<Insert Picture Here>
「
Oracle Audit Vault」
Enterprise-wide GRC with Oracle
9
役割レベルに応
じたダッシュボー
ド、BI機能による
全社規模での可
視性を提供
9
リスクと統制にお
けるパフォーマン
スを管理、モニタ
リング
9
リスクの検知と対
応
9
監査対応型レポ
ート
9
プロジェクトポー
トフォリオ管理に
よるGRCメトリッ
クスと組織の戦略
目標との合致
9
GRCの要件を満たす
COSOやCOBITなどのベ
ストプラクティス・フレーム
ワークの組み込み
9
標準化・自動化された業
界横断的な基幹業務プロ
セス
9
業務プロセスのリスクと統
制におけるパフォーマンス
をモニタリング
9
統制の不備の検知、およ
び是正措置を自動化
9
職務分掌の徹底
9
データ暗号化による機密
情報の保護
9
統合的で信頼性の高いデ
ータ監査機能
9
変更(更新履歴)管理
9
コンテンツ・レコード管理
機能によるGRC情報の分
類・保存・保管・管理
9
ID・認証管理による職務
分掌の徹底
インフラストラクチャ
データ
セキュリティ
ID管理
コンテンツ管理
変更管理
データ監査
プロセス
アプリケーション
ガバナンス、
リスク、コンプライアンス
(GRCM)
コントロールマネージメント
ポリシー管理
業界特化
Oracle (EBS PSFT JDE・・) SAP カスタム レガシー その他
インサイト
リスク &
コントロール
インテリジェンス
オペレーショナル・
インテリジェンス
パフォーマンス
管理
Repository
ガバナンス、リスク、コンプライアンスマネジメント要件を満たす
包括的で統合されたプラットフォームを提供可能なのはオラクルだけ
統合されたGRC製品群と選択
Products
Risk & Control Intelligence
•
Fusion GRC Intelligence
•
Business Intelligence
Operational Intelligence
•
BPEL Process Manager
•
Business Activity Monitoring
Performance Mgmt
•
Financial Consolidation Hub
•
Enterprise Planning & Budgeting
•
Balanced Scorecard
Industry Specific
•
iFlex Reveleus
•
iFlex Mantas
•
Clinical Trial Mgmt
•
Adverse Event Reporting
Data Audit
•
Audit Vault
Data Security
•
Database Vault
•
Label Security
•
Advanced Security
•
Secure Enterprise Search
Risk & Compliance Mgmt
•
GRC Manager
•
Project Portfolio Mgmt
Controls Management
•
Application Access Controls
•
Application Configuration
Controls
Policy Management
•
Learning Management
•
Policy & Procedure Portal
Content Management
•
Universal Content Mgmt
•
Universal Records Mgmt
•
Content Database
•
Records Database
•
Information Rights Mgmt
Identity & Access Mgmt
•
Access Manager
•
Identity Manager
•
Enterprise Single Sign-On
•
Virtual Directory
Change Management
インフラストラクチャ データ セキュリティ ID管理 コンテンツ管理 変更管理 データ監査 プロセス アプリケーション ガバナンス、 リスク、コンプライアンス (GRCM) コントロールマネージメント ポリシー管理 業界特化Oracle (EBS PSFT JDE・・) SAP カスタム レガシー その他 インサイト リスク & コントロール インテリジェンス オペレーショナル・ インテリジェンス パフォーマンス 管理 Repository
オラクルが提供する
すべての層をカバーするセキュリティーソリューション
監査ログ監視・管理
監査ログ監視・管理
DBA
DBA
職務分掌
職務分掌
アクセス制御
アクセス制御
脆弱性チェック
脆弱性チェック
暗号化
暗号化
Oracle Audit Vault
Oracle Database Vault
Oracle Identity and
Access Management
Oracle Enterprise Manager
Advanced Security Option
監査ログが必要とされる2つの背景
9
内部統制構築とIT統制
履歴(ログ)の取得によって実現されること①
(IT全般統制のモニタリング)
z
「収集と分析が行われている」
z
「もれなく収集されている」
z
「正しく保全され保管されている」
z
「証拠として利用できる」
•
各種監査ログの取得と保全が必要。
•
問題発生時に原因究明・追跡に利用する。
•
ログに対するアクセスコントロール(保全)が必要。
•
監査人に証拠として提出する。
•
定期的な分析により不正の早期発見やPDCAサイクルの確
立に役立てる。
•
不正の徴候を早期に発見し問題の発生・拡大を防止する。
•
アクセス権付与の見直し作業などにも役立てる。
経済産業省「システム管理基準 追補版(財務報告に係るIT 統制ガイダンス)」
履歴(ログ)の取得によって実現されること②
(情報セキュリティ・インシデントの管理)
•
④「個人データへのアクセスの記録」を実践するために講じることが望まれる手法の例示
•
個人データへのアクセスや操作の成功と失敗の記録(例えば、個人データへのアクセスや操作を記録できない
場合には、情報システムへのアクセスの成功と失敗の記録)
•
採取した記録の漏えい、滅失及びき損からの適切な保護
*個人データを取り扱う情報システムの記録が個人情報に該当する場合があることに留意する。
個人情報の保護に関する法律についての経済産業分野を対象と
するガイドライン(経済産業省)
FISC安全対策基準
•
技37: アクセス履歴を管理すること
アクセス状況を管理するため、システムやデータへのアクセス
履歴を取得し、監査証跡として必要期間保管するとともに定期的に
チェックすること
•
技45: 不正アクセスの監視機能を設けること
不正アクセスを早期に発見するため、アクセスの失敗や
不正アクセスを監視する機能を設けること
その他の各ガイドラインおよび法律(例)
情報漏洩事件
大手自動車部品メーカーから、最重要ランクの企業機密280
種類を含む製品1700種類のデータ、約13万5000件が不正に
持ち出されていたことが判明
z
データベースの監査ログを利用して不審な行為を警告するシステム
z
データベースに対する操作の記録をもとに、定期的な分析を行い、
不正の早期発見と対応を行うしくみ
・・・これらがあれば事件を未然に防ぐ、または被害を極小化する
ことができたのでは?
