Oracle Enterprise Manager Configuration Change ConsoleによるIT
by user
Comments
Transcript
Oracle Enterprise Manager Configuration Change ConsoleによるIT
Oracle Enterprise Manager Configuration Change Console による IT 構成制御の自動化 Oracle テクニカル・ホワイト・ペーパー 2008 年 10 月 Oracle Enterprise Manager Configuration Change Console による IT 構成制御の自動化 はじめに 現在、Oracle Enterprise Manager には、完全なアプリケーション管理ソリューショ ンが備わっています。Oracle Enterprise Manager を使用すると、アプリケーション セキュリティ全体のレベルは、もっと も弱い部分によって決まります。アプ リケーションがデータベースとの相 互作用を確立するための方式は、見落 とされがちで適切に保護されない確 率が高い部分です。 をビジネスの観点からトップダウンで管理できます。これにより、ビジネスにお ける例外の迅速な識別、基礎になるテクノロジーおよびインフラストラクチャで のドリルダウンを使用した根本原因となる問題の特定、および問題が深刻化する 前の自動修正が可能になります。Oracle Enterprise Manager の主要コンポーネント の 1 つが Configuration Management Pack です。Configuration Management Pack では、 検出、資産追跡、分析、変更検出、コンプライアンスの評価およびレポートが提 供されます。また、Configuration Management Pack には、Configuration Change Console が含まれます。Configuration Change Console では、認可済みおよび無認可 の構成変更を包括的かつ継続的に検出、検証、およびレポートすることでリアル タイムの IT 構成変更管理を自動化する画期的な機能が提供されています。このホ ワイト・ペーパーでは、IT ポリシーの定義、追跡および実行、IT コンプライアン ス・プロセスの自動化、ビジネス・アプリケーション管理の労力およびコストの 削減を可能にする Configuration Change Console 独自の機能について説明します。 ポリシーベースの IT 管理と IT ガバナンス 多数の IT 組織が運用ポリシーを開発してドキュメント化していますが、多くの場 合、構成コンプライアンスを常に管理していくためにはそれらのポリシーは適切 ではないとみなされています。顧客が直面するおもな問題の 1 つは、ポリシーを、 リアルタイムで測定可能なメトリックを作成するプロセスやプロシージャに発展 させることができないというものです。このために、今日の複雑性や変化を管理 するための内部統制が不十分になる可能性があります。 この問題は、米国サーベンス・オクスリー法など、公開企業が遵守すべき規制要 件の登場によって、さらに重大な問題となってきています。これらの内部統制を 満たすために IT 組織が使用するおもな戦略の 1 つは、業界のベスト・プラクティ スとみなされている PCI、ITIL、ISO 17799、ISO 20000 などの標準を採用すること です。 これらのガイドラインは、IT組織が規制要件を満たすためだけに役立つわけでは ありません。IT Governance Instituteも、これらのベスト・プラクティスを採用する ことによってIT運用コストが削減され、ビジネス要件との連携が向上することを Oracle Enterprise Manager Configuration Change Console による IT 構成制御の自動化 2 Oracle Corporation 発行「Automating IT Configuration Controls with Oracle Enterprise Manager Configuration Change Console」の翻訳版です。 認識しました1。その結果、組織は現在、IT戦略、テクノロジーおよび管理プラク ティスを組織のビジネス上の目的に関連づけるベスト・プラクティスとツールを 開発することが必要であると認識しています。 これらのベスト・プラクティスが規制要件、セキュリティ要件、およびサービス 品質要件を満たすようにするには、ITの目的が達成されたかどうかを判断するメ トリックが必要です。これを成功させるには、企業ポリシーをベスト・プラクティ スに関連づける自動プロセスをもち、コンプライアンスを測定する自動化された リアルタイムの方法を実装することを強くお薦めします2。 Configuration Change Console によっ て、組織は規制遵守を確実なものと し、組織内において必須の制御を実装 できます。Configuration Change Console は、リアルタイムの変更検出 および変更リコンシリエーションと 組み合わさったポリシーのライブラ リを提供することによってこれらの 利点を提供します。 Configuration Change Console Configuration Change Console は、IT ポリシーおよび IT 制御を直接データ収集に接 続する標準の IT フレームワークを提供することによって組織を支援するように設 計されています。