Oracle Cloud Infrastructureドキュメント

キー使用状況の監視

ログ・データを使用してOracle Cloud Infrastructureでの主要な使用状況を監視する方法を説明します。

暗号化および復号化操作でのキーの使用の監視は、次のようないくつかのユースケースで役立ちます。

  • ライフサイクル管理:キーが最後に使用された時期を理解することは、情報に基づいた保持決定を行う上で重要です。使用頻度の低いキー(データベース・ワークロードをサポートするキーなど)は、アクティビティが限られているにもかかわらず、依然として運用上重要である可能性があります。OCI Connector Hubを通じてログ保持を拡張することで、過去の使用パターンを詳細に可視化できるため、チームはキーを保持、ローテーション、リタイアするかどうかについてリスクを意識した意思決定を行うことができます。
  • セキュリティ:キーの使用状況を監視すると、異常なアクティビティを警告できます。
  • アプリケーションの動作の監視または調査:アプリケーションの動作とキーの使用状況を関連付けると、アプリケーションの問題の解決やパフォーマンス向上に役立つ情報が提供されます。

このトピックでは、Oracle Cloud Infrastructure (OCI)ログを使用してキーの使用状況をモニターする方法について説明します。

使用可能なロギング・データ

OCI ロギング・サービスには、次のような様々な種類のログが用意されています。

監査ログ

監査ログ: 監査ログを使用して、次のような管理操作をモニターします。

  • キーおよびボールトを管理するための操作の作成、更新および削除
  • キーのローテーション操作

監査ログには、DecryptGenerateDataEncryptionKey (データ・プレーン・アクティビティ)などの暗号化操作は記録されず、かわりにオプションでサービス・ログに記録されます。

サービス・ログ

使用するには、顧客がサービス・ログを有効にする必要があります。Key Managementを有効にすると、サービス・ログは次のようなメタデータを取得します。

  • 呼出し原理(キー操作を扇動するユーザー、関数またはインスタンス)
  • キーOCID
  • キー・バージョン
  • 操作タイプ(Decryptなど)
  • タイムスタンプ
  • Vaultおよびコンパートメントの詳細
重要

サービス・ログには、組織または顧客のデータ・セキュリティを損なう可能性のある機密情報は記録されません。サービス・ログがKey Management用に収集するデータの詳細は、キー管理の詳細を参照してください。

Vaultのサービスログの有効化

サービス・ログを有効にするには、必要なIAM権限が必要です。詳細は、IAM Serviceドキュメントのロギングの詳細を参照してください。

サービス・ログはボールト・レベルで有効であることに注意してください。ロギングを有効にするリージョナル・ボールトごとに、このトピックのステップを繰り返します。

詳細は、ロギング・サービスのドキュメントのリソースのロギングの有効化を参照してください。

  1. ナビゲーション・メニューを開き、「監視および管理」を選択します。「ロギング」で、「ログ」を選択します。
  2. 「サービス・ログの有効化」を選択します。
  3. ログを次のように構成します。
    • コンパートメント:ロギングを有効にするボールトを含むコンパートメントを選択します。
    • サービス:キー管理
    • リソース:サービス・ログを使用してモニターするボールトを選択します。
    • ログ・カテゴリ:暗号操作。
    • ログ名:ログの名前を入力します。
  4. 「ロギングの有効化」を選択します。

KMSログの表示および問合せ

  1. ナビゲーション・メニューを開き、「監視および管理」を選択します。「ロギング」で、「ログ」を選択します。
  2. ログのリスト・ビューで、ボールト用に作成したサービス・ログに移動します。手順が必要な場合は、ログの詳細の取得を参照してください。
  3. 「ソート」および「時間によるフィルタ」コントロールを使用して、エントリの「ログの探索」リストに表示するログ・エントリを制御します。type列には、エントリが表す暗号化操作のタイプが表示されます。たとえば、復号化操作のエントリには次のエントリ・タイプがあります。

    keymanagementservice.vault.crypto.decrypt

    次のイメージは、ログ・エントリのリストを含むログの例を示しています。

    KMS暗号操作のサービス・ログ詳細ページのイメージです。
  4. ログ・エントリの詳細をすべて表示するには、エントリの行の最後にある矢印を選択してエントリを展開し、エントリの詳細のJSON形式のビューを表示します。

    次の図は、JSON形式のログ・エントリの詳細の例を示しています。

    JSON形式のKMSサービス・ログ・エントリのイメージです。
    {
  "datetime": 1754361617552,
  "logContent": {
    "data": {
      "clientIpAddress": "<example_ip>",
      "keyVersionId": "ocid1.keyversion.oc1.iad.<example_ocid>",
      "opcRequestId": "<example_request_id>",
      "principalId": "objectstorage-us-ashburn-1/<example_principle>",
      "requestAction": "DECRYPT",
      "statusCode": 200
    },
    "id": "51777c94-e29c-4e78-9121-946c77301f62",
    "oracle": {
      "compartmentid": "ocid1.tenancy.oc1.<example_ocid>",
      "ingestedtime": "2025-08-05T02:40:55.747Z",
      "loggroupid": "ocid1.loggroup.oc1.<example_ocid>",
      "logid": "ocid1.log.oc1.iad.<example_ocid>",
      "tenantid": "ocid1.tenancy.oc1.<example_ocid>"
    },
    "source": "ocid1.vault.oc1.iad.<example_ocid>",
    "specversion": "1.0",
    "subject": "ocid1.key.oc1.iad.<example_ocid>",
    "time": "2025-08-05T02:40:17.552Z",
    "type": "com.oraclecloud.keymanagementservice.vault.crypto.decrypt"
  },
  "regionId": "us-ashburn-1"
}
  5. カスタム問合せでエントリを検索するには、「アクション」「ログ検索で探索」の順に選択します。ログ検索の基本モードはデフォルトで表示され、「カスタム・フィルタ」フィールドにキーワード(暗号化など)または一意の値または文字列(principalId値など)を入力できます。「拡張モード」を選択し、問合せ構文を使用してログを検索することもできます。ログの検索の詳細は、ログの詳細の取得およびロギング検索を参照してください。

オブジェクト・ストレージまたはSIEMなどの外部プラットフォームへのログの送信

デフォルトでは、サービス・ログは30日間保存されます。長期保存または外部分析の場合は、コネクタ・ハブを使用して、次のようなターゲット宛先にログを転送します:

  • オブジェクトストレージ
  • Log Analytics
  • SIEMなどの外部ターゲット

詳細は、次のトピックを参照してください: