常時監査
セキュリティが重視される特定のデータベース操作は、Oracle Databaseに常に監査され、無効にすることはできません。これらを活用して、最初からデータベース監査を開始します。これらの行為は以下を含みますが、これらに限定されません。
- SYSDBA、SYSOPER、SYSASM、SYSBACKUP、SYSDG、SYSKMなど、データベースがオープンになるまで管理者権限を持つユーザーによって実行されるトップレベルのステートメント。
- 監査レコードの変更または削除を試行します。
- Oracle Database Vaultの構成の変更。
- 監査ポリシーの変更やDBMS_AUDIT_MGMTパッケージの実行など、監査関連のアクティビティ。
データベースのバージョンに対応する監査可能な必須イベントの完全なリストについては、『Oracle Database Security Guide』の「監査が必須となるアクティビティ」セクションをご参照ください。
デフォルトの監査ポリシー
Oracle Databaseは、以下のようなセキュリティに関連する一般的な監査設定をカバーする、設計済みですぐに使用できるベストプラクティスの統合監査ポリシーをいくつか提供しています。
- 失敗したログオンおよびログオフの監査。
- Oracle Databaseパラメータ設定に対する変更の監査。
- ユーザー・アカウントおよび権限に対する変更の監査。
- セキュリティ技術導入ガイド(STIG)コンプライアンスに必要な監査要件。
デフォルトで有効になっているものがいくつかあることがあります。Oracle Autonomous Databaseは、デフォルトで有効になっている追加監査もいくつか提供しています。
詳細については、『Oracle Database Security』ガイドにある Auditing Activities with the Predefined Unified Audit Policies セクションをご参照ください。Autonomous Databaseを使用する場合は、『Using Oracle Autonomous Database Serverless』ガイドのDefault Audit Policies on Autonomous Databaseセクションをご参照ください。Data SafeまたはAVDFを使用してデータベース・ターゲットをモニターしている場合 は、ワンクリックでプロビジョニングできるデフォルトの統合監査ポリシーが表示されます。詳細については、『AVDF監査人ガイド』のProvisioning Unified Audit Policiesセクションをご参照ください。詳細については、『Using Oracle Data Safe』のAbout Oracle Data Safe Audit Policiesのセクションをご参照ください。
条件付き監査
条件付き監査を使用すると、正確で、高度に選択的で、文脈を意識したポリシーを作成できるため、特定のアクションを簡単に監査し、無関係な監査レコードの量を減らすことができます。条件付き監査は、ストレージの必要性を低減し、監査人、フォレンジック調査、規制コンプライアンス要件に役立つ価値の高い監査レコードを提供します。条件はアプリケーションコンテキスト、セッションの状況、または組み込み機能に基づいて設定することができます。
指定された監査ポリシーは一度作成すれば、ユーザーやロールなど複数の次元で適用できるため、さらなる柔軟性とシンプルさを提供します。詳細については、『Oracle Database Security』ガイドのUnified Auditing with Configurable Conditionsセクションをご参照ください。
統合監査証跡の拡張
アプリケーション・コンテキスト値の監査を構成することで、統合監査証跡はアプリケーション属性を含むように拡張することができます。アプリケーション・コンテキストの名前スペースに必要な属性を入力することができ、これは統合監査証跡のAPPLICATION_CONTEXTS列で取得されます。詳細は、『Oracle Database Security』ガイドのExtending Unified Auditing to Capture Custom Attributesセクションをご参照ください。
監査の整合性
統合監査は、改ざんに対して耐性のある監査証跡により、高度な整合性を提供します。統合監査証跡はAUDSYSスキーマ内に保存されており、このスキーマには誰もデータベースからログインできません。AUD$UNIFIEDは、INSERT操作のみを許可する特殊な表です。AUD$統合表の内容を直接切り捨て、削除、または更新しようとすると、その試みは失敗し、監査レコードが作成されます。監査データの管理は、組み込みのDBMS_AUDIT_MGMTパッケージを使用して行います。また、監査表領域を透過的データ暗号化(TDE)によって暗号化することもできます。統合監査表は、Oracle Database Vault 領域で保護することもできます。
UNIFIED_AUDIT_SYSTEMLOGパラメータを設定すると、統合監査レコードの特定のキー・フィールドはsyslogに書き込まれ、完全な監査レコードはUNIFIED_AUDIT_TRAILに書き込まれます。Syslogレコードはオラクル・データベースやそのユーザーによる変更がす不可能なため、統合監査証跡の監査データはSyslogからの監査フィールドで検証することができます。
統合
統合監査は、複数のレガシー監査証跡を単一の統合監査証跡にまとめます。監査レコードは、以下のようなさまざまな監査ソースから生成されます。
- SYS監査レコードを含む監査レコードなどのシステム関連ソースの監査
- 必須の監査レコード
- Oracle Database Vault、Oracle Label Security、Oracle Real Application Securityなどのセキュリティ制御関連ソース
- Oracle Recovery Manager、Oracle Data Pump、Oracle SQL*Loaderなど、データベース操作に関連するソース
統合監査では、すべての監査ソースからの監査レコードが、AUDSYS.AUD$UNIFIED表またはOSファイルである統合監査証跡に書き込まれ、UNIFIED_AUDIT_TRAILビューを通じて公開されます。統合監査証跡はまた、あらゆる監査ソースで標準化された列名とデータ型を使用して、監査レコードの形式を標準化します。統合、正規化、統合された監査証跡は、異なる監査ソースから生成された監査レコードの収集、分析、管理を簡素化します。一貫可したフォーマットを使用することで、監査データのレポートや分析が簡素化されます。