ORACLE AUDIT VAULT Trust-but-Verify Oracle ビジネス ホワイト ペーパー 2007 年 4 月
ORACLE AUDIT VAULT はじめに... 3 コンプライアンスとプライバシの課題... 3 インサイダーの脅威の課題... 4 Oracle Audit Vault... 4 コンプライアンス レポートの簡素化... 5 コンプライアンス レポートとセキュリティ レポート... 5 Oracle Audit Vault アラートを使用した事前検出... 6 Oracle Audit Vault アラート... 7 Oracle Audit Vault ポリシーを使用した IT コストの削減... 8 Oracle Audit Vault のセキュリティ... 8 Oracle Audit Vault のスケーラビリティ... 9 結論... 9 ORACLE AUDIT VAULT Trust-but-Verify 2
はじめに 監査は コンプライアンス プライバシ およびセキュリティの分野でますます重要な役割を担っています SOX 法などのコンプライアンス規制の遵守やインサイダーの脅威に関連するリスクの軽減は 今日の企業が直面する最も重要なセキュリティ上の課題です 現在 セキュリティ リソースとして監査データを使用する場合 ほとんどが手動の処理となります このため IT セキュリティと監査の担当者は 監査データを収集し カスタム スクリプトや他の方法を使用して 分散した多くの監査データを絞り込む必要があります Oracle Audit Vault は 監査の収集と分析のプロセスを自動化し 今日のセキュリティとコンプライアンスの課題に対処するため 監査データを主要なセキュリティ リソースに変換します コンプライアンスとプライバシの課題 世界中の政府は 財務管理 医療 およびプライバシに関連する幅広い規制を実 施しています 図 1: コンプライアンスとプライバシの課題 アメリカ サーベンス オクスリー法 (SOX 法 ) 医療保険の相互運用性と説明責任に関する法律 (HIPAA) カリフォルニア州 州法 1386 およびその他の州のプライバシ法 クレジットカード業界のデータ セキュリティ法 米食品医薬品局米連邦規則第 21 条第 11 章 (FDA CFR 21 Part 11) 連邦情報セキュリティ マネジメント法 (FISMA) 欧州医薬品審査庁 (EMEA) EU 保護指令 2006 年英国会社法 APAC 金融商品取引法 (J-SOX 法 ) CLERP 9: 監査制度改革と企業情報の開示に関する法律 ( オーストラリア ) グローバル 国際会計基準 Basel II( グローバル バンキング ) コーポレート ガバナンスの OECD ガイドライン 各規制には 独自の特性と要件があります サーベンス オクスリー法 (SOX 法 ) を適用する場合 経営者は財務表の正確性を証明する必要があります SOX 規制には 財務表をサポートする強力な内部統制が必要です 医療保険の相互運用性と説明責任に関する法律 (HIPAA) では 医療の機密情報の保護が必要です クレジットカード業界 (PCI) のデータ セキュリティ法を適用する場合 企業は カード所持者のデータへのすべてのアクセスを追跡および監視する必要があります コンプライアンスとプライバシの規制のサポートに重要な点は 適切なセキュリティ ポリシーとアクセス制御 暗号化 レポート および監視の手順です アクセス制御ポリシーでは 特に DBA などの高度な権限を持つユーザーに対するアプリケーション データの必要なポリシーの施行が重要です 暗号化ポリシーでは 基本的なストレージ メディアの社会保障番号やクレジットカードなどのプライバシ関連データのデータ保護が重要です ディスク ドライブやバックアッ ORACLE AUDIT VAULT Trust-but-Verify 3
プ テープの紛失または盗難による多くの事例が公表されています レポートと監視のプロセスによって すべてのユーザー ( 特に特権ユーザー ) のアクティビティを監査して trust-but-verify( 信頼を前提とした検証 ) 原則の施行をサポートします また このような監査データを使用して 特定のコンプライアンス規制に違反する可能性のある問題を IT セキュリティ担当者に通知できます ただし 現在 監査データの使用は 監査データが複数のシステムに分散されるため 非効率的で時間と費用のかかるプロセスです 監査データは IT セキュリティと監査の担当者によって 統合 保護され 適切にアクセスされる必要があります インサイダーの脅威の課題情報盗難やインサイダーの脅威の巧妙化によって 企業は 機密情報の保護だけではなく 機密情報へのアクセス ( 特権ユーザーやパワー ユーザーによるアクセスを含む ) の監視も必要としています CSI/FBI 2005 Computer Crime and Security によると 70% 以上の情報システム データの損失および攻撃は インサイダー ( つまり システムとデータへの一定レベルのアクセスを認可された内部関係者 ) により実行されています インサイダーによるセキュリティ違反は 企業の外部からの攻撃よりも多額の損失を招きます 多くの事例では 監査データを調査することにより 影響が最小限に抑えられることが示されています ただし 監査データの使用は 通常監査データが分散しているため 非常に困難な作業となります このため 分析 レポートの作成 およびアラートの通知が難しくなります 情報の保護は 