Oracle Audit Vault and Database Firewallに関するFAQ

一般的な質問

Oracle Audit Vault and Database Firewallの最新リリースを教えてください。

Oracle Audit Vault and Database Firewall(AVDF)の最新リリースは、リリース・アップデート11(AVDF 20.11)です。詳細については、お知らせのブログリリース・ノートをご参照ください。

Oracle Audit VaultおよびDatabase Firewallの新機能について教えてください。

Oracle Audit VaultおよびDatabase Firewallは現在、データベース・アクティビティの監視だけでなく、Oracle Databaseのセキュリティ状態の管理も行い、セキュリティ構成、ユーザー権限、およびストアドプロシージャの可視化により、クラス最高のアクティビティ・モニタリング機能を強化しています。簡素化されたナビゲーションで最新のユーザーインターフェイスを提供し、一般的なワークフローと多くの一般的なターゲット・タイプに対する拡張された監査コレクションを提供します。AVDFは、データベースを監査し、ネットワークベースのSQLアクティビティをモニターして、クラウドまたはオンプレミスでホストされているオラクルのデータベースおよび非オラクルのデータベースのセキュリティ状態の管理を支援します。完全な機能リストについては、AVDF のリリース・ノートをご参照ください。

Audit VaultとDatabase Firewallの関連について教えてください。両方とも揃える必要はあるのでしょうか。

AVDFはネイティブの監査収集とネットワーク・ベースのSQLトラフィック・モニタリングをサポートしています。すべての監査イベントはOracle Audit Vault Serverに格納されます。これにより、アクティビティ・データを関連付け、レポートを作成することができます。オラクルは包括的なアプローチを推奨しており、データベース監査とネットワーク・ベースのSQLトラフィック・モニタリングをサポートしています。どちらの機能から始めることも、必要に応じて両方の機能を含むようにアーキテクチャを拡張することも可能です。

AVDFがサポートしているターゲットの種類とバージョンを教えてください。

AVDF はOracle Database、Microsoft SQL Server、MySQL、IBM Db2、PostgreSQL、SAP Sybase、MongoDB、およびLinux、Windows、Solaris、AIXのオペレーティング・システム・ログをサポートしています。AVDFはXML、CSV、JSON形式のファイルに書き込まれる監査証跡もサポートしています。カスタム・コレクターを使用して監査ログを収集し、監査証跡がデータベース表に書き込まれる他のすべてのターゲットの監査保管庫サーバーに送信することができます。詳細については、AVDF インストール・ガイドのPlatform Support Matrixをご参照ください。

AVDFがアプリケーションなど他のソースからの監査データを統合する方法を教えてください。

AVDFは、アプリケーション表またはファイル(XML、JSON、CSV)から監査データを収集できます。AVDFはデータを標準化されたフォーマットにマッピングし、AVDFリポジトリに保存します。収集されたデータは、レポート、アラート生成、分析に利用できます。フォーマットが全体にわたり標準化されているため、あらゆる種類のソースからの情報を1つのレポートに統合することが可能です。詳細については、開発者用ガイドをご参照ください。

監査とネットワーク・モニタリングの違いを教えてください。両方とも必要なのでしょうか。

監査は通常、SQLステートメントから直接的に、あるいはストアドプロシージャの呼び出しを通じて、特定のイベントの後に詳細情報を取得します。SQLトラフィックをモニタリングすることで、データベースに到達する前にSQLステートメントを分析し、対応することを支援し、疑わしいステートメントをブロックすることが可能になります。どちらの場合も、監査ログまたはイベントログを収集する条件を指定することができます。どちらも同じ出来事について、1つは後、もう1つは前という異なる見方を示しています。アラートはこの両者に対して発することができます。オラクルは包括的なアプローチを推奨しており、データベース監査とネットワーク・ベースのSQLトラフィック・モニタリングをサポートしています。お客様は、どちらの機能から始めることも、両方の機能を含むようにアーキテクチャを拡張することも可能です。

