oracle audit vault and database firewall...1：oracle audit vault and database firewall...

Oracle Audit Vault and Database Firewall テクニカル・ホワイト・ペーパー Oracleホワイト・ペーパー | 2018年3月

Oracle Audit Vault and Database Firewallテクニカル・ホワイト・ペーパー

目次

目次 ............................................................................................................................................................0

はじめに ....................................................................................................................................................2

Oracle Audit Vault and Database Firewall の概要 ..............................................................................3

監査と監視の概要 ....................................................................................................................................3

Oracle Audit Vault Server .......................................................................................................................5

Oracle Database Firewall........................................................................................................................6

ホワイト・リスト・ポリシーの実施 ............................................................................................6

ブラック・リスト・ポリシーの実施 ............................................................................................7

例外リスト・ポリシーの実施 ........................................................................................................7

不正な SQL への対応 .......................................................................................................................7

レポート ....................................................................................................................................................8

コンプライアンス・レポート ........................................................................................................8

アクティビティ・レポート ............................................................................................................9

サマリー・レポート ........................................................................................................................9

エンタイトルメント・レポート ................................................................................................. 10

ストアド・プロシージャ監査レポート ..................................................................................... 10

アラートと通知 ..................................................................................................................................... 11

スケーラビリティとセキュリティ ..................................................................................................... 12

柔軟なデプロイメント・オプション ................................................................................................. 13

Database Firewall ネットワークのデプロイ ............................................................................ 13

監査エージェントの展開 ............................................................................................................. 14

ポリシーの作成と管理 ................................................................................................................. 14

Oracle Audit Vault and Database Firewall のハイブリッド・クラウド・デプロイメント ....... 15

カスタム監査収集プラグイン ............................................................................................................. 16

サード・パーティ製ソリューションとの統合.................................................................................. 16

結論 ......................................................................................................................................................... 17

