Autonomous Databaseの監査

Autonomous Databaseには、Oracleデータベース・アクティビティを監視できる監査が用意されています。

Autonomous Databaseの監査について

Autonomous Databaseには、データベース・アクションを追跡、モニターおよび記録する監査機能が用意されています。監査は、データベースのセキュリティ・リスクの検出および法規制コンプライアンスの向上に役立つ可能性があります。

Autonomous Databaseの監査機能

Autonomous Databaseには、組織に必要な監査情報を取得できます。Autonomous Databaseには、デフォルトの監査があります。

また、次のいずれかを使用して監査ポリシーを適用できます:

  • Oracle Data Safeを使用した、データベース・ユーザーや管理ユーザーに監査ポリシーの適用、事前定義された監査ポリシーの適用、またはカスタマイズされた監査ポリシーの適用を行います。詳細は、アクティビティ監査の概要を参照してください。

  • Oracle Database監査ポリシーを構成します。詳細は、監査ポリシーの構成を参照してください。

監査を構成すると、次のことを実行できます:

  • アクションの信頼性を高めます。これには特定のスキーマ、表または行で実行中のアクション、または指定されたコンテンツに影響するアクションが含まれます。

  • アカウンタビリティに基づいて、ユーザー、または侵入者などの他のユーザーによる不適切なアクションを防止します。

  • 疑わしいアクティビティを調査します。たとえば、ユーザーがアプリケーションのデータベース資格証明を使用してデータベースにログインしている場合、データベースへの接続を監査することで、ログインがアプリケーション・サーバーからではなくユーザーのワークステーションからのものであることを確認できます。

  • 認可されていないユーザーのアクションを監査人に通知します。たとえば、認可されていないユーザーが表からデータを削除しようとしたときに監査者に通知します。

  • 指定されたデータベース・アクティビティに関するデータを監視および収集します。たとえば、更新中の表に関する統計、失敗したログイン回数、またはピーク時に接続していた同時ユーザー数を収集できます。

  • 認可またはアクセス制御の実装に関する問題を検出します。たとえば、別の方法で保護されているデータを監査するポリシーを作成します。この場合、データは保護されているため、通常は監査レコードは生成されません。しかし、これらのポリシーで監査レコードが生成された場合は、他のセキュリティ制御が正しく実装されていないことがわかります。

  • 監査に関するコンプライアンス要件を遵守します。次のような規制には監査に関連する共通の要件があります。

    • EU一般データ保護規則(GDPR)

    • サーベンス・オクスリー法

    • 医療保険の相互運用性と説明責任に関する法律(HIPAA)(Health Insurance Portability and Accountability Act)

    • 国際業務を行う銀行の自己資本比率に関する国際統一基準: 改定版(バーゼルII)(International Convergence of Capital Measurement and Capital Standards: a Revised Framework)

    • 日本プライバシーポリシー

    • 欧州連合のプライバシと電子通信に関する指令(European Union Directive on Privacy and Electronic Communications)

Autonomous Databaseの監査データ

Autonomous Databaseは、監査データを保護し、その監査証跡をUNIFIED_AUDIT_TRAILデータ・ディクショナリ・ビューに書き込みます。

監査データをAutonomous Databaseに格納する基礎となる表は、AUDSYS.AUD$UNIFIEDです。この表は保護されており、ユーザーによるDML/DDL操作の実行または表のパージを許可していません(これらのアクションを実行しようとすると、監査レコードが自動的に生成されます)。監査レコードが書き込まれた後に許可される唯一のアクティビティは、ADMINユーザーによるPURGEの実行です。ADMINには、PURGEの実行に必要なAUDIT_ADMINロールがあります。AUDIT_ADMINロールを別のユーザーに割り当てると、そのユーザーもPURGEを実行できるようになります。

使用する監査ポリシーの数とタイプ、およびアクティビティの量によっては、時間とともに監査証跡が増大して大量のストレージが使用される可能性があります。Autonomous Databaseには、監査データに必要なストレージを制限するために次の方法が用意されています:

  • 各Autonomous Databaseインスタンスは、自動パージ・ジョブを1日に1回実行して、14日より古いすべての監査レコードを削除します。

  • AUDIT_ADMINロールを持つユーザーは、DBMS_AUDIT_MGMT.CLEAN_AUDIT_TRAILプロシージャを使用して監査レコードを手動で削除できます。詳細は、DBMS_AUDIT_MGMTを参照してください。

14日より長い監査データ保存期間が必要な場合は、Oracle Data Safeを使用して監査データを保存します。詳細は、Autonomous DatabaseでのOracle Data Safeを使用した監査レコード保持の延長を参照してください。

Autonomous Databaseは、Oracle Cloud Infrastructure Operationsチームによってデータベースで実行されたすべての操作を監査および記録します。操作アクティビティを監査する方法の詳細は、Oracle Cloud Infrastructure操作アクションの表示を参照してください。

Autonomous Databaseのデフォルトの監査ポリシー

Autonomous Databaseには、データベース上のアクティビティを追跡、モニターおよび記録する監査機能があります。

デフォルトでは、Autonomous Databaseは監査ポリシーを適用して次のデータベース・アクティビティを監査します:

  • Oracle Cloud Operationsによるすべてのアクティビティ

  • データベースへのすべてのログイン失敗

  • すべてのパスワード変更

  • プロシージャの作成または変更試行

  • パッケージ内のプロシージャを含む特定のプロシージャの実行: ネットワークに接続するUTL_HTTPまたはUTL_SMTP

また、次のいずれかを使用して追加の監査ポリシーを適用できます:

Autonomous DatabaseでのOracle Data Safeの登録

Oracle Data Safeを使用して、データベース・ユーザーや管理ユーザーに監査ポリシーを適用したり、事前定義された監査ポリシーを適用したり、Autonomous Databaseインスタンスの監査データ・レコード保持を延長します。

次のように、Autonomous DatabaseインスタンスをOracle Data Safeに登録します:

  1. Oracle Cloud InfrastructureコンソールからAutonomous Databaseインスタンスにアクセスします。
    1. Oracle Cloudの横にあるナビゲーション・アイコンをクリックして、Oracle Cloud Infrastructureコンソールを開きます。
    2. Oracle Cloud Infrastructureの左側のナビゲーション・メニューで「Oracle Database」をクリックし、ワークロードに応じて「Autonomous Data Warehouse」、「Autonomous JSON Database」または「Autonomous Transaction Processing」のいずれかをクリックします。
    3. 「Autonomous Database」ページで、「表示名」列の下のリンクからAutonomous Databaseを選択します。
  2. Autonomous DatabaseインスタンスをOracle Data Safeに登録します。
    1. 「Autonomous Databaseの詳細」ページの「データ・セーフ」で、「登録」をクリックします。
      adb_data_safe_register.pngの説明が続きます
    2. 「データ・セーフにデータベースを登録します」ダイアログで、「確認」をクリックします。

    Data Safeのステータスには登録中と表示されます。このステップには約15から20分かかります。

Oracle Data Safeの登録後、データ・セーフのステータスには「登録済」と、「表示」および「登録解除」の2つのリンクが表示されます。

「表示」をクリックして、データ・セーフ登録データベースの詳細ページを表示します。

「登録解除」をクリックして、Oracle Data Safeを無効にします。

Autonomous DatabaseでのOracle Data Safeを使用した監査レコード保持の延長

Oracle Data Safeを使用して、監査データ・レコードの保存期間を指定した月数に延長します。

まず、Autonomous DatabaseインスタンスをOracle Data Safeに登録します。詳細は、Autonomous DatabaseでのOracle Data Safeの登録を参照してください。

Autonomous Databaseインスタンスが登録された後、Data Safeの保存期間を指定できます。

詳細は、ターゲット・データベースの保持期間の更新を参照してください。

Autonomous DatabaseでのOracle Data Safe監査証跡の表示および管理

データ・セーフでは、監査データを取得する場所を定義したり、Autonomous Database監査レコードを収集するために監査証跡を使用します。登録プロセス中に、Oracle Data Safeによって監査証跡が検出され、監査証跡リソースが作成されます。

Oracle Data Safeでは、「監査証跡」ページにリソースがリストされます。「監査証跡」ページにアクセスするには、データ・セーフの「セキュリティ・センター」で「アクティビティ監査」をクリックし、「関連リソース」の下の「アクティビティ監査」ページで「監査証跡」をクリックします。いつでも新しい監査証跡を検出でき、必要に応じてOracle Data Safeの監査証跡リソースを削除できます。

まず、Autonomous DatabaseインスタンスをOracle Data Safeに登録します。詳細は、Autonomous DatabaseでのOracle Data Safeの登録を参照してください。

Autonomous Databaseが停止または再起動すると、次のようになります:

  • 監査証跡が再試行状態に切り替わり、データ・セーフは4時間再接続を複数回試行します。監査証跡の「収集状態」フィールドには、「RETRYING」と表示されます。

    この場合、Autonomous Database (ターゲット・データベース)が起動すると、監査証跡が自動的に再開されます。

  • 4時間後、監査証跡は停止状態に切り替わります。「監査証跡」の「収集状態」フィールドには、STOPPED_NEEDS_ATTNと表示されます。

    この場合、Autonomous Database (ターゲット・データベース)が起動し、監査証跡収集状態がSTOPPED_NEEDS_ATTNの場合は、監査証跡を手動で再開できます。

また、監査証跡は手動で停止または削除することもできます。監査証跡を削除しても、すでに収集された監査レコードは削除されません。それらのレコードは、保持期間に達するまでデータ・セーフ内に残ります。

詳細は、監査証跡の表示および管理を参照してください。

Autonomous DatabaseでのOracle Data Safeを使用した監査ポリシーの表示および管理

Oracle Data Safeを使用して、Autonomous Databaseインスタンスの監査ポリシーを設定します。

まず、Autonomous DatabaseインスタンスをOracle Data Safeに登録します。詳細は、Autonomous DatabaseでのOracle Data Safeの登録を参照してください。

Autonomous Databaseインスタンスが登録された後、Oracle Data Safeにアクセスして監査ポリシーを設定します。

詳細は、監査ポリシーの表示および管理を参照してください。

Autonomous DatabaseでのData Safeを使用した監査レポートの生成

データ・セーフには、デフォルトの監査データ・レポートが含まれており、必要に応じてカスタム・レポートを作成できます。

Oracle Data Safeを有効にして登録し、Autonomous Databaseインスタンスから監査データを収集するための証跡を追加した後、レポートを使用してデータベースのアクティビティを監視できます。

詳細は、監査レポートの表示および管理を参照してください。