監査とDatabase Firewallポリシーのプロビジョニング方法を教えてください。

AVDFは、オラクルの監査ポリシーを表示し、ワンクリックでターゲット・データベースにプロビジョニングするためのインターフェイスを提供します。Database Firewallポリシーでは、データベース・ファイアウォール監視ポイントがターゲットに構成されている場合、デフォルト・ポリシーが自動的に適用されます。このデフォルトのポリシーは、データベース・ファイアウォールが監視するすべてのターゲットに対して構成されます。そして、すべてのログインとログアウト、すべての表とビューのセッションにまたがる一意のDDLとDCLステートメントを記録します。ユーザー定義のDatabase Firewallポリシーを構成して、SQLを許可、ログ、アラート、代替、ブロックすることもできます。さらに、SQL SELECTステートメントから返された行数を取得し、そのデータを使用してデータ漏洩の試みを監視して警告するように、Oracle Databaseにファイアウォール・ポリシーを構成することができます。詳細については、監査人用ガイドをご参照ください。

データベースのトラフィックを監視する様々な方法について教えてください。

Database Firewallは、監視とブロック、または監視のみの構成が可能です。監視とブロックを実施するには、ファイアウォールをプロキシモードで構成し、すべてのデータベース・トラフィックをDatabase Firewall 経由でルーティングする必要があります。ネットワーク・ベースのSQLトラフィック監視を実施するには、ネットワーク・スイッチのスパン・ポートからDatabase Firewallにトラフィックを送信させるか、データベース・マシンのホスト・モニターをセットアップしてSQLトラフィックをDatabase Firewallに転送することができます。詳細については、 管理者用ガイドをご参照ください。

監査データとネットワークのログを統合したレポートを入手することは可能でしょうか。

はい。 Audit Vaultサーバーは、監査データとネットワークSQLトラフィックを統合し、監査ログまたは取得されたSQLトラフィックからあらゆるデータベース・アクティビティの統合されたビューを提供します。アラートとレポートは、統合されたデータから生成されます。

OSのアクティビティとデータベースのアクティビティとを関連付けて全体像を把握することは可能でしょうか。

はい。AVDFは、SUまたはSUDO移行前の元のLinux OSユーザーに関連するデータベース・イベントの詳細を表示するレポートを提供します。

重要なユース・ケース

AVDFがデータベースのセキュリティ状態を評価することは可能でしょうか。

AVDF 20.9はOracle Database用のDatabase Security Assessment Tool (DBSAT)を統合することで、企業向けのフリート全体の集中型セキュリティ評価ソリューションを導入します。コンプライアンス・マッピングと推奨事項を含むフル機能の評価は、組織がすべてのOracle Databaseのセキュリティ状態を一元的かつ明確に把握できるように支援します。また、セキュリティ評価ドリフト・レポートを表示することで、評価のベースラインを定義し、そこからの乖離を判断することもできます。詳細についてはこちらをご参照ください。

AVDFで機密データや特権ユーザーを検出することは可能でしょうか。

AVDF 20.9以降では、Oracle Databasesの機密データと特権ユーザーを検出すことが可能になりました。AVDF は、ユーザー権限とDBSATの機能を拡張し、Oracle Databaseの特権ユーザーと機密オブジェクトを識別します。これは、ユーザー権限と機密オブジェクト検出ジョブを実行およびスケジューリングすることで可能になります。特権ユーザーと機密オブジェクトを見出したら、それぞれ特権ユーザーと機密オブジェクト・セットに追加することができます。これらのセットはグローバルで、複数のデータベース・ファイアウォール・ポリシーで使用できます。グローバル・セットは、IP アドレス、OS ユーザー、クライアント・プログラム、データベース・ユーザーなどのセッション・コンテキスト情報も含めることができ、データベース・ファイアウォール・ポリシー管理がさらに簡素化されます。

AVDFがコンプライアンス報告要件の対応に役立つ仕組みを教えてください。

AVDFはGDPR、PCI、GLBA、HIPAA、IRS 1075、SOX、UK DPAに対応したコンプライアンス・レポートをデフォルトで用意しています。例えば、GDPRコンプライアンスでは、誰がお客様の機密データにアクセスできるか、誰がお客様の機密データにアクセスしているかに関するレポートを提供します。お客様は、特定の目的や業界および地域特有のコンプライアンス要件に応じてレポートをカスタマイズすることができます。サードパーティのレポート・ツールも、分析やレポートのためにAudit Vaultスキーマに接続することができます。