2 | Oracle Audit Vault and Database Firewallテクニカル・ホワイト・ペーパー

はじめに

サイバー攻撃やプライバシー法、米国サーベンス・オクスリー法（SOX）やクレジットカード

業界のデータ・セキュリティ標準（PCI-DSS）のような広く知られた規制により、情報保護は企

業において最優先事項の 1 つに位置付けられています。また、各国および各業界で進む新たな

規制の採択を背景に、いまやデータ保護は避けて通れない課題となっています。たとえば、EU

圏内のすべての個人のためにデータ保護を強化、統合することを目的に発効された EU の一般

データ保護規則（GDPR）では、厳密なデータ保護コンプライアンスを義務付けています。

政府機関や学術機関により実施されたさまざまな研究および調査では、かなりの割合のデータ

侵害が、SQL インジェクションや盗み取った資格証明の悪用、またはシステム（および必然的

にそのデータ）への正当なアクセス権を持つ内部関係者により犯されていると結論付けていま

す。サーバーにあるデータのセキュリティ確保には、予防的、発見的、および管理的統制を網

羅する技術的機能と管理的機能の両方を巻き込んだ高度な防御手段が必要です。

信頼するが検証もする、という原則は、ホストやデータベースへの直接アクセス権を持つ特権

ユーザーだけでなく、データベースにアクセスするアプリケーションにも適用されます。今日

のアプリケーションの大半が、Oracle データベースであっても Oracle 以外のデータベースで

あっても、データベースとの通信に単一の特権ユーザー・アカウントを使用して、信頼のおけ

るユーザーとして実行されているからです。このようなアプリケーション・アーキテクチャと、

SQL インジェクションや特権ユーザー・アカウント経由によるデータベース攻撃数の増加が相

まって、発見的統制の導入が、多層防御セキュリティ戦略全体の極めて重要な要素となってい

ます。GDPR などの新しい多くの規制では、主要なセキュリティ要件の 1 つに発見的コント

ロールが定められています。GDPR では、個人データに対するアクティビティの監査を義務付

けるだけにとどまらず、こうした記録を保護された環境で一元的に管理するよう勧告していま

す。監査と監視は、異常の検出において重要な役割を果たすと同時に、データ侵害時のフォレ

ンジック分析にも有効です。

監視ソリューションを展開する場合、収集される情報の質と精度は、ターゲット・システムの

アクティビティに対するソリューションの可視レベルに依存することに注意してください。ま

た、個々のシステムに関連するリスクを理解し、これらのシステムでのアクティビティに必要

な可視レベルを判断することも重要です。このコンセプトは、ビルの玄関にあるカメラや警備

員の役割にたとえてみるとよく分かるでしょう。どちらもビルに入ってくるものを確認するこ

とができて、片方はビルに入るものを止められます。しかし、どちらもビルの中で起きたこと

のすべては把握できていません。このたとえで、ビルをデータベースとすると、カメラまたは

警備員はデータベースに到達するまで SQL 文を監視できますが、この SQL 文がデータベース

の内部で実行された後で何が起こるかを判断することは難しい問題です。ストアド・プロシー


ジャにより起動される再帰的 SQL、動的 SQL、特権ユーザーによる操作、スケジュールされた

ジョブ、トリガーの実行、アプリケーション・ユーザー名や、"処理前"と"処理後"のデータ値

はすべて、データベースの外からはほとんど見えないが、データベース内の監査システムには

確認できる情報の例です。つまり、監視の価値は、使用できるレポート機能や警告機能と同様

に、収集される情報のレベルと質にも直結しています。

Oracle Audit Vault and Database Firewallの概要

Oracle Audit Vault and Database Firewall は、データベース・システムを監視して保護する包括的で柔軟なソリューションです。Oracle Audit Vault Server コンポーネントは、Oracle データベースやOracle 以外のデータベースから得られた監査データと、オペレーティング・システム、ディレクトリ、ファイル・システムおよびアプリケーション固有の監査データを統合します。それと並行して、Oracle Database Firewall はネットワーク上でデータベース防御の最前線として機能し、アプリケーションに期待される動作を実行させる一方、SQL インジェクション、アプリケーション・バイパスなどの悪意のあるアクティビティがデータベースに到達しないように阻止します。また、Oracle Audit Vault and Database Firewall は、無数のデータベースの監査データを統合すると同時に SQL トラフィックを監視し、不正な SQL 文やポリシーに違反している SQL 文がないか見張り、警告し、阻止します。標準で用意されているレポートとカスタマイズ可能なレポート・インタフェースを組み合わせれば、企業全体のデータベース・アクティビティを、ネットワーク上で検出されたものも監査ログで判明したものも含め、総合的に捉えることができます。Oracle Audit Vault and Database Firewall は、Oracle Database、Microsoft SQL Server、IBM DB2 for Linux, Unix and Windows、SAP Sybase ASE および Oracle MySQL データベースをサポートしています。

図1：Oracle Audit Vault and Database Firewall

監査と監視の概要

監査はこの 10 年間で、コンプライアンスとデータ侵害のフォレンジック分析の両方にとって重要なツールの 1 つとなりました。アクションがデータベース、ディレクトリ、オペレーティング・システムのどれで生成されたかに関係なく、監査レコードには、これらのアクションが明確に記録されます。イベントのコンテキスト（IP アドレスの開始、イベント時間、実際の SQL 文など）を伴う、


イベント・タイプ（表の作成、表の削除、プロシージャの作成、表の切り捨て、選択、挿入、更新、削除）などの情報は、コンプライアンスやフォレンジック・レポートで一般に必要とされる監査情報の数例にすぎません（図 2 を参照）。Oracle Audit Vault and Database Firewall は、データベース、オペレーティング・システム、ファイル・システム、ディレクトリから取得した監査情報を統合、報告し、アラートを表示します。

図2：Oracle Audit Vault and Database Firewallで管理される監査ログ・エントリの例

監視には、監査データを生成する開始イベント（SQL 文）の調査が含まれます。SQL トラフィックの監視はデータベースの外部で行われるため、Database Firewall は、イベントを許可、修正、ブロック、または警告する必要があるかどうかを判断できます。図 3 は、SQL インジェクションの試行がブロックされたことを示すレポートの例です。

図3：Database FirewallのSQL監視


Oracle Audit Vault Server

Oracle Audit Vault Server は高度にスケーラブルでセキュアな集中型リポジトリです。ここには、統合された監査データや Oracle Database Firewall で生成されたイベント・ログが格納されます。Oracle Audit Vault Server は、データ統合、レポート作成、アラート通知およびポリシー管理に使用される集中型プラットフォームです。監査データは軽量エージェントを使用してターゲット・システムから送信され、必要に応じて、ターゲット・システムから削除されます。Oracle Audit Vault Server は、あらゆるデータベース・ソースの監査情報を統合できます。監査対象を Oracle データベースおよび Oracle 以外のデータベース上のアプリケーション表/ファイルなどカスタム・ソースにまで広げ、カスタム監査データをログに記録することも可能です。図 4 に示すとおり、レポート・データは複数のデータベースにまたがり、ターゲット・システムとネットワークから取得した情報を保持しています。