これには、構成アイテム、アプリケーションおよび IT コンポー ネントに対する手動/自動アクションおよびイベントを通常の日常業務の一部と して追跡し、記録することが含まれます。また、Configuration Change Console では、 検出したアクションとイベントを関連づけ、IT ポリシーおよび IT 制御を管理する 一元化されたリポジトリも提供されます。 Configuration Change Console は、信頼性、セキュリティおよびパフォーマンスを向 上させ、規制要件を満たすように設計されており、これによってコスト削減と安 定性の向上につながります。 Configuration Change Console のアーキテクチャ コスト削減と高い安定性がどのように達成されるのかを理解するため、 Configuration Change Console のアーキテクチャを見てみましょう。 1 IT Governance Institute(2005):Aligning COBIT, ITIL and ISO 17799 for business benefit 2 Gartner Research(2006):Security Controls and Policy Management Defined Oracle Enterprise Manager Configuration Change Console による IT 構成制御の自動化 3 Oracle Corporation 発行「Automating IT Configuration Controls with Oracle Enterprise Manager Configuration Change Console」の翻訳版です。 Configuration Change Console は、分散アーキテクチャに配置され、管理デバイス上 の軽量プローブを使用してバックエンド・データベースに時間ベースの情報モデ ルを移入します。取得したデータはすべて、Web ベースのユーザー・インタフェー ス経由でユーザーに公開されます。このユーザー・インタフェースでは、リアル タイムのデータ分析、レポート作成、ポリシー構成、変更通知、管理、および変 更管理システムとの統合をおこないます。 Configuration Change Console は、お のおのの管理デバイス上にインス トールされたプローブを通じてリア ルタイムのイベント情報を収集しま す。プローブは、それらのデバイス上 のファイル、プロセス、ユーザーなど のオブジェクトに関するイベントを 取得できます。 プローブは軽量であるため、管理デバ イス上で必要となるリソースは最小 限で済みます。 また、リアルタイムの構成変更追跡をおこない、スケーラビリティを向上させ、 多数のサーバーの監視を可能にするように設計されています。多くの場合、スケー ラビリティは、同一のバックエンド・データベースにアクセスするアプリケーショ ン・サーバーを追加することによって実現します。 プローブおよびデータ収集 Configuration Change Console 独自の機能の 1 つに、OS ファイルやプロセスから販 売デバイスの個々のポイントにいたるまで、広範囲にわたる IT コンポーネントの 構成変更をリアルタイムで追跡する機能があります。この完全で正確なリアルタ イムの構成変更レポートを作成するため、Configuration Change Console の変更検出 方式として、各管理デバイス上にインストールされた IT インフラストラクチャと 直接相互作用する軽量プローブを使用しています。 プローブは、バックグラウンドで受動的に動作し、アクティビティの変更状況を 監視し続けます。管理デバイス上で変更が検出されると、プローブは一元化され た Configuration Change Console アプリケーション・サーバーへ変更のレポートを 返します。監視対象のターゲットには、最小限のリソースしか必要ありません。 CPU 集約的な分析およびアクティビティはすべて Configuration Change Console サーバー上で発生し、管理デバイス上では発生しません。 Oracle Enterprise Manager Configuration Change Console による IT 構成制御の自動化 4 Oracle Corporation 発行「Automating IT Configuration Controls with Oracle Enterprise Manager Configuration Change Console」の翻訳版です。 監視対象のコンポーネント IT インフラストラクチャ内の重要な要素を占める構成アイテムは、中央のリポジ トリ・データベースに格納されます。格納された情報は、ほかのサービス管理プ ロセスをサポートするための基礎として使用され、逸脱した部分を迅速に修正す るためのインフラストラクチャに対する構成情報の検証に使用されます。 変更によって停止時間が発生することが多いため、ITIL や SOX などのほとんどの コンプライアンス・フレームワークでは、なんらかの変更管理を導入することを 求めています。変更管理の目的は、標準化された方法やプロシージャを使用して あらゆる変更を効率的に処理し、エンドユーザーに提供されるサービスの変更に よって発生する影響を最小限に抑えることにあります。 