企業にとって最も重要な問題となっています さまざまなデータ侵害を踏まえ 多くの企業は trust-but-verify の原則を適用しています Trust-by-verify は 検証およびコンプライアンスの順守の為に ポリシーを使用してユーザーの行動を監視する一方で ユーザーが割り当てられた作業や仕事を行う際は信頼するといった意味を持ちます 監査は 全体の多層防御セキュリティ アーキテクチャの重要な要素です Oracle Audit Vault 企業では 企業のデータ アクセスの全体像を把握するため 監査データの統合 管理 監視 およびレポートを必要としています IT セキュリティと監査の担当者は 異なるシステムの間でタイムリーに監査データを分析する機能を必要とします Oracle Audit Vault は すべてのシステムの監査データをセキュアでスケーラブルな高可用性のリポジトリに統合することによって この要件を満たします Oracle Audit Vault は Oracle データベースの監査証跡表のデータベース監査データ オペレーティング システム ファイルのデータベース監査証跡 およびデータベース トランザクション ログを収集して Oracle9i Database Release 2 Oracle Database 10g Release 1 および Oracle Database 10g Release 2 のトランザクションの前後の値の変更を取得します 今後のリリースでは オラクル以外のデータベース ソースの監査データを収集して 他のソースのカスタム監査コレクタを構築する機能が含まれる予定です ORACLE AUDIT VAULT Trust-but-Verify 4
図 2:Oracle Audit Vault の概要 Oracle Audit Vault を使用すると 企業は 複数のソースから大きな監査データを統合できます この結果 監査データを分析する 12 個以上の組込みレポートを使用して 監査データの全体像を取得できます また 収集した監査データは 疑わしいアクティビティを検出するために分析されます アラートは 事前に指定した特定のイベントが発生したときに生成されます また Oracle Audit Vault のグラフィカル ユーザー インタフェースによって IT セキュリティと監査の担当者は データベースの監査ポリシーを作成およびプロビジョニングできます Oracle Audit Vault の中心は オラクルの業界最高のデータ ウェアハウス テクノロジと Oracle Database Vault や Oracle Advanced Security などのオラクルの業界最高のデータベース セキュリティ製品で保護された セキュアなデータ ウェアハウスです Oracle Audit Vault には 管理性およびパフォーマンスを向上させる Oracle Partitioning が含まれます Oracle Audit Vault は 監査データの収集と正確さを保証し 強制アクセス制御機能により時間と労力を軽減し 企業の規制要件への準拠を手助けします コンプライアンス レポートの簡素化 Oracle Audit Vault は 企業全体の監査情報とユーザー アクティビティの効率的なレポートのインタフェースを提供します これによって コンプライアンス レポートが簡素化および効率化されます Oracle Audit Vault を使用すると 事前に定義したレポートまたはカスタム レポートによってデータを保護 分析 およびレポートする場所に分散した監査データを統合できます コンプライアンス レポートとセキュリティ レポート監査担当者や コンプライアンスと IT のセキュリティ担当者は 組込みレポートを使用して ユーザーのアクセスとアクティビティを監視できます 特権ユーザーのアクセス 失敗したログイン操作 システム権限の使用 およびデータベース構造の変更に関連するレポートは SOX レポートおよび他のコンプライアンス要件に非常に役立ちます ドリルダウン機能を使用して 監査イベントの内容 場所 実行時期 実行者の詳細を完全に表示できます ORACLE AUDIT VAULT Trust-but-Verify 5
Oracle Audit Vault は アカウント管理 ロールと権限 企業全体のオブジェクト管理 およびシステム管理に関連するアクティビティに対して 標準の監査評価レポートを提供します たとえば アカウント管理レポートを使用して新しいアカウントの作成を監視し 内部または外部の強制セキュリティ ポリシーの違反が起きていないかを確認できます 図 3:Oracle Audit Vault のアクティビティ レポート Oracle Audit Vault は インタフェースからパラメータ ドリブンのレポートを生成する機能も提供します たとえば 複数の機密データベースのユーザー ログイン アクティビティを示すレポートを簡単に生成できます レポートは 特定の期間において定義できます たとえば 特定の機密データのサブセットの監査データに基づいて Weekend レポートを Oracle Audit Vault 内で定義および保存できます これによって 毎週月曜日の朝にレポートを使用して 週末のアクティビティを監視できます 別のレポートを定義して 特定のデータベースの特定のユーザーを含む内部調査をサポートできます Oracle Audit Vault の基盤は 監査データを統合および編成する機能を提供する柔軟性のあるデータ ウェアハウス インフラストラクチャで開発されています このため 簡単に管理 アクセス