Oracle Audit Vault and Database...

Oracleホワイト・ペーパー

2013年6月

Oracle Audit Vault and Database Firewall


はじめに ...................................................................................................................................................... 3

はじめに ...................................................................................................................................................... 3

Oracle Audit Vault and Database Firewallの概要 ................................................................................ 4

監査と監視の概要 ...................................................................................................................................... 4

Oracle Audit Vault ..................................................................................................................................... 5

Database Firewall ...................................................................................................................................... 7

ホワイト・リスト・ポリシーの実施 ................................................................................................ 7

ブラック・リスト・ポリシーの実施 ................................................................................................ 7

例外リスト・ポリシーの実施 ............................................................................................................ 7

不正なSQLへの対応 ............................................................................................................................. 8

レポート ...................................................................................................................................................... 8

コンプライアンス・レポート ............................................................................................................ 9

アクティビティ・レポート ................................................................................................................ 9

エンタイトルメント・レポート ..................................................................................................... 10

ストアド・プロシージャ監査レポート ......................................................................................... 10

アラートと通知 ....................................................................................................................................... 11

スケーラビリティとセキュリティ ....................................................................................................... 12

配備 ............................................................................................................................................................ 12

Database Firewallネットワークの配備 ........................................................................................ 12

監査エージェントの配備 ................................................................................................................. 14

ポリシーの作成と管理 ..................................................................................................................... 14

カスタム監査収集プラグイン ............................................................................................................... 14

サード・パーティ・ソリューションとの統合 .................................................................................. 15

結論 ............................................................................................................................................................ 16


はじめにサイバー攻撃やプライバシ法、米国サーベンス・オクスリー（SOX）やクレジットカード業界のデータ・セキュリティ標準（PCI-DSS）のような有名な規制により、情報保護は企業にとってもっとも重要な問題の1つになりました。Verizon RISKチームによる『2012 Data Breach Investigations Report』によると、すべてのデータ漏えいのうち94%がサーバーに関連しています。このレポートをはじめとして、政府や教育機関により実施されたさまざまな研究や調査では、かなりの割合のデータ侵害が、SQLインジェクションや盗んだ資格情報を使用するか、またはシステムやデータへのアクセスを認可された内部関係者により行われていると結論付けています。サーバーにあるデータのセキュリティ確保には、予防的、発見的、および管理的統制を網羅する技術的機能と管理的機能の両方を巻き込んだ高度な防御手段が必要です。

信頼するが検証もする、という原則は、ホストやデータベースへの直接アクセス権を持つ特権ユーザーだけでなく、データベースにアクセスするアプリケーションにも適用されます。現代のアプリケーションの大半は、OracleデータベースまたはOracle以外のデータベースとの通信のために1つの重要なユーザー・アカウントを使用し、非常に信頼されたユーザーとして実行されています。このようなアプリケーション・アーキテクチャと、SQLインジェクションや特権ユーザー・アカウント経由によるデータベース攻撃数の増加が相まって、発見的統制の展開が、多重防御セキュリティ戦略全体の極めて重要な要素となっています。

監視ソリューションを配備する場合、収集される情報の質と精度は、ターゲット・システムのアクティビティに対するソリューションの可視レベルに依存するということに注意してください。また、個々のシステムに関連するリスクを理解し、これらのシステムでのアクティビティに必要な可視レベルを判断することも重要です。このコンセプトは、ビルの玄関にあるカメラや警備員にたとえてみるとよくわかるでしょう。どちらもビルに入ってくるものを確認することができて、片方はビルに入るものを止められます。しかし、どちらもビルの中で起きたことのすべては把握できていません。このビルをデータベースとすると、カメラまたは警備員はデータベースに到達するまでSQL文を監視できますが、このSQL文がデータベースの内部で実行された後で何が起こるかを判断することは難しい問題です。ストアド・プロシージャにより起動される再帰的SQL、動的SQL、特権ユーザーによる操作、スケジュールされたジョブ、トリガーの実行、アプリケーション・ユーザー名や、"処理前"と"処理後"のデータ値はすべて、データベースの外からはほとんど見えないが、データベース内の監査システムには確認できる情報の例です。つまり、監視の価値は、使用できるレポート機能や警告機能と同様に、収集される情報のレベルと質にも直結しています。

