統合監査

特権ユーザーのアクティビティの監視

特権ユーザー・アカウントは、重要なシステムやデータへのアクセスを試みるハッカーの格好の標的となることがよくあります。継続的な特権ユーザのアクティビティ監視を行うことで、セキュリティ・チームは異常な行動を容易に特定し、機密データの漏えいを迅速に検出することができます。特権ユーザのアクティビティを監視するには、まずシステム内の特権ユーザを特定します。

特権ユーザの特定

特権データベース・ユーザー・アカウントは、次のようなさまざまなソースから特定できます。

• Oracle Data Safe のユーザー評価レポート（左図）
• Oracle Database Security Assessment Tool（DBSAT）レポート
• Oracle Audit Vault and Database Firewall（AVDF）

特権ユーザーの監査

SYSDBAやSYSKMなどの管理ユーザーによるトップレベルのステートメントは、データベースがクローズ状態またはマウント状態のときに強制的に監査されます。データベースが開いているときに管理ユーザーのアクティビティを監査するには、以下の監査を設定します。

• SYSを含む特権管理者のすべてのユーザーによるアクティビティを監視します。
• データベースへの直接アクセスをモニターします。
• 広範なシステム・アクセスまたは機密データへのアクセスを持つ、個々の高リスク・データベース・アカウントのすべてのユーザーが主導で行うアクティビティを監視します。

機密データへのアクセスを監査

機密データアクセス監査は、機密データへのアクセスや変更を可視化する強力な監視メカニズムです。ビジネス上の理由なくデータにアクセスしたり、データを変更したりする者に対する主たる抑止力として機能します。機密データの状況を把握することは、そのアクセスを追跡するための焦点を絞った監査ポリシーの構築を支援します。

機密データの状況を特定

Data Safe、DBSAT、AVDF、Oracle Enterprise Managerといった機密データ・ディスカバリ・ツールのいずれかを活用して、左に示したように、機密性の高いテーブルと列を特定します。

機密データ・アクセスの監査

機密データの状況を把握した後は、誰が機密データにアクセスできるかを決定し、そのアクセスを監査する必要があります。

• 信頼できるパスの外部からのアクセスは、たとえアプリケーション・サービス・アカウントのような正当なビジネス上の理由がある許可されたデータベース・ユーザーによるものであっても、リスクが高くなるため、すべて監視します。
• データとの直接やりとりを許可されたデータベース・ユーザーによるすべてのアクセスをモニターします。
• 機密データへのアクセスは最もリスクが高いため、他者によるすべてのアクセス試行を監査します。
• 個人情報（PII）データを保存する機密カラムへのアクセスを監視します。