUNT_MGMT
ポリシーでは、よく使用されるユーザー・アカウントおよび権限の設定を監査します。 - Center for Internet Securityで推奨される事前定義の統合監査ポリシー
ORA_CIS_RECOMMENDATIONS
ポリシーは、Center for Internet Security (CIS)で推奨される監査を実行します。 - セキュリティ技術導入ガイドの事前定義された統合監査ポリシー
事前定義された統合監査ポリシーを使用して、セキュリティ技術導入ガイド(STIG)の監査要件を実装できます。 - ORA_DICTIONARY機密列問合せの事前定義済統合監査ポリシー
ORA$DICTIONARY_SENS_COL_ACCESS
事前定義監査ポリシーは、Oracle Optimizerディクショナリ表の機密列を監査します。 - Oracle Database Real Application Securityの事前定義の監査ポリシー
事前定義の統合監査ポリシーをOracle Database Real Application Securityのイベントに使用できます。 - DVSYSおよびLBACSYSスキーマに対するOracle Database Vaultの事前定義済統合監査ポリシー
事前定義のORA_DV_SCHEMA_CHANGES
(以前はORA_DV_AUDPOL
と呼ばれていました)は、Oracle Database VaultのDVSYS
およびLBACSYS
スキーマ・オブジェクトを監査します。 - デフォルト・レルムおよびコマンド・ルールに対するOracle Database Vaultの事前定義済統合監査ポリシー
ORA_DV_DEFAULT_PROTECTION
(以前はORA_DV_AUDPOL2
と呼ばれていました)事前定義の統合監査ポリシーは、Oracle Database Vaultのデフォルト・レルムおよびコマンド・ルールを監査します。 - LBACSYSオブジェクト用のOracle Label Security事前定義統合監査ポリシー
ORA_OLS_SCHEMA_CHANGES
事前定義統合監査ポリシーは、Oracle Label SecurityLBACSYS
ユーザーが所有するオブジェクトを監査します。
関連トピック
親トピック: 監査ポリシーの構成
30.6.1 事前定義の統合監査ポリシーを使用したアクティビティの監査について
Oracle Databaseには、ほとんどの監査ニーズに対応する一連の事前定義の統合監査ポリシーがあります。
これらの監査ポリシーでは、セキュリティ・インターネット実装ガイドやCenter for Internet Securityの推奨事項によるログイン障害、セキュア・オプションおよび要件の取得など、一般的なシナリオに対処します。また、Oracle Real Application SecurityおよびOracle Database Vaultの事前定義ポリシーも使用できます。より特化された監査ポリシーが必要な場合は、カスタム統合監査ポリシーを作成するか、ファイングレイン監査を使用することができます。
デフォルトでは、これらのポリシーは有効になっていません。これらを有効にするには、AUDIT
PL/SQL文を使用します。
事前定義、カスタムおよびファイングレインの中核的なOracle Database監査機能に加えて、次のような他のOracle製品からの監査ソリューションが提供されます。
- Oracle Data Safeにより、データ機密性の把握、データ・リスクの評価、機密データのマスク、セキュリティ制御の実装とモニター、ユーザー・セキュリティの評価およびユーザー・アクティビティのモニターが可能になります。
- Audit Vault and Database Firewallでは、OracleおよびOracle以外のデータベース・トラフィックをモニターし、脅威を検出してブロックする他、データベース、オペレーティング・システム、ディレクトリおよびその他のソースからの監査データを統合することでコンプライアンス・レポートを改善します。オンプレミスまたはOracle Cloudにデプロイできます。
30.6.2 ログオン失敗の事前定義の統合監査ポリシー
ORA_LOGIN_LOGOUT
統合監査ポリシーは、失敗したログオンのみを追跡し、その他のログオンは追跡しません。
新規データベースの場合、このポリシーは、完全な統合監査モードと混合モードの両方の監査環境で、デフォルトで有効です。このポリシーは、旧バージョンからアップグレードされたデータベースに対して有効になりませんが、以前のリリースから新規データベースを作成し、そのデータベースを最新リリースにアップグレードした場合はこの限りではありません。なお、LOGON
文の統合監査ポリシーを構成した場合は、直接ログインおよびALTER SESSION
文とSET CONTAINER
文の両方について、監査レコードが生成されます。
ノート:
ユーザーSYS
のみが、この事前定義のポリシーを変更または削除できます。
次のCREATE AUDIT POLICY
文は、ORA_LOGIN_LOGOUT
