Oracle Enterprise Manager Configuration Change ConsoleによるIT構成制御の自動化

Oracle Enterprise Manager Configuration Change Console による IT 構成制御の自動化 Oracle テクニカルホワイトペーパー 2008 年 10 月

Oracle Enterprise Manager Configuration Change Console による IT 構成制御の自動化はじめにセキュリティ全体のレベルはもっとも弱い部分によって決まりますアプリケーションがデータベースとの相互作用を確立するための方式は見落とされがちで適切に保護されない確率が高い部分です現在 Oracle Enterprise Manager には完全なアプリケーション管理ソリューションが備わっています Oracle Enterprise Manager を使用するとアプリケーションをビジネスの観点からトップダウンで管理できますこれによりビジネスにおける例外の迅速な識別基礎になるテクノロジーおよびインフラストラクチャでのドリルダウンを使用した根本原因となる問題の特定および問題が深刻化する前の自動修正が可能になります Oracle Enterprise Manager の主要コンポーネントの 1 つが Configuration Management Pack です Configuration Management Packでは検出資産追跡分析変更検出コンプライアンスの評価およびレポートが提供されますまた Configuration Management Pack には Configuration Change Console が含まれます Configuration Change Console では認可済みおよび無認可の構成変更を包括的かつ継続的に検出検証およびレポートすることでリアルタイムの IT 構成変更管理を自動化する画期的な機能が提供されていますこのホワイトペーパーでは IT ポリシーの定義追跡および実行 IT コンプライアンスプロセスの自動化ビジネスアプリケーション管理の労力およびコストの削減を可能にする Configuration Change Console 独自の機能について説明しますポリシーベースの IT 管理と IT ガバナンス多数の IT 組織が運用ポリシーを開発してドキュメント化していますが多くの場合構成コンプライアンスを常に管理していくためにはそれらのポリシーは適切ではないとみなされています顧客が直面するおもな問題の 1 つはポリシーをリアルタイムで測定可能なメトリックを作成するプロセスやプロシージャに発展させることができないというものですこのために今日の複雑性や変化を管理するための内部統制が不十分になる可能性がありますこの問題は米国サーベンスオクスリー法など公開企業が遵守すべき規制要件の登場によってさらに重大な問題となってきていますこれらの内部統制を満たすために IT 組織が使用するおもな戦略の 1 つは業界のベストプラクティスとみなされている PCI ITIL ISO 17799 ISO 20000 などの標準を採用することですこれらのガイドラインは IT 組織が規制要件を満たすためだけに役立つわけではありません IT Governance Instituteもこれらのベストプラクティスを採用することによってIT 運用コストが削減されビジネス要件との連携が向上することを Oracle Enterprise Manager Configuration Change Console による IT 構成制御の自動化 2

認識しました 1 その結果組織は現在 IT 戦略テクノロジーおよび管理プラクティスを組織のビジネス上の目的に関連づけるベストプラクティスとツールを開発することが必要であると認識していますこれらのベストプラクティスが規制要件セキュリティ要件およびサービス品質要件を満たすようにするには ITの目的が達成されたかどうかを判断するメトリックが必要ですこれを成功させるには企業ポリシーをベストプラクティスに関連づける自動プロセスをもちコンプライアンスを測定する自動化されたリアルタイムの方法を実装することを強くお薦めします 2 Configuration Change Console によって組織は規制遵守を確実なものとし組織内において必須の制御を実装できます Configuration Change Console はリアルタイムの変更検出および変更リコンシリエーションと組み合わさったポリシーのライブラリを提供することによってこれらの利点を提供します Configuration Change Console Configuration Change Console は IT ポリシーおよび IT 制御を直接データ収集に接続する標準の IT フレームワークを提供することによって組織を支援するように設計されていますこれには構成アイテムアプリケーションおよび IT コンポーネントに対する手動 / 自動アクションおよびイベントを通常の日常業務の一部として追跡し記録することが含まれますまた Configuration Change Console では検出したアクションとイベントを関連づけ IT ポリシーおよび IT 制御を管理する一元化されたリポジトリも提供されます Configuration Change Console は信頼性セキュリティおよびパフォーマンスを向上させ規制要件を満たすように設計されておりこれによってコスト削減と安定性の向上につながります Configuration Change Console のアーキテクチャコスト削減と高い安定性がどのように達成されるのかを理解するため Configuration Change Console のアーキテクチャを見てみましょう 1 IT Governance Institute(2005):Aligning COBIT, ITIL and ISO 17799 for business benefit 2 Gartner Research(2006):Security Controls and Policy Management Defined Oracle Enterprise Manager Configuration Change Console による IT 構成制御の自動化 3

