Upgrade to Pro — share decks privately, control downloads, hide ads and more …

Oracle Data Safe設定手順

Oracle Data Safe設定手順

Oracle Data Safeに関する機能説明およびOracle Data Safeを操作できる様、監査シナリオを基にした操作ガイド付き。

oracle4engineer

February 12, 2021
Tweet

More Decks by oracle4engineer

Other Decks in Technology

Transcript

  1. 1. Oracle Data Safe機能概要 2. Oracle Data Safe設定⼿順 ü 構成図

    ü Data Safe⽤のアカウントを作成 ü Data Safeを有効化 ü ターゲットDBを登録 3. Oracle Data Safe監査シナリオ ü アクティビティ監査 ü セキュリティ評価 ü ユーザー評価 Agenda 3 Copyright © 2020, Oracle and/or its affiliates. All rights reserved.
  2. 1. Oracle Data Safe機能概要 2. Oracle Data Safe設定⼿順 ü 構成図

    ü Data Safe⽤のアカウントを作成 ü Data Safeを有効化 ü ターゲットDBを登録 3. Oracle Data Safe監査シナリオ ü アクティビティ監査 ü セキュリティ評価 ü ユーザー評価 Agenda 4 Copyright © 2020, Oracle and/or its affiliates. All rights reserved.
  3. Oracle Data Safeとは︖ ü 統合されたデータベースセキュリティ管理サービス 1. データ・マスキング(Data Masking) 2. アクティビティ監査(Activity

    Auditing) 3. 機密データの発⾒(Sensitive Data Discovery ) 4. セキュリティ構成の評価(Security Assessment) 5. ユーザーのリスク評価(User Assessment) ü 多様なデータ・セキュリティ対策 ü 短時間でセキュリティ・リスクを軽減 ü Oracle Cloud Databaseの利⽤でData Safeを無償サービス提供 ※ 5 Copyright © 2020, Oracle and/or its affiliates. All rights reserved. Oracle Database Cloud Audit ….. Users Discover Assess Mask ※ 監査機能につきましては100万レコード/⽉まで無償
  4. 統合されたデータベースセキュリティ対策 6 Copyright © 2020, Oracle and/or its affiliates. All

    rights reserved. データ・マスキング ü 様々なデータ・マスキング⽅式を提供 ü ランダム⽂字列, ランダム数字, シャッフル, 固定⽂字, 正規表現, 等 ü 定義済みのマスキング・テンプレート ü クレジットカード番号, Eメール, Eメール, URL, 等 ü ユーザー独⾃のマスキングを定義 ü 携帯番号, 社員番号, パスポート番号, 等 ü 表の整合性とカーディナリティを保持したままマスキング ü 条件分岐を含む複雑なマスキング定義はPL/SQLで作成し関数化 アクティビティ監査 ü DBの監査ログを定期的に取得し、分析レポートやアラートを提供 ü エージェントレス︓Data SafeがターゲットのDBにSQLアクセスし監査ログを取得 ü 監査データの保持期間は1〜12カ⽉ (デフォルト設定では 6カ⽉保管) ü 保存期間が過ぎた監査ログは⾃動消去 ü 監査ログは100万レコード/⽉までは無償 ü アクティビティレポート(PDF, XLS)やアラート機能 ü データベースの監査表はすべて対応 ü Unified Audit, ファイングレイン, Database Vault *% /".& $*%  4.*5)   "--&/   +0/&4   $-"3,   "%".4  $*% $06/53:@/".&  6/*5&%@,*/(%0.  6/*5&%@45"5&4  "6453"-*"  *3&-"/%  $"/"%" *% /".& $*%  "BBGFI   "BGIFE   "BBBGIF   #PEPGB   BBBIGJFE  $*% $06/53:@/".&  6/*5&%@,*/(%0.  6/*5&%@45"5&4  "6453"-*"  *3&-"/%  $"/"%" 監査ログの分析レポート 監査ログのポリシー設定
  5. 統合されたデータベースセキュリティ評価 7 Copyright © 2020, Oracle and/or its affiliates. All

    rights reserved. 機密データの発⾒ ü データベースに格納されている機密データの列を検出す る(検出⽅法は以下の2通り) ü NAME, ID, PASSWORDといった機密データを表す キーワードを含んでいる列 ü Eメールやクレジット番号といったデータ形式が ⼀ 般的に固定化されており、且つ推測できる列 ü 120以上の定義済みの機密データ・タイプ ü ユーザー独⾃のタイプ定義を追加可能 ü マイナンバー(7桁), 携帯電話番号, 社員番号 ü 発⾒した機密列は任意の値にマスキング セキュリティ構成の評価 ü データベースをスキャンし、セキュリティリスクを可視 化 ü 基本構成、ユーザーアカウント、権限管理、監査設定、 等の評価 ü データディクショナリおよびOS構成ファイルの情報を 参照して評価 ü データの変更処理、業務データの参照処理は実施しない ü CIS Benchmarkのセキュリティ要件とのギャップを可 視化 ü 標準的なセキュリティ対策基準として活⽤可能 ユーザーのリスク評価 ü データベース・ユーザーの情報をスキャンして分析 ü DBAやAdminといった管理者権限の付与状況を可視 化 ü ユーザーの使⽤状況(例: パスワード変更や最後に ログインした⽇、等)を可視化 ü Activity Auditing機能と連携し、ユーザーが実⾏した データベース操作の監査ログ とも連携して表⽰可 能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
  6. 1. データ・マスキング(Data Masking) ü 様々なデータ・マスキング⽅式を提供 ü ランダム⽂字列, ランダム数字, ランダム⽇付, シャッフル,

    リスト, ユーザー関数, 固定⽂字, 正規表現 ü 60の定義済みのマスキング・テンプレート ü クレジット・カード番号, Eメール, URL, ⾎液型, 等 ü ユーザー独⾃のマスキング定義を追加設定可能 ü 携帯番号, 社員番号, パスポート番号, 等 ü 表の整合性とカーディナリティを保持したままマスキング ü 条件分岐を含む複雑なマスキング定義はPL/SQLで作成し関数化 注︓ ⽇本語の列名やデータは未対応 8 Copyright © 2020, Oracle and/or its affiliates. All rights reserved. Oracle Database Cloud Data Safe
  7. 1. データ・マスキング(Data Masking) 参照整合性を維持したマスキング(ランダムな⽂字列 + ランダム数値) 9 Copyright © 2020,