統合監査ポリシー定義を示しています。
CREATE AUDIT POLICY ORA_LOGIN_LOGOUT ACTIONS LOGON;
ORA_LOGIN_LOGOUT
統合監査ポリシーは、次のように有効にします。
AUDIT POLICY ORA_LOGIN_LOGOUT WHENEVER NOT SUCCESSFUL;
親トピック: 事前定義の統合監査ポリシーを使用したアクティビティの監査
30.6.3 セキュア・オプションの事前定義の統合監査ポリシー
ORA_SECURECONFIG
統合監査ポリシーには、セキュアな構成監査オプションがすべて用意されています。
新規データベースの場合、このポリシーは、完全な統合監査モードと混合モードの両方の監査環境で、デフォルトで有効です。このポリシーは、旧バージョンからアップグレードされたデータベースに対して有効になりませんが、以前のリリースから新規データベースを作成し、そのデータベースを最新リリースにアップグレードした場合はこの限りではありません。
ノート:
ユーザーSYS
のみが、この事前定義のポリシーを変更または削除できます。
次のCREATE AUDIT POLICY
文は、ORA_SECURECONFIG
統合監査ポリシー定義を示しています。
CREATE AUDIT POLICY ORA_SECURECONFIG PRIVILEGES ALTER ANY TABLE, CREATE ANY TABLE, DROP ANY TABLE, CREATE ANY PROCEDURE, DROP ANY PROCEDURE, ALTER ANY PROCEDURE, GRANT ANY PRIVILEGE, GRANT ANY OBJECT PRIVILEGE, GRANT ANY ROLE, AUDIT SYSTEM, CREATE EXTERNAL JOB, CREATE ANY JOB, CREATE ANY LIBRARY, EXEMPT ACCESS POLICY, CREATE USER, DROP USER, ALTER DATABASE, ALTER SYSTEM, CREATE PUBLIC SYNONYM, DROP PUBLIC SYNONYM, CREATE SQL TRANSLATION PROFILE, CREATE ANY SQL TRANSLATION PROFILE, DROP ANY SQL TRANSLATION PROFILE, ALTER ANY SQL TRANSLATION PROFILE, TRANSLATE ANY SQL, EXEMPT REDACTION POLICY, PURGE DBA_RECYCLEBIN, LOGMINING, ADMINISTER KEY MANAGEMENT, BECOME USER ACTIONS ALTER USER, CREATE ROLE, ALTER ROLE, DROP ROLE, SET ROLE, CREATE PROFILE, ALTER PROFILE, DROP PROFILE, CREATE DATABASE LINK, ALTER DATABASE LINK, DROP DATABASE LINK, CREATE DIRECTORY, DROP DIRECTORY, CREATE PLUGGABLE DATABASE, DROP PLUGGABLE DATABASE, ALTER PLUGGABLE DATABASE, EXECUTE ON DBMS_RLS, ALTER DATABASE DICTIONARY;
親トピック: 事前定義の統合監査ポリシーを使用したアクティビティの監査
30.6.4 Oracle Databaseパラメータ変更の事前定義の統合監査ポリシー
ORA_DATABASE_PARAMETER
ポリシーでは、よく使用されるOracle Databaseのパラメータ設定を監査します。
ノート:
ユーザーSYS
のみが、この事前定義のポリシーを変更または削除できます。
次のCREATE AUDIT POLICY
文は、ORA_DATABASE_PARAMETER
統合監査ポリシー定義を示しています。デフォルトでは、このポリシーは有効になっていません。
CREATE AUDIT POLICY ORA_DATABASE_PARAMETER ACTIONS ALTER DATABASE, ALTER SYSTEM, CREATE SPFILE;
親トピック: 事前定義の統合監査ポリシーを使用したアクティビティの監査
30.6.5 ユーザー・アカウントおよび権限管理の事前定義の統合監査ポリシー
ORA_ACCOUNT_MGMT
ポリシーでは、よく使用されるユーザー・アカウントおよび権限の設定を監査します。
ノート:
ユーザーSYS
のみが、この事前定義のポリシーを変更または削除できます。
次のCREATE AUDIT POLICY
文は、ORA_ACCOUNT_MGMT
統合監査ポリシー定義を示しています。デフォルトでは、このポリシーは有効になっていません。
