Unified Auditingに関するよくある質問

技術レポートを読む (PDF)

FAQのトピック

全般

1. Unified AuditingはどのOracle Databaseバージョンでサポートされていますか?

Unified Auditingは、Oracle Database 12cリリース以降で利用可能です。

2. Oracle DatabaseでUnified Auditingを有効にするにはどうすればよいですか?

Unified Auditingは、Oracle Database 12c以降ではデフォルトで有効になっています。

3. Unified AuditingはOracle Databaseのライセンス対象機能ですか?

Unified Auditingは、Oracle Database 12c以降のすべてのリリースに標準で含まれています。

4. Oracle Database 23aiで従来の監査設定は使用できますか?

Oracle Database 23aiでは従来の監査設定はサポートされていません。新規にOracle Database 23aiを作成する場合、従来の監査設定は存在しません。

既存のデータベースを23aiにアップグレードする場合、その結果はアップグレードするデータベースの状態によります。既にUnified Auditingを使用していて、従来の監査設定が残っていない場合、アップグレード後もUnified Auditingを継続して使用します。

一方、従来の監査設定があるデータベースをアップグレードした場合、その設定は引き継がれ、既存バージョンの監査証跡に記録され続けます。これらの監査設定を無効にするには、NOAUDITコマンドを使用する必要があります。ただし、新たに従来の監査設定を作成したり、既存の従来設定を変更したりすることはできません。

オラクルでは、Database 23aiへのアップグレード前にUnified Auditingへの移行計画を立てることを推奨しています。

5. Unified Auditingを初めて使用します。どこから始めればよいですか?

Unified Auditingを初めてご利用の場合は、主要な監査ニーズをカバーする、すぐに使える監査ツールや機能から始めましょう。以下、いくつかのヒントをご紹介します。

  • データベースで「常時有効(always-on)」の設定を活用しましょう。Oracle Databaseでは、セキュリティに関わる特定の操作に対して強制的に監査が有効になっています。これらの「常時有効」監査はあらかじめ組み込まれており、無効化することはできません。そのため、重複して設定する必要はありません。

    Database 19c以降では、強制監査からの監査レコードを確認するには、UNIFIED_AUDIT_TRAILビューをクエリします:

    SELECT * FROM UNIFIED_AUDIT_TRAIL
    WHERE UNIFIED_AUDIT_POLICIES LIKE ' ORA$MANDATORY';
  • あらかじめ定義されたポリシーを活用しましょう。オラクルでは、最も一般的なセキュリティ関連イベントをカバーする組み込みの監査ポリシーを提供しています。いくつかのポリシーはデフォルトで有効になっており、以下のクエリで有効化されているものを確認できます:

    SELECT * FROM AUDIT_UNIFIED_ENABLED_POLICIES;

    必要な監査ポリシーは、次のようなシンプルなAUDITコマンドで有効化できます。

    AUDIT POLICY ORA_SECURECONFIG;

    注:Oracle Autonomous Databaseをご利用の場合、多くの重要な監査ポリシーはすでに事前に有効化されています。
  • Oracle Data SafeやOracle Audit Vault and Database Firewallから、ワンクリックですぐに使える監査ポリシーを活用できます。

6. Unified Auditingの記録はどのように参照できますか?

監査レコードは、UNIFIED_AUDIT_TRAILビューを使用してクエリできます。

パフォーマンス

1. Unified Auditingはデータベースのパフォーマンスに影響しますか?

特権ユーザーの監査や主要なデータベース操作の監査など、一般的なユースケースの場合、監査の発生頻度が週全体にわたって低いため、パフォーマンスへの影響はごくわずかで、測定が困難なほどです。監査が1分あたり数千件まで増加した場合には、1%程度のパフォーマンス影響が見られることがあります。多くのユースケースでは、これ以上の影響が出ることはほとんどありませんが、アプリケーション利用状況を詳細に監査したい場合には、監査ポリシーの調整がおすすめです。

TPC-C混合アプリケーションワークロードを用いた社内パフォーマンステストでは、1分あたり6,000件を超えて監査が発生する場合、CPUの追加負荷は2~5%の範囲に収まることが確認されています。1分あたり最大36,000件程度の過度な監査負荷でも、追加のオーバーヘッドは一桁台に留まっています。