図4：ネットワーク・ログ、データベース監査ログおよびOSイベント・ログの統合レポート

監査データの収集対象となる保護されたターゲットは、Audit Vault Server コンソールで構成します（図 5）。このコンソールは、Oracle Database Firewall ポリシーの管理、監査ポリシーのカスタマイズ、レポートのスケジュール設定とカスタマイズ、レポート認証の設定およびアラートの構成にも使用します。


図5：保護されたターゲットが表示されているAudit Vaultコンソール

Oracle Database Firewall

Oracle Database Firewall は、データベースの外側でインバウンドの SQL トラフィックを監視するネットワーク監視コンポーネントで、SQL インジェクション攻撃など不正な SQL 文に対する防御の最前線として機能します。また、データ・アクセスの監視、アクセス・ポリシーの実行、異常のハイライトを行うことで、組織の内外から仕掛けられるネットワークベースの攻撃から保護する役割も担います。従来の SQL ファイアウォールは正規表現を使用したポリシー外 SQL の特定に依存していましたが、Oracle Database Firewall は、必要なスケーラビリティ、精度を提供し、管理をシンプルにする洗練された文法解析エンジンを使用して、ポリシーを実行します。

組織は、Oracle Database Firewall を、データベース資産保護のためにアクティブ監視モードにしてデプロイするか、想定外のアクティビティや、コンプライアンス要件対応のための補助監査をセキュリティ担当者に知らせるためにパッシブ監視モードにしてデプロイするかを選択できます。パッシブ監視モードでは、Oracle Database Firewall によりデータベース・トラフィックが監視され、SQL のやり取りが分析されます。Oracle Database Firewall からの情報は Audit Vault Server のログに記録されるため、データベース、オペレーティング・システムおよびディレクトリから得られた監査情報に加え、ネットワークで検出された情報もレポートに盛り込むことができます。

アクティブ監視モードでは、Database Firewall はアプリケーション層ファイアウォールとして、データベース・クライアントから出力された SQL トラフィックを透過的に傍受し、TCP パケット内の SQL ペイロードのセキュリティを解析してから、これをデータベースに転送します。SQL インジェクションを含む攻撃は、受信 SQL と承認されたアプリケーション SQL のホワイト・リストを比較することでブロックできます。ポリシーに基づくホワイト・リスト、ブラック・リスト、および例外リストのサポートにより、デプロイメントの柔軟性が大幅に高まります。

ホワイト・リスト・ポリシーの実施ホワイト・リスト・ポリシーは、承認された SQL 文セットとともに、ユーザー名、IP アドレス、時刻、プログラム名などの SQL 文が実行されたときの条件を使用してセキュリティを確保します。Database Firewall は、SQL トラフィックと承認されたホワイト・リストを比較し、このポリシーに基づいて、SQL 文のアラート、置換、またはブロックを選択します。承認された SQL またはホワイト・リストは、データベース・トラフィックの監視を続けることにより、時間をかけて学習された


ものです。ホワイト・リストの確立に必要な監視期間は、アプリケーションやビジネス・サイクルによって異なります。

ブラック・リスト・ポリシーの実施ホワイト・リストをベースとした肯定的なセキュリティ実施モデルに加えて、Database Firewall は特定の SQL 文をブロックするブラック・リスト・モデルもサポートしています。ホワイト・リスト・ポリシーと同様、ブラック・リスト・ポリシーも意思決定の前に、ユーザー名、IP アドレス、時刻、プログラムなどさまざまな要因を評価できます。

例外リスト・ポリシーの実施例外リスト・ポリシーでは、特定のアクティビティに対してカスタム・バイパス・ポリシーを作成でき、ホワイト・リスト・ポリシーやブラック・リスト・ポリシーより優先されます。たとえば、例外リスト・ポリシーを使用して、ホワイト・リストやブラック・リストにとらわれることなく、あらかじめ決められた IP アドレスからアクセスしてきた特定のリモート管理者が特定のアプリケーション・パフォーマンスの問題を診断できるようにすることができます。

