12.1.6 監査人の選定
監査証跡機能を使用する場合は,次の担当者(監査人)が必要になります。
-
監査証跡機能の管理担当者
監査証跡機能の運用を行う担当者です。監査証跡機能の運用時に使用するadbaudittrailコマンドを実行するため,HADB管理グループに所属するOSユーザのOSアカウントが必要になります。
また,監査管理権限を持っているHADBユーザが必要になります。
-
監査担当者
監査証跡を参照して,データベースの利用状況の監査を行う担当者です。
監査証跡は,サーバマシン以外のマシンから参照できるため,監査担当者はサーバマシンのOSアカウントを必ず持つ必要はありません。サーバマシン上で監査証跡を参照する場合に限り,HADB管理グループに所属するOSユーザのOSアカウントが必要になります。
また,監査参照権限を持っているHADBユーザが必要になります。
なお,監査担当者の操作に対しても監査を行う場合は,監査担当者を複数人用意して,監査担当者の操作については相互に監査するようにしてください。
- メモ
-
外部の監査担当者による外部監査を行う場合は,外部の監査担当者には,監査参照権限を持っているHADBユーザを用意することを推奨します。
監査証跡機能の管理担当者と監査担当者を1人で兼ねることもできますが,それぞれの担当者を選定することを推奨します。
- 重要
-
-
データベースの管理担当者(DBA権限を持っているHADBユーザ)とは別に,監査人を選定してください。
-
監査人は,監査に関する業務だけを行うことを推奨します。監査に関する業務で使用するHADBユーザは,ほかの業務で使用するHADBユーザとは兼ねないで,監査に関する業務だけで使用するHADBユーザとして作成することを推奨します。
-
監査証跡機能を使用する場合のユーザ構成例を次の図に示します。
|
|
![[図データ]](GRAPHICS/F0000873.GIF)
[説明]
-
この例の場合,監査の担当部署に所属する監査証跡機能の管理担当者は,監査証跡機能の運用時に使用するOSユーザとHADBユーザ(ADBAUDITADMIN)を専用で持っています。
監査の担当部署に所属する監査担当者は,監査時に使用するOSユーザとHADBユーザ(ADBAUDITVIEWER)を共用しています。
-
外部の監査担当者の操作は,監査証跡の参照だけに限定します。そのため,サーバマシンのOSアカウントは付与しないで,サーバマシン以外のマシンから監査証跡を参照するようにします。また,外部の監査担当者だけが使用する,監査参照権限を持っているHADBユーザ(ADBOUTSIDEAUDITVIEWER)を作成します。