AVDFによる特権ユーザーの活動の監査および追跡は可能でしょうか。

はい。管理活動に対する監査ポリシーを有効にし、ユーザー名を指定することができます。AVDFには、特権ユーザーによるすべての監査アクティビティを表示する特権ユーザー・レポートを含む、デフォルトのレポートがあります。

AVDFが不正使用や不正アクセスの調査で役立つ仕組みを教えてください。

「すべてのアクティビティ」レポートを使用して、アクセスされたオブジェクトを分析します。AVDFはユーザー、オブジェクト、日付などでフィルタリングし、得られたデータを分析することで、権限のないユーザーがオブジェクトにアクセスしたかどうかを確認することができます。さらに、Oracle Databaseでは、SQL SELECT文から返された行数を使用して、データ流出の可能性を特定できます。

AVDFを、ユーザ、ロール、権限、エンタイトルメントの変更を追跡する上で役立てることは可能でしょうか。

はい。AVDFは、Oracle Databaseのエンタイトルメントを定期的にチェックし、前回のレポート以降に何が変更されたかの差分レポートを提供するように構成することができます。AVDFはユーザー、ロール、権限の変更を識別します。

事前および事後の値のレポートが、セキュリティとコンプライアンスに役立つ仕組みを教えてください。

HIPAAなどの企業のセキュリティ・ポリシーや規制では、機密データへの変更を監査し、変更前と変更後の記録値を取得することが求められています。AVDFは、Oracle GoldenGateの統合抽出プロセス(制限付きライセンスを含む)を使用して抽出前後の値を取得し、AVDFレポートで利用できるようにします。この機能は、オラクルとMS SQL Serverデータベースで利用可能です。詳細についてはAVDFの 管理者用ガイド監査人用ガイドをご参照ください。

AVDFが組織内のデータベース・アクティビティ・モニタリング(DAM)やSIMおよびSIEMイニシアチブに役立つ仕組みを教えてください。

AVDFは、ネイティブの監査データ収集とネットワーク・ベースのSQLトラフィック監視を提供するDAMソリューションです。AVDFはアラート、レポート、監査データのアーカイブをサポートします。AVDFはSIEMシステムと統合するためにsyslogにイベントを送信することができます。AVDFのリポジトリ・スキーマ は文書化されており、SIEMやログ・アグリゲータからクエリができるため、ほとんどのサードパーティのSIEMおよびログ・アナライザー製品と簡単に統合することができます。

セキュリティ

Oracle Database Firewallはターゲットへの暗号化されたトラフィックを監視するのでしょうか。

オラクルのネイティブなネットワーク暗号化またはTLSネットワーク暗号化が使用されている場合、Oracle Database FirewallはOracle Databaseとの間のトラフィックを監視します。TLSネットワーク暗号化を使用するオラクル以外のデータベースでは、Database FirewallはこのSQLトラフィックを解釈できません。SSLまたはTLS終了ソリューションを使用して、SQLトラフィックをDatabase Firewallに到達する直前に終了することで、SQLトラフィックを解釈し、ポリシーを適用できます。

AVDFに保存されているデータをセキュアに保つ方法を教えてください。

AVDFは収集したデータを透過的なデータ暗号化を使って暗号化し、ターゲットからのネットワーク・トラフィックを暗号化します。AVDFは管理者と監査者の職務を分離し、Database Vaultを使用してデータへのアクセスを制限します。詳細についてはAVDF管理者用ガイドの一般的なセキュリティ・ガイドラインをご参照ください。

AVDFとMicrosoft Active Directoryを連動させて認証作業を行うことは可能でしょうか。

はい。AVDF はユーザー認証のためにMicrosoft Active Directoryの統合をサポートしています。また、AVDFの管理者および監査者をMicrosoft Active Directoryユーザーとして作成することもできます。詳細については、AVDF管理者用ガイドをご参照ください。