    Oracle and/or its affiliates. All rights reserved. ID NAME CID 1 SMITH 1 2 ALLEN 4 3 JONES 1 4 CLARK 2 5 ADAMS 3 CID COUNTRY_NAME 1 UNITED_KINGDOM 2 UNITED_STATES 3 AUSTRALIA 4 IRELAND 5 CANADA ID NAME CID 1 Aaafeh 83 2 Aafhed 65 3 Aaaafhe 83 4 Bodofa 39 5 aaahfied 9 CID COUNTRY_NAME 83 UNITED_KINGDOM 39 UNITED_STATES 9 AUSTRALIA 65 IRELAND 7 CANADA
  8. 1. データ・マスキング(Data Masking) 独⾃マスキング・フォーマットの設定例 10 Copyright © 2020, Oracle and/or

    its affiliates. All rights reserved. 作成する携帯番号のマスキング形式 070 – 1234 - 6789 Random List [070-, 080-, 090-] Random Number [4 digit] Fixed String [-] Random Number [4 digit]
  9. 1. データ・マスキング(Data Masking) 正規表現でのマスキング(例) 11 Copyright © 2020, Oracle and/or

    its affiliates. All rights reserved. 正規表現 置換する値 置換概要 対象データ マスキング結果 ¥d * すべての数字(半⾓,全⾓)を*で置換 東京都港区1-992 Oracleビル103号室 東京都港区*-*** Oracleビル***号室 ¥d{4} * 連続した4桁の数字を*で置換 080-1234-5678 080-****-**** ¥d{4}/¥d{2}/¥d {2} ¥1/**/** ⻄暦はそのままで年⽉⽇を*で置換 1975/10/12 1975/**/** ¥w+@(¥w) ****@¥1 @より前⽅は*で置換 [email protected] ****@oracle.com
  10. 2. アクティビティの監査(Activity Auditing) ü Oracle Database Cloudの監査ログを定期的に取得し、分析レポートやアラートを提供 ü エージェント ü

    Data SafeがターゲットのDBにSQLアクセスし、監査ログを取得 ü 監査データの保持期間は1〜12カ⽉ (デフォルト設定では 6カ⽉保管) ü 保存期間が過ぎた監査ログは⾃動消去 ü 監査ログは100万レコード/⽉までは無償 ü アクティビティ・レポート(PDF, XLS)やアラート機能 ü データベースの監査表はすべて対応 ü Unified Audit ü ファイングレイン監査 ü Database Vaultの監査データ ü オンプレミスのデータベースも対応 12 Copyright © 2020, Oracle and/or its affiliates. All rights reserved. Oracle Database Cloud Data Safe AUD$ FGA_LOG$ Unified Audit
  11. 2. アクティビティの監査(Activity Auditing) 監査ログの分析レポート(例) 13 Copyright © 2020, Oracle and/or

    its affiliates. All rights reserved. 監査ログの分析レポート 監査ログのポリシー設定
  12. 2. アクティビティの監査(Activity Auditing) Data Safeでは、DB内の監査テーブルの監査ログのみも取得可能です。以下、取得可能なOracle Cloud Databaseの種類とバー ジョン、監査テーブルでサポート表となります。 14 Copyright

    © 2020, Oracle and/or its affiliates. All rights reserved. 参照︓ https://docs.oracle.com/en/cloud/paas/data-safe/udscs/audit-trails.html#GUID-7366C883-5EE6-44D0-93C3-B07910E6B9B9 DBバージョン Standard Edition Enterprise Edition DB system 12.1.0.1 or 12.1.0.2 SYS.AUD$ SYS.AUD$ SYS.FGA_LOG$ DVSYS.AUDIT_TRAIL$ (when Database Vault is enabled) DB system 12.2, 18c, 19c, 20c AUDSYS.UNIFIED_AUDIT_TRAIL SYS.AUD$ AUDSYS.UNIFIED_AUDIT_TRAIL SYS.AUD$ SYS.FGA_LOG$ DVSYS.AUDIT_TRAIL$ (when Database Vault is enabled) Autonomous Transaction Processing - Serverless (latest version) (not applicable) AUDSYS.UNIFIED_AUDIT_TRAIL Automous Data Warehouse - Serverless (latest version) (not applicable) AUDSYS.UNIFIED_AUDIT_TRAIL
  13. 3. 機密データの発⾒(Sensitive Data Discovery) ü データベースに格納されている機密データの列を検出する ü 検出⽅法は、以下の2パータン ü NAME,

    ID, PASSWORDといった機密データを表すキーワードを含んでいる列 ü Eメールやクレジット番号といったデータ形式が⼀般的に固定化されており 且つ、推測できる列 ü 120以上の定義済みの機密データ・タイプ ü ユーザー独⾃のタイプ定義を追加可能 ü マイナンバー(7桁)、携帯電話番号、社員番号 ü 発⾒した機密列は、任意の値にマスキング 注︓ ⽇本語の列名やデータは未対応 15 Copyright © 2020, Oracle and/or its affiliates. All rights reserved. Table XYZ Name Candy Column 2 xxxxxxx Column 3 xxxxxxx Email [email protected] Column 5 xxxxxxx Column 6 xxxxxxx Bank Name Mizuho Bank Acc No 2891721 Column 9 xxxxxxx Column 10 xxxxxxx Card No 4123123488990121
  14. 3. 機密データの発⾒(Sensitive Data Discovery) 120以上の定義済みのSensitive Type ü ⽒名, 住所, 電話番号,