Configuration Change Console は分散アーキテクチャに配置され管理デバイス上の軽量プローブを使用してバックエンドデータベースに時間ベースの情報モデルを移入します取得したデータはすべて Web ベースのユーザーインタフェース経由でユーザーに公開されますこのユーザーインタフェースではリアルタイムのデータ分析レポート作成ポリシー構成変更通知管理および変更管理システムとの統合をおこないます Configuration Change Console はおのおのの管理デバイス上にインストールされたプローブを通じてリアルタイムのイベント情報を収集しますプローブはそれらのデバイス上のファイルプロセスユーザーなどのオブジェクトに関するイベントを取得できますプローブは軽量であるため管理デバイス上で必要となるリソースは最小限で済みますまたリアルタイムの構成変更追跡をおこないスケーラビリティを向上させ多数のサーバーの監視を可能にするように設計されています多くの場合スケーラビリティは同一のバックエンドデータベースにアクセスするアプリケーションサーバーを追加することによって実現しますプローブおよびデータ収集 Configuration Change Console 独自の機能の 1 つに OS ファイルやプロセスから販売デバイスの個々のポイントにいたるまで広範囲にわたる IT コンポーネントの構成変更をリアルタイムで追跡する機能がありますこの完全で正確なリアルタイムの構成変更レポートを作成するため Configuration Change Console の変更検出方式として各管理デバイス上にインストールされた IT インフラストラクチャと直接相互作用する軽量プローブを使用していますプローブはバックグラウンドで受動的に動作しアクティビティの変更状況を監視し続けます管理デバイス上で変更が検出されるとプローブは一元化された Configuration Change Console アプリケーションサーバーへ変更のレポートを返します監視対象のターゲットには最小限のリソースしか必要ありません CPU 集約的な分析およびアクティビティはすべて Configuration Change Console サーバー上で発生し管理デバイス上では発生しません Oracle Enterprise Manager Configuration Change Console による IT 構成制御の自動化 4

監視対象のコンポーネント IT インフラストラクチャ内の重要な要素を占める構成アイテムは中央のリポジトリデータベースに格納されます格納された情報はほかのサービス管理プロセスをサポートするための基礎として使用され逸脱した部分を迅速に修正するためのインフラストラクチャに対する構成情報の検証に使用されます変更によって停止時間が発生することが多いため ITIL や SOX などのほとんどのコンプライアンスフレームワークではなんらかの変更管理を導入することを求めています変更管理の目的は標準化された方法やプロシージャを使用してあらゆる変更を効率的に処理しエンドユーザーに提供されるサービスの変更によって発生する影響を最小限に抑えることにあります Configuration Change Console は監視対象のコンポーネントに対する変更を自動的に検出できますこれには次が含まれます監視対象のコンポーネントファイルおよびディレクトリプロセスユーザーアカウント検出されてレポートされるイベント作成削除変更名前変更読取り表示および属性変更収集されるデータには (OS によって異なりますが ) 日付 / 時間イベント型 MD5 アカウントのユーザー ID が含まれます起動イベント停止イベント CPU 利用率収集されるデータにはプロセス名プロセス ID プロセスユーザーイベント型日付 / 時間が含まれますローカルユーザーおよびリモートユーザーのログイン / ログアウトソース IP アクティビティレベルユーザーが開始したプロセスサーバーリソース CPU 利用率メモリ利用率ファイルシステム / ストレージ利用率データベースネットワークデバイス Active Directory および LDAP Windows レジストリアプリケーション構成オブジェクトの変更の検出構成が変更されたデバイスからの SNMP トラップの取得ユーザーグループおよびコンピュータの追加削除変更およびメンバーシップの変更作成削除変更収集されるデータにはユーザー値および前後値が含まれます Oracle Enterprise Manager Configuration Change Console による IT 構成制御の自動化 5

