| Oracle® Databaseセキュリティ・ガイド 11gリリース2 (11.2) B56285-13 |
|
 前 |
 次 |
アプリケーション・コンテキスト
名前と値のペア。このペアによって、アプリケーションは、ユーザーに関するセッション情報(ユーザーIDや他のユーザー固有の情報など)にアクセスして、その情報をデータベースに安全に引き渡すことができます。
「グローバル・アプリケーション・コンテキスト」も参照してください。
アプリケーション・ロール
アプリケーション・ユーザーに付与されるデータベース・ロール。アプリケーション内に埋め込まれているパスワードによって保護されています。
「セキュア・アプリケーション・ロール」も参照してください。
証明書
公開鍵に対して識別情報を安全にバインドするITUのx.509 v3標準データ構造。
証明書は、エンティティの公開鍵が、信頼されている機関(認証局)によって署名されたときに作成されます。この証明書は、そのエンティティの情報が正しいこと、および公開鍵がそのエンティティに属していることを保証します。
証明書にはエンティティの名前、認証情報および公開鍵が含まれます。また、証明書に関する権利、ユーザーおよび権限についてのシリアル番号、有効期限、その他の情報が含まれる場合もあります。さらに、発行元の認証局についての情報も含まれます。
CIDR
IPアドレスに使用する標準の表記法。CIDR表記法では、IPv6サブネットは、サブネット接頭辞およびビットで示した接頭辞のサイズ(小数)がスラッシュ文字(/)で区切られて示されます。たとえば、fe80:0000:0217:f2ff::/64は、アドレスfe80:0000:0217:f2ff:0000:0000:0000:0000からfe80:0000:0217:f2ff:ffff:ffff:ffff:ffffまでのサブネットを示します。CIDR表記法には、IPv4アドレスのサポートが含まれます。たとえば、192.0.2.1/24は、アドレス192.0.2.1から192.0.2.255までのサブネットを示します。
CRL
失効した証明書のリストを含む一連の署名付きデータ構造。CRLの信頼性および整合性は、証明書に添付されているデジタル署名により提供されます。CRL署名者は通常、発行された証明書に署名したエンティティと同一です。
定義者権限プロシージャ
現行ユーザーではなく、所有者の権限で実行されるプロシージャ(プログラム・ユニット)。定義者権限サブプログラムは、これらのサブプログラムが格納されるスキーマにバインドされます。
たとえば、ユーザーblakeとユーザーscottのそれぞれがdeptという名前の表を、それぞれのユーザー・スキーマの中に持っています。ユーザーblakeがdept表を更新するためにユーザーscottが所有している定義者権限プロシージャをコールすると、このプロシージャはdept表をscottスキーマで更新します。これは、プロシージャはプロシージャを所有している(定義した)ユーザー(つまりscott)の権限で実行するためです。
「実行者権限プロシージャ」も参照してください。
サービス拒否(DoS)攻撃
Webサイトをアクセス不能または使用不能にする攻撃。サービス拒否攻撃は様々な手法で行われますが、よく利用される攻撃手法としては、サイトをクラッシュさせるもの、サイトへの接続を拒否するもの、または低速化によりサイトを使用不能にするものがあります。DoS攻撃には、次の2つの形式があります。
基本サービス拒否攻撃(1台のみまたは数台のコンピュータが必要)
分散型サービス拒否(DDoS)攻撃(多数のコンピュータの実行が必要)
強制クリーン・アップ
すべての監査レコードをデータベースから強制的にクリーン・アップ(つまり、削除)するための機能。この処理を行うには、DBMS_AUDIT_MGMT.CLEAN_AUDIT_TRAILプロシージャのUSE_LAST_ARCH_TIMESTAMP引数をFALSEに設定します。
「削除ジョブ」も参照してください。
転送可能なチケット認可チケット
プロキシに転送できる特殊なKerberosチケット。プロキシ認証用に、プロキシはクライアントにかわって追加Kerberosチケットを取得することが許可されます。
「Kerberosチケット」も参照してください。
グローバル・アプリケーション・コンテキスト
アプリケーション・コンテキスト値を複数のデータベース・セッションにわたってアクセス可能にする名前と値のペア。
「アプリケーション・コンテキスト」も参照してください。
間接的に付与されたロール
ユーザーにすでに付与されている別のロールを通じてこのユーザーに付与されるロールのことです。その後、role2ロールとrole3ロールをrole1ロールに付与します。これで、role2とrole3の2つのロールは、role1に含まれることになります。つまり、psmithには、直接付与されたrole1に加え、role2ロールとrole3ロールが間接的に付与されたことになります。psmithに対して、直接付与されたロールrole1を使用可能にすると、間接的に付与されたロールrole2およびrole3も同様に使用可能になります。
実行者権限プロシージャ