CREATE AUDIT POLICY ORA_ACCOUNT_MGMT ACTIONS CREATE USER, ALTER USER, DROP USER, CREATE ROLE, DROP ROLE, ALTER ROLE, SET ROLE, GRANT, REVOKE;
親トピック: 事前定義の統合監査ポリシーを使用したアクティビティの監査
30.6.6 Center for Internet Securityで推奨される事前定義の統合監査ポリシー
ORA_CIS_RECOMMENDATIONS
ポリシーは、Center for Internet Security (CIS)で推奨される監査を実行します。
ノート:
ユーザーSYS
のみが、この事前定義のポリシーを変更または削除できます。
次のCREATE AUDIT POLICY
文は、ORA_CIS_RECOMMENDATIONS
統合監査ポリシー定義を示しています。デフォルトでは、このポリシーは有効になっていません。
CREATE AUDIT POLICY ORA_CIS_RECOMMENDATIONS PRIVILEGES SELECT ANY DICTIONARY, ALTER SYSTEM ACTIONS CREATE USER, ALTER USER, DROP USER, CREATE ROLE, DROP ROLE, ALTER ROLE, GRANT, REVOKE, CREATE DATABASE LINK, ALTER DATABASE LINK, DROP DATABASE LINK, CREATE PROFILE, ALTER PROFILE, DROP PROFILE, CREATE SYNONYM, DROP SYNONYM, CREATE PROCEDURE, DROP PROCEDURE, ALTER PROCEDURE, ALTER SYNONYM, CREATE FUNCTION, CREATE PACKAGE, CREATE PACKAGE BODY, ALTER FUNCTION, ALTER PACKAGE, ALTER SYSTEM, ALTER PACKAGE BODY, DROP FUNCTION, DROP PACKAGE, DROP PACKAGE BODY, CREATE TRIGGER, ALTER TRIGGER, DROP TRIGGER;
関連トピック
親トピック: 事前定義の統合監査ポリシーを使用したアクティビティの監査
30.6.7 セキュリティ技術導入ガイドの事前定義された統合監査ポリシー
事前定義された統合監査ポリシーを使用して、セキュリティ技術導入ガイド(STIG)の監査要件を実装できます。
- STIG推奨の事前定義の統合監査ポリシー
ORA_STIG_RECOMMENDATIONS
ポリシーは、セキュリティ技術導入ガイド(STIG)で推奨される監査を実行します。 - すべてのトップ・レベル・アクションの事前定義の統合監査ポリシー
ORA_ALL_TOPLEVEL_ACTIONS
ポリシーは、権限を持つユーザーのすべてのトップ・レベル・アクションの監査を実行します。 - ログオンおよびログオフの事前定義の統合監査ポリシー
ORA_LOGON_LOGOFF
ポリシーは、ログオンおよびログオフ操作を追跡します。
親トピック: 事前定義の統合監査ポリシーを使用したアクティビティの監査
30.6.7.1 STIG推奨の事前定義の統合監査ポリシー
ORA_STIG_RECOMMENDATIONS
ポリシーは、セキュリティ技術導入ガイド(STIG)で推奨される監査を実行します。
ノート:
ユーザーSYS
のみが、この事前定義のポリシーを変更または削除できます。
次のCREATE AUDIT POLICY
文は、ORA_STIG_RECOMMENDATIONS
統合監査ポリシー定義を示しています。デフォルトでは、このポリシーは有効になっていません。
CREATE AUDIT POLICY ORA_STIG_RECOMMENDATIONS PRIVILEGES ALTER SESSION ACTIONS CREATE FUNCTION, ALTER FUNCTION, DROP FUNCTION, CREATE PACKAGE, ALTER PACKAGE, DROP PACKAGE, CREATE PROCEDURE, ALTER PROCEDURE, DROP PROCEDURE, CREATE TRIGGER, ALTER TRIGGER, DROP TRIGGER, CREATE PACKAGE BODY, ALTER PACKAGE BODY, DROP PACKAGE BODY, CREATE TYPE, ALTER TYPE, DROP TYPE, CREATE TYPE BODY, ALTER TYPE BODY, DROP TYPE BODY, CREATE LIBRARY, ALTER LIBRARY, DROP LIBRARY, CREATE JAVA, ALTER JAVA, DROP JAVA, CREATE OPERATOR, ALTER OPERATOR, DROP OPERATOR, CREATE TABLE, ALTER TABLE, DROP TABLE, CREATE VIEW, ALTER VIEW, DROP