Configuration Change Console は、監視対象のコンポーネントに対する変更を自動的 に検出できます。これには、次が含まれます。 監視対象の 検出されてレポートされるイベント コンポーネント ファイルおよび 作成、削除、変更、名前変更、読取り、表示および属性 ディレクトリ 変更。収集されるデータには、(OS によって異なります が、)日付/時間、イベント型、MD5、アカウントの ユーザーID が含まれます。 プロセス 起動イベント、停止イベント、CPU 利用率。収集される データには、プロセス名、プロセス ID、プロセス・ ユーザー、イベント型、日付/時間が含まれます。 ユーザー・ ローカル・ユーザーおよびリモート・ユーザーの アカウント ログイン/ログアウト、ソース IP、アクティビティ・ レベル、ユーザーが開始したプロセス。 サーバー・リソース CPU 利用率、メモリ利用率、ファイル・システム/ ストレージ利用率。 データベース アプリケーション構成オブジェクトの変更の検出。 ネットワーク・ 構成が変更されたデバイスからの SNMP トラップの デバイス 取得。 Active Directory および LDAP ユーザー、グループおよびコンピュータの追加、削除、 Windows レジストリ 作成、削除、変更。収集されるデータには、ユーザー値 変更、およびメンバーシップの変更。 および前後値が含まれます。 Oracle Enterprise Manager Configuration Change Console による IT 構成制御の自動化 5 Oracle Corporation 発行「Automating IT Configuration Controls with Oracle Enterprise Manager Configuration Change Console」の翻訳版です。 オペレーティング・システム固有のデータ収集情報 それぞれのオペレーティング・システムが異なる方法で変更アクティビティを検 出、記録するため、このことがコンプライアンス・ネットワークに基づいて収集 できるデータ量に影響する場合があります。そのため、Configuration Change Console では、おのおののオペレーティング・システムの特性に基づいて構成変更 アクティビティを検出してレポートするようにプローブが設計されています。次 の表は、使用される方式の一部を示したものです。 プラット ファイル変更 フォーム イベント Windows Win32 API および Security オペレーティング・ Log 監視 システム・ポーリング プロセス・イベント 3 秒ごとの ユーザー・ログオン/ ログオフ・イベント 監査/セキュリティ・ログ 監視(有効化が必須) WTMP ファイル監視 Solaris 監査ログ監視 3 秒ごとの (telnet、FTP、SSH、Samba オペレーティング・ などの型やリモート・ロ システム・ポーリング グオンのソース・ホスト 名を検出可能) HP-UX 3 秒ごとの 監査ログ監視 オペレーティング・ WTMP ファイル監視 システム・ポーリング AIX 3 秒ごとの 監査ログ監視 オペレーティング・ WTMP ファイル監視 システム・ポーリング Linux (Red Hat) カーネル・ モジュール Oracle Enterprise Manager Configuration Change Console による IT 構成制御の自動化 3 秒ごとの オペレーティング・ WTMP ファイル監視 システム・ポーリング 6 Oracle Corporation 発行「Automating IT Configuration Controls with Oracle Enterprise Manager Configuration Change Console」の翻訳版です。 コンプライアンス環境では、個々のユーザーに対するファイル変更の追跡は必須 要件です。ファイル変更にユーザーを関連づけるには、プローブがオペレーティ ング・システムと通信してこの情報を取得する必要があります。次の表は、ユー ザー情報を取得する際の OS 固有のメカニズムを示したものです。 オペレーティング・ ファイル変更またはオブジェクト変更の際に システム ユーザー情報を取得するメカニズム Windows 監査/セキュリティ・ロギングの有効化 Basic Security Module(BSM)を用いて監査ロギングの Solaris 有効化 Host Intrusion Detection System(HIDS)の有効化 HP-UX Red Hat Linux リロード可能なカーネル監査モジュールによるファイル 変更イベントに関する情報の取得 監査ロギングの有効化 IBM AIX OS 監査の有効化が不可能な場合、Configuration Change Console ではスナップ ショットを使用してファイル変更を検出するメカニズムも提供しています。これ は、OS の監査システムおよびロギング・システムに依存しません。ユーザーは、 どちらのバージョンを使用するかをインストール中に選択できます。 アプリケーション固有のデータ収集情報 データベースや Active Directory システムなどの固有のアプリケーションに対する 変更を正確に検出し、レポートするために、Configuration Change Console はさまざ まなデータ収集方式やソースを活用します。