Autonomous Databaseの監査機能
Oracle Autonomous Databaseには、サービスおよび特定のデータベースに対して誰が何を実行したかを追跡できる堅牢な監査機能が備わっています。包括的なログ・データによって、リソースに対するアクションを監査およびモニターできるため、セキュリティおよび運用のリスクを軽減しながら監査要件を満たすことができます。
サービス・レベル・アクティビティの監査
専用インフラストラクチャ上のOracle Autonomous Databaseのデプロイメントを構成するリソースに対してOracle Cloudユーザーが実行するすべのアクションは、使用するインタフェース(Oracle Cloud Infrastructureコンソール、REST API、コマンドライン・インタフェース(CLI)、ソフトウェア開発キット(SDK)など)に関係なく、監査サービスによって記録されます。
監査サービスを使用して、診断の実行、リソース使用率の追跡、コンプライアンスのモニター、セキュリティ関連イベントの収集を行うことができます。監査サービスの詳細は、Oracle Cloud Infrastructureドキュメントの監査の概要を参照してください。
また、Oracle Autonomous Databaseはリソースに対して操作を実行するとき、イベントをイベント・サービスに送信します。イベント・サービスを使用して、これらのイベントを取得し、通知サービスを使用して電子メールを送信するなどのアクションを実行するルールを作成できます。
イベント・サービスの仕組みと、使用されるルールおよびアクションの設定方法の詳細は、イベントの概要を参照してください。イベントを生成するAutonomous Database操作のリストは、専用Exadataインフラストラクチャ上のAutonomous Databaseのイベントを参照してください。
ヒント :
イベントおよび通知サービスを使用して通知を作成してみる場合は、フリート管理者専用Oracle Autonomous DatabaseのLab11: OCI通知サービスを参照してください。データベース・アクティビティの監査
Oracle Autonomous Databaseは、ユーザーが作成したAutonomous Databaseを、Oracle Databaseの統合監査機能を使用するように構成します。
この機能によって、次のソースから監査レコードが取得され、統一されたフォーマットで1つの監査証跡に収集されます:
- 統合監査ポリシーおよび
AUDIT
設定による監査レコード(SYS
監査レコードを含む) DBMS_FGA
PL/SQLパッケージによるファイングレイン監査レコード- Oracle Database Real Application Security監査レコード
- Oracle Recovery Manager監査レコード
- Oracle Database Vault監査レコード
- Oracle Label Security監査レコード
- Oracle Data Miningレコード
- Oracle Data Pump
- Oracle SQL*Loaderダイレクト・ロード
したがって、統合監査証跡を使用すると、データベースで様々な診断アクティビティおよびセキュリティ分析アクティビティを実行できます。
統合監査証跡が大きくなりすぎないように、ユーザーが作成したAutonomous DatabaseにはMAINTAIN_UNIAUD_TRAIL
という名前のOracle Schedulerジョブが含まれ、これが毎日実行されることで、90日を経過した統合監査レコードが削除されます。ADMINデータベース・ユーザーは、このジョブの特性を変更できます。
AUDIT_UNIFIED_CONTEXTS
AUDIT_UNIFIED_ENABLED_POLICIES
AUDIT_UNIFIED_POLICIES
AUDIT_UNIFIED_POLICY_COMMENTS
ADMINユーザーのみが、AUDIT_VIEWERまたはAUDIT_ADMINロールを別のユーザーに付与できます。PDB_DBAロールを持つと、AUDIT_VIEWERまたはAUDIT_ADMINを他のユーザーに付与できません。
統合監査の仕組みおよび使用方法の詳細は、『Oracle Database 19cセキュリティ・ガイド』または『Oracle Database 23aiセキュリティ・ガイド』の「統合監査の概要」を参照してください。
また、Autonomous DatabaseをOracle Data Safeに登録すると、その広範なアクティビティ監査およびアクティビティベースのアラート機能を使用できます。
これらのデータ・セーフ機能の詳細は、『Oracle Data Safeの使用』のアクティビティ監査に関する項を参照してください。データ・セーフへのデータベースの登録の詳細は、データ・セーフへの専用データベースの登録または登録解除を参照してください。
Autonomous VMアクティビティの監査
Autonomous Databaseのコントロール・プレーン・サーバーで実行されている収集エージェントは、ウイルス対策およびホスト侵入検出ソフトウェアのログに加えて、物理ホストで実行されているすべての仮想マシンおよびハイパーバイザのOS監査ログを収集して送信します。これらのログは、OCIの中央システム情報およびイベント管理(SIEM)サービスに送信されます。構成変更、侵入の可能性、不正アクセスの試行など、SIEMスキャンに関する数百のアラート・ルール。
セキュリティ・インシデント検出およびレスポンス・チーム(DART)のセキュリティ・アナリストの専任チームは、セキュリティ・イベント・ダッシュボードを24時間365日管理し、アラートを処理して真のポジティブをフィルタします。真陽性が検出されると、イベントの重大度と影響に基づいて適切な応答が開始されます。これには、さらなる分析、根本原因の評価、サービス・チームとの修正、顧客とのコミュニケーションが含まれます。