エンタープライズ機能

AVDFは、多数のターゲットまたは大量の監査/ログ・データでどのようにスケーリングしますか。

サイズ設定ガイダンスに従って構成した場合、Audit Vaultサーバーは、最大1,000監査証跡のAVDFイベント・データ収集を、そして各エージェントは、最大20監査証跡をサポートすることができます。サイズ設定ガイダンスについては、インストール・ガイドのAudit Vault and Database Firewall Best Practices and Sizing Calculator (MOS Note: 2092683.1)をご参照ください。Audit Vaultサーバー、エージェント、Database Firewallに必要なCPU、メモリ、ディスクのサイズは、環境に応じて設定することができます。サイズ設定ガイダンスを作成するには、ターゲットの数、1日あたりに生成される平均監査データ、保持期間、ファイアウォールのターゲット数、およびその他の情報を提供する必要があります。

AVDFはOracle Exadataやその他のクラスタ化データベースからの高負荷に対応可能でしょうか。

はい。AVDFはOracle Exadataやその他のクラスタ化データベースからの監査データ収集をサポートできるように拡張することができます。エージェントの数は、ターゲットの合計と予想される監査取り込み率に基づいて構成できます。AVDF 20.5(およびそれ以降)では、Audit Vaultエージェントは、監査収集率を向上させるために可能な限り最適な構成を自動的に選択します。この動的なマルチスレッド・コレクター機能は、Audit VaultサーバーとAudit Vaultエージェントのリソースを有効に活用します。詳細については、管理者用ガイドのターゲットの登録をご参照ください。

AVDFはオンプレミスに加えてクラウド・ターゲットもサポートしていますか。

はい。AVDFは、Oracle Autonomous Databaseサービスを含む、オンプレミスおよびクラウドに導入されたターゲットを監視することができます。Audit Vaultサーバーは、クラウドまたはオンプレミスのデータベースの監査証跡から、従来の監査証跡、きめ細かい監査、Database Vault監査、統合監査のデータを収集します。詳細については、管理者用ガイドのOracle Audit Vault and Database Firewall Hybrid Cloud Deploymentをご参照ください。

AVDFはフォルト・トレランスの可用性をサポートしているのでしょうか。

AAVDFは、Audit Vaultサーバー、Database Firewall、Audit Vaultエージェントを含む、全てのAVDFコンポーネントの高可用性構成をサポートしています。詳細については、管理者用ガイドをご参照ください。

AVDFは監査およびログ・データをアーカイブし、規制上の保存要件を満たすことができるのでしょうか。

Audit Vault Serverは、内部または外部コンプライアンス要件に適合できるように、ターゲットごとにデータ保持ポリシーをサポートしています。監査データは、低コストの外部リポジトリに自動的にアーカイブし、ターゲット固有のポリシーに従って取り出すことができます。詳細については、管理者用ガイドをご参照ください。

分析時間を最短にするために、AVDFが異常なアクティビティに対するアラートを発生することは可能でしょうか。

AVDFは強力なアラート・ビルダーを備えており、収集した監査データとファイアウォール・データに様々な条件に基づいくアラートを構成します。AVDFはアラートをダッシュボードに表示、電子メールとして送信、またはsyslogに送信することができます。

AVDFと、Oracle Key Vault、Oracle Database Vault、Oracle Database Security Assessment Toolといったオラクルのセキュリティ製品との統合方法を教えてください(DBSAT)。

AVDFはAVDFレポートのDatabase Vault監査証跡から監査データを読み取り、表示することができます。Oracle Key VaultはAVDFのターゲットとして追加可能です。AVDFはOracle Key Vaultから監査データを収集し、AVDFですべてのアクティビティ・レポートを作成します。AVDFリリース・アップデート9以降、DBSATはAVDFセキュリティ評価および機密データ検出と統合され、Oracle Databaseのセキュリティ状態を評価し、Oracle Databaseの機密データを検出します。

Oracle Enterprise ManagerによるAVDFの管理は可能でしょうか。

Enterprise Manager AVDFプラグインは、管理者がAVDFコンポーネントを管理および監視するためのインターフェイスをOracle Enterprise Manager Cloud Control内に提供します。詳細については、System Monitoring Plug-inユーザーズ・ガイドfor Audit Vault and Database Firewallをご参照ください。AVDFでサポートされるOracle Enterprise Managerのバージョンを確認するには、Oracle Enterprise Managerとの互換性をご参照ください。