VIEW, CREATE MATERIALIZED VIEW, ALTER MATERIALIZED VIEW, DROP MATERIALIZED VIEW, CREATE ASSEMBLY, ALTER ASSEMBLY, DROP ASSEMBLY, CREATE SYNONYM, ALTER SYNONYM, DROP SYNONYM, CREATE USER, ALTER USER, DROP USER, GRANT, REVOKE, CREATE ROLE, ALTER ROLE, DROP ROLE, SET ROLE, CREATE PROFILE, ALTER PROFILE, DROP PROFILE, CREATE LOCKDOWN PROFILE, ALTER LOCKDOWN PROFILE, DROP LOCKDOWN PROFILE, ALTER SYSTEM, ALTER DATABASE, ALTER PLUGGABLE DATABASE, CREATE SPFILE, ALTER DATABASE DICTIONARY, ADMINISTER KEY MANAGEMENT, EXECUTE ON DBMS_JOB, EXECUTE ON DBMS_RLS, EXECUTE ON DBMS_REDACT, EXECUTE ON DBMS_TSDP_MANAGE, EXECUTE ON DBMS_TSDP_PROTECT, EXECUTE ON DBMS_NETWORK_ACL_ADMIN, EXECUTE ON DBMS_SCHEDULER ACTIONS COMPONENT = OLS ALL';
STIGコンプライアンスの場合、すべてのユーザーに対してORA_STIG_RECOMMENDATIONS
統合監査ポリシーを有効にします。
AUDIT POLICY ORA_STIG_RECOMMENDATIONS;
30.6.7.2 すべてのトップ・レベル・アクションの事前定義の統合監査ポリシー
ORA_ALL_TOPLEVEL_ACTIONS
ポリシーは、権限を持つユーザーのすべてのトップ・レベル・アクションの監査を実行します。
ノート:
ユーザーSYS
のみが、この事前定義のポリシーを変更または削除できます。
次のCREATE AUDIT POLICY
文は、ORA_ALL_TOPLEVEL_ACTIONS
統合監査ポリシー定義を示しています。デフォルトでは、このポリシーは有効になっていません。
CREATE AUDIT POLICY ORA_ALL_TOPLEVEL_ACTIONS ACTIONS ALL ONLY TOPLEVEL;
STIGコンプライアンスの場合、すべてのOracle定義およびサイト固有の特権ユーザーに対してORA_ALL_TOPLEVEL_ACTIONS
統合監査ポリシーを有効にします。たとえば、次の文は、Oracle定義の特権ユーザーSYS
とサイト定義の特権ユーザーSITEADMIN
を監査します。
AUDIT POLICY ORA_ALL_TOPLEVEL_ACTIONS BY SYS, SITEADMIN;
30.6.7.3 ログオンおよびログオフの事前定義の統合監査ポリシー
ORA_LOGON_LOGOFF
ポリシーは、ログオンおよびログオフ操作を追跡します。
ノート:
ユーザーSYS
のみが、この事前定義のポリシーを変更または削除できます。
このポリシーは、Center for Internet Security (CIS)と技術導入のセキュリティ・ガイド(STIG)の両方の要件に必要です。
次のCREATE AUDIT POLICY
文は、ORA_LOGON_LOGOFF
統合監査ポリシー定義を示しています。デフォルトでは、このポリシーは有効になっていません。
CREATE AUDIT POLICY ORA_LOGON_LOGOFF ACTIONS LOGON, LOGOFF;
CISおよびSTIGコンプライアンスの場合、すべてのユーザーに対してORA_LOGON_LOGOFF
統合監査ポリシーを有効にします。
AUDIT POLICY ORA_LOGON_LOGOFF;
30.6.8 ORA_DICTIONARY機密列問合せの事前定義済統合監査ポリシー
ORA$DICTIONARY_SENS_COL_ACCESS
事前定義監査ポリシーは、Oracle Optimizerディクショナリ表の機密列を監査します。
この事前定義済ポリシーは、Oracle Optimizerディクショナリ表の機密列へのアクセスを制御します。有効にすると、このポリシーによって、これらの表の機密列へのアクセスの監査が有効になります。無効にすると、このポリシーではこれらの表への監査アクセスは有効になりません。表が大きすぎると、表へのアクセスによってパフォーマンスの問題が発生する可能性があります。
次の表があります。
オプティマイザ・ディクショナリ表 | 列 |
---|---|
SYS.HIST_HEAD$ |
minimum 、maximum 、lowval 、hival |
SYS.HISTGRM$ |
endpoint 、epvalue_raw |
SYS.WRI$_OPTSTAT_HISTHEAD_HISTORY |