オペレーティングシステム固有のデータ収集情報それぞれのオペレーティングシステムが異なる方法で変更アクティビティを検出記録するためこのことがコンプライアンスネットワークに基づいて収集できるデータ量に影響する場合がありますそのため Configuration Change Console ではおのおののオペレーティングシステムの特性に基づいて構成変更アクティビティを検出してレポートするようにプローブが設計されています次の表は使用される方式の一部を示したものですプラットフォームファイル変更イベントプロセスイベントユーザーログオン / ログオフイベント Windows Win32 API および Security Log 監視 3 秒ごとのオペレーティングシステムポーリング監査 / セキュリティログ監視 ( 有効化が必須 ) WTMP ファイル監視 3 秒ごとの (telnet FTP SSH Samba Solaris 監査ログ監視オペレーティングなどの型やリモートロシステムポーリンググオンのソースホスト名を検出可能 ) HP-UX 監査ログ監視 3 秒ごとのオペレーティング WTMP ファイル監視システムポーリング AIX 監査ログ監視 3 秒ごとのオペレーティング WTMP ファイル監視システムポーリング Linux (Red Hat) カーネルモジュール 3 秒ごとのオペレーティングシステムポーリング WTMP ファイル監視 Oracle Enterprise Manager Configuration Change Console による IT 構成制御の自動化 6

コンプライアンス環境では個々のユーザーに対するファイル変更の追跡は必須要件ですファイル変更にユーザーを関連づけるにはプローブがオペレーティングシステムと通信してこの情報を取得する必要があります次の表はユーザー情報を取得する際の OS 固有のメカニズムを示したものですファイル変更またはオブジェクト変更の際にユーザー情報を取得するメカニズム監査 / セキュリティロギングの有効化 Basic Security Module(BSM) を用いて監査ロギングの有効化 Host Intrusion Detection System(HIDS) の有効化リロード可能なカーネル監査モジュールによるファイル変更イベントに関する情報の取得監査ロギングの有効化 OS 監査の有効化が不可能な場合 Configuration Change Console ではスナップショットを使用してファイル変更を検出するメカニズムも提供していますこれは OS の監査システムおよびロギングシステムに依存しませんユーザーはどちらのバージョンを使用するかをインストール中に選択できますアプリケーション固有のデータ収集情報データベースや Active Directory システムなどの固有のアプリケーションに対する変更を正確に検出しレポートするために Configuration Change Console はさまざまなデータ収集方式やソースを活用します次の表は Configuration Change Console によって検出されるさまざまなアプリケーション固有の変更とそれらのソースをまとめたものですオペレーティングシステム Windows Solaris HP-UX Red Hat Linux IBM AIX 変更検出のタイプデータベースレジストリキー検出された変更アプリケーション構成オブジェクトの変更の検出作成削除変更収集されるデータにはユーザー値および前後値が含まれます変更データのソースサポートされるすべてのデータベースに対するリアルタイムの監査またはユーザー指定の間隔で収集されたスナップショットの差別化による変更の検出が可能です Configuration Change Console はすべてのシステムコールをリアルタイムでレジストリにトレースするカーネルモジュールを活用します Active Directory ユーザーグループおよびコンピュータの追加削除変更およびメンバーシップの変更 Configuration Change Console は 2 つのアプローチを利用しますプロキシメソッドは LDAP を使用してドメインコントローラの 5 分ごとのスナップショットを生成しスナップショットをレポート変更イベ Oracle Enterprise Manager Configuration Change Console による IT 構成制御の自動化 7