デプロイメント

AVDFを実行できるハードウェアやVMのタイプと、それらのサイズの設定方法を教えてください。

Oracle Linux Release 8でサポートされているIntel x86 64ビットのハードウェア・プラットフォームであれば、AVDFコンポーネントの導入に使用可能です。認定ハードウェアの完全なリストについては、ハードウェア認定リストをご参照ください。各Audit VaultサーバーとDatabase Firewallは、専用の64ビットx86サーバーにインストールする必要があります。インストール・ガイドの2.2.1製品互換性マトリックスをご参照ください。

AVDFはOracle Cloud MarketplaceからOracle Cloud Infrastructure(OCI)にも導入が可能です。マーケットプレイス・イメージを用いれば、完全に機能するAVDFシステムを数分で導入することができます。Oracle Cloudは、増大する要件に合わせてコンピュート・リソースを拡張できる柔軟性を備えています。スケールアップが容易なため、小さなVM形状から始めて、ワークロードの増加に応じてスケールアップすることも可能です。

サイズ設定ガイダンスについては、インストール・ガイドのAudit Vault and Database Firewall Best Practices and Sizing Calculator (MOS Note: 2092683.1)をご参照ください。Audit Vaultサーバー、エージェント、Database Firewallに必要なCPU、メモリ、ディスクのサイズは、環境に応じて設定することができます。サイズ設定ガイダンスを作成するには、ターゲットの数、1日あたりに生成される平均監査データ、保持期間、ファイアウォールのターゲット数、およびその他の情報を提供する必要があります。

AVDFはOracle VM ServerやVMwareなどの仮想化環境でも実行できますが、物理ハードウェアにインストールすることをお薦めします。

AVDFのインストールと導入にかかる時間を教えてください。コンサルティングは必要でしょうか。

一般的な概念実証は、ターゲットとポリシーの数にもよりますが、2日から2週間程度です。導入には3つの重要なステップがあります。

1. 選択したサーバー・マシンへのAudit Vaultサーバーおよび任意によるDatabase Firewallのインストール: ISOイメージを使用した全プロセスは非常に簡易で、数時間で迅速に完了することができます。OCIテナントでOracle Cloud MarketplaceからAVDFを導入する場合、システムはわずか数分でプロビジョニングできます。

2. ターゲットまたはDatabase Firewall上での適切な監査ポリシーまたは監視ポリシーを有効化もしくは作成します。AVDFは、数クリックでデフォルト・ポリシーの作成を非常に迅速に支援することができます。しかし、ユース・ケースによっては、さらに時間がかかることもあります。

3. レポートとアラートの分析AVDFには数十のレポートが用意されており、それらは、コンプライアンスやセキュリティ要件に対応するためにさらにカスタマイズすることができます。

概念実証が完了すると、AVDFコンソールにバックアップ、アーカイブ、高可用性、その他の構成オプションの設定を行うため、通常さらに時間がかかります。また、カスタム・コレクター・フレームワークを使用して、アプリケーション用にコレクターを追加することもできます。

多くのお客様がコンサルティング・サービスを利用せずにAVDFを導入しています。インストール前に、インストール・ガイドのインストール・チェックリストを参照し、サイズ設定用スプレッドシート(MOS Note: 2092683.1)を使用して適切なハードウェア構成を決定します。

AVDFが配備とアップグレードに要する時間を最小化する方法を教えてください。

AVDFはOracle Linuxオペレーティング・システム、Oracle Database、AVDFソフトウェアを含むフルスタック・ソフトウェア・アプライアンスで、一度に簡単にすべてのコンポーネントを導入およびアップグレードすることができます。Audit Vaultサーバーにパッチが適用されたり、アップグレードされると、エージェントは自動的にダウンロードおよび更新されるため、導入やアップグレードにかかる時間を最小限に抑えることができます。

また、バックアップと復元の機能を使用して、Oracle Audit VaultとDatabase Firewallを新しいリリースに更新し、監視とデータ収集のダウンタイムを最小限に抑えることもできます。このプロセスを使用して、Oracle AVDF 20.3以降からリリース20.9以降に更新できます。続きを読む