minimum 、maximum 、lowval 、hival |
SYS.WRI$_OPSTAT_HISTGRM_HISTORY |
endpoint 、epvalue_raw |
このポリシーは削除できません。有効化または無効化のみ可能です。このオプションはデフォルトでは有効になっています。
親トピック: 事前定義の統合監査ポリシーを使用したアクティビティの監査
30.6.9 Oracle Database Real Application Securityの事前定義の監査ポリシー
事前定義の統合監査ポリシーをOracle Database Real Application Securityのイベントに使用できます。
- システム管理者操作の事前定義の統合監査ポリシー
ORA_RAS_POLICY_MGMT
の事前定義の統合監査ポリシーでは、アプリケーション・ユーザー、ロールおよびポリシーのOracle Real Application Securityのすべて管理アクションのポリシーを監査します。 - セッション操作の事前定義の統合監査ポリシー
ORA_RAS_SESSION_MGMT
の事前定義の統合監査ポリシーでは、Oracle Real Application Securityのすべてのランタイム・セッション・アクションおよびネームスペース・アクションのポリシーを監査します。
親トピック: 事前定義の統合監査ポリシーを使用したアクティビティの監査
30.6.9.1 システム管理者操作の事前定義の統合監査ポリシー
ORA_RAS_POLICY_MGMT
の事前定義の統合監査ポリシーでは、アプリケーション・ユーザー、ロールおよびポリシーのOracle Real Application Securityのすべて管理アクションのポリシーを監査します。
ノート:
ユーザーSYS
のみが、この事前定義のポリシーを変更または削除できます。
次のCREATE AUDIT POLICY
文は、ORA_RAS_POLICY_MGMT
統合監査ポリシー定義を示しています。デフォルトでは、このポリシーは有効になっていません。
CREATE AUDIT POLICY ORA_RAS_POLICY_MGMT ACTIONS COMPONENT=XS CREATE USER, UPDATE USER, DELETE USER, CREATE ROLE, UPDATE ROLE, DELETE ROLE, GRANT ROLE, REVOKE ROLE, ADD PROXY, REMOVE PROXY, SET USER PASSWORD, SET USER VERIFIER, SET USER PROFILE, CREATE ROLESET, UPDATE ROLESET, DELETE ROLESET, CREATE SECURITY CLASS, UPDATE SECURITY CLASS, DELETE SECURITY CLASS, CREATE NAMESPACE TEMPLATE, UPDATE NAMESPACE TEMPLATE, DELETE NAMESPACE TEMPLATE, CREATE ACL, UPDATE ACL, DELETE ACL, CREATE DATA SECURITY, UPDATE DATA SECURITY, DELETE DATA SECURITY, ENABLE DATA SECURITY, DISABLE DATA SECURITY, ADD GLOBAL CALLBACK, DELETE GLOBAL CALLBACK, ENABLE GLOBAL CALLBACK;
STIGコンプライアンスの場合、すべてのユーザーに対してORA_RAS_POLICY_MGMT
統合監査ポリシーを有効にします。
AUDIT POLICY ORA_RAS_POLICY_MGMT;
30.6.9.2 セッション操作の事前定義の統合監査ポリシー
ORA_RAS_SESSION_MGMT
の事前定義の統合監査ポリシーでは、Oracle Real Application Securityのすべてのランタイム・セッション・アクションおよびネームスペース・アクションのポリシーを監査します。
ノート:
ユーザーSYS
のみが、この事前定義のポリシーを変更または削除できます。
次のCREATE AUDIT POLICY
文は、ORA_RAS_SESSION_MGMT
統合監査ポリシー定義を示しています。デフォルトでは、このポリシーは有効になっていません。
CREATE AUDIT POLICY ORA_RAS_SESSION_MGMT ACTIONS COMPONENT=XS CREATE SESSION, DESTROY SESSION, ENABLE ROLE, DISABLE ROLE, SET COOKIE, SET INACTIVE TIMEOUT, SWITCH USER, ASSIGN USER, CREATE SESSION NAMESPACE, DELETE SESSION NAMESPACE, CREATE NAMESPACE ATTRIBUTE, GET NAMESPACE ATTRIBUTE, SET NAMESPACE ATTRIBUTE, DELETE NAMESPACE ATTRIBUTE;
