23 Oracle Database Security Assessment Toolのコンプライアンス標準

これは、データベースの構成、操作または実装によってリスクが発生する領域を識別する一般的なコマンドライン・ツールです。DBSATでは、リスクを軽減するための変更と制御を推奨しています。DBSATは、データベースがどの程度安全に構成されているかを評価し、ユーザーと権限の組合せを決定し、機密データがデータベース内にある場所を特定するのに役立ちます。

Oracle Enterprise Manager 24.1aiリリース1 (24.1)のDBSAT 3.1は、コンプライアンス標準として統合されています。これにより、データベース・ターゲットを関連付け、既存のコンプライアンス機能を使用してセキュリティ評価を実行し、セキュリティ評価レポートを使用してその結果をEnterprise Managerで直接表示できます。

機密データ評価レポートは、Enterprise ManagerのDBSATオファリングをさらに強化するEM 24.1aiでも使用できます。この2番目のレポートを生成するために実行する追加のDBSATアソシエーション・アクションはありません。

EM 24.1aiでは、DBSATをプラガブル・データベース(PDB)およびReal Application Cluster (RAC)データベースとともに使用することもできます。

ノート:

DBSATルールはユーザー定義ルールとして表示されますが、システム定義のルールとして動作します。これらのルールを正しく機能させるには、構成拡張をエージェントにデプロイする必要があります。構成拡張の詳細は、構成拡張の操作を参照してください。

DBSATの詳細は、Oracle Database Security Assessment Toolを参照してください。

Oracle DBSATコンプライアンス標準の前提条件

Oracle DBSATをコンプライアンス標準としてデプロイするために必要な前提条件のリストを次に示します。

  • Enterprise ManagerのOracle DBSATコンプライアンス標準は、Oracle Linux 7以降を実行しているホスト・プラットフォームでのみサポートされます
  • DBSAT標準は、同じホストOSで実行されているEMエージェントによって監視されているデータベース・ターゲットに関連付ける必要があります。
  • Oracle DBSATのコンプライアンス標準では、単一インスタンスおよびCDBに対して最小バージョンのOracle Enterprise Manager 13リリース5更新5 (13.5.0.5)が必要です。PDBおよびRACデータベースには、Oracle Enterprise Manager 13リリース5更新22 (13.5.0.22)が必要です。
  • 機密データ・アセスメント・レポートを使用するには、Oracle Enterprise Manager 13リリース5更新11 (13.5.0.11)が必要です。
  • Oracle DBSATコンプライアンス標準では、EMエージェントによってモニターされるデータベース・ターゲットにPERLがインストールされている必要があります。
    1. PERLがインストールされていることを確認します。
      perl -v

      ノート:

      EMによってモニターされるデータベース・ターゲットにPERLがすでにインストールされている場合、これ以上のアクションはありません。
    2. PERLモジュールをインストールするには、次のコマンドを使用します。
      sudo yum -y install perl-DBI
sudo yum install -y perl-XML-XPath
      正しくインストールされた場合は、次のメッセージが表示されます。
      Loaded plugins: langpacks, ulninfo Package perl-DBI-1.627-4.el7.x86_64 already installed and latest version
Loaded plugins: langpacks, ulninfo Package perl-XML-XPath-1.13-22.el7.noarch
  • Enterprise Managerに統合されたDBSATを使用した統合レポートでは、Pythonのインストールが必要になります。
    1. Pythonをサーバーに解凍します:
      yum install -y zip unzip python
    2. インストールされているPythonのバージョンを確認します。2.7.5以上である必要があります:
      python -V
      インストールされているバージョンが返されます:
      
Python 2.7.5
  • DiscovererをDBSATとともに使用する場合は、Java 8 JDK環境が必要です。次のコマンドを使用して、JAVA_HOME環境変数を設定する必要があります:
    JAVA_HOME=/u01/jdk1.8.0_181

DBSATツールの前提条件の詳細は、「Oracle Database Security Assessment Toolの前提条件」を参照してください。

Oracle DBSATコンプライアンス標準の結果

DBSATコンプライアンス標準の概要

Database Security Assessment Toolにナビゲートすることで、Oracle DBSATによって収集されたコンプライアンス情報を「コンプライアンス結果」で確認できます。収集された情報は、Enterprise Manager内で読みやすいテンプレートに表示されます。スコアカード、ルール評価、ターゲット違反、ターゲットおよび評価日を表示します。

図23-1 DBSATコンプライアンス標準の概要

DBSATコンプライアンス標準の概要

DBSATコンプライアンス標準レポート

標準のHTMLコンプライアンス・レポートに加えて、DBSATツールによって生成されたRAW HTMLレポートも開くことができます。これらのレポート(セキュリティ・アセスメント・レポートと機密データ・アセスメント・レポート)の両方を確認するには、次のステップに従います。
  1. 「エンタープライズ」にナビゲートし、「コンプライアンス」を強調表示して「ダッシュボード」をクリックします。
  2. コンプライアンス・ダッシュボードで、「コンプライアンス・サマリー」までスクロールし、「標準」タブまたは「ターゲット」タブを選択します。
  3. 「コンプライアンス・ターゲット」または「非コンプライアンス・ターゲット」の下の数値をクリックします。
  4. ポップアップで、RAW HTML DBSATレポートのDBSATレポートを選択します。
  5. DBSATレポート・ポップアップには、2つのレポート・オプションセキュリティ・アセスメント・レポートおよび機密データ・アセスメント・レポートがあり、選択したレポートをクリックします。