次の表は、Configuration Change Console によって検出されるさまざまなアプリケーション固有の変更とそれらの ソースをまとめたものです。 変更検出の 検出された変更 変更データのソース タイプ データベース アプリケーション構成 サポートされるすべてのデータベー オブジェクトの変更の スに対するリアルタイムの監査、ま 検出 たはユーザー指定の間隔で収集され たスナップショットの差別化による 変更の検出が可能です。 作成、削除、変更 Configuration Change Console は、すべ 収集されるデータには、 てのシステム・コールをリアルタイ ユーザー値および前後値 ムでレジストリにトレースするカー が含まれます ネル・モジュールを活用します。 Active ユーザー、グループ、お Configuration Change Console は 2 つ Directory よびコンピュータの追 のアプローチを利用します。プロキ 加、削除、変更、および シ・メソッドは LDAP を使用して、 レジストリ・ キー メンバーシップの変更 ドメイン・コントローラの 5 分ごと のスナップショットを生成し、ス ナップショットをレポート変更イベ Oracle Enterprise Manager Configuration Change Console による IT 構成制御の自動化 7 Oracle Corporation 発行「Automating IT Configuration Controls with Oracle Enterprise Manager Configuration Change Console」の翻訳版です。 ントと比較します(ユーザー名はレ ポートされません)。トレース・メ ソッドは、アカウント管理イベント をセキュリティ・ログによりリアル タイムで読み取ります(ユーザー名 はレポートされます)。 プローブ通信とネットワーク利用率 プローブは、できる限りリソースを消 費しないように設計されています。次 に例を示します。 ネットワーク:各プローブの送信サイ ズの平均は、5 分につき 10Kb です。 CPU:プローブでの CPU の平均使用 率は、長期間にわたって 1%未満であ ることがわかりました。 データ収集プロセスのあと、Configuration Change Console プローブは、圧縮 XML 形式を使用して 1 分から 5 分の間隔でデータ変更アクティビティおよびレポート 変更アクティビティを集計します。JMS/SSL 接続をとおしてデータをプローブか らアプリケーション・サーバーへ送信する際に、暗号化するように構成できます。 各プローブからの平均送信サイズは 5 分ごとに約 10KB であるため、ネットワー ク帯域幅はごくわずかであることがわかります。 1 ヶ月当たり平均 25,000 件の変 更があるとすると、XML 圧縮のために標準化したあと、1 台の管理サーバーは 1 ヶ 月当たりおよそ 100MB のデータを生成することになります。 通信が切断された場合、すべてのデータがキューに入れられ、通信が起動して稼 働した時点で送信されます。Configuration Change Console アプリケーション・サー バーまたはデータベースへの接続が使用できない場合や、プローブがローカル・ モードで一時停止されている場合、プローブはメッセージ・ブローカ・クライア ントを使用してデータをキューに入れ、ディスクに保存します。データは、管理 サーバー上にキャッシュされたディスク領域を使用してキューに入れることがで きます。キャッシュ・サイズは、ディスク領域の最大量とデータをキューに入れ る時間の最大値によって構成されます。接続が再確立されると、メッセージ・ブ ローカはデータを Configuration Change Console サーバーへ送信します。 プローブによる CPU 消費 Configuration Change Console プローブは、管理デバイスのパフォーマンスへの影響 を最小限に抑えるように設計されています。CPU 集約的な分析やレポートはすべ て、一元化された Configuration Change Console サーバー上で実行されます。おの おのの管理サーバーで Configuration Change Console プローブが消費するサーバー CPU は、長期間にわたって 1%未満です。 構成操作管理 監視プロセスとデータ取得プロセスを理解したら、次にインフラストラクチャ・ コンポーネントを Configuration Change Console にリンクさせ、それらのコンポー ネントが相互に関係し合う方法と監視される方法を定義します。ほとんどのコン ポーネントは互いに依存しあっているため、このステップは非常に重要です。1 つのコンポーネントに障害が発生した場合、サービス・レベルに影響したりシス テムの停止を発生させたりして、別のコンポーネントのサービス・レベルに影響 する可能性が非常に高くなります。 全体の相互関係や各コンポーネントの監視方法を定義することによって、完全な エンド・ツー・エンドの監視が可能になり、運用の安定性が得られます。これを 実行するには、Configuration Change Console でコンポーネントおよびアプリケー ションを定義する必要があります。 