AVDFに追加ソフトウェアやサードパーティのソフトウェアがインストールされた場合のオラクルのサポート・ポリシーについて教えてください。

Oracle Audit Vault and Database Firewallはアプライアンスとして出荷されるため、サードパーティのソフトウェアをAudit Vaultサーバーにインストールする必要はありません。詳細についてはAVDFのコンセプト・ガイドをご参照ください。

アップグレード

現在AVDF12.2を使用しています。AVDF 20にアップグレードすべき理由を教えてください。

AVDF 20へのアップグレードを検討すべき理由は次の通りです。第1に、AVDF 12.2は2021年3月にプレミア・サポートが終了しました。つまり、オラクルはもうこの製品に対する定期的なセキュリティ・パッチの作成をしないということです。しかしそれ以上に重要なのは、AVDFの最新リリースが次に挙げる新たな特徴と機能を提供することです。

  • 異なるワークフローに最適化された最先端の最新化されたUIにより、管理者と作成者の生産性が向上します。
  • 従来の監査から統合監査への移行を検討しているお客様にとって重要となる、統合監査のサポートを提供します。
  • これまでのリリースと比較して、Database Firewall設定の構成が簡素化されました。
  • PostgreSQL、MongoDB(シンプルな属性マッピング表を使用)、Oracle Cloud Autonomous Databaseなどの新しいターゲットをご用意しました。
  • カスタム・コレクターのサポートを拡大し、JSON、REST、CSVを対象に追加しました。
  • オラクルよびMicrosoft SQL ServerデータベースをサポートするをサポートするOracle GoldenGate統合抽出プロセス(制限付きライセンスを含む)を使用して、変更前および変更後のレコードの値を収集します。
  • Microsoft Active Directoryとの統合により、AVDFユーザーの一元管理が容易になりました。
  • Audit Vaultサーバーからの監査およびネットワーク・イベント・データを自動的にアーカイブします。
  • 組み込みデータベースとオペレーティング・システム向けのFIPS 140-2互換性を備えています。
  • AVDFをオンプレミスまたはOracle Cloudに導入する機能を搭載しています。AVDFは、Oracle Databaseターゲットのプロビジョニングに関するSecurity Technical Implementation Guidelines (STIG)の統合的な監査ポリシーに従っています。
  • データベースのセキュリティ状態管理により、すべてのOracle Databaseのセキュリティ構成評価をフリート全体で簡素化し、一元的に把握します。

AVDF 20とそれ以降のリリース・アップデートで導入された重要な新機能と機能強化のリストは、こちらをご参照ください。これらの機能を実際にご覧いただくには、こちらからLiveLabs ガイド付きワークショップにお申し込みください。

アップグレードが可能なAVDFのバージョンを教えてください。

AVDF 12.2.0.9.0以上からAVDF 20へのアップグレードが可能です。12.2 Bundle Patch 9 よりも低いバージョンをお使いの場合は、先にそちらのバージョンのアップグレードが必要となります。詳細については AVDF インストール・ガイドをご参照ください。

アップグレードした場合、現在登録されているターゲット、カスタマイズされたレポート、アーカイブされたデータは移行されるでしょうか。

はい。アップグレード後、現在登録されているターゲット、カスタマイズされたレポート、アーカイブ・データは自動的にAVDF 20に移行されます。

その他の情報

AVDFの使用を開始する方法と、利用可能な役立つリソースを教えてください。

OracオラクルのWebサイトで to l品の詳細をご覧いただけます。技術概要、データシート、その他の資料をご覧いただけることは勿論、お近くのオラクル担当者にも気軽にお問い合わせください。

AVDFソフトウェアと製品マニュアルのダウンロード方法を教えてください。

AVDFはOracle Software Delivery Cloudからダウンロードすることができます。Oracle Audit Vault and Database Firewall製品パックを検索します。AVDFはOracle Cloudにも導入可能です。Oracle Cloud Marketplaceにアクセスし、Oracle Audit VaultおよびDatabase Firewallを検索します。

外部のディスカッション・フォーラムはありますか。

はい。Oracle Audit Vault and Database Firewall forumが提供するプラットフォームで、オラクルのコミュニティ専門家から製品に関する質問への回答を得ることができます。