不正なSQLへの対応 Oracle Database Firewall は、保護されたデータベース・ターゲットへの SQL トラフィックを監視し、分析およびレポート用のトラフィック・ログを作成し、ファイアウォール・ポリシーに従ってアクションを実行します。不正な SQL 文を検出すると、ポリシーに基づいて次のいずれかの方法（または複数の組合せ）により対処します。

» ポリシーに違反している SQL 文に対するアラートを通知

» SQL 文をブロックして次のいずれかのアクションを実行：

» SQL のブロック後に何もしない。エンドユーザーが実際にはどのような体験をするかは、サーバーが応答しない場合にアプリケーションがどのような対応をするかによって異なります。

» ポリシーに違反している SQL 文を、データを何も返さないかエラーを返す無害な新しい文で置換（次の表 1 を参照）。この場合、最善のエンドユーザー・エクスペリエンスが提供され、アプリケーションの実行を継続できます。

» クライアントへの接続を切断。この場合、その接続によるデータベースへのすべてのトラフィックがブロックされます。これは、アクションとしてもっとも積極的であり、アプリケーションが接続プールを使用している場合は、そのプールを使用しているすべてのユーザーに影響が及びます。

表1：Oracle Audit Vault and Database FirewallによるSQL文の置換例


レポート

Oracle Audit Vault and Database Firewall のレポートは、データベース・サーバーに対する特権ユーザーのアクティビティ、データベース構造の変更、ネットワーク上のインバウンド SQL 文など、幅広いアイクティビティの監視に役立てることができます。データベース、オペレーティング・システムおよびディレクトリの統合監査情報に基づくレポートでは、企業におけるアクティビティの全体像を把握できます。さらに、レポートには、データベース・アカウント管理、ロールや特権、オブジェクト管理、ストアド・プロシージャの変更などの情報も含まれます。

監査者は、Web インタフェースを通して対話的にレポートにアクセスできます。また、PDF 形式やXLS 形式のレポート・ファイルも利用できます。このコンソールの使いやすい対話型のブラウザはOracle Application Express テクノロジーに基づき、色分けされた図表の作成機能を備えています。レポート列に対してソート、フィルタ、位置の変更、追加、削除を実行することができます。疑わしいアクティビティや不正なアクティビティをユーザーがすばやく見つけられるようにするために、ルールを使用して、特定の行を自動的にハイライトすることができます。PDF 形式および XLS 形式のレポートの定義では、レポートの自動生成をスケジュールできます。生成されたレポートは、電子メールの添付ファイルまたは URL として配信できます。また、複数の監査者の認証を要求するように定義することも可能です。ユーザーは Oracle BI Publisher を使用して、PDF や XLS 形式のレポート・テンプレートを新たに作成またはカスタマイズし、特定のコンプライアンス要件やセキュリティ要件を満たすことができます。

Oracle Audit Vault Server は、Oracle Database のインメモリ機能を利用してレポートの生成を効率化することにより、パフォーマンスを最適化します。また、選択された日付範囲に基づいて監査データがメモリに格納されるため、レポートの実行を高速化できます。さらに、Oracle Audit Vault Server のリポジトリ・スキーマは文書化されているため、サード・パーティ製レポート・ソリューションとの統合も可能です。

コンプライアンス・レポート標準で付属している監査評価レポートは、クレジットカード業界のデータ・セキュリティ標準（PCI-DSS）、グラム・リーチ・ブライリー法（GLBA）、医療保険の相互運用性と説明責任に関する法律（HIPAA）、米国サーベンス・オクスリー法（SOX）、EU データ保護指令（DPA）など標準的な規制に対応しやすくするように分類されています。


図6：Oracle Audit Vault and Database Firewallの組込みコンプライアンス・レポート

アクティビティ・レポートアクティビティ・レポートは、失敗したログイン、アプリケーション表への変更、データベース・スキーマの変更、ユーザー・エンタイトルメントなどのトピックをカバーしています（図 7 を参照）。たとえば、ユーザーが DROP や ALTER などのデータ定義言語（DDL）SQL 文を実行するたびに監査する場合は、事前構築された"データベース・スキーマの変更レポート"で特定ユーザーの行をハイライトし、個々のイベントの詳細までドリルダウンします。また、すべての監査イベントの概要を取得し、ターゲット・システム、ユーザー、操作、時刻などを基準に監査イベントをフィルタすることもできます。