ントと比較します ( ユーザー名はレポートされません ) トレースメソッドはアカウント管理イベントをセキュリティログによりリアルタイムで読み取ります ( ユーザー名はレポートされます ) プローブ通信とネットワーク利用率プローブはできる限りリソースを消費しないように設計されています次に例を示しますネットワーク : 各プローブの送信サイズの平均は 5 分につき 10Kb です CPU: プローブでの CPU の平均使用率は長期間にわたって 1% 未満であることがわかりましたデータ収集プロセスのあと Configuration Change Console プローブは圧縮 XML 形式を使用して 1 分から 5 分の間隔でデータ変更アクティビティおよびレポート変更アクティビティを集計します JMS/SSL 接続をとおしてデータをプローブからアプリケーションサーバーへ送信する際に暗号化するように構成できます各プローブからの平均送信サイズは 5 分ごとに約 10KB であるためネットワーク帯域幅はごくわずかであることがわかります 1ヶ月当たり平均 25,000 件の変更があるとすると XML 圧縮のために標準化したあと 1 台の管理サーバーは 1 ヶ月当たりおよそ 100MB のデータを生成することになりますプローブによる CPU 消費 Configuration Change Console プローブは管理デバイスのパフォーマンスへの影響を最小限に抑えるように設計されています CPU 集約的な分析やレポートはすべて一元化された Configuration Change Console サーバー上で実行されますおのおのの管理サーバーで Configuration Change Console プローブが消費するサーバー CPU は長期間にわたって 1% 未満です構成操作管理通信が切断された場合すべてのデータがキューに入れられ通信が起動して稼働した時点で送信されます Configuration Change Console アプリケーションサーバーまたはデータベースへの接続が使用できない場合やプローブがローカルモードで一時停止されている場合プローブはメッセージブローカクライアントを使用してデータをキューに入れディスクに保存しますデータは管理サーバー上にキャッシュされたディスク領域を使用してキューに入れることができますキャッシュサイズはディスク領域の最大量とデータをキューに入れる時間の最大値によって構成されます接続が再確立されるとメッセージブローカはデータを Configuration Change Console サーバーへ送信します監視プロセスとデータ取得プロセスを理解したら次にインフラストラクチャコンポーネントを Configuration Change Console にリンクさせそれらのコンポーネントが相互に関係し合う方法と監視される方法を定義しますほとんどのコンポーネントは互いに依存しあっているためこのステップは非常に重要です 1 つのコンポーネントに障害が発生した場合サービスレベルに影響したりシステムの停止を発生させたりして別のコンポーネントのサービスレベルに影響する可能性が非常に高くなります全体の相互関係や各コンポーネントの監視方法を定義することによって完全なエンドツーエンドの監視が可能になり運用の安定性が得られますこれを実行するには Configuration Change Console でコンポーネントおよびアプリケーションを定義する必要があります Oracle Enterprise Manager Configuration Change Console による IT 構成制御の自動化 8

Configuration Change Console コンポーネントの確立基本的にコンポーネントはシステム内で使用されるアプリケーションに含まれる重要な要素の基本型として機能しますコンポーネントはインフラストラクチャを形成する要素を表しますコンポーネントの例にはファイルプロセス OS ユーザーデータベースオブジェクトといったアプリケーション固有の内部オブジェクトが挙げられます Configuration Change Console ではシステム内でのコンポーネントの作成プロセスを高速化する事前定義された一連のコンポーネント ( これにはルールも含まれます ) を標準で提供しますこれらの事前定義されたコンポーネントは出発点として使用でき企業の監視要件コンプライアンス要件および監査要件を満たすようにカスタマイズできますコンポーネントを定義するには次のステップがありますステップ 1: 各コンポーネントに対するルールセットの指定コンポーネントを定義したら次にそれらのコンポーネントに対する監視ルールを指定しますこのステップではコンプライアンスフレームワークに適合するためにコンポーネントが必要とする制御の種類を構成します Configuration Change Console 内のルールセットには次のようなコンポーネント型が含まれますファイルイベントプロセスイベントユーザーイベント Active Directory データベース(DB2 Oracle SQL Server など ) Windows レジストリですステップ 2: 管理デバイスへのコンポーネントのマッピングアプリケーション向けにコンポーネントを構成したら次に各コンポーネントが動作するデバイスを指定しますこれによってコンポーネントインスタンスと呼ばれるものが作成されますこのステップで Configuration Change Console によってコンポーネントがインフラストラクチャにリンクしますステップ 3: 監査アクションの定義コンポーネントルールセットを確立しコンポーネントを管理デバイスへマッピングしたら次のステップではイベントが発生した場合に必要となるアクションを指定します無認可の変更が検出された場合 Configuration Change Console は電子メール通知レポート作成の実行 SNMP トラップの送信および Change Management Reconciliation をトリガーするように定義できますこれらのイベントトリガーによって企業は変更内容の分析をおこない必要に応じて適切な人材に通知して修正アクションを実行できます Oracle Enterprise Manager Configuration Change Console による IT 構成制御の自動化 9

