機密データへのアクセスの監査がよりシンプルかつ正確になりました (2024/06/25)

機密データへのアクセスの監査がよりシンプルかつ正確になりました (2024/06/25)

https://blogs.oracle.com/database/post/auditing-access-to-your-sensitive-data-is-now-simpler-and-more-precise

投稿者:Angeline Dhanarani | Senior Principal Product Manager, Oracle Database Security


機密データは、あなたのクラウンジュエリーとハッカーのお気に入りのターゲットです。Verizonの2023 Data Breach Investigations Reportは、個人データ(PII)が攻撃者の最重要ターゲットであることを示しています。


機密データ・アクセス監査は、機密データへのアクセスおよび変更の可視性を提供する強力な監視メカニズムです。監査は、規制コンプライアンスの実証に役立つだけでなく、データへのアクセスや変更を行うビジネス上の理由がない人にとって主要な抑止力となる可能性があります。従来、機密データ・アクセスの監査は複雑で困難でした。結果として生じる監査ボリュームの収集と格納にかかるコストが、メリットを上回ることがよくあります。


Oracle Database 23aiでは、機密性の高い、より正確で、より効果的な監査アクセスを可能にする、新しい列レベルの監査機能が導入されています。このブログでは、より効率的な監査ポリシーを構築するための新しい列レベルの監査機能を使用して、機密データへのアクセスの監視を開始するのに役立ちます。


機密データへのアクセスを監視するための主要な戦略は次のとおりです。


  • 機密データの把握
  • 機密データへのアクセスの監査
  • 監査証跡の監視



機密データの把握


機密データ・アクセスの監査ポリシーを構成する前に、データベース内にどのような機密情報が含まれているか、どのデータベース表に機密データが含まれているか、および誰がデータにアクセスできるかを把握する必要があります。最初のステップは、機密データの状況を特定して理解することです。


Oracle Data Safe、Oracle Audit Vault and Database Firewall (AVDF)、Oracle Database Security Assessment Tool (DBSAT)、Oracle Enterprise Managerなどの機密データを識別および分類するために、いくつかの機密データ検出ツールを使用できます。次の例では、Data Safe内の機密データ検出によって、HCMアプリケーション・データベース内のHCM1スキーマ内の次の機密データ・ランドスケープが識別されています。

図1: Data Safeでの機密データの検出


場所(スキーマ、表および列)を含む機密データは、機密データ型とともにData Safeで検出され、次に示すように視覚的に表示されます。

図2: Data Safe内の機密データのランドスケープ



機密データへのアクセスの監査


機密データの場所に関する知識に基づいて、機密データへのアクセスおよび更新を監視する監査ポリシーを構築できるようになりました。Oracle Database 23aiでは、表およびビューの個々の列に対するアクションを監査する統合監査ポリシーを作成する機能が導入されています。この機能を使用すると、より正確で集中的な監査ポリシーを構成でき、特定の列の機密データへのアクセスをモニターするのに十分な選択性が監査で保証されます。


たとえば、HCM1のSALARY列に対するUPDATE文を監査する監査ポリシーを次に示します。EMPLOYEES表(図2で機密として検出):


CREATE AUDIT POLICY update_sal_employees

ACTIONS UPDATE(SALARY) ON HCM1.EMPLOYEES;


その後、HCM1のSALARY列に対する更新。EMPLOYEES表は、統合監査証跡で監査レコードとして取得されます。



監査証跡の監視


多くのデータ保護規則では、機密データ・アクセスの継続的な監視を組み込んで、異常または異常なアクティビティを検出することをお薦めします。Data Safeでの監査収集の開始時に、次に示すようなレポートによって、Oracle Databasesのフリート全体の機密データ・アクセスがほぼリアルタイムで可視化されます。

図3: Data Safe内の機密データ・アクティビティ・レポート


従来、ファイングレイン監査(FGA)は、Oracle Database内の表またはビューの特定の列の機密データへのアクセスを追跡するために使用されていました。Oracle Database 23ai以降では、監査要件がFGAがまだ必要な次のいずれかのユースケースでないかぎり、FGAではなく列レベルの監査で統合監査を使用する必要があります。


  • 行値に基づいて機密データ・アクセスを監視します。たとえば、HCM1のSALARY列に対するUPDATE文を監査する必要があります。EMPLOYEES表は、SALARY > 5000の場合にのみ表されます。
  • 管理者または他のユーザーに特定のイベントを事前に通知するには、Oracle Database内のイベント・ハンドラ関数と統合する必要があります。たとえば、午前0時に変更できない監査対象列が更新された場合に、セキュリティ管理者に警告します。


Oracle Database 23aiの特定の列へのアクセスをモニターし、監査エントリを確認するための監査ポリシーの構成のデモについては、次の図を参照してください。


表およびビューの個々の列に対するアクションをモニターするための監査ポリシーの構成に関するビデオ。



コメント

コメントを投稿

このブログの人気の投稿

Oracle RACによるメンテナンスのためのドレインとアプリケーション・コンティニュイティの仕組み (2023/11/01)