    EMAIL, 性別, 銀⾏⼝座, ID, ⽣年⽉⽇, 学歴, 職歴, パスポート番号, 社会保障番号(US), 社員 番号, ユーザーID, 等 16 Copyright © 2020, Oracle and/or its affiliates. All rights reserved. Identification Biographic IT Financial Healthcare Employment Academic SSN Name Email Phone Passport DL Tax ID Age Gender Race Citizenship Address Family Data Date of Birth Place of Birth IP Address User ID Password Hostname GPS location Credit Card CC Security PIN Bank Name Bank Account IBAN Swift Code Provider Insurance Height Blood Type Disability Pregnancy Test Results ICD Code Employee ID Job Title Department Hire Date Salary Stock College Name Grade Student ID Financial Aid Admission Date Graduation Date Attendance
  15. 3. 機密データの発⾒(Sensitive Data Discovery) 機密データタイプの設定(例) 17 Copyright © 2020, Oracle

    and/or its affiliates. All rights reserved. Sensitive Type Name カード番号 Column Name Patte 列名に含まれるキーワードを特定する正規表現 Column Comment Pattern ※ コメントに含まれるキーワードを特定する正規表現 Column Data Pattern データのフォーマットを特定する正規表現 ※ Column Data Patternはすべてのデータが対象でなく、5⾏フェッチし4/5(80%)が 正規表現とマッチする場合に機密データとして検出する
  16. 4. セキュリティ構成の評価(Security Assessment) ü データベースをスキャンし、セキュリティリスクを可視化 ü 基本構成、ユーザアカウント、権限管理、監査設定、等の評価 ü データディクショナリおよびOS構成ファイルの情報を参照して評価 ü

    データの変更処理、業務データの参照処理は実施しない ü CIS Benchmarkのセキュリティ要件とのギャップを可視化 ü CIS(Center for Internet Security)が策定したOracle Databaseのベストプラクティス ü 標準的なセキュリティ対策基準として活⽤可能 18 Copyright © 2020, Oracle and/or its affiliates. All rights reserved.
  17. 5. ユーザーのリスク評価(User Assessment) ü データベース・ユーザーの情報をスキャンして分析 ü DBAやAdminといった管理者権限の付与状況を可視化 ü ユーザの使⽤状況(例︓ パスワード変更や最後にログインした⽇、等)を可視化

    ü ActivityAuditing機能と連携し、ユーザが実⾏したデータベース操作の監査ログとも連携して表⽰可能 19 Copyright © 2020, Oracle and/or its affiliates. All rights reserved.
  18. Oracle Data Safeがサポートするデータベース Data Safeが管理できるOracle Cloud Database⼀覧 20 Copyright ©

    2020, Oracle and/or its affiliates. All rights reserved. 参照︓ https://docs.oracle.com/en/cloud/paas/data-safe/udscs/target-database-registration-overview.html#GUID-F4860B24-AB8F-4CDD-BF33-AD3BAF9313D7 Oracle Database Workload Types/Types/Oracle Database Software Editions Versions Autonomous Databases on Shared Exadata Infrastructure Workload types: ü Autonomous Data Warehouse ü Autonomous Transaction Processing latest version Autonomous Databases on Dedicated Exadata Infrastructure Workload types: ü Autonomous Data Warehouse ü Autonomous Transaction Processing latest version DB system DB system types: ü Bare Metal ü Virtual Machine ü Exadata Oracle Database software editions: ü Standard Edition ü Enterprise Edition ü Enterprise Edition High Performance ü Enterprise Edition Extreme Performance 12.1*, 12.2.0.1 or later Oracle Database on an Oracle Cloud Infrastructure Compute instance Oracle Database software editions: ü Standard Edition ü Enterprise Edition 12.1*, 12.2.0.1 or later
  19. Oracle Data Safeの価格 21 Copyright © 2020, Oracle and/or its

    affiliates. All rights reserved. # サービス名 単価 単位 1 Data Safe for Database Cloud Service ※1 無償 2 Data Safe for Database Cloud Service – Audit Record Collection Over 1 Million Records ¥ 12 1万レコード/ターゲット/⽉ 3 Oracle Cloud Infrastructure - Data Safe for On-Premises Databases ※2 ¥ 24,000 対象データベース単位 4 Oracle Cloud Infrastructure - Data Safe for On-Premises Databases – 10,000 Audit Records Per Target Per Month ¥ 12 1万レコード/ターゲット/⽉ ※1 監査機能は100万レコード/ターゲット/⽉まで無償、その他の機能は無償 ※2 監査機能は100万レコード/ターゲット/⽉まで利⽤可能、その他の機能は追加コストなく利⽤可
  20. 1. Oracle Data Safe機能概要 2. Oracle Data Safe設定⼿順 ü 構成図

    ü Data Safe⽤のアカウントを作成 ü Data Safeを有効化 ü ターゲットDBを登録 3. Oracle Data Safe監査シナリオ ü アクティビティ監査 ü セキュリティ評価 ü ユーザー評価 Agenda 22 Copyright © 2020, Oracle and/or its affiliates. All rights reserved.
  21. 23 Copyright © 2020, Oracle and/or its affiliates. All rights

    reserved. Oracle Data Safe設定⼿順 構成図 Data Safe Ashburn Compartment Oracle Database Cloud Service Compartment TLS or TCP 本ハンズオンは、DBCSをターゲットDBとして利⽤ Data SafeはDBCSを監査 Oracle Database Cloud Service
  22. Copyright © 2020, Oracle and/or its affiliates. All rights reserved.

    Oracle Data Safe設定⼿順 Data Safe⽤のアカウントを作成 Data Safe⽤のアカウントを作成 • OCIのコンソールにアイデンティティ-> ユーザー をクリック ①「ユーザー」をクリック 24
  23. 25 Copyright © 2020, Oracle and/or its affiliates. All rights

    reserved. Oracle Data Safe設定⼿順 Data Safe⽤のアカウントを作成 Data Safe⽤のアカウントを作成 • OCIのコンソールにアイデンティティ-> ユーザー をクリック ①「ユーザーの作成」をクリック
  24. 26 Copyright © 2020, Oracle and/or its affiliates. All rights

    reserved. Oracle Data Safe設定⼿順 Data Safe⽤のアカウントを作成 Data Safe⽤のアカウントを作成 • OCIのIAMユーザーを作成 ①「IAMユーザー」を選択 ②ユーザー情報を記⼊、「作成」をクリック
  25. 27 Copyright © 2020, Oracle and/or its affiliates. All rights

    reserved. Oracle Data Safe設定⼿順 Data Safe⽤のアカウントを作成 Data Safe⽤のアカウントを作成 • OCIのIAMユーザーを作成 ①「パスワードの作成/リセット」を作成 ② この後、Datasafeユーザでログインする際に 必要になるのでメモしておく
  26. Copyright © 2020, Oracle and/or its affiliates. All rights reserved.