また、脆弱性スキャン・ソフトウェアは、その結果をOCI Security Centralに送信します。OCI Security Centralは、CVSSスコアに応じて、サービス・チームが結果を期間内に解決するためのチケットを自動的に生成します。また、操作アクションの監査イベントは、オペレータ・アクセス・コントロール・サービスに登録されているシステムのロギング・サービスおよび顧客提供のsyslogに送信されます。
Oracleは、Exadata Cloud@Customer X8M以降のハードウェア上のAutonomous VMsの次のログを保持します:
- /var/log/messages
- /var/log/secure
- /var/log/audit/audit.log
- /var/log/clamav/clamav.log
- /var/log/aide/aide.log
Oracleは、Exadata Cloud@Customer X8M以降のハードウェアの次のインフラストラクチャ監査ログを保持します:
- 統合ライトアウト管理(ILOM)
- 物理インフラストラクチャ・コンポーネントのsyslogにリダイレクトされたILOM syslog
- syslog
- 物理Exadata Database Server
- /var/log/messages
- /var/log/secure
- /var/log/audit/audit.log
- /var/log/clamav/clamav.log
- /var/log/aide/aide.log
- Exadata Storage Server
- /var/log/messages
- /var/log/secure
- /var/log/audit/audit.log
Oracleオペレータ・アクティビティの監査
ヒント :
ExadataインフラストラクチャおよびAutonomous Exadata VMクラスタ・リソースへのオペレータ・コントロール・アクセスを作成および管理する方法のステップ・バイ・ステップのガイダンスは、フリート管理者専用Oracle Autonomous Databaseワークショップのラボ15: オペレータ・アクセス制御を参照してください。
- お客様がデータとデータベース・アプリケーションを担当します。
- Oracleが、インフラストラクチャ・コンポーネント(電力、ベア・メタル・オペレーティング・システム、ハイパーバイザ、Exadata Storage Server、およびインフラストラクチャ環境のその他の側面)を担当します。
- Oracleが、DBMSソフトウェアおよびデータベースの全体的なヘルスを担当します。
このモデルでは、Oracleは担当するコンポーネントに自由にアクセスできます。システム管理のすべての側面を監査および管理するという規制要件がある場合は、このことが問題になる可能性があります。
Oracle Operator Access Controlは、OracleオペレータがExadataインフラストラクチャで実行するすべてのアクション、Autonomous DatabaseをホストするExadata InfrastructureおよびOracleによって管理されるAutonomous Exadata VMクラスタ(Oracle Autonomous Databaseにデプロイされたクライアント仮想マシン)のクローズ管理および監査証跡を維持できるコンプライアンス監査システムです。さらに、顧客は、特定の顧客承認のAutonomous Container Database (ACD)へのオペレータのアクセスを制御し、制限できます。
- 誰がシステムにアクセスできるか、いつシステムにアクセスできるか、Oracle担当者がどのくらいの時間システムにアクセスできるかを制御します。
- アクセスを制限します(Oracleオペレータがシステムで実行できるアクションの制限を含む)。
- アクセスを取り消します(以前に付与したスケジュール済アクセスを含む)。
- Oracleオペレータがシステムで実行するすべてのアクションに関する準リアルタイムのレポートを表示および保存します。
- 次のAutonomous Databaseリソースでオペレータまたはシステム・ソフトウェアによって実行されるすべてのアクションを制御および監査します:
- Exadata Infrastructure
- Autonomous Exadata VMクラスタ(AVMC)
- Autonomous Container Database (ACD)
- Oracle Autonomous Databaseにデプロイされたクライアント仮想マシンのコントロールを提供します。Exadata Cloud@Customerインフラストラクチャのオペレータ・アクセス制御と同様に、お客様は、Exadata Cloud@CustomerまたはOracle Public Cloud上にデプロイされたAutonomous Virtual MachineクラスタにOracleオペレータ・アクセス制御を適用できます。詳細は、オペレータ・アクセス制御アクション: Autonomous VMクラスタを参照してください。
- システムに対して同じレベルの監査およびアクセス制御を維持します。詳細は、「オペレータ・アクセスの監査方法」を参照してください。
- システム全体で内部または外部の規制監査に必要な監査レコードを提供します。詳細は、「オペレータ・アクセス・コントロールによるログの管理および検索」を参照してください。
オペレータ制御の作成時に、オペレータ・アクセスを監査するリソースに応じて、「Exadataインフラストラクチャ」または「自律Exadata VMクラスタ」のいずれかを選択できます。詳細は、オペレータ制御の作成を参照してください。