3


Oracle Audit Vault and Database Firewallの概要 Oracle Audit Vault and Database Firewallは、OracleデータベースおよびOracle以外のデータベースか

ら得られた監査データ、オペレーティング・システム、ディレクトリ、ファイル・システム、アプ

リケーション固有の監査データの統合を通じて、包括的で柔軟な監視を提供します。同時に、Oracle

Database Firewallはネットワーク防御の最前線として、アプリケーションに期待されている動作を実

行し、SQLインジェクション、アプリケーション・バイパスなどの悪意のあるアクティビティがデー

タベースに到達することを阻止します。Oracle Audit Vault and Database Firewallは、無数のデータ

ベースの監査データを統合し、SQLトラフィックを監視すると同時に、不正なSQL文やポリシー外SQL

文を検索、警告し、阻止することができます。標準で用意されているさまざまなレポートとカスタ

ム・レポート・インタフェースを組み合わせれば、ネットワーク経由で監視している場合でも、監

査ログを調べている場合でも、企業全体のデータベース・アクティビティを総合的に捉えることが

できます。Oracle Audit Vault and Database Firewallは、Oracleデータベース、Microsoft SQL Server、

IBM DB2 for LUW、SAP Sybase ASE、Oracle MySQLデータベースをサポートしています。

図1：Oracle Audit Vault and Database Firewall

監査と監視の概要監査はこの10年間で、コンプライアンスとデータ侵害の裁判分析の両方にとって重要なツールの1つとなりました。アクションがデータベース、ディレクトリ、オペレーティング・システムのどれで生成されたかに関係なく、監査レコードには、これらのアクションが明確に記録されます。イベントのコンテキスト（IPアドレスの開始、イベント時間、実際のSQL文など）を伴う、イベント・タイプ（表の作成、表の削除、プロシージャの作成、表の切捨て、選択、挿入、更新、削除）などの情報は、コンプライアンスや裁判用レポートで一般に必要とされる監査情報の数例にすぎません（図2を参照）。Oracle Audit Vault and Database Firewallは、データベース、オペレーティング・システム、ファイル・システム、ディレクトリから取得した監査情報を統合、報告し、アラートを表示します。

ユーザー

アプリケーション

許可

監査者

ログアラート置換ブロック

ファイアウォール・イベント

レポートアラート

ポリシー

監査データ

OS、ディレクトリ・サービス、ファイル・システム、およびカスタム監査ログ

4


図2：Oracle Audit Vault and Database Firewallの監査ログのサンプル

監視には、監査データを生成する開始イベント（SQL文）の調査が含まれます。SQLトラフィックの監視はデータベースの外部で行われるため、Database Firewallは、イベントを許可、修正、ブロック、または警告する必要があるかどうかを判断できます。図3は、SQLインジェクションの試行がブロックされたことを示すレポートの例です。

図3：Database FirewallのSQL監視

Oracle Audit Vault Audit Vaultは、高度にスケーラブルでセキュアな中央集中型リポジトリで、ここには統合された監査データとともに、Database Firewallにより生成されたイベント・ログが格納されています。Audit Vaultはレポート、アラート、およびポリシー管理に使用される中央集中型プラットフォームです。

5


監査データは軽量エージェントを使用してターゲット・システムから送信され、必要に応じて、ターゲット・システムから削除されます。Audit Vaultはデータベースのソースすべての監査情報を統合し、カスタム監査データをログに記録しているOracleデータベースおよびOracle以外のデータベースにあるアプリケーション表/ファイルを含むカスタム・ソースまで拡張することができます。図4に示すとおり、レポート・データは複数のデータベースにまたがり、ターゲット・システムとネットワークから取得した情報を保持しています。

図4：ネットワーク・ログ、データベース監査ログ、およびOSイベント・ログからの統合

Audit Vaultコンソールを使用して、複数のターゲットが特定されています（図5）。このコンソールはその後、Database Firewallポリシーの管理、レポートのスケジュール設定とカスタマイズ、レポート認証のセットアップ、アラートの構成に使用されます。