現行ユーザー、つまりプロシージャを起動するユーザーの権限で実行されるプロシージャ(プログラム・ユニット)。これらのプロシージャは、特定のスキーマにバインドされません。このプロシージャは様々なユーザーが実行でき、これによって、複数のユーザーが、集中化したアプリケーション・ロジックを使用してそれぞれのデータを管理できます。実行者権限プロシージャは、プロシージャ・コードの宣言セクションにあるAUTHID句を使用して作成されます。
たとえば、ユーザーblakeとユーザーscottのそれぞれがdeptという名前の表を、それぞれのユーザー・スキーマの中に持っています。ユーザーblakeがdept表を更新するためにユーザーscottが所有している実行者権限プロシージャをコールすると、このプロシージャはdept表をblakeスキーマで更新します。これは、プロシージャはプロシージャを起動したユーザー(つまりblake)の権限で実行するためです。
「定義者権限プロシージャ」も参照してください。
最終アーカイブ・タイムスタンプ
監査レコードが最後にアーカイブされた時間を示すタイムスタンプ。データベース監査証跡の場合、このタイムスタンプは、最後にアーカイブされた監査レコードを示します。オペレーティング・システム監査ファイルの場合、このタイムスタンプは、アーカイブされた監査ファイルの最終変更タイムスタンプ・プロパティを示します。このタイムスタンプを設定するには、DBMS_AUDIT_MGMT.SET_LAST_ARCHIVE_TIMESTAMP PL/SQLプロシージャを使用します。
「削除ジョブ」も参照してください。
軽量ユーザー・セッション
ユーザーがログインしているアプリケーションに関連した情報のみが含まれるユーザー・セッションです。軽量ユーザー・セッションには、このセッションのデータベース・リソース(トランザクションやカーソルなど)は入っていません。そのため「軽量」とみなされます。軽量ユーザー・セッションが消費するシステム・リソースは、従来のデータベース・セッションよりはるかに少ない量です。軽量ユーザー・セッションが消費するサーバー・リソースは非常に少ないものになるため、軽量ユーザー・セッションを各エンド・ユーザー専用にして、アプリケーションにより必要とみなされるかぎり持続させることができます。
必須監査
監査が有効かどうかにかかわらず、デフォルトで監査されるアクティビティ。これらのアクティビティには、管理者権限でのインスタンスへの接続、データベースの起動、データベースの停止などがあります。これらのアクティビティは、オペレーティング・システム監査証跡に書き込まれます。
Oracle Virtual Private Database
行および列レベルでデータベース・アクセスを制御するセキュリティ・ポリシーを作成できる一連の機能。基本的には、Oracle Virtual Private Databaseのセキュリティ・ポリシーが適用された表、ビューまたはシノニムに対して発行されるSQL文に、動的なWHERE句が追加されます。
PUBLICロール
すべてのデータベース・アカウントが自動的に保有する特殊なロール。デフォルトでは割り当てられている権限がありませんが、多くのJavaオブジェクトに対する付与があります。PUBLICロールは削除できません。また、ユーザー・アカウントは常にこのロールを前提とするため、このロールの手動の付与や取消しは意味がありません。PUBLICロールはすべてのデータベース・ユーザー・アカウントが前提とするため、DBA_ROLESおよびSESSION_ROLESデータ・ディクショナリ・ビューには表示されません。
削除ジョブ
DBMS_AUDIT_MGMT.CREATE_PURGE_JOBプロシージャにより作成されたデータベース・ジョブで、監査証跡の削除を管理します。データベース管理者が削除ジョブをスケジューリングおよび使用可能/使用禁止にします。削除ジョブはアクティブになると、監査レコードをデータベース監査表から削除したり、Oracle Databaseオペレーティング・システム監査ファイルを削除します。
「強制クリーン・アップ」、「最終アーカイブ・タイムスタンプ」も参照してください。
salt
暗号化技術において、暗号化されたデータのセキュリティを強化する方法。データが暗号化される前に追加されるランダムな文字列で、攻撃者が暗号文のパターンを既知の暗号文サンプルに一致させてデータを盗むことを困難にします。saltは通常、辞書攻撃(悪意のあるハッカー(攻撃者)がパスワードを盗むために使用する方法)を防ぐために、暗号化される前のパスワードにも追加されます。暗号化されたsalt処理済の値により、暗号化されたパスワードのハッシュ値(ベリファイアとも呼ばれます)と、一般のパスワード・ハッシュ値の辞書リストとの照合が困難になります。
セキュア・アプリケーション・ロール
アプリケーション・ユーザーに付与されるデータベース・ロール。ただし、実行者権限ストアド・プロシージャを使用して保護され、ロールのパスワードをデータベース表から取得します。セキュア・アプリケーション・ロールのパスワードは、アプリケーション内に埋め込まれていません。
「アプリケーション・ロール」も参照してください。
業務分離
アクティビティを、それを実行する必要があるユーザーのみに制限すること。たとえば、SYSDBA権限は一般ユーザーには付与しないようにします。この権限は管理ユーザーにのみ付与します。業務分離は、多くのコンプライアンス・ポリシーで必要です。適切なユーザーへの権限付与に関するガイドラインは、「ユーザー・アカウントと権限の保護に関するガイドライン」を参照してください。