    Oracle Data Safe設定⼿順 Data Safe⽤のアカウントを作成 Data Safe⽤のアカウントを作成 • OCIのグループを作成 ①「グループ」をクリック 28
  27. Copyright © 2020, Oracle and/or its affiliates. All rights reserved.

    Oracle Data Safe設定⼿順 Data Safe⽤のアカウントを作成 Data Safe⽤のアカウントを作成 • OCIのグループを作成 ①「グループの作成」をクリック ②「作成」をクリック 29
  28. Copyright © 2020, Oracle and/or its affiliates. All rights reserved.

    Oracle Data Safe設定⼿順 Data Safe⽤のアカウントを作成 Data Safe⽤のアカウントを作成 • 作成したグループにdatasafeユーザーを追加 ①「ユーザーをグループに追加」をクリック 30
  29. Copyright © 2020, Oracle and/or its affiliates. All rights reserved.

    Oracle Data Safe設定⼿順 Data Safe⽤のアカウントを作成 Data Safe⽤のアカウントを作成 • 作成したグループにdatasafeユーザーを追加 ①ユーザーを選択、「追加」をクリック 31
  30. 32 Copyright © 2020, Oracle and/or its affiliates. All rights

    reserved. ①ユーザーをグループに追加 Oracle Data Safe設定⼿順 Data Safe⽤のアカウントを作成 Data Safe⽤のアカウントを作成 • 作成したグループにdatasafeユーザーを追加
  31. 33 Copyright © 2020, Oracle and/or its affiliates. All rights

    reserved. Oracle Data Safe設定⼿順 Data Safe⽤のアカウントにポリシーを作成 Data Safe⽤のアカウントにポリシーを作成 • OCIのコンソールにアイデンティティ-> ポリシー をクリック ①「ポリシー」をクリック
  32. 34 Copyright © 2020, Oracle and/or its affiliates. All rights

    reserved. Oracle Data Safe設定⼿順 Data Safe⽤のアカウントにポリシーを作成 Data Safe⽤のアカウントにポリシーを作成 • OCIのコンソールにアイデンティティ-> ポリシー をクリック ①ルートコンパートメントを選択 ②「ポリシーの作成」をクリック
  33. 35 Copyright © 2020, Oracle and/or its affiliates. All rights

    reserved. Oracle Data Safe設定⼿順 Data Safe⽤のアカウントにポリシーを作成 Data Safe⽤のアカウントにポリシーを作成 • OCIのコンソールにアイデンティティ-> ポリシー をクリック ①任意 ②ポリシー・ビルダーに任意のポリシー・オプションを選択 後ほど、修正 ③作成したグループを選択 ④ルートコンパートメントを選択 ⑤「作成」をクリック
  34. 36 Copyright © 2020, Oracle and/or its affiliates. All rights

    reserved. Oracle Data Safe設定⼿順 Data Safe⽤のアカウントにポリシーを作成 Data Safe⽤のアカウントにポリシーを作成 • OCIのコンソールにアイデンティティ-> ポリシー をクリック ①「ポリシー・ステートメントの編集」をクリック ②既存のポリシーを削除、次の⼆つを追加 allow group datasafegrp to manage data-safe in tenancy allow group datasafegrp to inspect groups in tenancy ※ datasafegrpは作成したグループです。⾃⾝のグループに合わせて設定 ③「変更の保存」をクリック
  35. 37 Copyright © 2020, Oracle and/or its affiliates. All rights

    reserved. Oracle Data Safe設定⼿順 Data Safeを有効化 Data Safeを有効化 • OCIのコンソールに作成したユーザーでログイン ①ローカル・ログインに作成したユーザーでログイン
  36. 38 Copyright © 2020, Oracle and/or its affiliates. All rights

    reserved. Oracle Data Safe設定⼿順 Data Safeを有効化 Data Safeを有効化 • OCIのコンソールにデータ・セーフをクリック ②「データ・セーフ」をクリック ①Data Safeを作成するリージョンを選択
  37. 39 Copyright © 2020, Oracle and/or its affiliates. All rights

    reserved. Oracle Data Safe設定⼿順 Data Safeを有効化 Data Safeを有効化 • データ・セーフ画⾯にてデータ・セーフの有効化をクリック ①「データ・セーフの有効化」をクリック
  38. 40 Copyright © 2020, Oracle and/or its affiliates. All rights

    reserved. Oracle Data Safe設定⼿順 Data Safeを有効化 Data Safeを有効化 • データ・セーフ画⾯にてサービス・コンソールをクリック ①「サービス・コンソール」をクリック
  39. 41 Copyright © 2020, Oracle and/or its affiliates. All rights

    reserved. Oracle Data Safe設定⼿順 Data Safeを有効化 Data Safeを有効化 • Data Safeのコンソールが表⽰ ①Data Safeのコンソールが表⽰される
  40. 42 Copyright © 2020, Oracle and/or its affiliates. All rights

    reserved. Oracle Data Safe設定⼿順 Data Safeを有効化 Data Safeを有効化 • Manageの権限を付与 ①「Security」をクリック ②ルートコンパートメントを選択 ③作成したグループに「Manage」の権限を付与 ④「Save」をクリック
  41. 43 Copyright © 2020, Oracle and/or its affiliates. All rights

    reserved. Oracle Data Safe設定⼿順 Data Safeを有効化 Data Safeを有効化 • Data Safeとユーザーの準備完了 ①Data Safeとユーザーの準備完了
  42. 44 Copyright © 2020, Oracle and/or its affiliates. All rights