「Oracle Audit Vault」とは
監査ソース
Oracle 9
Oracle 9
i
i
Database
Database
Release
Release
2
2
Oracle
Oracle
Database
Database
10
10
g
g
Release 2
Release 2
Oracle
Oracle
Database
Database
10
10
g
g Release1
Release1
ログ収集
ログ保全
モニタ
リング
レポート
分析
Partitioning
Database
Vault
Extensible
Warehouse
Compress
ASO
ASO
各種分析
各種レポート
Audit Vault
Report
ウェアハウス用
スキーマ構造
Dash Boardに
よるモニタリング
リアルタイムアラート
「Oracle Audit Vault」とは
監査ソース
Oracle 9
Oracle 9
i
i
Database
Database
Release
Release
2
2
Oracle
Oracle
Database
Database
10
10
g
g
Release 2
Release 2
Oracle
Oracle
Database
Database
10
10
g Release1
g
Release1
ログ収集
ログ保全
モニタ
リング
レポート
分析
Partitioning
Database
Vault
Extensible
Warehouse
Compress
ASO
ASO
各種分析
各種レポート
Audit Vault
Report
ウェアハウス用
スキーマ構造
Dash Boardに
よるモニタリング
リアルタイムアラート
エンタープライズ
統合監査ログ
ソリューション
監査ログに対する顧客の課題
①監査対象データベースにおけるパフォーマンスの劣化
(内部の監査機能を利用する場合)
②ログの取りこぼしが発生
(ネットワークキャプチャ型、DBのメモリアタッチ型監査の場合)
③増え続けるログに対する拡張性
④監査ログの保全
⑤より高度な分析と監査を視野に入れたレポーティング
Fri Mar 25 23:08:20 2005 ACTION : 'insert into scott.testtab values ( 1 )' DATABASE USER: '/' Fri Mar 25 23:08:20 2005 ACTION : 'insert into scott.testtab values ( 1 )' DATABASE USER: '/' Fri Mar 25 23:08:20 2005 ACTION : 'insert into scott.testtab values ( 1 )' DATABASE USER: '/' Fri Mar 25 23:08:20 2005 ACTION : 'insert into scott.testtab values ( 1 )' DATABASE USER: '/'
監査ログに関する顧客の課題①
監査対象データベースにおけるパフォーマンス劣化
一般的なDBログ収集型の監査製品
監査ログ
監査対象DB
・
DB内部の監査(Audit)
機能を多用するため監査
対象DBのパフォーマンス
劣化を引き起こしてしまう。
Fri Mar 25 23:08:20 2005 ACTION : 'insert into scott.testtab values ( 1 )' DATABASE USER: '/' Fri Mar 25 23:08:20 2005 ACTION : 'insert into scott.testtab values ( 1 )' DATABASE USER: '/' Fri Mar 25 23:08:20 2005 ACTION : 'insert into scott.testtab values ( 1 )' DATABASE USER: '/' Fri Mar 25 23:08:20 2005 ACTION : 'insert into scott.testtab values ( 1 )' DATABASE USER: '/'
監査ログに関する顧客の課題①
監査対象データベースにおけるパフォーマンス劣化
「Oracle Audit Vault」
監査ログ
監査対象DB
・パフォーマンスの劣化を最小限に抑える
・ログの取得が必要最低限に、目的に応じた
ログの収集が可能
多種にわたる監査ログ機能への対応
•
以下の3つのログコレクターを提供
•
「DBAUD Collector」 (通常のDBのログ監査機能)
•
「OSAUD Collector」 (DBA監査用)
•
「REDO Collector」 (変更履歴のログ専用)
•
ファイングレイン監査にも対応
(特定の条件に応じたログの取得)
ログの収集を効率よく行いパフォーマンスに対する影響
最小限にとどめるためのしくみ
監査ログに関する顧客の課題
ユーザー
監査ログに関する顧客の課題②
ログの取りこぼしが発生
Fri Mar 25 23:08:20 2005 ACTION : 'insert into scott.testtab values ( 1 )' DATABASE USER: '/' Fri Mar 25 23:08:20 2005 ACTION : 'insert into scott.testtab values ( 1 )' DATABASE USER: '/' Fri Mar 25 23:08:20 2005 ACTION : 'insert into scott.testtab values ( 1 )' DATABASE USER: '/' Fri Mar 25 23:08:20 2005 ACTION : 'insert into scott.testtab values ( 1 )' DATABASE USER: '/'監査対象DB