および分析できます Oracle Audit Vault の監査データ ウェアハウス スキーマは コンプライアンスとセキュリティの要件のためにカスタム レポートを構築する Oracle Business Intelligence とレポート ツール (Oracle BI Publisher およびサード パーティのレポート ツールを含む ) からアクセスできます Oracle Audit Vault アラートを使用した事前検出セキュリティ アラートを使用すると 企業全体のコンプライアンス プライバシ およびインサイダーの脅威の問題に迅速に対処できます Oracle Audit Vault によって IT セキュリティ担当者は 疑わしいアクティビティ 未承認のアクセス およびシステム権限の乱用を検出および通知できます Oracle Audit Vault は 特定のイベントの通知を生成できます また インサイダー ORACLE AUDIT VAULT Trust-but-Verify 6
の脅威に対する事前の警告システムとして機能し コンプライアンスに違反する可能性のあるベースライン設定やアクティビティの変更を検出できます アラート生成機能を使用し システム定義されたイベントとユーザー定義されたイベントのアラートを生成することによって インサイダーのセキュリティの脅威を軽減します Oracle Audit Vault は 収集した監査データを継続的に監視して 定義されたアラート条件に対してアクティビティを評価します Oracle Audit Vault アラート Oracle Audit Vault のインタフェースを使用して 企業間のアラートおよび監査イベントを監視できます 失敗したログイン 疑わしいログイン回数 データの参照またはアクセスの失敗を含むデータベース アクティビティに対して アラートを定義できます アプリケーション表の変更や特権ユーザーの作成などのシステム イベントを含む監査可能なデータベース イベントにアラートを関連付けることができます たとえば ユーザーが企業の機密情報にアクセスしようとする場合に セキュリティ担当者はアラートを受け取ることができます Oracle Audit Vault インタフェースは 企業全体でアラートが発生するアクティビティのグラフィカルなサマリーを提供します Oracle Audit Vault インタフェースは 特定の期間のアラートのサマリーを提供します これらのグラフィカルなサマリーには アラートの重大度のサマリー アラート アクティビティのサマリー アラート回数別のトップソース および監査イベント カテゴリ別のアラートの頻度が含まれます ユーザーは グラフィックスをクリックして レポートの詳細をドリルダウンできます 図 4: アラートの Oracle Audit Vault Dashboard ORACLE AUDIT VAULT Trust-but-Verify 7
Oracle Audit Vault は インバウンド監査データを継続的に監視し 単一の監査レコードのデータがカスタム定義されたアラート ルール条件に一致している場合にアラートを生成します たとえば ルール条件を定義して 特権ユーザーが機密データへのアクセスを付与するたびにアラートを生成できます 特権ユーザーがデータベース内に他の特権ユーザーを作成する場合にも アラートを生成できます 監査イベントが評価されてルール条件が満たされると アラートが生成されます レポート用のアラートは 関連付けられているソースによってグループ化されます アラートは イベントが属するイベント カテゴリおよびアラートの重大度 ( 警告 重大 情報 ) によってグループ化できます Oracle Audit Vault ポリシーを使用した IT コストの削減 Oracle Audit Vault を使用して データベースの監査設定またはポリシーを集中管理できます これによって IT セキュリティ担当者と内部監査者の作業が簡素化されます 多くの企業は 特定の監査イベントまたは監査ポリシーに対してシステムのアクティブな監視を必要としています 現在 これらの監査イベントの定義と管理は IT セキュリティ担当者が内部監査者と連携して企業全体のデータベースと他のシステムの監査設定を定義する 手動の処理になります また IT セキュリティ担当者は 監査設定を定義した後 設定が変更されないように定期的に確認する必要があります 監査設定の収集は 監査ポリシーとも呼ばれます Oracle Audit Vault を使用すると 内部の監査者が使用できる中央コンソールの監査ポリシーと監査者に対して コンプライアンスと繰り返し可能な制御を示す IT セキュリティを定義できます Oracle Audit Vault は 監査設定の手動スクリプトを削除して 関連する保守コストを削減します また ポリシーのメカニズムによって 企業は このようなイベントのレコードを生成して 認可権の不正使用を管理者に通知できる特定の監査ポリシーを定義できます Oracle Audit Vault のセキュリティ企業の監査データは ビジネス アクティビティの重要で不可欠な記録です 監査データに基づくレポートと調査に高い整合性を実現するため 監査データが変更されないように保護する必要があります Oracle Audit Vault は ネットワークを暗号化して転送中の監査データを保護し 転送中のデータの読取りや改ざんを防止します ソース システムから Oracle Audit Vault への監査データのタイムリーな転送では 監査データを変更して形跡を残さないようにしようとする侵入者に対してウィンドウを閉じることが重要です Oracle Audit Vault 内の監査データへのアクセスは 厳密に制御されます IT セキュリティ マネージャと監査者は 参照目的でのみアクセスが許可されています 特権 DBA ユーザーは Oracle Database Vault の保護メカニズムのため Oracle Audit Vault の監査ウェアハウス内の監査データを参照または変更できません これらのメカニズムを使用して未承認のアクセスから監査データを保護し 職務の分散を施行して 監査データに対する未承認の変更を防止します ORACLE AUDIT VAULT Trust-but-Verify 8