    reserved. Oracle Data Safe設定⼿順 ターゲットDBを登録 ターゲットDBを準備 • 本ハンズオンにDBCSをターゲットDBとして利⽤ • DBCSをData Safeに登録 • Data SafeがDBCSを監査 Data Safe Oracle Database Cloud Service TCP
  43. 45 Copyright © 2020, Oracle and/or its affiliates. All rights

    reserved. Oracle Data Safe設定⼿順 ターゲットDBを登録 ターゲットDBを準備 • パブリックのDBCSを準備
  44. 46 Copyright © 2020, Oracle and/or its affiliates. All rights

    reserved. Oracle Data Safe設定⼿順 ターゲットDBを登録 ターゲットDBを準備 • Data SafeはDBCSを監査できるよう、ポリシーを追加 ①作成したポリシーに、次の三つを追加 allow group datasafegrp to manage db-systems in tenancy allow group datasafegrp to manage db-nodes in tenancy allow group datasafegrp to inspect vnics in tenancy ※ datasafegrpは作成したグループです。⾃⾝のグループに合わせて設定
  45. 47 Copyright © 2020, Oracle and/or its affiliates. All rights

    reserved. CREATE USER DATASAFE_ADMIN identified by password DEFAULT TABLESPACE ”USERS" TEMPORARY TABLESPACE "TEMP"; GRANT CONNECT, RESOURCE TO DATASAFE_ADMIN; ※ DATASAFE_ADMINおよびpasswordを独⾃の値で置き換えます。 デフォルトの表領域としてSYSTEMまたはSYSAUXを使⽤しないでください。 Oracle Data Safe設定⼿順 ターゲットDBを登録 ターゲットDBを準備 • DBCSでのOracle Data Safeのサービス・アカウントの作成
  46. 48 Copyright © 2020, Oracle and/or its affiliates. All rights

    reserved. Oracle Data Safe設定⼿順 ターゲットDBを登録 ターゲットDBを準備 • Data SafeのコンソールにSQL権限スクリプトをダウンロード ①「Targets」をクリック ②「Audit Trails」をクリック ③「Register」をクリック ④「Download Privilege Script」をクリック
  47. 49 Copyright © 2020, Oracle and/or its affiliates. All rights

    reserved. Oracle Data Safe設定⼿順 ターゲットDBを登録 ターゲットDBを準備 • DBCSのバックエンドに⼊り、Data SafeのコンソールにダウンロードしたSQL権限スクリプトを実⾏ ① DBCSのPDBに切り替え、Oracle Data Safeサービス・アカウントへのロールの付与 @datasafe_privileges.sql C##DATASAFE GRANT ALL 注︓ C##DATASAFE は作成したOracle Data Safeサービス・アカウント、 ⾃⾝の設定にあわせてユーザーにロールを付与
  48. 50 Copyright © 2020, Oracle and/or its affiliates. All rights

    reserved. Oracle Data Safe設定⼿順 ターゲットDBを登録 ターゲットDBを登録 • Data SafeのコンソールにターゲットDBを登録 ①「Targets」をクリック ②「Audit Trails」をクリック ③「Register」をクリック
  49. 51 Copyright © 2020, Oracle and/or its affiliates. All rights

    reserved. Target Name︓任意 Target Type︓Oracle Cloud Database Target Description︓任意 OCID︓DBシステムのOCID Compartment︓DBCSが所属されたCompartment Database with Private IP︓No TCP/TLS︓TCP IP Address︓DBCSのパブリックIP Port Number︓1521 Database Service Name︓監視先のPDBのService Name Database User Name ︓作成したOracle Data Safeサービス・アカウント Database Password︓パスワード Oracle Data Safe設定⼿順 ターゲットDBを登録 ターゲットDBを登録 • Data SafeのコンソールにターゲットDBを登録 ① DBの情報を記⼊し、 「Test Connection」をクリック ③「Register Target」をクリック ②テスト成功と表⽰
  50. 52 Copyright © 2020, Oracle and/or its affiliates. All rights

    reserved. Oracle Data Safe設定⼿順 ターゲットDBを登録 ターゲットDBを登録 • Data SafeのコンソールにターゲットDBを登録 ①Target DBを登録済
  51. 1. Oracle Data Safe機能概要 2. Oracle Data Safe設定⼿順 ü 構成図

    ü Data Safe⽤のアカウントを作成 ü Data Safeを有効化 ü ターゲットDBを登録 3. Oracle Data Safe監査シナリオ ü アクティビティ監査 ü セキュリティ評価 ü ユーザー評価 Agenda 53 Copyright © 2020, Oracle and/or its affiliates. All rights reserved.
  52. 55 Copyright © 2020, Oracle and/or its affiliates. All rights

    reserved. Oracle Data Safe監査シナリオ アクティビティ監査 アクティビティ監査を設定 • 監査データを収集するために、 Data Safeのコンソールに監査証跡を追加 ①「Target」をクリック ②「Audit Trails」をクリック
  53. 56 Copyright © 2020, Oracle and/or its affiliates. All rights

    reserved. Oracle Data Safe監査シナリオ アクティビティ監査 アクティビティ監査を設定 • 監査データを収集するために、 Data Safeのコンソールに監査証跡を追加 ①「Add」をクリック ②Trail Type: TABLE Target: 対象DB Trail Location: UNIFIED_AUDIT_TRAIL Auto Pure Trail: off Collect Audit Data From︓データ収集開始時間 ③「Register」をクリック
  54. 57 Copyright © 2020, Oracle and/or its affiliates. All rights

    reserved. Oracle Data Safe監査シナリオ アクティビティ監査 アクティビティ監査を設定 • 監査データを収集するために、 Data Safeのコンソールに監査証跡を追加 ①追加成功と表⽰
  55. 58 Copyright © 2020, Oracle and/or its affiliates. All rights

    reserved. Oracle Data Safe監査シナリオ アクティビティ監査 アクティビティ監査を設定 • 監査データを収集するために、 Data Safeのコンソールに監査ポリシーを追加 ②「Activity Auditing」をクリック ①「Home」をクリック
  56. 59 Copyright © 2020, Oracle and/or its affiliates. All rights