図23-2 HTMLレポート・オプション

コンプライアンスとDBSAT RAWの両方のHTMLレポート・オプション

図23-3 Oracle Database Security Assessmentレポート

DBSATコンプライアンス違反の詳細を示すレポート

図23-4 Oracle Database Sensitive Data Assessment

Oracle Database Sensitive Data Assessmentレポートの詳細

Oracle DBSATコンプライアンス標準を設定するには、『Oracle Enterprise Managerデータベース・ライフサイクル・マネージメント管理者ガイド』コンプライアンス標準を参照してください。

Oracle DBSATコンプライアンス標準の既知の問題

Oracle DBSATコンプライアンス標準の既知の問題および最も一般的なソリューションのリストを次に示します。

  • 一部のインスタンスでは、すべてのターゲットについて、最初のコンプライアンス・スコアが100%になります。Oracle DBSATコンプライアンス標準が正しく構成されていることを確認するには、いくつかの方法があります。
    • DBSATの実行の設定を確認します:
      1. 「ターゲット」メニューから「データベース」を選択します。「データベース」ページで、「データベース名」を選択します。
      2. 選択した「データベース」ページで、「Oracle Database」ドロップダウン・メニューに移動し、「構成」「最新」の順に選択します。
      3. 最新構成の識別を含む「データベース」ページで、「データベース」をクリックし、Oracle Database Security Assessment Tool (2.2.2)構成を選択して、2_Run_DBSATを選択します。ここには、DBSATの現在の実行が表示され、すべてのエラーがリストされます。

      図23-5 DBSAT設定の実行

      DBSAT設定の実行
    • DBSATの結果の設定を確認します:
      1. 「ターゲット」メニューから「データベース」を選択します。「データベース」ページで、「データベース名」を選択します。
      2. 選択した「データベース」ページで、「Oracle Database」ドロップダウン・メニューに移動し、「構成」「最新」の順に選択します。
      3. 最新構成コンポーネントの識別を含む「データベース」ページで、「データベース」をクリックし、Oracle Database Security Assessment Tool (2.2.2)構成を選択して、3_Result_DBSATを選択します。「ソース」フィールドが空白の場合、DBSATの実行で有効な結果の生成に失敗しました。可能な是正については、DBSATの実行に表示されるエラーを確認してください。

      図23-6 DBSAT結果の設定

      DBSAT結果の設定
  • レポートが正常に生成された場合でも、「使用できる必要なデータ」に「なし」と表示されます。DBSATスクリプトが実行され想定されているデータおよびレポートが作成されるがこのスクリプトでゼロ以外の存在ステータスも報告されたためEnterprise Managerエージェントでエラーが報告されるという状況になる場合があります。確認するには、「エンタープライズ」に移動してから「コンプライアンス」を選択し、「結果」をクリックします。これにより、「コンプライアンス結果」ページが開かれます。各行は、多数のターゲットに関連付けられた1つの標準を表します。標準をクリックすると、その組合せの結果が開かれます。DBSATの場合、有効な結果データが取得された場合でも、この列に「なし」と表示されます。これは、DBSATスクリプトで、必要なデータを収集できているのに誤ったエラーが報告されたためです。

    図23-7 使用できる必要なデータ

    DBSATの場合の「使用できる必要なデータ」の問題

    実施できる是正処置はありません。DBSATの場合にかぎり、「使用できる必要なデータ」列を信頼しないでください。かわりに、前述の手順に従って実際のDBSATコマンドのステータスを確認してください。

  • DBSATデータは、24時間ごとにDBSATターゲットによって送信されます。このデータは、各ターゲットから到着したときに管理サーバーによって中央ストアに収集されます。コンプライアンス評価は、その時点で中央ストアにある使用可能な最新のDBSATデータを参照することで、4時間ごとに実行されます。ジョブが正しく実行されていることを確認するには、「エンタープライズ」に移動し、「ジョブ」に移動して「アクティビティ」をクリックします。「ジョブ」ページの「使用可能な基準」コンポーネント・パネルで、値CCSREEVALDATAを入力して「名前」および「検索」を選択します。情報には、関連する各標準を含むターゲットが表示されます。何もない場合や見つからない場合は、ターゲットを各標準に再関連付けします。

    図23-8 DBSATジョブの概要

    DBSATジョブの概要
  • データベース・モニタリング・ユーザーのパスワードに空白文字が含まれている場合、DBSATおよびEnterprise Manager統合ツールは機能しません。データベース・パスワードの一般的なガイドラインとして、パスワードに空白文字を使用しないように指示されています。是正するには、Oracle Databaseモニタリング・ユーザー(通常はDBSNMP)のパスワードを変更してください。