図5：保護されたターゲットが表示されているOracle Audit Vault and Database Firewall

6


Database Firewall Database Firewallは、データベースの外側にあるネットワーク監視コンポーネントで、インバウンドのSQLトラフィックを監視し、SQLインジェクション攻撃など不正なSQL文に対する防御の最前線の役割を果たします。Database Firewallは、データ・アクセスの監視、アクセス・ポリシーの実行、異常のハイライトを行うとともに、組織内外からのネットワーク・ベースの攻撃からの保護を支援します。従来のSQLファイアウォールは正規表現を使用したポリシー外SQLの特定に依存していましたが、Oracle Database Firewallは、必要なスケーラビリティ、精度を提供し、管理をシンプルにする洗練された文法解析エンジンを使用して、ポリシーを実行します。

組織は、Database Firewallを、データベース資産保護のためにアクティブ監視モードにして配備するか、想定外のアクティビティや、コンプライアンス要件対応のための補助監査をセキュリティ担当者に知らせるためにパッシブ監視モードにして配備するかを選択できます。パッシブ監視モードでは、Database Firewallはデータベース・トラフィックを監視し、SQLのやりとりを解析します。Database Firewallからの情報はAudit Vaultでログに記録され、ネットワークで観察された情報とともに、データベース、オペレーティング・システム、ディレクトリから得られた監査情報までレポートできるようになります。

アクティブ監視モードでは、Database Firewallはアプリケーション層ファイアウォールとして、データベース・クライアントから出力されたSQLトラフィックを透過的に傍受し、TCPパケット内のSQLペイロードのセキュリティを解析してから、これをデータベースに転送します。SQLインジェクションを含む攻撃は、受信SQLと承認されたアプリケーションSQLのホワイト・リストを比較することでブロックできます。ポリシーに基づくホワイト・リスト、ブラック・リスト、および例外リストのサポートにより、配備の柔軟性が大幅に高まります。

ホワイト・リスト・ポリシーの実施

ホワイト・リスト・ポリシーは、承認されたSQL文セットとともに、ユーザー名、IPアドレス、時刻、プログラム名などのSQL文が実行されたときの条件を使用してセキュリティを確保します。Database Firewallは、SQLトラフィックと承認されたホワイト・リストを比較し、このポリシーに基づいて、SQL文のアラート、置換、またはブロックを選択します。承認されたSQLまたはホワイト・リストは、データベース・トラフィックの監視を続けることにより、時間をかけて学習されたものです。ホワイト・リストの確立に必要な監視期間は、アプリケーションやビジネス・サイクルによって異なります。

ブラック・リスト・ポリシーの実施

ホワイト・リストをベースとした肯定的なセキュリティ実施モデルに加えて、Database Firewallは特定のSQL文をブロックするブラック・リスト・モデルもサポートしています。ホワイト・リスト・ポリシーと同様、ブラック・リスト・ポリシーも意思決定の前に、ユーザー名、IPアドレス、時刻、プログラムなどさまざまな要因を評価できます。

例外リスト・ポリシーの実施

例外リスト・ポリシーは、特定のアクティビティで使用されるカスタム・バイパス・ポリシーの作成を許可することにより、ホワイト・リスト・ポリシーやブラック・リスト・ポリシーよりも優先されます。たとえば、例外リスト・ポリシーを使用して、ホワイト・リストやブラック・リストにとらわれることなく、あらかじめ決められたIPアドレスからアクセスしてきた特定のリモート管理者が特定のアプリケーション・パフォーマンスの問題を診断できるようにすることができます。

7


不正なSQLへの対応

Oracle Database Firewallは不正な文を見つけると、次のいずれかの方法で対処します。

• 接続を終了する：これにより、データベース接続が失われるため、この特定のデータベー

ス接続からサーバーへのトラフィックはすべてブロックされます。これはもっともアグ

レッシブなアクションで、アプリケーションが接続プーリングを使用していた場合、この

プールを使用しているすべてのユーザーが影響を受ける可能性があります。

• SQL 文をブロックする：この特定の文がデータベース・サーバーに届かないように阻止し

ます。エンドユーザーが実際にはどのような体験をするかは、サーバーが応答しない場合

にアプリケーションがどのような対応をするかによって異なります。データベースへのク

ライアント接続を維持するか、または終了するかのいずれかに構成できます。

• SQL 文の置換を使用してリクエストを変更し、ポリシー外の文を、データをなにも返さな

いか、またはエラーを返す安全な文で置き換えます（後述の表 1 を参照）。文の置換は、

既存のアプリケーションに対してより透過的です。

• ブロックに加えて、またはブロックする代わりに、ポリシー外 SQL 文すべてに対して警告

します。

元の文（不正）置換後の文データベースの応答（結果）

SELECT * FROM tbl_users; SELECT * FROM tbl_users WHERE 'a' = 'b'; レコードは見つからない

DROP TABLE tbl_accounts; SELECT * FROM aaabbbccc; エラー。不明な表

UPDATE tbl_accounts SET accounts ='123'

