- Oracle Database
【Oracle Database】FAQで安定運用に貢献!サポートセンターのナレッジ公開の取り組み
アシストオラクルサポートセンターが公開しているFAQは、仕様に関するQAやエラー発生時の対処方法などはもちろん、不具合情報や障害発生時の情報取得方法といった安定運用に役立つ内容も扱っています。そのFAQをどのように作成しているのか、サポートセンターの取り組みをご紹介します。
|
|
前回まで、クラウド環境でのデータベースセキュリティについて、オンプレミス環境との相違点として、責任共有モデルの理解・多層防御によるデータ保護・Oracle Data Safeの機能を有効化する方法・監視対象とするデータベースを登録する方法を説明しました。
※前回までの記事はこちらから
・クラウドでのデータセキュリティはオンプレとどう違う?~Oracle Data Safe概要~
・マルチクラウド環境やオンプレミスのOracle DBも同じツールで一括管理!~Oracle Data Safeの設定方法~
Index
前回までの記事でご説明したとおり、Oracle Cloud Infrastructureでは、Oracle Data Safe を利用してオンプレミス環境のデータベースと クラウド環境のデータベースの両方を保護できます。Oracle Data Safe は、 Oracle Cloud Infrastructure で提供される統合データベースセキュリティ管理サービス であり、データベースをセキュアに稼働させることが可能です。
本記事では、Oracle Data Safeの主要機能の中から、アクティビティの監査(Activity Auditing)、セキュリティ構成の評価(Security Assessment)、ユーザーのリスク評価(User Assessment)の3つの設定をご紹介します。
|
|
アクティビティの監査は、監視対象となるデータベースの監査ログデータを収集・保全します。また、アラート機能を利用することで、不正な操作を即座に検出でき、事前定義済みの監査レポート・カスタムレポートによるデータベースのアクティビティ分析もできます。
それでは、アクティビティの監査を設定していきましょう。
「Data Safe」画面の「セキュリティ・センター」の「アクティビティ監査」をクリックします。
|
|
アクティビティの詳細の確認は、以下の手順を実行します。
1.「アクティビティの監査」ページから「Related Resources」の「Audit Policies」をクリックします。
|
|
「Additional Policies」列のみが有効になっていることがわかります。 表示される「ターゲット・データベース」リンクをクリックします。
|
|
「Update and Provision」をクリックします。
|
|
監査項目は以下のとおりです。データベースセキュリティにおいては特権ユーザーの監査が重要ですので、以下の管理者アクティビティ監査ポリシーやユーザー・アクティビティ監査ポリシーの設定が必須です。
取得する監査項目を選択し「Update and Provision」をクリックします。
|
|
Oracle Data Safeによる監査ログ取得設定が定義されたことを確認できます。
|
|
2.「アクティビティ監査」ページの「Related Resources」下の 「Audit Trails」をクリックします。「Collection State」が「-」であるため、どの証跡も有効になっていないことに注意してください。
|
|
|
|
監査を開始するため「Trail Location」の「Target Database」リンクをクリックし、「Start」ボタンをクリックします。
|
|
「Select Start Date」に監査ログの収集日を入力します。必要に応じて取得した監査ログデータの「Auto Purge(自動パージ)」を選択し「Start」をクリックします。Auto Purge(自動パージ)は、ターゲットデータベース内の監査レコードを定期的にパージし、データベースの監査証跡が大きくなりすぎないようにするための機能です。
|
|
監査証跡が開始され、Collecting 状態になっています。
他の全ての監査証跡についても前述の手順を実行し、開始します。
3.監査証跡の取得を有効にすると、ダッシュボードにデータが出力されます。「Events Summary」タブの「Event Category」の「Schema Changes By Admin」をクリックして詳細情報を確認してみましょう。
|
|
