統合監査の機能

技術レポートを読む (PDF)

主な特長

常時監査

特定のセキュリティ依存データベース・アクティビティは常にOracle Databaseで監査対象となり、無効にできません。これらを活用することで、初日からデータベース監査を開始できます。主な例は次のとおりです(これらに限定されません)。

  • SYSDBA、SYSOPER、SYSASM、SYSBACKUP、SYSDG、SYSKMなど、データベースのオープン前に管理権限ユーザーが実行する最上位文。
  • 監査レコードの変更または削除の試行。
  • Oracle Database Vaultの構成変更。
  • 監査ポリシーの変更やDBMS_AUDIT_MGMT パッケージの実行など監査関連アクティビティ。

お使いのデータベース・バージョンに該当する必須の監査対象イベントの全リストについては、『Oracle Databaseセキュリティ・ガイド』の強制的に監査されるアクティビティのセクションを参照してください。

事前定義済み監査ポリシー

Oracle Databaseには、一般的なセキュリティに関連する監査設定を網羅する、事前に設計され、すぐに使えるベスト・プラクティスの統合監査ポリシーが複数用意されており、例として次のものがあります。

  • 失敗したログオンおよびログオフの監査。
  • Oracle Databaseパラメータ設定変更の監査。
  • ユーザー・アカウントや権限変更の監査。
  • セキュリティ技術導入ガイド(STIG)準拠の監査要件。

デフォルトで有効なものもいくつか表示される場合があります。Oracle Autonomous Databaseには、デフォルトで有効になっているいくつかの追加監査も用意されています。

詳細は、『Oracle Databaseセキュリティ・ガイド』のデフォルトの統合監査ポリシーによるアクティビティの監査のセクションを参照してください。Autonomous Databaseを使用している場合は、『Oracle Autonomous Database Serverlessの使用』ガイドのAutonomous Databaseのデフォルト監査ポリシーのセクションを参照してください。Data SafeまたはAVDFを使用してデータベース・ターゲットを監視している場合は、ワン・クリックでプロビジョニングできる追加のデフォルトの統合監査ポリシーが表示されます。詳細は、『AVDF監査者ガイド』の統合監査ポリシーのプロビジョニングのセクションを参照してください。詳細は、『Oracle Data Safeガイドの使用』のOracle Data Safe監査ポリシーについてのセクションを参照してください。

条件付き監査

条件付き監査では、より厳密・選択性が高く、コンテキスト依存のポリシーを作成でき、特定アクション監査の効率化や不要な監査レコードの削減に役立ちます。条件付き監査によりストレージ消費が抑えられ、高付加価値な監査レコードが得られるため、監査人・フォレンジック調査・規制コンプライアンスの各要件に有効です。条件はアプリケーションコンテキスト、セッションコンテキスト、組み込み関数などを基準にできます。

名前付き監査ポリシーは一度定義するだけで、ユーザーやロールなど複数の軸へ適用でき、柔軟でシンプルな運用が可能です。詳細は、『Oracle Databaseセキュリティ・ガイド』の構成可能な条件を使用した統合監査のセクションを参照してください。

統合監査証跡の拡張

統合監査証跡は、アプリケーション・コンテキスト値の監査を設定することで、アプリケーションの属性情報を含むように拡張できます。アプリケーション・コンテキスト・ネームスペースに必要な属性を設定することができ、この情報は統合監査証跡のAPPLICATION_CONTEXTS列に取得されます。詳細は、『Oracle Databaseセキュリティ・ガイド』のカスタム属性を取得するための統合監査の拡張のセクションを参照してください。

監査の整合性

統合監査は、改ざんに強い監査証跡により、極めて高い監査証跡の完全性を提供します。統合監査証跡はAUDSYSスキーマ内に保存されており、このスキーマには誰もデータベースからログインできません。AUD$UNIFIEDは、INSERT操作のみを許可する特殊な表です。AUD$UNIFIED表の内容を直接切り捨て、削除、更新しようとすると、処理は失敗し、監査レコードが生成されます。監査データの管理は、組み込みのDBMS_AUDIT_MGMTパッケージを使用して行います。また、監査表領域は透過的データ暗号化(TDE)で暗号化できます。統合監査表は、Oracle Database Vaultレルムで保護することもできます。

UNIFIED_AUDIT_SYSTEMLOG パラメータを設定すると、統合監査レコードの重要な一部のフィールドがsyslogに記録される一方で、完全な監査レコードはUNIFIED_AUDIT_TRAILに書き込まれます。Syslogレコードは、Oracle Databaseまたはユーザーによる変更が不可能なため、統合監査証跡の監査データをsyslogからの監査フィールドと照合して検証することが可能です。

統合

統合監査では、複数のレガシー監査証跡が1つの統合監査証跡に統合されます。監査レコードは、次のようなさまざまな監査ソースから生成されます。

  • 監査レコードなどの監査システム関連ソース(SYS監査レコードを含む)
  • 必須監査レコード
  • Oracle Database Vault、Oracle Label Security、Oracle Real Application Securityなどのセキュリティ制御関連ソース
  • Oracle Recovery Manager、Oracle Data Pump、Oracle SQL*Loaderなどのデータベース操作関連のソース

統合監査では、すべての監査ソースからの監査レコードは統合監査証跡(AUDSYS.AUD$UNIFIED表またはOSファイル)に書き込まれ、UNIFIED_AUDIT_TRAILビューを介して公開されます。また、統合監査証跡では、すべての監査ソースにわたる標準化された列名およびデータ型を使用して、監査レコード形式も正規化されます。統合監査証跡、正規化監査証跡、統合監査証跡により、さまざまな監査ソースによって生成された監査レコードの収集、分析、管理が簡素化されます。一貫したフォーマットにより、監査データのレポートと分析が簡素化されます。