図7：Oracle Audit Vault and Database Firewallの組込みアクティビティ・レポート

サマリー・レポートこのレポート・グループは、サマリー・レポート、トレンド・チャートおよび異常レポートで構成されています（図 8）。これらのレポートを分析ツールとして使用すると、保護された特定のターゲットに対するユーザー・アクティビティまたはデプロイメント環境全体のユーザー・アクティビティの特徴をすばやく確認できます。サマリー・レポートでは、個々のユーザーにより生成されたイベントや特定のクライアント IP アドレスから開始されたイベントなど、さまざまなタイプのイベントの発生が統計的に捉えられます。トレンド・チャートには、全体的なイベントの傾向の他、特定のユーザー、クライアント IP および保護されたターゲットに基づく傾向がグラフィカルに示され


ます。異常レポートでは、新規および休止状態のユーザーおよびクライアント IP の異常がハイライトされます。

図8：Oracle Audit Vault and Database Firewallの組込みサマリー・レポート

エンタイトルメント・レポートエンタイトルメント・レポートでは、Oracle データベースに対するユーザーのアクセス権のタイプが表示され、ユーザー、ロール、プロファイルおよび使用された権限に関する情報を確認できます。このようなレポートは、データへの不必要なアクセスの追跡、重複する権限の検出、権限の付与の簡素化に役立ちます。エンタイトルメント・スナップショットの生成後、さまざまなスナップショットを比較し、時間の経過に従って、エンタイトルメント情報がどのように変化したかを確認できます。これは、承認済みのデータベース・エンタイトルメント基準からの逸脱を特定する上で特に役立ちます。

ストアド・プロシージャ監査レポート多くの組織で、ストアド・プロシージャは多くのアプリケーションのアプリケーション・ロジックの大半を構成します。これには、SQL インジェクションなどの悪意のある攻撃につけこまれる恐れのある欠陥が含まれる可能性があります。ストアド・プロシージャは、ジョブを自動化、またはセキュリティを強化するための手段として DBA が作成することがよくあります。このようなストアド・プロシージャは一度定義されたら、改ざんされないようにすることが重要です。Oracle Audit Vault and Database Firewall を使用すると、保護されたターゲット・データベース上のストアド・プロシージャに対するあらゆる変更を監視できます。Oracle Audit Vault and Database Firewall は、保護されたターゲット・データベースにスケジュールされた間隔で接続し、ストアド・プロシージャに対して行われた変更や追加をすべて検出します。ストアド・プロシージャ監査レポートには、すべてのストアド・プロシージャ操作、削除および作成されたプロシージャ、修正履歴が表示されます。


図9：Oracle Audit Vault and Database Firewallのストアド・プロシージャ監査レポート

アラートと通知

Oracle Audit Vault and Database Firewall には、不正アクセスやシステム権限の乱用が試みられたことを示すアクティビティを検出し、アラートを通知する機能があります。監査レコードが Audit Vault Agent と Oracle Database Firewall のどちらから送信されたものかにかかわらず、監査レコードに対するルールベースのアラートを定義できます。また、ネットワーク・アクティビティに対してアラートを生成するように Oracle Database Firewall ポリシーを構成して、潜在的に悪意のあるアクティビティを早期警告する発見的統制として利用できます。さらに、Audit Vault は、収集したイベントを継続的に監視して、定義されたアラート条件に対してアクティビティを評価します。アプリケーション表の変更、特権ユーザーの作成といったシステム・イベントを含むすべてのデータベース・イベントや、誰かがビジネス上の機密情報にアクセスしようとして、Oracle Database Valut ポリシーによりブロックされたときのイベントをアラートに関連付けることができます。図 9に示すように、しきい値と時間に基づいてアラートを構成することも可能です。たとえば、ログインの失敗が 1 分間に 5 回発生した場合、これは総当たり攻撃を示している可能性があるため、アラートが生成されます。

図10：Oracle Audit Vault and Database Firewallのアラートの定義


Oracle Audit Vault Server のインタフェースには、アラートのサマリーがグラフィカルに表示されます。これには、アラート・アクティビティとアラート数の多かったソースのサマリーが含まれます。このサマリー・グラフをクリックすると、より詳しいレポートへドリルダウンできます。レポート作成のために、アラートをソース、イベント・カテゴリおよび重大度別（警告または重大）にグループ分けできます。また、生成されたアラートの通知方法を指定できます。たとえば、電子メールをセキュリティ責任者などのユーザーや配信リストに自動送信することができます。アラートをsyslog に転送することもできます。この方法は、アラートを別のシステムに統合する場合に便利です。

