Autonomous Databaseの監査

Autonomous Databaseには、Oracle Databaseのアクティビティを監視できる監査が用意されています。

Autonomous Databaseの監査について

Autonomous Databaseには、データベース・アクションを追跡、監視および記録する監査機能が用意されています。監査は、セキュリティ・リスクの検出およびデータベースの規制コンプライアンスの向上に役立つ可能性があります。

Autonomous Databaseの監査機能

Autonomous Databaseには、組織に必要な監査情報を取得できる洗練された広範な監査機能が含まれています。Autonomous Databaseには、デフォルトの監査が用意されています。

また、次のいずれかを使用して監査ポリシーを適用できます。

  • Oracle Data Safeを使用して、データベース・ユーザーや管理ユーザーに監査ポリシーを適用し、事前定義された監査ポリシーを適用し、カスタマイズされた監査ポリシーを適用します。詳細は、「アクティビティ監査の概要」を参照してください。

  • Oracle Database監査ポリシーを構成します。詳細は、「監査ポリシーの構成」を参照してください。

監査を構成すると、次のことを実行できます:

  • アクションの説明責任を有効にします。これには特定のスキーマ、表または行で実行中のアクション、または指定されたコンテンツに影響するアクションが含まれます。

  • それぞれのアカウンタビリティに基づいて、ユーザー、または侵入者などの他者による不適切なアクションを防止します。

  • 不審なアクティビティを調査します。たとえば、ユーザーがアプリケーションのデータベース資格証明を使用してデータベースにログインしている場合、データベースへの接続を監査することで、ログインがアプリケーション・サーバーからではなくユーザーのワークステーションからのものであることを確認できます。

  • 認可されていないユーザーのアクションを監査人に通知します。たとえば、認可されていないユーザーが表からデータを削除しようとしたときに監査者に通知します。

  • 指定されたデータベース・アクティビティに関するデータを監視および収集します。たとえば、更新中の表、失敗したログイン回数、またはピーク時に接続していた同時ユーザー数に関する統計を収集できます。

  • 認可またはアクセス制御の実装に関する問題を検出します。たとえば、別の方法で保護されているデータを監査するポリシーを作成します。この場合、データは保護されているため、通常は監査レコードは生成されません。しかし、これらのポリシーで監査レコードが生成された場合は、他のセキュリティ制御が正しく実装されていないことがわかります。

  • コンプライアンスに関するコンプライアンス要件に対応します。次のような規制には監査に関連する共通の要件があります。

    • 欧州連合一般データ保護規則(GDPR)

    • 米国企業改革法(Sarbanes-Oxley Act)

    • 医療保険の相互運用性と説明責任に関する法律(HIPAA)(Health Insurance Portability and Accountability Act)

    • 国際業務を行う銀行の自己資本比率に関する国際統一基準: 改定版(バーゼルII)(International Convergence of Capital Measurement and Capital Standards: a Revised Framework)

    • 日本の個人情報保護法

    • 欧州連合のプライバシと電子通信に関する指令(European Union Directive on Privacy and Electronic Communications)

Autonomous Databaseの監査データ

Autonomous Databaseは、監査データを保護し、その監査証跡をUNIFIED_AUDIT_TRAILデータ・ディクショナリ・ビューで書き込みます。

Autonomous Databaseに監査データを格納する基礎となる表はAUDSYS.AUD$UNIFIEDです。この表は保護されており、ユーザーがDML/DDL操作を実行したり、表をパージしたりすることを許可しません(これらのアクションを実行しようとすると、監査レコードが自動的に生成されます)。監査レコードが書き込まれた後に許可される唯一のアクティビティは、ADMINユーザーがPURGEを実行することです。ADMINには、PURGEの実行に必要なAUDIT_ADMINロールがあります。AUDIT_ADMINロールを別のユーザーに割り当てると、そのユーザーはPURGEも実行できるようになります。

使用する監査ポリシーの数とタイプ、およびアクティビティの量によっては、時が経つにつれて監査証跡が増大して大量のストレージが使用される可能性があります。Autonomous Databaseには、監査データに必要なストレージを制限するために次の方法が用意されています:

  • 各Autonomous Databaseインスタンスは、自動パージ・ジョブを1日に1回実行して、14日以上経過したすべての監査レコードを除去します。

  • AUDIT_ADMINロールを持つユーザーが、DBMS_AUDIT_MGMT.CLEAN_AUDIT_TRAILプロシージャを使用して監査レコードを手動で削除できます。詳細は、「DBMS_AUDIT_MGMT」を参照してください。

14日より長い監査データ保存期間が必要な場合は、Oracle Data Safeを使用して監査データを保存します。詳細は、「Autonomous DatabaseでのOracle Data Safeでの監査レコード保持期間の延長」を参照してください。

Autonomous Databaseは、Oracle Cloud Infrastructure運用チームによってデータベースで実行されたすべての操作を監査およびログに記録します。オペレーション・アクティビティの監査方法の詳細は、Oracle Cloud Infrastructureオペレーション・アクションの表示を参照してください。

Autonomous Databaseのデフォルトの監査ポリシー

Autonomous Databaseには、データベース上のアクティビティを追跡、監視および記録するための監査機能があります。

デフォルトでは、Autonomous Databaseは監査ポリシーを適用して次のデータベース・アクティビティを監査します:

  • Oracle Cloud Operationsによるすべてのアクティビティ

  • データベースへのすべてのログイン失敗

  • すべてのパスワード変更

  • プロシージャの作成または変更試行

  • パッケージ内のプロシージャを含む特定のプロシージャの実行: ネットワークに接続するUTL_HTTPまたはUTL_SMTP

また、次のいずれかを使用して追加監査ポリシーを適用できます:

Autonomous DatabaseでのOracle Data Safeの登録

Oracle Data Safeを使用して、データベース・ユーザーや管理ユーザーに監査ポリシーを適用したり、事前定義された監査ポリシーを適用したり、Autonomous Databaseインスタンスの監査データ・レコード保持を拡張したりします。

次のように、Autonomous DatabaseインスタンスをOracle Data Safeに登録します:

  1. Oracle Cloud InfrastructureコンソールからAutonomous Databaseインスタンスにアクセスします。
    1. Oracle Cloudの横にあるナビゲーション・アイコンをクリックして、Oracle Cloud Infrastructureコンソールを開きます。
    2. Oracle Cloud Infrastructureの左側のナビゲーション・メニューから、「Oracle Database」をクリックし、「Autonomous Database」をクリックします。
    3. 「Autonomous Databases」ページで、「表示名」列の下のリンクからAutonomous Databaseを選択します。
  2. Autonomous DatabaseインスタンスをOracle Data Safeに登録します。
    1. Autonomous Databaseの「詳細」ページの「Data Safe」で、「登録」をクリックします。
    2. 「Data Safeでのデータベースの登録」ダイアログで、「確認」をクリックします。

    Data Safeのステータスとして「登録中」が表示されます。このステップには約15分から20分かかります。

Oracle Data Safeの登録後、Data Safeのステータスには「登録済」と2つのリンク(「表示」「登録解除」)が表示されます。

「表示」をクリックして、Data Safeデータベース登録の詳細ページを表示します。

「登録解除」をクリックして、Oracle Data Safeを無効にします。

Autonomous DatabaseでOracle Data Safeを使用した監査レコード保持期間の延長

Oracle Data Safeを使用して、監査データ・レコードの保存期間を指定した月数まで延長します。

最初に、Autonomous DatabaseインスタンスをOracle Data Safeに登録します。詳細は、Autonomous DatabaseでのOracle Data Safeの登録を参照してください。

Autonomous Databaseインスタンスが登録されたら、Data Safeの保存期間を指定できます。

詳細は、ターゲット・データベースの保持期間の更新を参照してください。

Autonomous DatabaseでのOracle Data Safe監査証跡の表示および管理

Data Safeでは、監査証跡を使用して、監査データを取得する場所を定義し、Autonomous Database監査レコードを収集します。登録プロセス中に、Oracle Data Safeは監査証跡を検出し、監査証跡リソースを作成します。

Oracle Data Safeでは、「監査証跡」ページにリソースがリストされます。「監査証跡」ページにアクセスするには、Data Safeの「セキュリティ・センター」で「アクティビティ監査」をクリックし、次に「アクティビティ監査」ページで「関連リソース」の下の「監査証跡」をクリックします。いつでも新しい監査証跡を検出し、必要に応じてOracle Data Safeの監査証跡リソースを削除できます。

最初に、Autonomous DatabaseインスタンスをOracle Data Safeに登録します。詳細は、Autonomous DatabaseでのOracle Data Safeの登録を参照してください。

Autonomous Databaseが停止または再起動されると、次のように動作します。

  • 監査証跡は再試行状態に切り替わり、Data Safeでは4時間再接続を複数回試行します。監査証跡の「収集状態」フィールドに、「RETRYING」と表示されます。

    この場合、Autonomous Database (ターゲット・データベース)が起動すると、監査証跡が自動的に再開されます。

  • 4時間後、監査証跡は停止状態に切り替わります。監査証跡の「収集状態」フィールドに、STOPPED_NEEDS_ATTNと表示されます。

    この場合、Autonomous Database (ターゲット・データベース)が起動し、監査証跡収集状態がSTOPPED_NEEDS_ATTNになると、監査証跡を手動で再開できます。

監査証跡は、手動で停止または削除することもできます。監査証跡を削除しても、すでに収集された監査レコードは削除されません。これらのレコードは、保存期間に達するまでData Safe内に残ります。

詳細は、監査証跡の表示および管理を参照してください。

Autonomous DatabaseでのOracle Data Safeを使用した監査ポリシーの表示および管理

Oracle Data Safeを使用して、Autonomous Databaseインスタンスの監査ポリシーを設定します。

最初に、Autonomous DatabaseインスタンスをOracle Data Safeに登録します。詳細は、Autonomous DatabaseでのOracle Data Safeの登録を参照してください。

Autonomous Databaseインスタンスが登録されたら、Oracle Data Safeにアクセスして監査ポリシーを設定します。

詳細は、監査ポリシーの表示および管理を参照してください。

Autonomous DatabaseでのData Safeを使用した監査レポートの生成

Data Safeには、即時利用可能な監査データ・レポートが含まれており、必要に応じてカスタム・レポートを作成できます。

Oracle Data Safeを有効にして登録し、Autonomous Databaseインスタンスから監査データを収集するための証跡を追加した後、レポートを使用してデータベースのアクティビティを監視できます。

詳細は、監査レポートの表示および管理を参照してください。