1. データベース・ライフサイクル・マネージメント管理者ガイド
  2. 構成、コンプライアンスおよび変更管理の管理
  3. コンプライアンスの管理
  4. コンプライアンス管理の概要

コンプライアンス管理の概要

コンプライアンス管理ソリューションでは、構成、セキュリティ、記憶域などに関する企業のベスト・プラクティスについて、ターゲットおよびシステムのコンプライアンスを評価できます。さらに、コンプライアンス管理は、コンプライアンスの評価に使用するエンティティを定義、カスタマイズおよび管理する機能を提供します。

コンプライアンス・ソリューションは次のとおりです。

  • ターゲットとシステムは有効な構成設定がされているか、および構成関連の脆弱性にさらされていないかを自動的に判断します。
  • ベスト・プラクティスに関するコンプライアンスにターゲットおよびシステムを提示するために構成を変更する方法をアドバイスします。
  • Oracle Enterprise Manager Cloud Control (Cloud Control)ユーザーに構成の変更や非認証アクションが環境内のどこで行われているかを知らせるために、ターゲットのファイル、プロセスおよびユーザーをモニタリングします。
  • コンプライアンス標準ルールにマップするために、Oracle提供のコンプライアンス・フレームワーク(Oracleの汎用コンプライアンス・フレームワークなど)およびコンプライアンス標準を提供します。このマッピングによって、コンプライアンスに従っていない設定およびアクションが組織で従うコンプライアンス・フレームワークにどのように影響を及ぼすかをビジュアル化できます。
  • 部門オーナー、ITマネージャおよびコンプライアンス・マネージャが定期的に参照して組織のコンプライアンスの適用範囲を確認するのに適したIT構成および変更のビューをコンプライアンスに焦点を合せて提供します。

コンプライアンス機能の使用を開始する前に、理解しておく必要がある基本事項がいくつかあります。詳細は、次を参照してください。

コンプライアンスで使用される用語

次の用語は、コンプライアンス機能について説明する際に、この章全体で使用されます。

  • コンプライアンス・フレームワーク

    コンプライアンス・フレームワークは、会社が業界におけるコンプライアンスを維持するために遵守する必要がある制御領域が編成されたリストです。Enterprise Managerでは、コンプライアンス・フレームワークをピラミッド構造として使用することにより、標準およびルールをこれらが影響する制御領域にマップします。コンプライアンス・フレームワークは、これらの業界フレームワークを直接的に表現できるよう、階層的になっています。

    1つのフレームワーク制御領域が1つ以上のコンプライアンス標準にマップされます。これらのコンプライアンス標準評価の結果、特定のフレームワーク領域のスコアが生成されます。

  • コンプライアンス標準

    コンプライアンス標準は、幅広く受け入れられたベスト・プラクティスに従うチェックまたはルールのコレクションです。それは、制御に従っているかどうかを判断するために、ITインフラストラクチャのセットに対してテストする必要があるコンプライアンス制御をCloud Controlによって表現したものです。これにより、ITインフラストラクチャ、アプリケーション、ビジネス・サービスおよびビジネス・プロセスが適切に編成、構成、管理およびモニターされていることを確認します。コンプライアンス標準の評価は、プラットフォーム互換性、類似の構成を持つ他のカスタマに影響する既知の問題、セキュリティ脆弱性、パッチ推奨などに関連する情報を提供します。また、コンプライアンス標準は、変更のモニタリングを実行する場所を定義するためにも使用されます。

    コンプライアンス標準は、1つ以上のコンプライアンス標準ルールにマップされ、評価が必要な1つ以上のターゲットに関連付けられます。

  • コンプライアンス標準ルール

    コンプライアンス標準ルールは、構成データの変更がコンプライアンスに影響するかどうかを決定するための特別なテストです。コンプライアンス標準ルールは、1つ以上のコンプライアンス標準にマップされます。

    Cloud Controlには、次のタイプのコンプライアンス標準ルールがあります。

    • エージェント側のルール

      エージェントで構成チェックを実行するために使用され、違反を管理リポジトリにアップロードします。

    • 構成の一貫性ルール

      システム内のターゲット・メンバーの変更を反映します。たとえば、構成の一貫性ルールによって、クラスタ内のすべてのデータベースの構成パラメータが同じであることが保証されます。

    • 構成ドリフト・ルール

      ターゲットの構成を同じタイプの別のターゲットの構成と比較します。

    • 手動ルール

      実行する必要があるが、自動化できないチェック。たとえば: インストール、アップグレードおよびパッチをテストするための計画は、本番での実装前に記述し、遵守する必要があります。

    • 欠落したパッチ・ルール

      実行する必要があるが、自動化できないチェック。たとえば: インストール、アップグレードおよびパッチをテストするための計画は、本番での実装前に記述し、遵守する必要があります。