スケーラビリティとセキュリティ

監査データはビジネス・アクティビティの重要な記録で、レポートと調査の整合性を確保するためにも改ざんから保護する必要があります。Oracle Audit Vault and Database Firewall では、監査データの格納に、オラクルの業界最高レベルのデータベース・テクノロジーに基づくセキュアなリポジトリが使用されます。また、不正アクセスや改ざんを防ぐため、監査データやイベント・データはあらゆる段階で暗号化して送信され、格納されます。ソース・システムから Audit Vault Server への監査データのタイムリーな送信では、監査データを変更して形跡を残さないようにしようとする侵入者に対して道を閉ざすことが重要です。Oracle Audit Vault and Database Firewall は、ほぼリアルタイムに監査データを送信するように構成できます。

リポジトリは、圧縮、パーティション、暗号化、特権ユーザーの制御を含むさまざまな Oracle テクノロジーを搭載した、組込みの Oracle Enterprise Edition データベース上に構築されます。最適化された統合データのストレージでは、圧縮の使用が特に重要です。これらのテクノロジーと Oracle Enterprise Edition 12c データベースを組み合わせることにより、高度なスケーラビリティと優れた可用性、強力なセキュリティを兼ね備えたリポジトリが実現されます。

単一の Oracle Audit Vault and Database Firewall を、数百の Audit Vault Agent や Oracle Database Firewall をサポートするように拡張できます。また、それぞれの Audit Vault Agent および Oracle Database Firewall で複数の監査証跡と何百ものデータベースをホストできます。このようなシステム全体の構成、デプロイメントの監視、Oracle Database Firewall や Audit Vault Agent の起動とシャットダウン、Oracle Database Firewall の高可用性操作の構成、バックアップおよびリストア操作の管理は、管理者用の統合コンソールから行えます。

Oracle Audit Vault Server インタフェースでサポートされるユーザーは、監査者と管理者の 2 つのカテゴリに大きく分類されます。監査者は、監査ポリシーと監視ポリシーを構成する他、監査レポートやアラートの定義、生成およびアクセスを行います。管理者は、保護されたターゲットのネットワークおよびホストの基本設定の構成、Audit Vault Agent と Oracle Database Firewall の起動と停止、Oracle Audit Vault Server の動作の構成と監視を行います。管理者は、監査情報に対するアクセス権を持ちません。この 2 つのロール・カテゴリ内で、さらに役割を分割することができます。保護された資産をさらに分け、監査者や管理者それぞれに割り当てることにより、リポジトリを 1 つデプロイして、複数の組織、子会社、地理的領域にまたがる企業全体を確実にサポートできるようにします。きめ細かい認可は、情報がプライバシー規制や免責条項の要件のそれぞれ異なる複数の国で使用される可能性がある場合に特に重要になります。


柔軟なデプロイメント・オプション

Database Firewallネットワークのデプロイ Oracle Database Firewall は、データベース・クライアント/アプリケーション・サーバーと保護対象のデータベースの間にあるネットワーク・セグメントに挿入するだけで、透過的なネットワーク・ブリッジとしてデプロイできます（図 11）。この'インライン'ブリッジ・アーキテクチャでは、データベース・クライアントやアプリケーション、データベース自体の構成変更は必要なく、アクティブ監視とパッシブ監視の両方を柔軟に行えるようになります。Oracle Database Firewall をネットワークの tap ポートまたは span ポートにデプロイして、データベース・アクティビティを受動的に監視することも可能です。

ネットワーク・ブリッジの追加が難しい場合、またはデータベース・サーバーが地理的に離れた場所にある場合は、Oracle Database Firewall をプロキシとして構成し、データベース・サーバーへのすべてのトラフィックがこのファイアウォールを経由してルーティングされるようにすることもできます。このデプロイメント・モードでは、データベース・クライアントまたはアプリケーションのデータベース・サーバーIP アドレス/ポートを Oracle Database Firewall プロキシの IP アドレス/ポートに変更し、直接接続を拒否するようにデータベース・リスナーを構成します。または、データベース・トラフィックを Oracle Database Firewall プロキシ・ポートにリダイレクトするようにエンタープライズ・ネットワーク・スイッチや従来のファイアウォールを構成することもできます。これにより、データベース・クライアントやアプリケーションを変更せずに、SQL トラフィックを保護できます。データベース・ファイアウォールは、一部のデータベースにとってはトランスペアレント・ブリッジとして、その他のデータベースにとってはプロキシとして動作します。

