Autonomous AI Databaseの監査機能
Oracle Autonomous AI Database on Dedicated Exadata Infrastructureには、サービスおよび特定のデータベースに誰が何を実行したのかを追跡できる堅牢な監査機能が備わっています。包括的なログ・データによって、リソースに対するアクションを監査およびモニターできるため、セキュリティおよび運用のリスクを軽減しながら監査要件を満たすことができます。
サービス・レベル・アクティビティの監査
専用インフラストラクチャ上のOracle Autonomous AI Database on Dedicated Exadata Infrastructureのデプロイメントを構成するリソースに対してOracle Cloudユーザーが実行するすべてのアクションは、使用されるインタフェース(Oracle Cloud Infrastructure Console、REST API、コマンドライン・インタフェース(CLI)、ソフトウェア開発キット(SDK)など)に関係なく、Auditサービスによって記録されます。
監査サービスを使用して、診断の実行、リソース使用率の追跡、コンプライアンスのモニター、セキュリティ関連イベントの収集を行うことができます。監査サービスの詳細は、Oracle Cloud Infrastructureドキュメントの監査の概要を参照してください。
また、Oracle Autonomous AI Database on Dedicated Exadata Infrastructureは、リソースに対して操作を実行するときに、イベントをイベント・サービスに送信します。イベント・サービスを使用して、これらのイベントを取得し、通知サービスを使用して電子メールを送信するなどのアクションを実行するルールを作成できます。
イベント・サービスの仕組みと、使用されるルールおよびアクションの設定方法の詳細は、イベントの概要を参照してください。イベントを生成するAutonomous AI Database操作のリストは、専用Exadataインフラストラクチャ上のAutonomous AI Databaseのイベントを参照してください。
ヒント:イベント・サービスおよび通知サービスを使用して通知を作成してみると、Oracle Autonomous AI Database Dedicated for Fleet Administratorsのラボ11: OCI通知サービスを参照してください。
データベース・アクティビティの監査
Oracle Autonomous AI Database on Dedicated Exadata Infrastructureは、Oracle AI Databaseの統合監査機能を使用するように作成するAutonomous AI Databaseを構成します。
この機能によって、次のソースから監査レコードが取得され、統一されたフォーマットで1つの監査証跡に収集されます:
-
統合監査ポリシーおよび
AUDIT設定による監査レコード(SYS監査レコードを含む) -
DBMS_FGAPL/SQLパッケージによるファイングレイン監査レコード -
Oracle AI Database Real Application Security監査レコード
-
Oracle Recovery Manager監査レコード
-
Oracle AI Database Vault監査レコード
-
Oracle Label Security監査レコード
-
Oracle Data Miningレコード
-
Oracle Data Pump
-
Oracle SQL*Loaderダイレクト・ロード
したがって、統合監査証跡を使用すると、データベースで様々な診断アクティビティおよびセキュリティ分析アクティビティを実行できます。
統合監査証跡が大きくなりすぎないように、作成するAutonomous AIデータベースには、90日より古い統合監査レコードを削除するために毎日実行されるMAINTAIN_UNIAUD_TRAILという名前のOracle Schedulerジョブが含まれます。ADMINデータベース・ユーザーは、このジョブの特性を変更できます。
AUDIT_ADMINロールを持つユーザーとして、監査ポリシーを作成または変更できます。AUDIT_VIEWERロールを持つユーザーは、次のビューを問い合せて統合監査データを表示できます。
-
AUDIT_UNIFIED_CONTEXTS -
AUDIT_UNIFIED_ENABLED_POLICIES -
AUDIT_UNIFIED_POLICIES -
AUDIT_UNIFIED_POLICY_COMMENTS
AUDIT_VIEWERまたはAUDIT_ADMINロールを別のユーザーに付与できるのは、ADMINユーザーのみです。PDB_DBAロールを持つと、AUDIT_VIEWERまたはAUDIT_ADMINを他のユーザーに付与できません。
統合監査の仕組みとその使用方法の詳細は、『Oracle Database 19cセキュリティ・ガイド』の統合監査の概要に関する項または『Oracle Database 26aiセキュリティ・ガイド』を参照してください。
さらに、Autonomous AI DatabaseをOracle Data Safeに登録すると、その広範なアクティビティ監査およびアクティビティベースのアラート機能を使用できます。
これらのData Safe機能の詳細は、Oracle Data Safeの使用のアクティビティ監査を参照してください。Data Safeでのデータベースの登録の詳細は、Data Safeでの専用AIデータベースの登録またはの登録解除に関する項を参照してください。
Autonomous VMアクティビティの監査
Autonomous AI Databaseのコントロール・プレーン・サーバーで実行されている収集エージェントは、ウイルス対策およびホスト侵入検出ソフトウェアのログに加えて、物理ホストで実行されているすべての仮想マシンおよびハイパーバイザのOS監査ログを収集および送信します。これらのログは、OCIの中央System Information and Event Management (SIEM)サービスに送信されます。構成の変更、潜在的な侵入、不正アクセスの試行など、SIEMスキャンに関する数百のアラート・ルール。
セキュリティ・インシデント検出およびレスポンス・チーム(DART)のセキュリティ・アナリストの専任チームは、セキュリティ・イベント・ダッシュボード24時間365日を管理し、アラートを処理して真のポジティブをフィルタリングします。true陽性が検出されると、イベントの重大度および影響に基づいて適切なレスポンスが開始されます。これには、さらなる分析、根本原因の評価、サービスチームと顧客とのコミュニケーションの修正が含まれます。