    • モニタリング・ルール

      変更が発生した際にファイル、プロセスおよびデータベース・エンティティへのアクションをモニターするために使用されます。ユーザーのログイン/ログアウトおよびSU/SUDOアクティビティの取得も行います。

    • リポジトリ・ルール

      管理リポジトリのメトリック収集データに対してチェックを実行するために使用されます。

  • コンプライアンス標準ルール・フォルダ

    コンプライアンス標準ルール・フォルダは、コンプライアンス標準ルールを含む階層構造です。

  • 重要度

    重要度は、コンプライアンス・フレームワーク、標準およびルールのマップ時に行うことができる設定です。重要度を使用して、そのフレームワーク制御領域またはコンプライアンス標準のコンプライアンス・スコアにコンプライアンス違反が及ぼす影響を計算します。

    コンプライアンス・フレームワークの場合、コンプライアンス標準のマップ時におけるこのコンプライアンス標準の重要度は、このフレームワーク内の他のコンプライアンス標準に対する相対的な重要度を示します。

    コンプライアンス標準の場合、コンプライアンス標準ルールのマップ時における重要度は、コンプライアンス標準内の他のすべてのコンプライアンス標準ルールに対するコンプライアンス標準ルールの相対的な重要度を示します。

  • スコア

    ターゲットのコンプライアンス標準に対するコンプライアンス・スコアは、ターゲットがコンプライアンス標準にどの程度準拠しているかを表すために使用されます。コンプライアンス・スコアは0%から100%(100%を含む)の範囲の数値です。コンプライアンス・スコアが100%の場合、ターゲットはコンプライアンス標準に完全にコンプライアンスしています。

  • ファセット

    モニタリング・ルール定義には、指定したターゲット・タイプ、ターゲット・プロパティおよびエンティティ・タイプに対するモニタリングで何が重要かを指定するファセットが含まれています。ファセットは、ターゲット・タイプの属性を構成するパターンの集合です。たとえば、オペレーティング・システムのネットワーク構成ファイルは、複数のファイル名またはファイル・パターンが含まれた1つのファセットによって定義できます。

  • 監視

    監視は、ホストに表示されたアクションまたはモニタリング・ルールでモニター対象として構成されたターゲットです。各ユーザー・アクションが1つの監視結果になります。

  • 監視監査ステータス

    監視にはすべて、監視が認証済または非認証またはそのどちらでもない(非監査)かを決定する監査ステータスがあります。監査ステータスは、手動で設定することも、モニタリング・コンプライアンス標準ルール構成を介して自動的に設定することもできます。

  • 監視バンドル

    単一の監視が管理エージェントからサーバーにレポートされることはありません。かわりに、これらは、同じターゲット、ルール、およびアクションの実行ユーザーに対して他の監視とともにバンドルされます。バンドルを使用すると、類似する監視を簡単にまとめることができるため、Cloud Controlで監視を管理しやすくなります。

コンプライアンス機能へのアクセス

コンプライアンス機能にアクセスするには、「エンタープライズ」メニューにナビゲートし、「コンプライアンス」を選択し、次のうちの1つを選択します。

  • ダッシュボード

    ダッシュボードには、ユーザーの組織または領域のコンプライアンスまたはリスクの度合いを示す結果が非常に詳しく表示されます。ダッシュボードには、選択したフレームワークのコンプライアンス・スコア、最も準拠していないシステムとターゲット、および検出された管理対象外ホストを表すダイアルがあります。

  • 結果

    コンプライアンス結果には、コンプライアンス・フレームワーク、コンプライアンス標準およびターゲット・コンプライアンスの評価結果およびエラーが含まれます。

  • ライブラリ

    「コンプライアンス・ライブラリ」ページには、標準を定義するのに使用されるエンティティが含まれています。「コンプライアンス・ライブラリ」ページでは、コンプライアンス・フレームワーク、コンプライアンス標準およびコンプライアンス標準ルールを操作できます。

  • 監視

    監視は、ホストに表示されたアクションまたはモニタリング・ルールでモニター対象として構成されたターゲットです。各ユーザー・アクションが1つの監視結果になります。同じモニタリング・ルールに対して同じターゲットの同じユーザーが短い期間に複数の監視を実行する場合、監視が追加でバンドルされます。複数のUIベースのレポートが提供されており、ユーザーは監視されているアクションを分析できます。

コンプライアンス機能に必要なロールおよび権限

コンプライアンス標準の機能を使用するには、次のロールと権限にアクセスする必要があります。

コンプライアンス標準の機能を使用するには、次のロールと権限にアクセスする必要があります。
ロール 説明 含まれる権限
EM_COMPLIANCE_DESIGNER コンプライアンス・フレームワーク、コンプライアンス標準およびコンプライアンス標準ルールを作成、変更および削除できます。 ターゲット権限:
  • 任意のターゲット・コンプライアンスの管理
  • 任意のターゲット・メトリックの管理
  • 任意のターゲットの表示
リソース権限:
  • コンプライアンス・フレームワーク(コンプライアンス・エンティティの作成、完全な任意のコンプライアンス・エンティティ)
  • 構成拡張(任意のユーザーにより所有されている構成拡張の管理)
  • ジョブ・システム(作成)
EM_COMPLIANCE_OFFICER コンプライアンス・フレームワーク定義および結果を表示できます。 ターゲット権限なし