管理およびレポートを簡易化するアプリケーションの作成 Configuration Change Console によってコンポーネントをアプリケーションに論理的にグループ化できますこれによってユーザーはビジネスアプリケーションに影響する変更イベントを簡単に表示できますコンポーネントインスタンスを定義したら次に Configuration Change Console 内のアプリケーションへコンポーネントインスタンスを論理的にグループ化しますこの Configuration Change Console 内のアプリケーションは実際のビジネスアプリケーションと直接マッピングされるため Configuration Change Console とビジネスサービスとのリンクが提供されますこれによって実際のビジネスアプリケーションのモデル化が可能になりビジネス要件に合致する問題をレポートできるようになりますほとんどの場合ビジネスアプリケーションは Web サーバーアプリケーションサーバーデータベースなどの異なるサーバー上で動作する複数の IT インフラストラクチャコンポーネントに関連しています Configuration Change Console を使用すると個々のコンポーネントを参照できるだけでなくアプリケーション全体に影響する変更イベントを簡単に表示できますここではあるコンポーネントとビジネスアプリケーションに関連するほかのコンポーネントとの相互依存性を表示できるようになるためこの表示は単に効果的というだけでなく非常に強力でもありますポリシー管理このホワイトペーパーの冒頭で説明したように複雑性やコスト抑制の管理にはフレームワークとベストプラクティスが使用されますここまでこのホワイトペーパーではアーキテクチャと Configuration Change Console により操作性を向上させる方法について説明してきました次に ITIL SOX PCI などのコンプライアンスフレームワークポリシーおよび制御の要件を満たす方法を理解する必要がありますこれを実行するには前に定義したコンポーネント構成を使用して Configuration Change Console 内のポリシー管理を採用する必要がありますこれは 4 つの主要なステップにより達成できます Oracle Enterprise Manager Configuration Change Console による IT 構成制御の自動化 10

ステップ 1: コンプライアンス要件の計画コンプライアンス戦略全般を確立するにあたって業界内で使用されているさまざまな制御フレームワークの関連性を考慮することが役立ちますそれぞれのフレームワークには異なる特徴があり組織間で若干異なって実装されている場合がありますまず組織の要件に最適なフレームワークを決定する必要がありますある特定のフレームワークをもとにしても組織の要件に基づく微調整やカスタマイズを必要とするポリシーや制御もあります Configuration Change Console は事前定義されたフレームワークポリシーおよび制御を標準で提供しますこれらによって一般的なガイドラインが提供されるため実装や導入を迅速化できますステップ 2: 制御の定義とコンポーネントへの制御の割当て希望する制御の概略がまとまったら Configuration Change Console の使用を開始し組織内で使用している粒度の高い制御に直接マッピングできますたとえば保護または制限されたファイルへの読取りアクセスおよび書込みアクセスを監視する "Restricted File Access" 制御を定義できますインフラストラクチャ内のコンプライアンス制御にリンクさせるには制御を Configuration Change Console のコンポーネントに関連づける必要がありますある特定の制御には複数のコンポーネントを割り当てることができますまた組織のコンプライアンス構造へマッピングするのに必要な数の制御を作成できますステップ 3: ポリシーの定義制御を定義したら次にその制御をポリシーへ割り当てる必要がありますポリシーは基本的にアクションの計画または方向性であり問題を定義したりコンプライアンス要件に関連する意思決定に影響したりするように設計されていますたとえば "Managing Performance Levels" というポリシーを作成したうえでそのポリシー内に "Capacity Monitoring" 制御および "Problem Tracking" 制御を含めることができますこれにより "Capacity Monitoring" 制御内に違反が発生した場合 "Managing Performance Levels" ポリシーにもフラグが設定されることになりますステップ 4: フレームワークの定義 Configuration Change Console 内のフレームワークは組織が採用したコンプライアンスフレームワークを表すものですこのステップでは組織内で使用される Configuration Change Console のフレームワークを定義する必要があります必要に応じて複数のフレームワークを指定できますたとえば組織内で ITIL フレームワークと PCI フレームワークの両方を監視できます Oracle Enterprise Manager Configuration Change Console による IT 構成制御の自動化 11