Oracle Database Firewall は、ローカル・サーバー側で監視のみ行うエージェントのデプロイメントをサポートしているため、ネットワークのトラフィック監視ポイントを柔軟に選択できます。Audit Vault Agent に含まれるホスト・モニターは、データベース・サーバーに到達する SQL トラフィックを捕捉し、Oracle Database Firewall へ安全に転送します。この機能は、Linux、Oracle Solaris および Windows プラットフォームで実行されているデータベース・サーバーのリモート監視に使用できます。


図11：Oracle Audit Vault and Database Firewallのデプロイメント

監査エージェントの展開 Audit Vault Agent は、Oracle データベースや Oracle 以外のデータベース、オペレーティング・システム、ディレクトリなど、さまざまなソースから監査データを収集します。Audit Vault Agent には、保護された特定のターゲットから監査データを収集する収集プラグインが含まれています。Audit Vault Agent は、ターゲット・システムにパッケージ・ファイルとして配布されます。配布後は、追加で手動構成や更新を実行する必要はありません。Oracle データベース SE または EE では、エージェントの動作は、監査の構成に左右されません。たとえば、オペレーティング・システムまたはデータベースに監査データを書き込むように監査を構成できます。さらに、Oracle データベースでは、エージェントは、トランザクションまたは REDO ログとデータベース・エンタイトルメント情報を使用して、特定のフィールドの"前"と"後"の値を統合できます。

ポリシーの作成と管理 Oracle Database Firewall ポリシーは、システム・コンソールで一元管理します。ユーザーは、指定されたデータベースに対して、SQL 文のホワイト・リストやブラック・リスト、例外リストを定義できます。Oracle Database Firewall では一定期間に取得されたすべての SQL 文が分析されるため、その結果を基に適切なポリシーを作成できます。ファイアウォール・ポリシーでは、ユーザー名やIP アドレス、クライアント・プログラム、時刻などの要素を SQL 文のポリシーに関連付けることもできます。

Oracle Audit Vault and Database Firewall では、Oracle データベースの監査設定を一元的に定義し、プロビジョニングできます。これにより、内部監査者と IT セキュリティは両方ともより簡単に、企業全体で監査設定を管理し、外部監査者に対してコンプライアンスと繰り返し可能な統制を示すことができるようになります。


Oracle Audit Vault and Database Firewallの

ハイブリッド・クラウド・デプロイメント

クラウドの導入が急速に進む中、企業は、オンプレミスとクラウドの両方でデータベースを運用している状況にあります。クラウド・データベースのリスク・プロファイルはオンプレミス・データベースとは異なります。他の管理者によって管理されているか、ネットワーク保護メカニズムが異なることがあるからです。データベースがオンプレミスとクラウドのどちらにあっても、データベース・アクティビティの監視が重要なセキュリティ管理手段であることには変わりありません。

オンプレミスとクラウド双方のデータベース・ターゲットに対してオンプレミスのセキュリティおよび監査インフラストラクチャを使用すると、一貫性のあるポリシー、統一されたレポート、共通のアラート管理など、多くの利点が得られます。ハイブリッド・クラウド・デプロイメント環境では、オンプレミスの Audit Vault Server により、オンプレミスのデータベースとクラウドのデータベース・インスタンスの両方から監査データが収集されます。クラウド・サービスが永続的にネットワーク接続されていれば、Oracle Audit Vault and Database Firewall を活用できます。図 12 に示す例は、ハイブリッド・クラウド環境で Oracle Database Cloud Service（Oracle DBCS）インスタンスからどのように監査ログが収集されるかを示しています。オンプレミス・エージェントは、暗号化されたチャネルを介して DBCS インスタンスから監査データを取得し、オンプレミスの Audit Vault Server に送信します。DBCS インスタンスで適切なポートを開いておく必要はありますが、オンプレミス側でその他のネットワークの変更を行う必要はありません。

図12：Oracle Audit Vault and Database Firewallのハイブリッド・クラウド・デプロイメント


カスタム監査収集プラグイン

開発者やサード・パーティ・ベンダーは、カスタム収集プラグインを構築し、データベース表やXML ファイルの形式で監査データが保存されている新しいセキュアなターゲット・タイプや新しい監査証跡から監査データを収集することができます。セキュアなターゲット・タイプとは、リレーショナル・データベース、オペレーティング・システム、中間層システム、エンタープライズ・アプリケーションのことです。コーディングは必要ありません。これは、収集する監査データと、データベース表または XML ファイルに監査データを格納するかどうかを記述するテンプレートベースの XML マッパー・ファイルを簡単に定義できるからです。