ストレージ

1. Unified Auditingでは監査データはどこに保存されますか?

監査レコードは、AUDSYSスキーマ内のセキュアな内部表AUD$UNIFIEDに保存されます。この表はデフォルトでSYSAUX表領域に配置されています。

データベースに書き込めない場合(たとえば、データベースがオープンしていない場合や表領域が一杯の場合)は、監査レコードはスピルオーバーとしてOS上の$ORACLE_BASE/audit/$ORACLE_SIDディレクトリ内のバイナリファイルに書き込まれます。監査レコードは、UNIFIED_AUDIT_TRAILビューを使用してアクセスします。このビューは内部的にAUDSYS.AUD$UNIFIED表およびスピルオーバーファイルのデータから監査レコードを取得します。

2. Unified Auditingデータのサイズと保持期間はどのように管理できますか?

DBMS_AUDIT_MGMTインターフェースを利用し、定期的に監査レコードをアーカイブおよびパージ(削除)することが推奨されます。DBMS_AUDIT_MGMTパッケージには、アーカイブタイムスタンプの設定、監査証跡(トレイル)のパージ、パージジョブのスケジュール設定などの機能があります。

また、監査証跡のパーティション間隔を設定し、各パーティションごとに管理しやすい件数の監査レコードを保持することも推奨されます。

3. 監査データを別の表領域に移動できますか?

監査データをデフォルトのSYSAUX表領域から別の表領域に移動することをお薦めします。DBMS_AUDIT_MGMT.SET_AUDIT_TRAIL_LOCATIONプロシージャを使用すれば、監査証跡の保存場所を変更できます。

移行

1. 従来の監査設定からUnified Auditingへはどのように移行しますか?

ほとんどの場合、移行はシンプルです。以下の手順に従ってください。

  • データベースで「常時有効」な監査を活用してください。
  • データベースにあらかじめ定義されている監査ポリシーを活用してください。
  • ORA_SECURECONFIGやORA_LOGIN_LOGOUTなど、あらかじめ定義されているポリシーが有効になっていることを確認してください。
  • 従来のカスタム監査設定が存在する場合は、それに相当するUnified Auditポリシーを定義して有効化してください。必要に応じて、変換ユーティリティに関するMOS2909718.1を参照してください。
  • NOAUDITコマンドで従来の監査を無効化してください。
  • AUDIT_TRAIL=None および AUDIT_SYS_OPERATIONS=False を設定してください。

構成

1. Unified Auditingポリシーを設定する際の推奨ベストプラクティスは何ですか?

特権ユーザー活動、セキュリティ関連イベント、機密データアクセスという3つのポイントに的を絞って監査設定を行い、お客様のニーズに合わせた効果的かつ実用的な監査ポリシーを作成してください。詳しくは、Oracle Database Unified Audit: Best Practice Guidelinesをご参照ください。

2. Unified Auditingの学習に使用できるOracle LiveLabsはありますか?

はい。このLiveLabでは、Unified Auditingの設定や利用方法を約30分で学ぶことができます。

誠実さ

1. Unified Auditingのデータは改ざん耐性がありますか?

Unified Auditingは、監査証跡の改ざんを許可しないことで、非常に高い整合性を実現しています。監査証跡はAUDSYSスキーマ内に保存されており、このスキーマには誰もデータベースからログインできません。AUD$UNIFIEDは、INSERT操作のみを許可する特殊な表です。この表の内容を直接TRUNCATE、DELETE、UPDATEしようとすると、処理は失敗し、監査レコードが生成されます。監査データの管理は、組み込みのDBMS_AUDIT_MGMTパッケージを使用して行います。

2. DBAや特権ユーザーによる統合監査ログの改ざんを防ぐことはできますか?

Unified Auditingの監査データは安全に保管され、変更できません。また、DBAではなく、専任のセキュリティ担当者に対してAUDIT_ADMINロールやAUDIT_VIEWERロールなどの職務分掌を割り当てることが推奨されます。さらに厳格な運用管理やアクセス制御の実現には、Oracle Database Vaultの利用を検討してください。

3. 監査データは暗号化されていますか?

データベース内の監査レコードはデフォルトで暗号化されていませんが、監査データを格納する表領域に対して透過的データ暗号化を利用することができます。

また、転送中の監査データの保護には、ネットワーク暗号化(SSL/TLS)をご利用ください。