STIGコンプライアンスの場合、失敗した操作に対してORA_RAS_SESSION_MGMT
を有効にします。
AUDIT POLICY ORA_RAS_SESSION_MGMT WHENEVER NOT SUCCESSFUL;
30.6.10 DVSYSおよびLBACSYSスキーマに対するOracle Database Vaultの事前定義の統合監査ポリシー
事前定義のORA_DV_SCHEMA_CHANGES
(旧名ORA_DV_AUDPOL
)統合監査ポリシーは、Oracle Database VaultのDVSYS
およびLBACSYS
の各スキーマ・オブジェクトを監査します。
ORA_DV_SCHEMA_CHANGES
ポリシーは、Oracle Database VaultのDVSYS
(DVF
を含む)スキーマ・オブジェクトと、Oracle Label SecurityのLBACSYS
スキーマ・オブジェクトに対して実行されるすべてのアクションを監査します。DVF
スキーマのF$
*ファクタ・ファンクションに関するアクションは取得しません。デフォルトでは、このポリシーは有効です。
ノート:
ユーザーSYS
のみが、この事前定義のポリシーを変更または削除できます。
このポリシーの完全な定義を表示するには、policy_name
がORA_DV_SCHEMA_CHANGES
のAUDIT_UNIFIED_POLICIES
データ・ディクショナリ・ビューを問い合せます。
関連トピック
親トピック: 事前定義の統合監査ポリシーを使用したアクティビティの監査
30.6.11 デフォルト・レルムおよびコマンド・ルールに対するOracle Database Vaultの事前定義の統合監査ポリシー
事前定義の統合監査ポリシーORA_DV_DEFAULT_PROTECTION
(以前はORA_DV_AUDPOL2
と呼ばれていました)は、Oracle Database Vaultのデフォルト・レルムおよびコマンド・ルールを監査します。
ORA_DV_DEFAULT_PROTECTION
ポリシーは、Oracle Database Vaultで提供されるデフォルトのレルムおよびコマンド・ルールの監査設定を構成します。デフォルトでは、このポリシーは有効です。
ノート:
ユーザーSYS
のみが、この事前定義のポリシーを変更または削除できます。
このポリシーの完全な定義を表示するには、policy_name
がORA_DV_DEFAULT_PROTECTION
のAUDIT_UNIFIED_POLICIES
データ・ディクショナリ・ビューを問い合せます。
関連トピック
親トピック: 事前定義の統合監査ポリシーを使用したアクティビティの監査
30.6.12 LBACSYSオブジェクト用のOracle Label Securityの事前定義済統合監査ポリシー
ORA_OLS_SCHEMA_CHANGES
事前定義の統合監査ポリシーは、Oracle Label Security LBACSYS
ユーザーが所有するオブジェクトを監査します。
Oracle Database Vaultが使用されていない場合は、この監査ポリシーを使用できます。ORA_DV_SCHEMA_CHANGES
事前定義済統合監査ポリシーがすでに有効になっている場合、このポリシーを有効にする必要はありません。Oracle Database Vaultをアンインストールすると、ORA_DV_SCHEMA_CHANGES
が削除されます。LBACSYS
スキーマ・オブジェクトが引き続き監査されるように、ORA_DV_SCHEMA_CHANGES
が有効になっている場合、Oracle Database Vaultのアンインストール中にORA_OLS_SCHEMA_CHANGES
が有効になります。
ノート:
ユーザーSYS
のみが、この事前定義のポリシーを変更または削除できます。
このポリシーの完全な定義を表示するには、policy_name
がORA_OLS_SCHEMA_CHANGES
のAUDIT_UNIFIED_POLICIES
データ・ディクショナリ・ビューを問い合せます。
関連トピック
親トピック: 事前定義の統合監査ポリシーを使用したアクティビティの監査
30.7 一般的な監査データ・ディクショナリ・ビュー
Oracle Databaseには、監査で使用するための様々なタイプのデータ・ディクショナリ・ビューおよび動的ビューが用意されています。
表31-20に、すべてのタイプの監査に共通するビューを示します。
ヒント:
監査ポリシーに関するエラー情報を検索するには、トレース・ファイルを確認します。USER_DUMP_DEST
初期化パラメータは、トレース・ファイルの位置を示します。
表30-1 一般的な監査データ・ディクショナリ・ビュー
ビュー | 説明 |
---|---|
|
|
|
すべての監査レコードが表示されます。 |
|
統合監査の |
|
XML形式のファイルに書き込まれた標準監査、ファイングレイン監査、 |
関連トピック
親トピック: 監査ポリシーの構成