イメージ
Oracle RACによるメンテナンスのためのドレインとアプリケーション・コンティニュイティの仕組み (2023/11/01) https://database-heartbeat.com/2023/11/01/draining-ac-rac/ はじめに Oracle RACは、Oracle Databaseのスケーラビリティと高可用性を提供します。1つのサーバー(RACノード)に障害が発生した場合、またはメンテナンスのためにオフラインになった場合でも、追加のノードを介してデータベースにアクセスできます。ただし、メンテナンスの開始時に、データの読取りまたは変更に関係なく、一部の作業を実行しているクライアント・セッションはどうなりますか。この作業は中断され、ドレインを実装してアプリケーション・コンティニュイティまたは透過的アプリケーション・コンティニュイティを有効にしないかぎり、エンドユーザーまたはアプリケーションによって再度実行する必要があります。 環境 2ノードのOracle RACを例に挙げて、高速アプリケーション通知(FAN)、ドレインおよびアプリケーション・コンティニュイティによってメンテナンス・イベントがエンドユーザーに透過的になる方法を理解しましょう。アプリケーションは、30個のセッションを保持するように構成された接続プールを使用しています。 通常の操作 通常の操作中は、両方のRACノードが起動し、アプリケーションを実行しています。ロード・バランシング戦略によっては、セッションの数が両方のノード間で異なるか、均等に分散される場合があります。次の図をよりよく視覚化するために、ノード2のノード1および20のセッションに10のセッションがあるとします。 セッションは、アイドル状態(接続されているが何もしていない)またはアクティブ状態(リクエストの途中)にできます。リクエストは、データの読取り(SELECT)または操作(INSERT、DELETE、UPDATE)が可能です。 ドレインによるサービスの停止 ある時点で、システムのメンテナンスが必要になります。2ノードRACがあるため、メンテナンスはローリング方式で、1つのノードを順番に(ほとんどの場合)実行できます。メンテナンスは、たとえば、オペレーティング・システム、Grid Infrastructureまたはデ
続きを読む

Oracle APEXのInteractive Gridで、Oracle Formsと比較して、重複行の検証を制御/通過させる方法 (2022/07/21)

イメージ
Oracle APEXのInteractive Gridで、Oracle Formsと比較して、重複行の検証を制御/通過させる方法 (2022/07/21) https://medium.com/oracledevs/how-to-control-or-pass-validation-for-duplicate-rows-in-interactive-grid-of-oracle-apex-as-compare-18f453f750bf 投稿者: Jignesh oracle Formsでは、データブロックの重複行を制御するのは非常に簡単ですが、IGの検証を制御するにはどうすればよいでしょうか。 必要な出力 ステップ1:インタラクティブグリッドのある白紙ページを作成します(私は1つの領域「IG」を作成し、インタラクティブグリッドとしてタイプを選択しました) ステップ 2: リージョンに Static ID を定義する (私の場合、リージョンは IG で、Static ID も IG です) ステップ3:複製を制御したいカラムのStatic IDを定義します ステップ4:関数とグローバル変数に移動します コード: var validity, message, ui = this.data; (function($) { function update(model) { var projKey = model.getFieldKey(“PROJECT_ID”), recObj = [], recArray = []; model.forEach(function(record, index, id) { var projid = parseInt(record[projKey], 10), // record[salKey] should be a little faster than using model.getValue in a loop meta = model.getRecordMetadata(id); if (!isNaN(projid) && !meta.deleted && !meta.agg) { recObj = {ID: id, project_id: projid}; recArray.push(recObj)
続きを読む

Oracle Cloudのデータベースをオブジェクト・ストレージにバックアップする3つの方法 (2021/12/13)

イメージ
Oracle Cloudのデータベースをオブジェクト・ストレージにバックアップする3つの方法 (2021/12/13) https://database-heartbeat.com/2021/12/13/three-ways-backup-cloud/ はじめに Oracle Cloudでは、ボタンをクリックするだけで自動バックアップを有効にするオプションが用意されています。バックアップの要件が異なる場合でも、手動でバックアップ設定を行い、コマンドライン・ツールやRMANを直接使用してバックアップを作成する柔軟性があります。これは、VM DB Systems、Exadata Cloud Service、およびExadata Cloud at Customerに適用されます。 このブログ記事では、Oracle Cloud Object Storageをバックアップ先として使用する場合の、さまざまなバックアップ・オプションの主な違いと、それに伴うコストについて紹介します。Object Storageは、内蔵されたトリプル・ミラーリングと99.999999%(イレブンナイン)の耐久性を提供します。 ハイブリッド・クラウドとマルチ・クラウド Oracle Cloud Object StorageへのOracle Databaseのバックアップは、Oracle Cloud上のOracle Databaseに限らず、ハイブリッドクラウド上のオンプレミスのOracle Databaseや、マルチクラウド環境のOracle以外のクラウド上で稼働しているOracle Databaseに対しても、RMANを介して実装することができます。 プライベートおよび専用のネットワーク接続は、FastConnect、Azure Interconnect、またはサードパーティのネットワーク接続プロバイダを介して提供できます。マルチクラウド環境では、クラウドプロバイダー、リージョン、転送するデータ量に応じて、追加のアウトバウンドトラフィックコストが発生する可能性があります。オラクルをはじめとする多くのクラウドプロバイダーは、すでに Bandwidth Alliance に参加しており、ネットワークエグレス料金を削減または排除しています。 環境について     Oracle Cloud VM DB Sy
続きを読む