以下は「Schema Changes By Admin」イベントカテゴリをクリックして取得した管理者によるスキーマ変更の詳細を示しています。
|
|
アクティビティの監査(Activity Auditing)の設定方法は以上です。
セキュリティ・アセスメントを利用すると、データベースのセキュリティ体制を素早く評価できます。Oracle Data Safeは、リスクを識別、分類、優先順位付けし、セキュリティ・パラメータ、使用中のセキュリティ・コントロール、ユーザーのロールと権限について包括的な評価レポートを提供します。
「データ・セーフ」ページの「セキュリティ・センター」セクションにある「セキュリティ・アセスメント」の画面では、登録したデータベースのセキュリティ状態の一覧が表示され、一目で全体を把握できます。具体的には、「高」、「中」、「低」、「アドバイザリ」、「評価」のリスク・レベルがターゲット・データベースごとに設定され、それぞれ「ユーザー・アカウント」、「権限およびロール」、「認可制御」、「ファイングレイン・アクセス制御」、「データ暗号化」、「監査」および「データベース構成」というカテゴリの結果の数を確認できます。
|
|
「リスクのサマリー」タブの各「リスク・レベル」列の項目をクリックすると、詳細情報が表示されます。
|
|
加えて、「ターゲット・データベース」のリンクをクリックすると、リスクに関する詳細情報を確認できます。
|
|
全てのセキュリティ評価レポートを取得するには、「セキュリティ・アセスメント」画面から 「ターゲットのサマリー」タブをクリックし、「レポートの表示」をクリックします。
|
|
|
|
セキュリティ評価レポートを生成し、ダウンロードすることもできます。
|
|
ターゲット・データベースのセキュリティ・アセスメントをスケジューリングするには、「セキュリティ・アセスメント」ページの「関連リソース」セクションにある「スケジュール」をクリックします。これによって、セキュリティ評価を実行できるようになり、ターゲット・データベースのセキュリティ状態を定期的に確認でき、ターゲット・データベースをセキュアに保つことにつながります。
「スケジュールの追加」をクリックして、日単位、週単位、月単位でスケジュールを設定可能です。
|
|
|
|
|
|
また、「セキュリティ・アセスメント詳細」画面から「ベースラインとして設定」をクリックして、ベースライン評価レポートを作成することで、ベースラインレポートと他のレポートとを比較できます。
|
|
|
|
ベースラインが設定されたら、対応する「セキュリティ・アセスメント詳細」画面から別のセキュリティ・アセスメントレポートを選択し、「リソース」セクションの「ベースラインとの比較」をクリックするとベースラインとの比較ができます。
|
|
セキュリティ構成の評価(Security Assessment)の設定方法は以上です。
「データ・セーフ」ページの「セキュリティ・センター」セクションにある「ユーザー・アセスメント」の画面では、監視対象データベースユーザーの状態の一覧が表示され、一目で全体を把握できます。具体的には、「致命的」、「高」、「中」、「低」、「評価」の潜在的リスクのレベルが設定され、それぞれ「ユーザー」、「特権ユーザー」、「DBA」、「DV管理」、「監査管理」というカテゴリの結果の数を確認できます。
|
|
「リスクの概要」の下にある各「リスク・レベル」列の項目をクリックすることで詳細を確認できます。
|
|
「ユーザー名」をクリックすると、ユーザーの詳細を確認できます。
|
|
「Potential リスクの詳細」ページの「列の管理」に表示されるチェックボックスをクリックして、詳細テーブルに表示する列を設定できます。
|
|
「Potential リスクの詳細」ページで、対応する「ユーザー名」の「ビュー・アクティビティ」をクリックして、ユーザーのアクティビティの詳細を確認できます。
|
|
ターゲット データベースで「アクティビティ監査」が有効になっている場合は、関連する情報の詳細が表示されます。
日単位、週単位、月単位でスケジューリングするには、「ユーザー・アセスメント」ページの「関連リソース」セクションの「スケジュール」をクリックします。これによって、セキュリティ評価を実行できるようになり、ターゲット・データベースのユーザーの状態を定期的に確認でき、ターゲット・データベースをセキュアに保つことにつながります。
|
|
ユーザー・アセスメント(User Assessment)の設定方法は以上です。
アラートでは、ターゲット・データベースで特定の監査イベント、具体的には特定のユーザー・アクティビティおよび異常が発生すると、アラート・メッセージを通知できます。これによってターゲット・データベースに対する異常な動作を追跡できます。