Oracle Enterprise Manager Configuration Change Console による IT 構成制御の自動化 8 Oracle Corporation 発行「Automating IT Configuration Controls with Oracle Enterprise Manager Configuration Change Console」の翻訳版です。 Configuration Change Console コンポーネントの確立 基本的に、コンポーネントはシステム内で使用されるアプリケーションに含まれ る重要な要素の基本型として機能します。コンポーネントは、インフラストラク チャを形成する要素を表します。コンポーネントの例には、ファイル、プロセス、 OS ユーザー、データベース・オブジェクトといったアプリケーション固有の内部 オブジェクトが挙げられます。 Configuration Change Console では、システム内でのコンポーネントの作成プロセス を高速化する、事前定義された一連のコンポーネント(これにはルールも含まれ ます)を標準で提供します。これらの事前定義されたコンポーネントは、出発点 として使用でき、企業の監視要件、コンプライアンス要件および監査要件を満た すようにカスタマイズできます。 コンポーネントを定義するには、次のステップがあります。 ステップ 1:各コンポーネントに対するルール・セットの指定 コンポーネントを定義したら、次にそれらのコンポーネントに対する監視ルール を指定します。このステップでは、コンプライアンス・フレームワークに適合す るためにコンポーネントが必要とする制御の種類を構成します。Configuration Change Console 内のルール・セットには、次のようなコンポーネント型が含まれ ます。ファイル・イベント、プロセス・イベント、ユーザー・イベント、Active Directory、データベース(DB2、Oracle SQL Server など)、Windows レジストリ です。 ステップ 2:管理デバイスへのコンポーネントのマッピング アプリケーション向けにコンポーネントを構成したら、次に各コンポーネントが 動作するデバイスを指定します。これによって、コンポーネント・インスタンス と呼ばれるものが作成されます。このステップで、Configuration Change Console によってコンポーネントがインフラストラクチャにリンクします。 ステップ 3:監査アクションの定義 コンポーネント・ルール・セットを確立し、コンポーネントを管理デバイスへマッ ピングしたら、次のステップでは、イベントが発生した場合に必要となるアクショ ンを指定します。無認可の変更が検出された場合、Configuration Change Console は、電子メール通知、レポート作成の実行、SNMP トラップの送信、および Change Management Reconciliation をトリガーするように定義できます。 これらのイベント・トリガーによって、企業は変更内容の分析をおこない、必要 に応じて適切な人材に通知して、修正アクションを実行できます。 Oracle Enterprise Manager Configuration Change Console による IT 構成制御の自動化 9 Oracle Corporation 発行「Automating IT Configuration Controls with Oracle Enterprise Manager Configuration Change Console」の翻訳版です。 管理およびレポートを簡易化するアプリケーションの作成 Configuration Change Console によっ て、コンポーネントをアプリケーショ ンに論理的にグループ化できます。こ れによって、ユーザーはビジネス・ア プリケーションに影響する変更イベ ントを簡単に表示できます。 コンポーネント・インスタンスを定義したら、次に Configuration Change Console 内のアプリケーションへコンポーネント・インスタンスを論理的にグループ化し ます。この Configuration Change Console 内のアプリケーションは実際のビジネス・ アプリケーションと直接マッピングされるため、Configuration Change Console とビ ジネス・サービスとのリンクが提供されます。 これによって、実際のビジネス・アプリケーションのモデル化が可能になり、ビ ジネス要件に合致する問題をレポートできるようになります。ほとんどの場合、 ビジネス・アプリケーションは、Web サーバー、アプリケーション・サーバー、 データベースなどの、異なるサーバー上で動作する複数の IT インフラストラク チャ・コンポーネントに関連しています。 Configuration Change Console を使用すると、個々のコンポーネントを参照できるだ けでなく、アプリケーション全体に影響する変更イベントを簡単に表示できます。 ここでは、あるコンポーネントとビジネス・アプリケーションに関連するほかの コンポーネントとの相互依存性を表示できるようになるため、この表示は単に効 果的というだけでなく、非常に強力でもあります。 ポリシー管理 このホワイト・ペーパーの冒頭で説明したように、複雑性やコスト抑制の管理に はフレームワークとベスト・プラクティスが使用されます。ここまで、このホワ イト・ペーパーでは、アーキテクチャと、Configuration Change Console により操作 性を向上させる方法について説明してきました。 