Oracle Audit Vault のスケーラビリティ Oracle Audit Vault は 大量の監査データを保存および分析するために設計された セキュアなデータ ウェアハウス環境を提供します Oracle Audit Vault には 管理性とパフォーマンスを向上させる Oracle Partitioning が含まれます このため ビジネスの要件に基づいて監査データを物理的に分割できます Oracle Audit Vault は Oracle Real Application Clusters(RAC) と一緒に配置することもできます このため 低コストでスケーラビリティ 高可用性 および柔軟性が実現します Oracle RAC によって Oracle Audit Vault は 既存のマシンをさらに強力なマシンに置き換えてスケールアップすることなく 追加の監査ソースまたは監査レコードを保存するサーバー マシンを追加してスケールアウトできます 結論 監査は グローバルな規制コンプライアンスの要件とインサイダーの脅威に対処する上でますます重要な役割を担っています 現在 セキュリティ リソースとして監査データを使用する場合 そのほとんどが手動の処理になります このため IT セキュリティと監査の担当者は 監査データを収集し カスタム スクリプトや他の方法を使用して 分散した多くの監査データを絞り込む必要があります 企業では 企業のデータ アクセスの全体像を把握するため 監査データの統合 管理 監視 およびレポートが必要になります これによって IT セキュリティと監査の担当者は タイムリーに監査データを分析できます Oracle Audit Vault は コンプライアンス レポートの簡素化 事前アラートを使用した脅威の検出 コンプライアンスのコストの削減 および監査データの保護をサポートする強力な監査ソリューションを提供します Oracle Audit Vault は 統合と分析のプロセスを自動化し 今日のセキュリティとコンプライアンスの課題に対処するため 監査データを主要なセキュリティ リソースに変換します 多くの組込みレポートは 簡単なコンプライアンス レポートを提供します また オープンなデータ ウェアハウスは Oracle BI Publisher またはサード パーティのビジネス レポート ソリューションを使用して 拡張可能なレポートを提供します Oracle Audit Vault は オラクルで実証されたデータ ウェアハウスとパーティショニング機能を使用して ストレージの高いスケーラビリティを実現します Oracle RAC とともに Oracle Audit Vault を構成することで 低コストで高い可用性と柔軟性を実現できます Oracle Audit Vault は オラクルの業界最高のセキュリティ機能を使用して エンドツーエンドの監査データを保護します これによって 転送中の監査データが暗号化され Oracle Audit Vault 内の職務の分離が施行されます 規制コンプライアンスの要件に対処し グローバル経済のインサイダーの脅威から保護するには セキュリティの多層防御が必要です 監査は trust-but-verify の原則を施行する多層防御アーキテクチャの重要な要素です ORACLE AUDIT VAULT Trust-but-Verify 9
Oracle Audit Vault - Trust-but-Verify 2007 年 4 月著者 : Jack Brinson Paul Needham Oracle Corporation World Headquarters 500 Oracle Parkway Redwood Shores, CA 94065 U.S.A. 海外からのお問合せ窓口 : 電話 : +1.650.506.7000 ファクシミリ : +1.650.506.7200 www.oracle.com Copyright 2007, Oracle. All rights reserved. 本文書は情報提供のみを目的として提供されており ここに記載される内容は予告なく変更されることがあります 本文書は一切間違いがないことを保証するものではなく さらに 口述による明示または法律による黙示を問わず 特定の目的に対する商品性もしくは適合性についての黙示的な保証を含み いかなる他の保証や条件も提供するものではありません オラクル社は本文書に関するいかなる法的責任も明確に否認し 本文書によって直接的または間接的に確立される契約義務はないものとします 本文書はオラクル社の書面による許可を前もって得ることなく いかなる目的のためにも 電子または印刷を含むいかなる形式や手段によっても再作成または送信することはできません Oracle は米国 Oracle Corporation およびその子会社 関連会社の登録商標です その他の名称はそれぞれの会社の商標です