WHERE user = 'Fred'; SELECT DUAL SET 'Fred'; エラー。不正な構文

表1：Oracle Audit Vault and Database FirewallでのSQL文の置換例

レポート Oracle Audit Vault and Database Firewallレポートは、データベース・サーバー上の特権ユーザーのアクティビティ、データベース構造の変更、ネットワーク上のインバウンドSQL文のデータなど、さまざまなアクティビティの監視に使用できます。レポートには、データベース、オペレーティング・システム、ディレクトリの統合された監査情報が表示され、企業のいたるところで行われているアクティビティの全体像を把握できます。さらに、レポートには、データベース・アカウント管理、ロールや特権、オブジェクト管理、ストアド・プロシージャの変更などの情報も含まれます。

監査者はAuditor ConsoleのWebインタフェースを通じて対話的にレポートにアクセスできます。また、PDFやXLS形式のレポート・ファイルも用意されています。使いやすい対話型のブラウザは、色分けされた図表を作成する機能を持つOracle Application Expressテクノロジーに基づいて構築されています。レポート列に対してソート、フィルタ、位置の変更、追加、削除を実行することができます。疑わしいアクティビティや不正なアクティビティをユーザーがすばやく見つけられるようにするために、ルールを使用して、特定の行を自動的にハイライトすることができます。

8


PDFおよびXLS形式のレポート定義は、レポートの自動生成をスケジュールするために使用できます。レポートをスケジューリングし、電子メールの添付ファイルまたはURL経由で配信することができます。また、複数の監査者の認証を要求するように定義することも可能です。ユーザーはOracle BI Publisherを使用して、PDFやXLS形式のレポート・テンプレートを新たに作成またはカスタマイズし、特定のコンプライアンス要件やセキュリティ要件を満たすことができます。さらに、Audit Vaultリポジトリ・スキーマが文書化されているため、サード・パーティのレポート・ソリューションと統合することができます。

コンプライアンス・レポート

標準で付属している監査評価レポートは、クレジットカード業界のデータ・セキュリティ標準（PCI-DSS）、グラム・リーチ・ブライリー法（GLBA）、医療保険の相互運用性と説明責任に関する

法律（HIPAA）、米国サーベンス・オクスリー法（SOX）、EUデータ保護指令（DPA）など標準的な規制に対応しやすくするようにカテゴリに分類されています。

図6：Oracle Audit Vault and Database Firewallの組込みコンプライアンス・レポート

アクティビティ・レポート

アクティビティ・レポートは、失敗したログイン、アプリケーション表への変更、データベース・スキーマの変更、ユーザー・エンタイトルメントなどのトピックをカバーしています（図7を参照）。たとえば、ユーザーがDROPやALTERなどのデータ定義言語（DDL）SQL文を実行するたびに監査する場合は、事前構築された"データベース・スキーマの変更レポート"で特定ユーザーの行をハイライトし、個々のイベントの詳細までドリルダウンします。また、ターゲット・システム、ユーザー、操作、時刻などを基準にして、監査イベントすべてをさらにフィルタし、概要を把握することもできます。

9


図7：Oracle Audit Vault and Database Firewallの組込みアクティビティ・レポート

エンタイトルメント・レポート

エンタイトルメント・レポートには、Oracleデータベースに対するユーザーのアクセスのタイプが記載されています。このレポートは、ユーザー、ロール、プロファイル、使用されている権限に関する情報を提供します。このようなレポートは、データへの不必要なアクセスの追跡、重複する権限の検出、権限の付与の簡素化に役立ちます。エンタイトルメント・スナップショットの生成後、さまざまなスナップショットを比較し、時間の経過に従って、エンタイトルメント情報がどのように変化したかを確認できます。これは、すでに承認されているデータベース・エンタイトルメントのベースラインからどのくらい外れているかを明らかにする場合に特に便利です。