次に、ITIL、SOX、PCI などのコンプライアンス・フレームワーク、ポリシー、お よび制御の要件を満たす方法を理解する必要があります。これを実行するには、 前に定義したコンポーネント構成を使用して、Configuration Change Console 内のポ リシー管理を採用する必要があります。これは、4 つの主要なステップにより達 成できます。 Oracle Enterprise Manager Configuration Change Console による IT 構成制御の自動化 10 Oracle Corporation 発行「Automating IT Configuration Controls with Oracle Enterprise Manager Configuration Change Console」の翻訳版です。 ステップ 1:コンプライアンス要件の計画 コンプライアンス戦略全般を確立するにあたって、業界内で使用されているさま ざまな制御フレームワークの関連性を考慮することが役立ちます。それぞれのフ レームワークには異なる特徴があり、組織間で若干異なって実装されている場合 があります。 まず、組織の要件に最適なフレームワークを決定する必要があります。ある特定 のフレームワークをもとにしても、組織の要件に基づく微調整やカスタマイズを 必要とするポリシーや制御もあります。 Configuration Change Console は、事前定義されたフレームワーク、ポリシーおよび 制御を標準で提供します。これらによって一般的なガイドラインが提供されるた め、実装や導入を迅速化できます。 ステップ 2:制御の定義とコンポーネントへの制御の割当て 希望する制御の概略がまとまったら、Configuration Change Console の使用を開始し、 組織内で使用している粒度の高い制御に直接マッピングできます。たとえば、保 護または制限されたファイルへの読取りアクセスおよび書込みアクセスを監視す る"Restricted File Access"制御を定義できます。 インフラストラクチャ内のコンプライアンス制御にリンクさせるには、制御を Configuration Change Console のコンポーネントに関連づける必要があります。ある 特定の制御には、複数のコンポーネントを割り当てることができますまた、組織 のコンプライアンス構造へマッピングするのに必要な数の制御を作成できます。 ステップ 3:ポリシーの定義 制御を定義したら、次にその制御をポリシーへ割り当てる必要があります。ポリ シーは、基本的にアクションの計画または方向性であり、問題を定義したり、コ ンプライアンス要件に関連する意思決定に影響したりするように設計されていま す。 たとえば、"Managing Performance Levels"というポリシーを作成したうえで、その ポリシー内に"Capacity Monitoring"制御および"Problem Tracking"制御を含めるこ とができます。これにより、"Capacity Monitoring"制御内に違反が発生した場合、 "Managing Performance Levels"ポリシーにもフラグが設定されることになります。 ステップ 4:フレームワークの定義 Configuration Change Console 内のフレームワークは、組織が採用したコンプライア ンス・フレームワークを表すものです。このステップでは、組織内で使用される Configuration Change Console のフレームワークを定義する必要があります。必要に 応じて、複数のフレームワークを指定できます。 たとえば、組織内で ITIL フレームワークと PCI フレームワークの両方を監視でき ます。 Oracle Enterprise Manager Configuration Change Console による IT 構成制御の自動化 11 Oracle Corporation 発行「Automating IT Configuration Controls with Oracle Enterprise Manager Configuration Change Console」の翻訳版です。 監視と制御 Configuration Change Console ダッ シュボードによって、完全に監視され た環境の迅速なスナップショットが 提供されます。 ユーザーは、問題分野の調査までドリ ル ダ ウ ン で き ま す 。 Configuration Change Console によって、各イベン トに関する詳細が提供され、問題の解 決が容易になります。 Configuration Change Console のフレームワークを設定したら、一連のダッシュボー ドを使用できます。これらのダッシュボードのビューはレベルが高く、組織のコ ンプライアンス・フレームワーク、ポリシー、および制御に基づいて、無認可の 変更をリアルタイムで迅速に監視し、警告を受けることができます。これには、 インフラストラクチャに無認可のアクセスがあったかどうかを制御し、調査する 機能が含まれます。また、アクティビティのフォレンジック追跡に対する機能も 提供され、システム・クラッシュまたは品質保証契約違反からの修復にかかる平 均時間が短縮されます。 トップレベルのダッシュボードにより、フレームワークに関連する一連のリアル タイムのダイヤルが表示されます。