監査ログ
・負荷が大きくなった際メモリに蓄積しきれないログが
失われる
・一定の間隔でしかメモリ内部のログを収集しない
ためログの取りこぼしが起きる
・DBサーバーへの直接アクセスはログが取れない
・通信を暗号化するとログが取れない
ネットワークキャプチャ型、
DBのメモリアタッチ型の監査製品
監査ログに関する顧客の課題
ユーザー
監査ログに関する顧客の課題②
ログの取りこぼしが発生
Fri Mar 25 23:08:20 2005 ACTION : 'insert into scott.testtab values ( 1 )' DATABASE USER: '/' Fri Mar 25 23:08:20 2005 ACTION : 'insert into scott.testtab values ( 1 )' DATABASE USER: '/' Fri Mar 25 23:08:20 2005 ACTION : 'insert into scott.testtab values ( 1 )' DATABASE USER: '/' Fri Mar 25 23:08:20 2005 ACTION : 'insert into scott.testtab values ( 1 )' DATABASE USER: '/'監査対象DB
監査ログ
「Oracle Audit Vault」
監査ログに関する顧客の課題③
増え続けるログに対する拡張性
Fri Mar 25 23:08:20 2005 ACTION : 'insert into scott.testtab values ( 1 )' DATABASE USER: '/'監査対象DB
一般的な監査ログ製品
ログを蓄積するDB
Fri Mar 25 23:08:20 2005 ACTION : 'insert into scott.testtab values ( 1 )' DATABASE USER: '/' Fri Mar 25 23:08:20 2005 ACTION : 'insert into scott.testtab values ( 1 )' DATABASE USER: '/' Fri Mar 25 23:08:20 2005 ACTION : 'insert into scott.testtab values ( 1 )' DATABASE USER: '/' Fri Mar 25 23:08:20 2005 ACTION : 'insert into scott.testtab values ( 1 )' DATABASE USER: '/'・ログ用DBが肥大化し管理が
困難になる
・監査ログ製品自体のパフォー
マンスが劣化する
増大する監査ログの管理
1時~2時
2時~3時
3時~4時
4時~5時
)
増大する
監査ログ
更にハッシュ
関数を利用し
て均等に4分割
「Oracle Audit Vault」が自動的にパーティショニングを実施、
「Oracle Grid」 にも対応
9
パフォーマンスの向上
9
管理性の向上
9
拡張性の確保
ログを1時間毎に
パーティショニング
Fri Mar 25 23:08:20 2005 ACTION : 'insert into scott.testtab values ( 1 )' DATABASE USER: '/' Fri Mar 25 23:08:20 2005 ACTION : 'insert into scott.testtab values ( 1 )' DATABASE USER: '/' Fri Mar 25 23:08:20 2005 ACTION : 'insert into scott.testtab values ( 1 )' DATABASE USER: '/' Fri Mar 25 23:08:20 2005 ACTION : 'insert into scott.testtab values ( 1 )' DATABASE USER: '/'
監査ログに関する顧客の課題④
監査ログの保全
一般的な監査ログ収集製品
監査ログ
監査対象DB
・管理者によってログの
削除や改ざんができる
・ログの客観性が失われる
事例:
XX銀行より受託していたATMの取引記録がXX協
力会社社員により不正に持ち出され、偽造カードに
利用されていた。サーバルームは、指紋認証による
入退室管理が行われていたが、履歴が改ざんされ
ていた
Fri Mar 25 23:08:20 2005 ACTION : 'insert into scott.testtab values ( 1 )' DATABASE USER: '/' Fri Mar 25 23:08:20 2005 ACTION : 'insert into scott.testtab values ( 1 )' DATABASE USER: '/' Fri Mar 25 23:08:20 2005 ACTION : 'insert into scott.testtab values ( 1 )' DATABASE USER: '/' Fri Mar 25 23:08:20 2005 ACTION : 'insert into scott.testtab values ( 1 )' DATABASE USER: '/'