また、脆弱性スキャン・ソフトウェアは、その結果をOCI Security Centralに送信します。これにより、CVSSスコアに応じて、サービス・チームが期間内に結果を解決するためのチケットが自動的に生成されます。さらに、操作アクションの監査イベントは、オペレータアクセス制御サービスに登録されているシステムのロギングサービスと顧客提供のsyslogに送信されます。
Oracleは、Exadata Cloud@Customer X8M以降のハードウェア上のAutonomous VMの次のログを保持します。
-
/var/log/messages
-
/var/log/secure
-
/var/log/audit/audit.log
-
/var/log/clamav/clamav.log
-
/var/log/aide/aide.log
Oracleは、Exadata Cloud@Customer X8M以降のハードウェアの次のインフラストラクチャ監査ログを保持します。
-
Integrated Lights Out Management(ILOM)
-
物理インフラストラクチャ・コンポーネントのsyslogにリダイレクトされたILOM syslog
-
syslog
-
-
物理Exadata Databaseサーバー
-
/var/log/messages
-
/var/log/secure
-
/var/log/audit/audit.log
-
/var/log/clamav/clamav.log
-
/var/log/aide/aide.log
-
-
Exadata Storage Server
-
/var/log/messages
-
/var/log/secure
-
/var/log/audit/audit.log
-
Oracleオペレータ・アクティビティの監査
Oracle Autonomous AI Database on Dedicated Exadata Infrastructureには、Oracleオペレータが実行するアクティビティを対象となるよう既存の監査機能を拡張する堅牢な監査機能は備わっているため、システム管理のすべての側面を制御および監査するという規制要件に対応することを主眼にしています。
ヒント: ExadataインフラストラクチャおよびAutonomous Exadata VMクラスタ・リソースへのオペレータ制御アクセスを作成および管理する方法に関するステップ・バイ・ステップのガイダンスは、フリート管理者専用Oracle Autonomous AI Databaseワークショップのラボ15: オペレータ・アクセス制御を参照してください。
Autonomous AI Database on Dedicated Exadata Infrastructureは、共有責任モデルで動作します。ここでは:
-
お客様がデータとデータベース・アプリケーションを担当します。
-
Oracleが、インフラストラクチャ・コンポーネント(電力、ベア・メタル・オペレーティング・システム、ハイパーバイザ、Exadata Storage Server、およびインフラストラクチャ環境のその他の側面)を担当します。
-
Oracleが、DBMSソフトウェアおよびデータベースの全体的なヘルスを担当します。
このモデルでは、Oracleは担当するコンポーネントに自由にアクセスできます。システム管理のすべての側面を監査および管理するという規制要件がある場合は、このことが問題になる可能性があります。
Oracle Operator Access Controlは、OracleオペレータがExadataインフラストラクチャで実行するすべてのアクション、Autonomous AI DatabaseをホストするExadataインフラストラクチャ、およびOracleによって管理されるAutonomous Exadata VMクラスタ(Oracle Autonomous AI Databaseにデプロイされたクライアント仮想マシン)のクローズ管理と監査証跡を維持できるコンプライアンス監査システムです。また、お客様は、顧客が承認した特定のAutonomous Container Database (ACD)へのオペレータのアクセスを制御および制限できます。
Oracle Operator Access Controlを使用すると、次のことができます:
-
誰がシステムにアクセスできるか、いつシステムにアクセスできるか、Oracle担当者がどのくらいの時間システムにアクセスできるかを制御します。
-
アクセスを制限します(Oracleオペレータがシステムで実行できるアクションの制限を含む)。
-
アクセスを取り消します(以前に付与したスケジュール済アクセスを含む)。
-
Oracleオペレータがシステムで実行するすべてのアクションに関する準リアルタイムのレポートを表示および保存します。
Oracle Operator Access Controlを使用すると、次のことができます:
-
次のAutonomous AI Databaseリソースでオペレータまたはシステム・ソフトウェアによって実行されるすべてのアクションを制御および監査します:
-
Exadataインフラ
-
Autonomous Exadata VMクラスタ(AVMC)
-
Autonomous Container Database (ACD)
Oracleオペレータが環境で実行できる操作に対する制御の適用の詳細は、オペレータ・アクセス・コントロールでのアクションの適用を参照してください。
-
-
Oracle Autonomous AI Database on Dedicated Exadata Infrastructureにデプロイされたクライアント仮想マシンの制御を提供します。Exadata Cloud@Customerインフラストラクチャのオペレータ・アクセス・コントロールと同様に、お客様はExadata Cloud@CustomerまたはOracle Public Cloud上にデプロイされたAutonomous Virtual Machineクラスタ上にOracleオペレータ・アクセス・コントロールを適用できます。詳細は、オペレータ・アクセス制御アクション: Autonomous VMクラスタを参照してください。
-
システムに対して同じレベルの監査およびアクセス制御を維持します。詳細は、オペレータ・アクセスの監査方法を参照してください。
-
システム全体で内部または外部の規制監査に必要な監査レコードを提供します。詳細は、オペレータ・アクセス・コントロールによるログの管理および検索を参照してください。
オペレータ制御の作成時に、オペレータ・アクセスは監査するリソースに応じて、「Exadataインフラストラクチャ」または「Autonomous Exadata VMクラスタ」のいずれかを選択できます。詳細は、オペレータ制御の作成を参照してください。