リソース権限

  • コンプライアンス・フレームワーク(任意のコンプライアンス・フレームワークの表示)
コンプライアンスで使用されるターゲット権限およびリソース権限には、次が含まれます。
権限 権限のタイプ 含まれるロール 説明
任意のターゲット・コンプライアンスの管理 ターゲット EM_COMPLIANCE_DESIGNER コンプライアンス標準のターゲットへの関連付けを含めて、任意のターゲットのコンプライアンスを管理できます。
任意のターゲット・メトリックの管理 ターゲット EM_COMPLIANCE_DESIGNER 任意のターゲットのメトリックを管理できます。
任意のターゲットの表示 ターゲット EM_COMPLIANCE_DESIGNER Enterprise Managerでのすべての管理対象ターゲットを表示できます。
任意のコンプライアンス・フレームワークの表示 ターゲット EM_COMPLIANCE_OFFICER

EM_COMPLIANCE_DESIGNER

 コンプライアンス・フレームワーク定義および結果を表示できます。

ノート:

この権限は、コンプライアンス・フレームワーク・リソース権限に含まれます。この権限はEM_COMPLIANCE_OFFICERロールに対してはデフォルトで付与されますが、EM_COMPLIANCE_DESIGNERロールに対してはデフォルトで付与されません
コンプライアンス・エンティティの作成 リソース EM_COMPLIANCE_DESIGNER コンプライアンス・フレームワーク、コンプライアンス標準およびコンプライアンス標準ルールを作成できます。

この権限は、コンプライアンス・フレームワーク・リソース権限に含まれます。
完全な任意のコンプライアンス・エンティティ リソース EM_COMPLIANCE_DESIGNER コンプライアンス・フレームワーク、コンプライアンス標準およびコンプライアンス標準ルールを編集および削除できます。

この権限は、コンプライアンス・フレームワーク・リソース権限に含まれます。
コンプライアンス・フレームワーク リソース EM_COMPLIANCE_DESIGNER

EM_COMPLIANCE_OFFICER

 コンプライアンス・フレームワーク、コンプライアンス標準およびコンプライアンス標準ルールの定義、カスタマイズおよび管理を行うことができます。また、ターゲットおよびシステムが、構成、セキュリティおよび記憶域などの観点から企業のベスト・プラクティスに準拠しているかどうかを評価できます。

この権限には、次の権限があります。

  • コンプライアンス・エンティティの作成(EM_COMPLIANCE_DESIGNERロールではデフォルトで付与されます)
  • 完全な任意のコンプライアンス・エンティティ(EM_COMPLIANCE_DESIGNERロールではデフォルトで付与されます)
  • 任意のコンプライアンス・フレームワークの表示(EM_COMPLIANCE_OFFICERロールではデフォルトで付与されます)
構成拡張 リソース EM_COMPLIANCE_DESIGNER ターゲット構成収集を拡張できます。

この権限には、次の権限があります。

  • 任意のユーザーが所有する構成拡張の管理(デフォルトで付与されます)
  • ユーザーが所有する構成拡張の管理
ジョブ・システム リソース EM_COMPLIANCE_DESIGNER ジョブは、通常実行されるタスクの自動化が管理者によって定義される、スケジュール可能な作業単位です。

この権限には、次の権限があります。

  • 作成(デフォルトで付与されます)
  • 表示アクセス権の管理
次の表には、コンプライアンス・タスクとそれに必要なロールおよび権限がリストされています。
タスク 必要なロールおよび権限
コンプライアンス・フレームワークの作成 コンプライアンス・エンティティの作成権限

任意のコンプライアンス・フレームワークの表示権限
コンプライアンス・フレームワークの編集および削除 完全な任意のコンプライアンス・エンティティ権限

任意のコンプライアンス・フレームワークの表示権限
コンプライアンス・フレームワークの作成、編集および削除 EM_COMPLIANCE_DESIGNERロール

EM_COMPLIANCE_OFFICERロール
コンプライアンス標準のターゲットへの関連付け ターゲットのコンプライアンス権限またはターゲットのMANAGE_TARGET_COMPLIANCE権限の管理
コンプライアンス・フレームワークのインポートまたはエクスポート EM_COMPLIANCE_DESIGNERロール

EM_COMPLIANCE_OFFICERロール
モニタリング・ルールの作成 EM_COMPLIANCE_DESIGNERロール

ノート:

また、コンプライアンス標準と関連付けるターゲットへのアクセス権限を持っていることを確認してください。特に、ターゲットに対する任意のターゲット・コンプライアンスの管理権限が必要です。