自律型AIデータベースの監査機能

Oracle Autonomous AI Database on Dedicated Exadata Infrastructureには、サービスおよび特定のデータベースで誰が何を実行したのかを追跡できる堅牢な監査機能があります。包括的なログ・データによって、リソースに対するアクションを監査およびモニターできるため、セキュリティおよび運用のリスクを軽減しながら監査要件を満たすことができます。

関連項目

サービス・レベル・アクティビティの監査

専用インフラストラクチャ上のOracle Autonomous AI Database on Dedicated Exadata Infrastructureのデプロイメントを構成するリソースに対してOracle Cloudユーザーが実行するすべてのアクションは、使用されるインタフェース(Oracle Cloud Infrastructure Console、REST API、コマンドライン・インタフェース(CLI)、ソフトウェア開発キット(SDK)など)に関係なく、Auditサービスによって記録されます。

監査サービスを使用して、診断の実行、リソース使用率の追跡、コンプライアンスのモニター、セキュリティ関連イベントの収集を行うことができます。監査サービスの詳細は、Oracle Cloud Infrastructureドキュメント監査の概要を参照してください。

また、専用Exadataインフラストラクチャ上のOracle Autonomous AI Databaseは、リソースに対して操作を実行するとき、イベントをイベント・サービスに送信します。イベント・サービスを使用して、これらのイベントを取得し、通知サービスを使用して電子メールを送信するなどのアクションを実行するルールを作成できます。

イベント・サービスの仕組みと、使用されるルールおよびアクションの設定方法の詳細は、イベントの概要を参照してください。イベントを生成するAutonomous AI Database操作のリストは、専用Exadataインフラストラクチャ上のAutonomous AI Databaseのイベントを参照してください。

ヒント :

イベントおよび通知サービスを使用して通知を作成する場合は、Lab11: OCI通知サービスフリート管理者専用Oracle Autonomous AI Databaseを参照してください。

データベース・アクティビティの監査

専用Exadataインフラストラクチャ上のOracle Autonomous AI Databaseは、Oracle AI Databaseの統合監査機能を使用するように作成するAutonomous AI Databaseを構成します。

この機能によって、次のソースから監査レコードが取得され、統一されたフォーマットで1つの監査証跡に収集されます:

  • 統合監査ポリシーおよびAUDIT設定による監査レコード(SYS監査レコードを含む)
  • DBMS_FGA PL/SQLパッケージによるファイングレイン監査レコード
  • Oracle AI Database Real Application Security監査レコード
  • Oracle Recovery Manager監査レコード
  • Oracle AI Database Vault監査レコード
  • Oracle Label Security監査レコード
  • Oracle Data Miningレコード
  • Oracle Data Pump
  • Oracle SQL*Loaderダイレクト・ロード

したがって、統合監査証跡を使用すると、データベースで様々な診断アクティビティおよびセキュリティ分析アクティビティを実行できます。

統合監査証跡が大きくなりすぎないように、作成するAutonomous AI Databaseには、90日より古い統合監査レコードを削除するために毎日実行されるMAINTAIN_UNIAUD_TRAILという名前のOracle Schedulerジョブが含まれます。ADMINデータベース・ユーザーは、このジョブの特性を変更できます。

AUDIT_ADMINロールを持つユーザーは、監査ポリシーを作成または変更できます。AUDIT_VIEWERロールを持つユーザーは、次のビューを問い合せて統合監査データを表示できます。
  • AUDIT_UNIFIED_CONTEXTS
  • AUDIT_UNIFIED_ENABLED_POLICIES
  • AUDIT_UNIFIED_POLICIES
  • AUDIT_UNIFIED_POLICY_COMMENTS

ADMINユーザーのみが、AUDIT_VIEWERまたはAUDIT_ADMINロールを別のユーザーに付与できます。PDB_DBAロールを持つと、AUDIT_VIEWERまたはAUDIT_ADMINを他のユーザーに付与できません。

統合監査の動作および使用方法の詳細は、『Oracle Database 19cセキュリティ・ガイド』統合監査の概要に関する項または『Oracle Database 26aiセキュリティ・ガイド』を参照してください。

さらに、Autonomous AI DatabaseをOracle Data Safeに登録すると、その広範なアクティビティ監査およびアクティビティベースのアラート機能を使用できます。

これらのデータ・セーフ機能の詳細は、Oracle Data Safeの使用』アクティビティ監査に関する項を参照してください。Data Safeでのデータベースの登録の詳細は、Data Safeでの専用AIデータベースの登録またはの登録解除に関する項を参照してください。

Autonomous VMアクティビティの監査

Autonomous AI Databaseのコントロール・プレーン・サーバーで実行されている収集エージェントは、ウイルス対策およびホスト侵入検出ソフトウェアのログに加えて、物理ホストで実行されているすべての仮想マシンおよびハイパーバイザのOS監査ログを収集および送信します。これらのログは、OCIの中央システム情報およびイベント管理(SIEM)サービスに送信されます。構成の変更、潜在的な侵入、不正アクセスの試行など、SIEMスキャンの数百のアラート・ルール。

セキュリティ・インシデント検出およびレスポンス・チーム(DART)のセキュリティ・アナリストの専任チームは、セキュリティ・イベント・ダッシュボードを24時間365日管理し、アラートを処理して真のポジティブをフィルタします。真陽性が検出されると、イベントの重大度と影響に基づいて適切な応答が開始されます。これには、さらなる分析、根本原因の評価、サービス・チームとの修正、顧客とのコミュニケーションが含まれます。