「Data Safe」画面の「セキュリティセンター」の「アラート」をクリックします。 この時点では、アラートが取得されていません。
|
|
アラートを取得するには、「関連リソース」セクションの「アラート ポリシー」をクリックし、アラート ポリシーをターゲット・ データベースに関連付けます。
|
|
|
|
次に、必要なアラートポリシーをターゲット・ データベースに関連付ける必要があります。
ターゲット ・データベースに関連付けるために、特定のポリシー名をクリックし、「Apply Policy」をクリックします。
|
|
表示される画面で「Selected Targets Only」ラジオボタンを選択し、ターゲット・データベースを選択します。
「ポリシーを適用」をクリックします。
|
|
これらのアラートが機能するためには、対応する監査ポリシーがOracle Data Safe上で有効な状態であり、監査証跡が収集中であるか、アイドル状態のいずれかであるかを確認する必要があることに注意ください。
「Alert Policy Details」ページの「Policy Applied On Target Databases」の横にある「View List」をクリックすると、「Failed Logins by Admin User」ポリシーがターゲット・データベースに関連付けられていることが確認できます。
|
|
|
|
ポリシーがターゲット・データベースに適用されると、アラートがキャプチャされていることが確認できます。
|
|
アラート(Alerts)の設定方法は以上です。
本記事では、Oracle Data Safeの5つの機能のうち、主要な機能であるアクティビティの監査(Activity Auditing)、セキュリティ構成の評価(Security Assessment)、ユーザーのリスク評価(User Assessment)を説明しました。データベースに対するアクセスログの取得、定期的なデータベースのセキュリティ構成の評価、定期的なユーザーのリスク評価によってデータベースをセキュアに保つことができます。
その他の2つの機能である、機密データの発見(Sensitive Data Discovery)やデータマスキング(Data Masking)も有益な機能ですので、利用をご検討ください。次回は、Oracle Cloud Infrastructure全体の構成・操作を監視し、セキュリティ上の問題を検知可能なOracle Cloud Guardを解説します。お楽しみに。
|
|
企業の最重要な資産のひとつであるデータベースをクラウドに移行する際、セキュリティで押さえるべき基本とは?
|
|---|
2017年入社。Oracle Databaseのプリセールス業務を担当。
あわせて、長年のOracle Databaseセキュリティ製品のフィールドエンジニア経験を活かして、データベースセキュリティ全般の提案/啓蒙活動も担当し、二足の草鞋で活躍中。...show more
|
|---|
2019年5月よりアシストでデータベースエンジニア、コンサルタントとして勤務。...show more
■本記事の内容について
本記事に示した定義及び条件は変更される場合があります。あらかじめご了承ください。
■商標に関して
・Oracle®、Java、MySQL及びNetSuiteは、Oracle、その子会社及び関連会社の米国及びその他の国における登録商標です。
・Amazon Web Services、AWS、Powered by AWS ロゴ、[およびかかる資料で使用されるその他の AWS 商標] は、Amazon.com, Inc. またはその関連会社の商標です。
文中の社名、商品名等は各社の商標または登録商標である場合があります。
アシストオラクルサポートセンターが公開しているFAQは、仕様に関するQAやエラー発生時の対処方法などはもちろん、不具合情報や障害発生時の情報取得方法といった安定運用に役立つ内容も扱っています。そのFAQをどのように作成しているのか、サポートセンターの取り組みをご紹介します。
Oracle Databaseのバージョン11g R2、12g.R1、12g.R2は既にすべてのメーカーサポートが終了しています。OCIのBase Database Serviceでも2024年1月中旬ころから11g R2、12g R1、12g R2での新規プロビジョニングができなくなりました。
Oracle Cloudでクラウドアカウントごとに設定されているサービスの利用上限値「サービス制限(サービスリミット)」の引上げ方法とその注意点をご紹介します。