監視と制御 Configuration Change Console ダッシュボードによって完全に監視された環境の迅速なスナップショットが提供されますユーザーは問題分野の調査までドリルダウンできます Configuration Change Console によって各イベントに関する詳細が提供され問題の解決が容易になります Configuration Change Console のフレームワークを設定したら一連のダッシュボードを使用できますこれらのダッシュボードのビューはレベルが高く組織のコンプライアンスフレームワークポリシーおよび制御に基づいて無認可の変更をリアルタイムで迅速に監視し警告を受けることができますこれにはインフラストラクチャに無認可のアクセスがあったかどうかを制御し調査する機能が含まれますまたアクティビティのフォレンジック追跡に対する機能も提供されシステムクラッシュまたは品質保証契約違反からの修復にかかる平均時間が短縮されますトップレベルのダッシュボードによりフレームワークに関連する一連のリアルタイムのダイヤルが表示されますおのおののダイヤルはそのフレームワーク内で定義されるポリシーを表しますこれらのダイヤルにより構成されたしきい値ごとに定義されているようにポリシーのパフォーマンスのサマリービューがリアルタイムで提供されます制御の 1 つに違反が発生した場合その制御向けに構成されたしきい値によって定義されているようにそのポリシーのダイヤルによってステータスビューが提供されますたとえばパスワードファイルに無認可のアクセスがあった場合通知が送信され "Implement Detect application configuration object changes Strong Access Controls" ポリシーのダイヤルによってその特定の制御に違反が発生したことを示すインジケータが提供されます Oracle Enterprise Manager Configuration Change Console による IT 構成制御の自動化 12

問題に関するより詳細なビューを参照するにはイベントのフォレンジック情報の概要のビューを提供するそれぞれのダイヤルへドリルダウンできますこのように理解することによりアクティビティを分析し必要に応じて修正アクションを実行できます結論 IT システムおよびアプリケーションにおける障害のおもな原因は予期しない無認可の構成変更にありますその結果多くの場合は停止時間と目標とするコンプライアンスおよびサービスレベルの違反によってコストがかかることになります Configuration Change Console は構成変更管理に対する IT ポリシーの自動管理と自動実施によってこれらの問題に対処する独自のソリューションを提供します Configuration Change Console は包括的な記録とフォレンジック追跡によって人プロセスおよびテクノロジーを結びつけ IT 制御およびガバナンスを自動化します Configuration Change Console が際立っている理由は IT コンポーネントを徹底的に網羅しおもな IT 変更管理ソリューションと包括的に統合されオラクルのトップダウンのアプリケーション管理にも統合されている点にあります Configuration Change Console を使用することにより組織は IT インフラストラクチャの制御を向上させ自動 IT 制御の使用によって規制遵守および法的要件を満たすことができ結果として運用コストを削減できます Oracle Enterprise Manager Configuration Change Console による IT 構成制御の自動化 13

Oracle Enterprise Manager Configuration Change Console による IT 構成制御の自動化 2008 年 10 月著者 :Andy Oppenheim 共著者 :Zia Hydari Oracle Corporation World Headquarters 500 Oracle Parkway Redwood Shores, CA 94065 U.S.A. 海外からのお問い合わせ窓口 : 電話 :+1.650.506.7000 ファクシミリ :+1.650.506.7200 www.oracle.com Copyright 2008, Oracle. All rights reserved. 本文書は情報提供のみを目的として提供されておりここに記載される内容は予告なく変更されることがあります本文書はその内容に誤りがないことを保証するものではなくまた口頭による明示的保証や法律による黙示的保証を含め商品性ないし特定目的適合性に関する黙示的保証および条件などのいかなる保証および条件も提供するものではありませんオラクルは本文書に関するいかなる法的責任も明確に否認し本文書によって直接的または間接的に確立される契約義務はないものとします本文書はオラクル社の書面による許可を前もって得ることなくいかなる目的のためにも電子または印刷を含むいかなる形式や手段によっても再作成または送信することはできません Oracle JD Edwards PeopleSoft および Retek は米国 Oracle Corporation およびその子会社関連会社の登録商標ですそのほかの名称はそれぞれの会社の商標です Oracle Enterprise Manager Configuration Change Console による IT 構成制御の自動化 14