おのおののダイヤルは、そのフレームワーク 内で定義されるポリシーを表します。これらのダイヤルにより、構成されたしき い値ごとに定義されているように、ポリシーのパフォーマンスのサマリー・ビュー がリアルタイムで提供されます。 制御の 1 つに違反が発生した場合、その制御向けに構成されたしきい値によって 定義されているように、そのポリシーのダイヤルによってステータス・ビューが 提供されます。たとえば、パスワード・ファイルに無認可のアクセスがあった場 合、通知が送信され、"Implement Detect application configuration object changes Strong Access Controls"ポリシーのダイヤルによって、その特定の制御に違反が発生した ことを示すインジケータが提供されます。 Oracle Enterprise Manager Configuration Change Console による IT 構成制御の自動化 12 Oracle Corporation 発行「Automating IT Configuration Controls with Oracle Enterprise Manager Configuration Change Console」の翻訳版です。 問題に関するより詳細なビューを参照するには、イベントのフォレンジック情報 の概要のビューを提供するそれぞれのダイヤルへドリルダウンできます。このよ うに理解することにより、アクティビティを分析し、必要に応じて修正アクショ ンを実行できます。 結論 IT システムおよびアプリケーションにおける障害のおもな原因は、予期しない無 認可の構成変更にあります。その結果、多くの場合は停止時間と、目標とするコ ンプライアンスおよびサービス・レベルの違反によってコストがかかることにな ります。Configuration Change Console は、構成変更管理に対する IT ポリシーの自 動管理と自動実施によって、これらの問題に対処する独自のソリューションを提 供します。Configuration Change Console は、包括的な記録とフォレンジック追跡に よって、人、プロセスおよびテクノロジーを結びつけ、IT 制御およびガバナンス を自動化します。Configuration Change Console が際立っている理由は、IT コンポー ネントを徹底的に網羅し、おもな IT 変更管理ソリューションと包括的に統合され、 オラクルのトップダウンのアプリケーション管理にも統合されている点にありま す。Configuration Change Console を使用することにより、組織は IT インフラスト ラクチャの制御を向上させ、自動 IT 制御の使用によって規制遵守および法的要件 を満たすことができ、結果として運用コストを削減できます。 Oracle Enterprise Manager Configuration Change Console による IT 構成制御の自動化 13 Oracle Corporation 発行「Automating IT Configuration Controls with Oracle Enterprise Manager Configuration Change Console」の翻訳版です。 Oracle Enterprise Manager Configuration Change Console による IT 構成制御の自動化 2008 年 10 月 著者:Andy Oppenheim 共著者:Zia Hydari Oracle Corporation World Headquarters 500 Oracle Parkway Redwood Shores, CA 94065 U.S.A. 海外からのお問い合わせ窓口: 電話:+1.650.506.7000 ファクシミリ:+1.650.506.7200 www.oracle.com Copyright © 2008, Oracle. All rights reserved. 本文書は情報提供のみを目的として提供されており、ここに記載され る内容は予告なく変更されることがあります。 本文書は、その内容に誤りがないことを保証するものではなく、また、 口頭による明示的保証や法律による黙示的保証を含め、商品性ないし 特定目的適合性に関する黙示的保証および条件などのいかなる保証お よび条件も提供するものではありません。オラクルは本文書に関する いかなる法的責任も明確に否認し、本文書によって直接的または間接 的に確立される契約義務はないものとします。本文書はオラクル社の 書面による許可を前もって得ることなく、いかなる目的のためにも、 電子または印刷を含むいかなる形式や手段によっても再作成または送 信することはできません。 Oracle、JD Edwards、PeopleSoft、および Retek は、米国 Oracle Corporation およびその子会社、関連会社の登録商標です。そのほかの 名称はそれぞれの会社の商標です。 Oracle Enterprise Manager Configuration Change Console による IT 構成制御の自動化 14 Oracle Corporation 発行「Automating IT Configuration Controls with Oracle Enterprise Manager Configuration Change Console」の翻訳版です。