    reserved. Oracle Data Safe監査シナリオ アクティビティ監査 アクティビティ監査を設定 • 監査データを収集するために、 Data Safeのコンソールに監査ポリシーを追加 ①監査対象とするターゲットDBを選択 ②「Continue」をクリック
  57. 60 Copyright © 2020, Oracle and/or its affiliates. All rights

    reserved. Oracle Data Safe監査シナリオ アクティビティ監査 アクティビティ監査を設定 • 監査データを収集するために、 Data Safeのコンソールに監査ポリシーを追加 ① 「Retrieve」をクリック、対象DBの監査設定を取得する Retrieval Status列にチェック・マークが表⽰されるまで待つ ②「Continue」をクリック
  58. 61 Copyright © 2020, Oracle and/or its affiliates. All rights

    reserved. Oracle Data Safe監査シナリオ アクティビティ監査 アクティビティ監査を設定 • 監査データを収集するために、 Data Safeのコンソールに監査ポリシーを追加 ①ターゲットDB名のリンクをクリック
  59. 62 Copyright © 2020, Oracle and/or its affiliates. All rights

    reserved. Oracle Data Safe監査シナリオ アクティビティ監査 アクティビティ監査を設定 • 監査データを収集するために、 Data Safeのコンソールに監査ポリシーを追加 ②「Alert Policies」をクリック ①現在の監査ポリシー設定が表⽰される ALL User Activityをチェック List of Users: DBA権限を持つユーザー
  60. 63 Copyright © 2020, Oracle and/or its affiliates. All rights

    reserved. Oracle Data Safe監査シナリオ アクティビティ監査 アクティビティ監査を設定 • 監査データを収集するために、 Data Safeのコンソールに監査ポリシーを追加 ①「Provision」をクリック
  61. 64 Copyright © 2020, Oracle and/or its affiliates. All rights

    reserved. Oracle Data Safe監査シナリオ アクティビティ監査 アクティビティ監査を設定 • 監査データを収集するために、 Data Safeのコンソールに監査ポリシーを追加 ①プロビジョニング結果を確認し、 「Continue」をクリック
  62. 65 Copyright © 2020, Oracle and/or its affiliates. All rights

    reserved. Oracle Data Safe監査シナリオ アクティビティ監査 アクティビティ監査を設定 • 監査データを収集するために、 Data Safeのコンソールに監査ポリシーを追加 ①「Done」をクリック
  63. 66 Copyright © 2020, Oracle and/or its affiliates. All rights

    reserved. Oracle Data Safe監査シナリオ アクティビティ監査 ターゲットDBにテストデータを作成 • ターゲットDBに監視のPDBに⼊り、ユーザーを作成 create user DEMO identified by WElcome_#123456; grant connect, resource to DEMO; grant unlimited TABLESPACE to DEMO;
  64. 67 Copyright © 2020, Oracle and/or its affiliates. All rights

    reserved. Oracle Data Safe監査シナリオ アクティビティ監査 CREATE TABLE "DEMO"."EMPLOYEES" ( "EMPLOYEE_ID" NUMBER(6,0) NOT NULL PRIMARY KEY, "FIRST_NAME" VARCHAR2(20), "LAST_NAME" VARCHAR2(25), "EMAIL" VARCHAR2(25), "PHONE_NUMBER" VARCHAR2(25), "HIRE_DATE" DATE, "JOB_ID" VARCHAR2(10), "SALARY" NUMBER(8,2), "CARD_NO" NUMBER(16,0), "MANAGER_ID" NUMBER(6,0), "DEPARTMENT_ID" NUMBER(4,0) ); insert into DEMO.EMPLOYEES (EMPLOYEE_ID,FIRST_NAME,LAST_NAME,EMAIL,PHONE_NUMBER,HIRE_DATE,JOB_ID,SALARY,CARD_NO,MANAGER_ID,DEPARTMENT_ID) values (100,'Alberto','Errazuriz','[email protected]','011.44.1344.429278',to_date( '2020-12-20' , 'YYYY-MM- DD'),'SA_MAN',12000,6212345678900001,100,80); insert into DEMO.EMPLOYEES (EMPLOYEE_ID,FIRST_NAME,LAST_NAME,EMAIL,PHONE_NUMBER,HIRE_DATE,JOB_ID,SALARY,CARD_NO,MANAGER_ID,DEPARTMENT_ID) values (110,'Bruce','Ernst','[email protected]','590.423.4568',to_date('2020-12-21' , 'YYYY-MM-DD'),'IT_PROG',6000,6212345678900002,103,60); ①作成したDEMOユーザーを利⽤し、 ターゲットのPDBにテストデータを作成
  65. 68 Copyright © 2020, Oracle and/or its affiliates. All rights

    reserved. Oracle Data Safe監査シナリオ アクティビティ監査 create user TEST1 identified by WElcome_#123456; grant resource to TEST1; revoke resource from TEST1; drop user TEST1 cascade; update DEMO.EMPLOYEES set SALARY = 6666 where EMPLOYEE_ID = 110; select * from DEMO.EMPLOYEES where EMPLOYEE_ID = 110; alter system set AUDIT_TRAIL=xml scope=spfile; create user TEST2 identified by WElcome_#123456; grant resource to TEST2; revoke resource from TEST2; drop user TEST2 cascade; update DEMO.EMPLOYEES set SALARY = 6666 where EMPLOYEE_ID = 120; select * from DEMO.EMPLOYEES where EMPLOYEE_ID = 120; alter system set AUDIT_TRAIL=xml scope=spfile; ①権限を持つユーザーを利⽤し、 テストデータを作成
  66. 69 Copyright © 2020, Oracle and/or its affiliates. All rights

    reserved. Oracle Data Safe監査シナリオ アクティビティ監査 アクティビティ監査のレポートを確認 • Data Safeのコンソールにアクティビティのレポートを確認 ①「Reports」をクリック ②「Audit Summary」をクリック
  67. 70 Copyright © 2020, Oracle and/or its affiliates. All rights

