統合監査

特権ユーザー・アクティビティを監視する

特権ユーザー・アカウントは、重要なシステムやデータへのアクセスを狙うハッカーにとって、攻撃を仕掛けやすい標的となることがよくあります。継続的な特権ユーザー・アクティビティの監視により、セキュリティ・チームが異常な振る舞いを容易に特定し、機密データの漏えいを迅速に検知できます。特権ユーザー・アクティビティを監視するには、まずシステム内の特権ユーザーを特定します。

特権ユーザーを識別する

次のようなさまざまなソースから、特権データベース・ユーザー・アカウントを識別できます。

• Oracle Data Safeのユーザー評価レポート（左記に表示）
• Oracle Database Security Assessment Tool（DBSAT）レポート
• Oracle Audit Vault and Database Firewall（AVDF）

特権ユーザーを監査する

SYSDBAやSYSKMなどの管理ユーザーによる最上位レベルの文は、データベースがクローズ状態またはマウント状態で必ず監査対象となります。データベースのオープン後に管理ユーザー・アクティビティを監査するには、次の監査を設定します。

• SYSを含む特権管理者によるすべてのユーザー開始アクティビティを監視します。
• データベースへの直接アクセスを監視します。
• 機密データへの広範なシステム・アクセス権またはアクセス権を持つ、高リスクな個々のデータベース・アカウントによるすべてのユーザー開始アクティビティを監視します。

機密データへのアクセスを監査する

機密データ・アクセス監査は、機密データのアクセスや変更の可視性を提供する強力な監視メカニズムです。これは、データへのアクセスや変更について正当な業務上の理由がないユーザーにとって抑止力となります。機密データの状況把握は、アクセス追跡に特化した集中的な監査ポリシーの策定に役立ちます。

機密データの状況を特定する

Data Safe、DBSAT、AVDF、Oracle Enterprise Managerなど、さまざまな機密データ検出ツールの1つを活用し（左図参照）、機密表や列を識別します。

機密データ・アクセスを監査する

機密データの状況を把握したら、アクセス可能なユーザーを特定し、そのアクセスを監査する必要があります。

• 信頼されたパス外からのすべてのアクセス（アプリケーション・サービス・アカウントなど業務上有効な権限を持つデータベース・ユーザーも含む）を監視します。これらは高リスク要因となるためです。
• データと直接やりとりできる権限を持つデータベース・ユーザーによるアクセスもすべて監視します。
• 機密データにアクセスしようとする他のユーザーによる全試行を監査します（これは最高レベルのリスク要因です）。
• 個人情報（PII）を格納する機密カラム列へのアクセスを監視します。