また、脆弱性スキャン・ソフトウェアは、その結果をOCI Security Centralに送信します。OCI Security Centralは、CVSSスコアに応じて、サービス・チームが結果を期間内に解決するためのチケットを自動的に生成します。また、操作アクションの監査イベントは、オペレータ・アクセス・コントロール・サービスに登録されているシステムのロギング・サービスおよび顧客提供のsyslogに送信されます。

Oracleは、Exadata Cloud@Customer X8M以降のハードウェア上のAutonomous VMsの次のログを保持します:

  • /var/log/messages
  • /var/log/secure
  • /var/log/audit/audit.log
  • /var/log/clamav/clamav.log
  • /var/log/aide/aide.log

Oracleは、Exadata Cloud@Customer X8M以降のハードウェアの次のインフラストラクチャ監査ログを保持します:

  • 統合ライトアウト管理(ILOM)
    • 物理インフラストラクチャ・コンポーネントのsyslogにリダイレクトされたILOM syslog
    • syslog
  • 物理Exadata Database Server
    • /var/log/messages
    • /var/log/secure
    • /var/log/audit/audit.log
    • /var/log/clamav/clamav.log
    • /var/log/aide/aide.log
  • Exadata Storage Server
    • /var/log/messages
    • /var/log/secure
    • /var/log/audit/audit.log

Oracleオペレータ・アクティビティの監査

Oracle Autonomous AI Database on Dedicated Exadata Infrastructureには、Oracleオペレータが実行するアクティビティを対象とするように既存の監査機能を拡張する堅牢な監査機能を備わっています。これは、システム管理のすべての側面を制御および監査するという規制要件に対応することを主眼にしています。

ヒント :

ExadataインフラストラクチャおよびAutonomous Exadata VMクラスタ・リソースへのオペレータ・コントロール・アクセスを作成および管理する方法のステップ・バイ・ステップのガイダンスは、フリート管理者専用Oracle Autonomous AI Databaseワークショップラボ15: オペレータ・アクセス制御を参照してください。

専用Exadataインフラストラクチャ上のAutonomous AI Databaseは、共有責任モデルで動作します。ここでは:
  • お客様がデータとデータベース・アプリケーションを担当します。
  • Oracleが、インフラストラクチャ・コンポーネント(電力、ベア・メタル・オペレーティング・システム、ハイパーバイザ、Exadata Storage Server、およびインフラストラクチャ環境のその他の側面)を担当します。
  • Oracleが、DBMSソフトウェアおよびデータベースの全体的なヘルスを担当します。

このモデルでは、Oracleは担当するコンポーネントに自由にアクセスできます。システム管理のすべての側面を監査および管理するという規制要件がある場合は、このことが問題になる可能性があります。

Oracle Operator Access Controlは、OracleオペレータがExadataインフラストラクチャで実行するすべてのアクション、Autonomous AI DatabaseをホストするExadataインフラストラクチャ、およびOracleによって管理されるAutonomous Exadata VMクラスタ(Oracle Autonomous AI Databaseにデプロイされているクライアント仮想マシン)のクローズ管理と監査証跡を維持できるコンプライアンス監査システムです。さらに、お客様は、お客様が承認した特定のAutonomous Container Database (ACD)へのオペレータのアクセスを制御および制限できます。

Oracle Operator Access Controlを使用すると、次のことができます:
  • 誰がシステムにアクセスできるか、いつシステムにアクセスできるか、Oracle担当者がどのくらいの時間システムにアクセスできるかを制御します。
  • アクセスを制限します(Oracleオペレータがシステムで実行できるアクションの制限を含む)。
  • アクセスを取り消します(以前に付与したスケジュール済アクセスを含む)。
  • Oracleオペレータがシステムで実行するすべてのアクションに関する準リアルタイムのレポートを表示および保存します。
Oracle Operator Access Controlを使用すると、次のことができます:
  • 次のAutonomous AI Databaseリソースに対してオペレータまたはシステム・ソフトウェアによって実行されるすべてのアクションを制御および監査します:
    • Exadata Infrastructure
    • Autonomous Exadata VMクラスタ(AVMC)
    • Autonomous Container Database (ACD)
    Oracleオペレータが環境で実行できる操作に対するコントロールの適用の詳細は、「オペレータ・アクセス・コントロールでのアクションの適用」を参照してください。
  • 専用Exadataインフラストラクチャ上のOracle Autonomous AI Databaseにデプロイされたクライアント仮想マシンの制御を提供します。Exadata Cloud@Customerインフラストラクチャのオペレータ・コントロールと同様に、お客様はExadata Cloud@CustomerまたはOracle Public Cloud上にデプロイされたAutonomous Virtual MachineクラスタでOracleオペレータ・アクセス・コントロールを適用できます。詳細は、オペレータ・アクセス制御アクション: Autonomous VMクラスタを参照してください。
  • システムに対して同じレベルの監査およびアクセス制御を維持します。詳細は、「オペレータ・アクセスの監査方法」を参照してください。
  • システム全体で内部または外部の規制監査に必要な監査レコードを提供します。詳細は、「オペレータ・アクセス・コントロールによるログの管理および検索」を参照してください。

オペレータ制御の作成時に、オペレータ・アクセスを監査するリソースに応じて、「Exadataインフラストラクチャ」または「自律Exadata VMクラスタ」のいずれかを選択できます。詳細は、オペレータ制御の作成を参照してください。