    reserved. Oracle Data Safe監査シナリオ アクティビティ監査 アクティビティ監査のレポートを確認 • Data Safeのレポートに「Audit Summary」のレポートを確認 ①各アクティビティのサマリーを表⽰
  68. 71 Copyright © 2020, Oracle and/or its affiliates. All rights

    reserved. Oracle Data Safe監査シナリオ アクティビティ監査 アクティビティ監査のレポートを確認 • Data Safeのレポートに「All Activity」のレポートを確認 ②時間帯の調整と項⽬のフィルターが可能 ③「+」をクリック、 表⽰するColumnsを選択可能 ①Reports→All Activityをクリック、 全てのアクティビティを表⽰
  69. 72 Copyright © 2020, Oracle and/or its affiliates. All rights

    reserved. Oracle Data Safe監査シナリオ アクティビティ監査 アクティビティ監査のレポートを確認 • Data Safeのレポートに「User/Entitlement Changes」のレポートを確認 ②アクティビティの詳細が表⽰ ユーザーの作成、削除、権限付与などのアクティビティ ①Reports → User/Entitlement Changesをクリック
  70. 73 Copyright © 2020, Oracle and/or its affiliates. All rights

    reserved. Oracle Data Safe監査シナリオ アクティビティ監査 アクティビティ監査のレポートを確認 • Data Safeのレポートに「Login Activity」のレポートを確認 ②ターゲットDBにアクセスの詳細を表⽰ ①Reports→ Login Activityをクリック
  71. 74 Copyright © 2020, Oracle and/or its affiliates. All rights

    reserved. Oracle Data Safe監査シナリオ アクティビティ監査 アクティビティ監査のレポートを確認 • Data Safeのレポートに「Data Modification」のレポートを確認 ②DMLを表⽰ ①Reports→ Data Modificationをクリック
  72. 75 Copyright © 2020, Oracle and/or its affiliates. All rights

    reserved. Oracle Data Safe監査シナリオ アクティビティ監査 アクティビティ監査のレポートを確認 • Data Safeのレポートに「Database Schema Changes」のレポートを確認 ②スキーマの変更のアクティビティを表⽰ テーブルの作成・削除など ①Reports→ Database Schema Changesをクリック
  73. 76 Copyright © 2020, Oracle and/or its affiliates. All rights

    reserved. アクティビティ監査 アクティビティ監査のレポートを確認 • Data Safeのレポートに「Data Safe Activity」のレポートを確認 ②Data Safeのアクティビティを表⽰ ※ Data Safeは、DBへの変更操作は出来ない。 その為、「Data Safe Activity」ではターゲットDBを変更する操作履歴はない ①Reports→ Data Safe Activityをクリック Oracle Data Safe監査シナリオ
  74. 77 Copyright © 2020, Oracle and/or its affiliates. All rights

    reserved. Oracle Data Safe監査シナリオ アクティビティ監査 アクティビティ監査のレポートを確認 • Data Safeのレポートに各アクティビティを確認 ②アクティビティ単位で確認可能、 例︓「DMLs」をクリック、DML.のリストを表⽰ ① Reports→ All Activityをクリック ③DMLの詳細を確認
  75. 78 Copyright © 2020, Oracle and/or its affiliates. All rights

    reserved. Oracle Data Safe監査シナリオ アクティビティ監査 アクティビティ監査のレポートを確認 • Data SafeのレポートにDMLの詳細を確認 ①DMLの詳細を確認可能
  76. 79 Copyright © 2020, Oracle and/or its affiliates. All rights

    reserved. Oracle Data Safe監査シナリオ アクティビティ監査 アクティビティ監査のレポートを確認 • Data SafeのレポートにKey項⽬でアクティビティを検索 ①「Filter」をクリック、 Key項⽬を記⼊、「Apply」をクリック
  77. 80 Copyright © 2020, Oracle and/or its affiliates. All rights

    reserved. Oracle Data Safe監査シナリオ アクティビティ監査 アクティビティ監査のレポートを確認 • Data SafeのレポートにKey項⽬でアクティビティを検索 ①検索結果を表⽰
  78. 81 Copyright © 2020, Oracle and/or its affiliates. All rights

    reserved. Oracle Data Safe監査シナリオ アクティビティ監査 アクティビティ監査のアラートを確認 • Data Safeに設定した「Alert Policy」に基づいて、アクティビティのアラートを⾃動的に⽣成 ①「Alerts」をクリック、全てのアラートを表⽰ ②「+」をクリック、 表⽰するColumnsを選択可能 ③Alert IDのリンクをクリック、 アラートの詳細を確認
  79. 82 Copyright © 2020, Oracle and/or its affiliates. All rights

    reserved. Oracle Data Safe監査シナリオ アクティビティ監査 アクティビティ監査のアラートを確認 • アクティビティのアラートを確認 ①アラート詳細を確認可能
  80. 83 Copyright © 2020, Oracle and/or its affiliates. All rights

    reserved. Oracle Data Safe監査シナリオ アクティビティ監査 アクティビティ監査のアラートを確認 • Alertsの画⾯にてKey項⽬でアラートを検索 ①「Filter」をクリック、 Key項⽬を記⼊、「Apply」をクリック
  81. 84 Copyright © 2020, Oracle and/or its affiliates. All rights

    reserved. Oracle Data Safe監査シナリオ アクティビティ監査 アクティビティ監査のアラートを確認 • Alertsの画⾯にてKey項⽬でアラートを検索 ①検索結果を表⽰
  82. 85 Copyright © 2020, Oracle and/or its affiliates. All rights

    reserved. Oracle Data Safe監査シナリオ アクティビティ監査 アクティビティ監査のアラートを出⼒し、レポートを作成 • Alertsの画⾯にてアラートのレポートを作成 ①「Generate Report」をクリック ②フォッマートを選択 ③ターゲットDBが所属される コンパートメントを選択 ④「Generate Report」をクリック
  83. 86 Copyright © 2020, Oracle and/or its affiliates. All rights

    reserved. Oracle Data Safe監査シナリオ アクティビティ監査 アクティビティ監査のアラートを出⼒し、レポートを作成 • Alertsの画⾯にてアラートのレポートを作成 ①レポート作成が成功 ②「Download Report」をクリック
  84. 87 Copyright © 2020, Oracle and/or its affiliates. All rights