ストアド・プロシージャ監査レポート

多くの組織で、ストアド・プロシージャは多くのアプリケーションのアプリケーション・ロジックの大半を構成します。これには、SQLインジェクションなどの悪意のある攻撃につけこまれる恐れのある欠陥が含まれる可能性があります。 DBAは、よくカスタム・トリガーやストアド・プロシージャを記述して、ジョブを自動化し、セキュリティを改善することがあります。このようなストアド・プロシージャは一度定義されたら、改ざんされないようにすることが重要です。Audit Vault and Database Firewallを使って、ストアド・プロシージャ監査レポートを実行して、保護されたデータベースのストアド・プロシージャに対する変更をすべて監視できます。このレポートには、すべてのストアド・プロシージャ操作、削除および作成されたプロシージャ、修正履歴が表示されます。

10


アラートと通知 Audit Vaultは、不正アクセスやシステム権限の乱用が試みられたことを示すアクティビティを検出し、警告する機能を提供します。ネットワーク・アクティビティに対するアラートを生成するようにDatabase Firewallポリシーを構成し、潜在的に悪意のあるアクティビティを早期に発見して警告するように制御することができます。さらに、Audit Vaultは、収集したイベントを継続的に監視して、定義されたアラート条件に対してアクティビティを評価します。アプリケーション表の変更、特権ユーザーの作成といったシステム・イベントを含むすべてのデータベース・イベントや、誰かがビジネス上の機密情報にアクセスしようとして、Oracle Database Vaultポリシーによりブロックされたときのイベントをアラートに関連付けることができます。

図8に示すように、しきい値と時間に基づいて、アラートを構成することもできます。たとえば、ログインの失敗が1分間という期間に10回発生した場合、これは総当たり攻撃を示している可能性があるため、アラートが生成されます。

図8：Oracle Audit Vault and Database Firewallアラートの定義

Audit Vaultインタフェースは、アラートのサマリーをグラフィックで表示します。これには、アラート・アクティビティとアラート数の多かったソースのサマリーが含まれます。ユーザーは、サマリーのグラフをクリックして、より詳しいレポートへドリルダウンできます。レポート作成の目的で、アラートをソース、イベント・カテゴリ、および重大度（警告またはクリティカル）別にグループ分けすることができます。

11


スケーラビリティとセキュリティ監査データはビジネス・アクティビティの重要な記録で、レポートと調査の整合性を確保するためにも改ざんから保護する必要があります。Audit Vaultは、オラクルの業界をリードするデータベース・テクノロジーを使用して構築されたセキュアなリポジトリに監査データを格納します。ソース・システムからAudit Vaultサーバーへの監査データのタイムリーな送信では、監査データを変更して形跡を残さないようにしようとする侵入者に対して道を閉ざすことが重要です。ほぼリアルタイム・ベースで監査データを送信するようにAudit Vaultを構成できます。また、送信中にデータを暗号化するように構成することも可能です。

リポジトリは、圧縮、パーティション、暗号化、特権ユーザーの制御を含むさまざまなOracleテクノロジーを搭載した、組込みのOracle Enterprise Editionデータベース上に構築されます。最適化された統合データのストレージでは、圧縮の使用が特に重要です。このようなテクノロジーとOracle Enterprise Editionデータベースを組み合わせると、高度なスケーラビリティを持つリポジトリになります。

単一のAudit Vaultを、何百ものAudit AgentやDatabase Firewallをサポートするように拡張できます。同様に、これらはそれぞれ、複数の監査証跡とそれに対応する無数のデータベースをホストします。管理者用統合コンソールでは、システム全体の構成、配備の監視、Database FirewallやAgentの起動とシャットダウン、Database Firewall HA操作の構成、バックアップの管理、リストア操作を行うことができます。

Audit Vaultインタフェースがサポートするユーザーは、監査者と管理者の2つのカテゴリに分類されます。監査者は、ポリシーの監査と監視、監査レポートやアラートの定義、生成、およびアクセスを実行します。管理者は、セキュアなターゲットの基本ネットワークとホスト設定の構成、エージェントとDatabase Firewallの起動と停止、Audit Vaultサーバー・オペレーションの構成と監視を行います。管理者は、監査情報に対するアクセス権を持ちません。この2つのロール・カテゴリ内で、さらに役割を分割することができます。保護された資産をさらに分け、監査者や管理者それぞれに割り当てることにより、リポジトリを1つ配備して、複数の組織、子会社、地理的領域にまたがる企業全体を確実にサポートできるようにします。情報がプライバシ規制や免責条項の要件の異なる複数の国や地域に広がる可能性がある場合、きめ細かな認可は特に重要です。