サード・パーティ製ソリューションとの統合

Oracle Audit Vault and Database Firewall は、アラートを電子メールまたは syslog で送信するように構成できます。これらのアラート・メッセージの内容と書式はすべてカスタマイズできます。監査者が定義できるメッセージ・テンプレートの数に制限はなく、そのテンプレートをさまざまなアラート定義に適用できます。これにより、サード・パーティ製のエンタープライズ監視および分析ソリューションを容易に統合できます。サード・パーティ製ソリューションとして、たとえば、さまざまなソースからのメッセージを記録、分析、管理するための集中管理システムである HP ArcSight Security Information Event Management（SIEM）があります。ArcSight SIEM と統合した場合、Oracle Audit Vault Server により、Oracle Audit Vault Server および Oracle Database Firewall の両方のコンポーネントから ArcSight SIEM システムにメッセージが転送されます。

ArcSight SIEM を Oracle Audit Vault and Database Firewall に統合する場合に、追加のソフトウェアをインストールする必要はありません。Audit Vault Server コンソールを使って統合を構成します（図 13）。ArcSight SIEM 統合を有効にすると、設定が即座に反映されます。Audit Vault Server を再起動する必要はありません。

図13：Oracle Audit Vault and Database FirewallとHP ArcSight SIEMの統合


結論

Oracle Audit Vault and Database Firewall により、組織は、ネットワーク上やデータベース内部のデータベース・アクティビティを積極的に監視し、SQL インジェクションの脅威から保護し、監査データをセキュアでスケーラブルなリポジトリに統合し、またレポート作成の自動化によって監査およびコンプライアンス業務を支援することにより、セキュリティを強化できます。広範囲にわたるレポート作成およびアラート機能により、監査者やセキュリティ担当者は、潜在的に悪意のあるアクティビティに関する詳細な情報や早期警戒アラートにアクセスできるようになります。さまざまなオペレーティング・システムやディレクトリ・サービスから取得した監査データの統合が標準でサポートされているため、データベースより先にあるソースも監視できます。拡張可能なプラグイン・アーキテクチャにより、収集フレームワークにカスタム監査ソースを追加し、アプリケーション固有の監査データを、リポジトリにあるその他のイベント・データとともに集計し、レポートすることが可能になります。Oracle Audit Vault and Database Firewall により、Oracle データベースだけでなく Oracle 以外のデータベースに対しても同様に、効果的な発見的統制と予防的統制を実現できます。

Oracle Corporation, World Headquarters

500 Oracle Parkway

Redwood Shores, CA 94065, USA

海外からのお問い合わせ窓口

電話：+1.650.506.7000

ファクシミリ：+1.650.506.7200

C O N N E C T W I T H U S

blogs.oracle.com/oracle

facebook.com/oracle

twitter.com/oracle

oracle.com

Copyright © 2018, Oracle and/or its affiliates.All rights reserved.本文書は情報提供のみを目的として提供されており、ここに記載される内容は予告なく

変更されることがあります。本文書は、その内容に誤りがないことを保証するものではなく、また、口頭による明示的保証や法律による黙示的保証

を含め、商品性ないし特定目的適合性に関する黙示的保証および条件などのいかなる保証および条件も提供するものではありません。オラクルは本

文書に関するいかなる法的責任も明確に否認し、本文書によって直接的または間接的に確立される契約義務はないものとします。本文書はオラクル

の書面による許可を前もって得ることなく、いかなる目的のためにも、電子または印刷を含むいかなる形式や手段によっても再作成または送信する

ことはできません。

Oracle および Java は Oracle およびその子会社、関連会社の登録商標です。その他の名称はそれぞれの会社の商標です。

Intel および Intel Xeon は Intel Corporation の商標または登録商標です。すべての SPARC 商標はライセンスに基づいて使用される SPARC International,

Inc.の商標または登録商標です。AMD、Opteron、AMD ロゴおよび AMD Opteron ロゴは、Advanced Micro Devices の商標または登録商標です。UNIX

は、The Open Group の登録商標です。0318

Oracle Audit Vault and Database Firewall

テクニカル・ホワイト・ペーパー 2018 年 3 月

oracle audit vault and database firewall...1：oracle audit vault and database firewall...

Documents