    reserved. Oracle Data Safe監査シナリオ アクティビティ監査 アクティビティ監査のアラートを出⼒し、レポートを作成 • アラートのレポートを確認 ①アラートのレポートの詳細を確認
  85. 88 Copyright © 2020, Oracle and/or its affiliates. All rights

    reserved. Oracle Data Safe監査シナリオ アクティビティ監査 アクティビティ監査のアラートを画⾯のレポートに出⼒ • アラートを画⾯のレポートに出⼒ ①「Report Definition」の 「Save As New」をクリック
  86. 89 Copyright © 2020, Oracle and/or its affiliates. All rights

    reserved. Oracle Data Safe監査シナリオ アクティビティ監査 アクティビティ監査のアラートを画⾯のレポートに出⼒ • アラートを画⾯のレポートに出⼒ ①Report Name︓任意 ②ターゲットDBが所属される コンパートメントを選択 ③「Save As」をクリック
  87. 90 Copyright © 2020, Oracle and/or its affiliates. All rights

    reserved. Oracle Data Safe監査シナリオ アクティビティ監査 アクティビティ監査のアラートを画⾯のレポートに出⼒ • アラートを画⾯のレポートに出⼒ ①アラート・レポート作成完了 「Alerts」タブにて、該当レポートを直接に選択できる
  88. 91 Copyright © 2020, Oracle and/or its affiliates. All rights

    reserved. Oracle Data Safe監査シナリオ アクティビティ監査 アクティビティ監査のアラートを画⾯のレポートに出⼒ • アラートを画⾯のレポートに出⼒ ① 「Alerts」タブより アラート・レポートを表⽰
  89. 92 Copyright © 2020, Oracle and/or its affiliates. All rights

    reserved. Oracle Data Safe監査シナリオ アクティビティ監査 アクティビティ監査のアラートを画⾯のレポートに出⼒ • 「Reports」の画⾯にもアラートのレポートを表⽰ ①「Reports」タブに移動 ②作成したアラートのレポートを表⽰
  90. 94 Copyright © 2020, Oracle and/or its affiliates. All rights

    reserved. Oracle Data Safe監査シナリオ セキュリティ評価 セキュリティ評価を設定 • 評価対象とするターゲットDBを選択 ①Home→ Security Assessmentをクリック
  91. 95 Copyright © 2020, Oracle and/or its affiliates. All rights

    reserved. Oracle Data Safe監査シナリオ セキュリティ評価 セキュリティ評価を設定 • 評価対象とするターゲットDBを選択 ①ターゲットDBを選択 ②「Assess Now」をクリック
  92. 96 Copyright © 2020, Oracle and/or its affiliates. All rights

    reserved. Oracle Data Safe監査シナリオ セキュリティ評価 セキュリティ評価を確認 • 評価対象とするターゲットDBのセキュリティ評価のレポートを確認 ① Assessment完了後、セキュリティ評価結果の概要 (各レベルのリスクの件数)を確認
  93. 97 Copyright © 2020, Oracle and/or its affiliates. All rights

    reserved. Oracle Data Safe監査シナリオ セキュリティ評価 セキュリティ評価を確認 • 評価対象とするターゲットDBのセキュリティ評価のレポートを確認 ①結果のサマリーを表⽰ ②各項⽬をクリックし、詳細を確認
  94. 98 Copyright © 2020, Oracle and/or its affiliates. All rights

    reserved. Oracle Data Safe監査シナリオ セキュリティ評価 ①評価結果の詳細を確認 セキュリティ評価を確認 • 評価対象とするターゲットDBのセキュリティ評価のレポートを確認 Low Riskを選択した場合
  95. 99 Copyright © 2020, Oracle and/or its affiliates. All rights

    reserved. Oracle Data Safe監査シナリオ セキュリティ評価 セキュリティ評価を確認 • 評価対象とするターゲットDBのセキュリティ評価のレポートを確認 ④リスクに対する対策(推奨案)を提供 例︓ 活動していないユーザーを対策する為、“INACTIVE_ACCOUNT_TIME”を プロファイルに設定し、⼀定期間が経過すると⾃動的に⾮活動ユーザーをロックする ②リスク概要を表⽰ 例︓ 活動していないユーザーが検出 ①リスクレベルの表⽰ コンプライアンス遵守などの観点より 該当する評価結果項⽬を確認 ③リスク詳細を表⽰ 例︓ 活動していないユーザーをリスト化
  96. 101 Copyright © 2020, Oracle and/or its affiliates. All rights

    reserved. ユーザー評価 ユーザー評価を設定 • 評価対象とするターゲットDBを選択 ①Home→ User Assessmentをクリック Oracle Data Safe監査シナリオ
  97. 102 Copyright © 2020, Oracle and/or its affiliates. All rights

    reserved. Oracle Data Safe監査シナリオ ユーザー評価 ユーザー評価を設定 • 評価対象とするターゲットDBを選択 ②「Assess」をクリック ①ターゲットDBを選択
  98. 103 Copyright © 2020, Oracle and/or its affiliates. All rights

    reserved. Oracle Data Safe監査シナリオ ユーザー評価 ユーザー評価を確認 • 評価対象とするターゲットDBのユーザー評価のレポートを確認 ① Assessment完了後、ユーザー評価結果の概要 (各レベルのリスクの件数)を確認
  99. 104 Copyright © 2020, Oracle and/or its affiliates. All rights

    reserved. Oracle Data Safe監査シナリオ ユーザー評価 ユーザー評価を確認 • 評価対象とするターゲットDBのユーザー評価のレポートを確認 ①ユーザー評価のサマリーを表⽰ ②各ユーザーの「View Activity」をクリック
  100. 105 Copyright © 2020, Oracle and/or its affiliates. All rights

    reserved. Oracle Data Safe監査シナリオ ユーザー評価 ユーザー評価を確認 • 評価対象とするターゲットDBのユーザー評価のレポートを確認 ①クリックしたユーザーのアクティビティを表⽰