配備 Database Firewallネットワークの配備

Database Firewallは、データベース・クライアント/アプリケーション・サーバーと保護されるデータベースの間にあるネットワークにセグメントとして挿入するだけで、ネットワークのトランスペアレント・ブリッジとして配備されます（図10を参照）。この'インライン'ブリッジ・アーキテクチャでは、データベース・クライアントやアプリケーション、データベース自体の構成変更は必要なく、アクティブ監視とパッシブ監視の両方を柔軟に行えるようになります。データベース・アクティビティのパッシブ監視だけを実施する場合は、SPANポートを使用して、データベース・ファイアウォールにトラフィックを転送することもできます。

12


ネットワーク・ブリッジの追加が難しい場合、またはデータベース・サーバーが地理的に離れた場所にある場合は、Database Firewallをプロキシとして構成し、データベース・サーバーへのトラフィックがすべて、このデータベース・ファイアウォールを通ってルーティングされるようにすることもできます。このためには、データベース・クライアントまたはアプリケーションのDatabase Server IPアドレス/ポートを、Database FirewallプロキシのIPアドレス/ポートに変更すると同時に、直接接続を拒否するようにデータベース・リスナーを変更する必要があります。エンタープライズ・ネットワーク・スイッチや従来のファイアウォールの大半も、Oracle Database Firewallプロキシ・ポートへのデータベース・トラフィックのリダイレクトに使用できます。これにより、データベース・クライアントやアプリケーションを変更せずに、SQLトラフィックを保護することができます。データベース・ファイアウォールは、一部のデータベースにとってはトランスペアレント・ブリッジとして、その他のデータベースにとってはプロキシとして動作します。

Database Firewallは、ローカル・サーバー側で監視のみ行うエージェントをサポートし、ネットワークのトラフィック監視ポイントを柔軟に選択できるようにします。監査エージェントの一部であるホスト・モニターはデータベース・サーバーに到達するSQLトラフィックを取得し、Database Firewallへ安全に転送します。これは、LinuxやWindowsプラットフォームで実行されているデータベース・サーバーのリモート監視に使用できます。

図9：Oracle Audit Vault and Database Firewallの配備

アプリケーションとユーザー

インラインでのブロック

および監視

リモート監視

帯域外

監視

監査データ

監査エージェント

HAモード

スタンバイAudit Vault

プライマリAudit Vault

13


監査エージェントの配備

監査エージェントは、ターゲット・システムにJARファイルの形で配布されます。配布後は、追加で手動構成や更新を実行する必要はありません。エージェントは、Oracle、Oracle以外、オペレーティング・システム、ディレクトリを含むさまざまなソースから監査データを収集します。OracleデータベースSEまたはEEでは、エージェントの動作は、監査の構成に左右されません。たとえば、オペレーティング・システムまたはデータベースに監査データを書き込むように監査を構成できます。さらに、Oracleデータベースでは、エージェントは、トランザクションまたはREDOログとデータベース・エンタイトルメント情報を使用して、特定のフィールドの"前"と"後"の値を統合できます。

ポリシーの作成と管理

Audit Vaultには、Database Firewallポリシー用に統合管理インタフェースが用意されています。ユーザーは、指定されたデータベースに対して、SQL文のホワイト・リストやブラック・リスト、例外リストを定義できます。Database Firewall Policy Authoringインタフェースは、一定の期間内に取得したSQL文をすべて解析できるため、適切なポリシーを指定できるようになります。また、ユーザー名やIPアドレス、クライアント・プログラム、時刻などの要因をSQL文のポリシーと関連付けることも可能です。

Audit Vaultでは、Oracleデータベースの監査設定を一元的に定義し、プロビジョニングできます。これにより、内部監査者とITセキュリティは両方ともより簡単に、企業全体で監査設定を管理し、外部監査者に対してコンプライアンスと繰り返し可能な統制を示すことができるようになります。

カスタム監査収集プラグイン開発者やサード・パーティ・ベンダーは、カスタム収集プラグインを構築し、データベース表やXMLファイルの形式で監査データが保存されている新しいセキュアなターゲット・タイプや新しい監査証跡から監査データを収集することができます。セキュアなターゲット・タイプとは、リレーショナル・データベース、オペレーティング・システム中間層システム、エンタープライズ・アプリケーションのことです。コーディングは必要ありません。これは、収集する監査データと、データベース表またはXMLファイルに監査データを格納するかどうかを記述するテンプレートベースのXMLマッパー・ファイルを簡単に定義できるからです。下の例1は、XMLファイル収集プラグインのマニフェスト・ファイルのサンプルです。

14


例1：XMLファイル収集プラグインのマニフェスト・ファイルのサンプル

サード・パーティ・ソリューションとの統合 Oracle Audit Vault and Database Firewallは、F5 BIG-IP Application Security Managerと統合されています。Database FirewallとF5 BIG-IP Application Security Manager（ASM）を組み合わせることにより、企業内のアプリケーション・サーバーとデータベースの両方のセキュリティを確保し、監視できるようになります。攻撃を発したのがWebユーザーである場合、Database Firewallレポートに表示される、BIG-IP ASMから取得された実際のIPアドレスとアプリケーション・ユーザーから攻撃の出所を特定できます。

HP ArcSight Security Information Event Management（SIEM）システムは、さまざまなソースからのログ・メッセージの記録、分析、管理を行うための一元化されたシステムです。HP ArcSightは、Oracle Audit Vault and Database Firewallからセキュリティ・アラートを発することができます。

15


結論 Oracle Audit Vault and Database Firewallは、ネットワーク上やデータベース内部のデータベース・アクティビティを積極的に監視し、SQLインジェクションの脅威から保護し、セキュアでスケーラブルなリポジトリへの監査データの統合を自動化することにより、組織のセキュリティ向上を支援します。広範囲にわたるレポート作成およびアラート機能により、監査者やセキュリティ担当者は、潜在的に悪意のあるアクティビティに関する詳細な情報や早期警戒アラートにアクセスできるようになります。さまざまなオペレーティング・システムやディレクトリ・サービスから取得した監査データの統合が標準でサポートされているため、データベースより先にあるソースも監視できます。拡張可能なプラグイン・アーキテクチャにより、収集フレームワークにカスタム監査ソースを追加し、アプリケーション固有の監査データを、リポジトリにあるその他のイベント・データとともに集計し、レポートすることが可能になります。OracleデータベースおよびOracle以外のデータベースのセキュリティ要件に基づいて、データベースの発見的統制および予防的統制を実行することができます。

16


2013年6月

著者：オラクル

共著者：オラクル

Oracle Corporation

World Headquarters

500 Oracle Parkway

Redwood Shores, CA 94065

U.S.A.

海外からのお問い合わせ窓口：

電話：+1.650.506.7000

ファクシミリ：+1.650.506.7200

www.oracle.com

Copyright © 2012, Oracle and/or its affiliates.All rights reserved.本文書は情報提供のみを目的として提供されており、ここに記載される内容

は予告なく変更されることがあります。本文書は一切間違いがないことを保証するものではなく、さらに、口述による明示または法律による黙

示を問わず、特定の目的に対する商品性もしくは適合性についての黙示的な保証を含み、いかなる他の保証や条件も提供するものではありませ

ん。オラクルは本文書に関するいかなる法的責任も明確に否認し、本文書によって直接的または間接的に確立される契約義務はないものとしま

す。本文書はオラクル社の書面による許可を前もって得ることなく、いかなる目的のためにも、電子または印刷を含むいかなる形式や手段によっ

ても再作成または送信することはできません。

OracleおよびJavaはOracleおよびその子会社、関連会社の登録商標です。その他の名称はそれぞれの会社の商標です。

IntelおよびIntel XeonはIntel Corporationの商標または登録商標です。すべてのSPARC商標はライセンスに基づいて使用されるSPARC

International, Inc.の商標または登録商標です。AMD、Opteron、AMDロゴおよびAMD Opteronロゴは、Advanced Micro Devicesの商標また

は登録商標です。UNIXは、The Open Groupの登録商標です。0612

Oracle Audit Vault and Database...

Documents

Transcript of Oracle Audit Vault and Database...