プライマリ・コンテンツに移動
Oracle® Databaseセキュリティ・ガイド
11
g
リリース2 (11.2)
B56285-13
索引
次
目次
例一覧
図一覧
表一覧
タイトルおよび著作権情報
はじめに
対象読者
ドキュメントのアクセシビリティについて
関連ドキュメント
表記規則
Oracle Databaseセキュリティの新機能
Oracle Database 11
g
リリース2 (11.2.0.2)の新しいセキュリティ機能
Oracle Database 11
g
リリース2 (11.2.0.1)の新しいセキュリティ機能
Oracle Database 11
g
リリース1 (11.1)の新しいセキュリティ機能
1
Oracle Databaseセキュリティの概要
Oracle Databaseセキュリティの概要
その他のデータベース・セキュリティ・リソース
2
Oracle Databaseユーザーのセキュリティの管理
ユーザー・セキュリティの概要
ユーザー・アカウントの作成
新規ユーザー・アカウントの作成
ユーザー名の指定
ユーザーへのパスワードの割当て
ユーザーに対するデフォルト表領域の割当て
ユーザーに対する表領域割当て制限の割当て
表領域でのユーザー・オブジェクトに対する割当て限度の制限
ユーザーへのUNLIMITED TABLESPACEシステム権限の付与
ユーザーに対する一時表領域の割当て
ユーザーに対するプロファイルの指定
ユーザーに対するデフォルト・ロールの設定
ユーザー・アカウントの変更
ユーザー・アカウントの変更について
ALTER USER文を使用したユーザー・アカウントの変更
SYS以外のユーザー・パスワードの変更
SYSユーザー・パスワードの変更
ユーザー・リソース制限の構成
ユーザー・リソース制限の概要
システム・リソースのタイプと制限
ユーザー・セッション・レベルの制限
データベース・コール・レベルの制限
CPUタイムの制限
論理読取りの制限
その他のリソース制限
プロファイルのリソース制限の値の決定
プロファイルによるリソースの管理
プロファイルの作成
プロファイルの削除
ユーザー・アカウントの削除
データベース・ユーザーとプロファイルに関する情報の検索
データ・ディクショナリ・ビューを使用したユーザーとプロファイルに関する情報の検索
すべてのユーザーとその関連情報のリスト
すべての表領域割当て制限のリスト
すべてのプロファイルと割り当てられている制限のリスト
各ユーザー・セッションのメモリー使用の表示
3
認証の構成
認証の概要
パスワード保護の構成
Oracle Databaseの組込みパスワード保護の概要
パスワードの最低要件
パスワード管理ポリシーの使用
パスワード管理の概要
デフォルト・パスワードが設定されているユーザー・アカウントの検索
デフォルト・プロファイルのパスワード設定の構成
デフォルトのパスワード・セキュリティ設定の有効化および無効化
ログイン失敗後のユーザー・アカウントの自動ロック
ユーザーによる以前のパスワードの再利用の制御
パスワード・エイジングおよび期限切れの制御
パスワード変更のライフ・サイクル
PASSWORD_LIFE_TIMEプロファイル・パラメータを低い値に設定
パスワードの複雑度検証の規定
パスワードでの大/小文字の区別の有効化または無効化
パスワードのセキュリティへの脅威からのSHA-1ハッシュ・アルゴリズムによる保護
パスワード資格証明用の安全性の高い外部パスワード・ストアの管理
安全性の高い外部パスワード・ストアの概要
外部パスワード・ストアの機能
クライアントを外部パスワード・ストアを使用するように構成
外部パスワード・ストア資格証明の管理
データベース管理者の認証
データベース管理者の厳密認証と集中管理
管理ユーザーのディレクトリ認証の構成
管理ユーザーのKerberos認証の構成
管理ユーザーのSecure Sockets Layer認証の構成
オペレーティング・システムを使用したデータベース管理者の認証
パスワードを使用したデータベース管理者の認証
データベースを使用したユーザーの認証
データベース認証の概要
データベース認証の利点
データベースによって認証されるユーザーの作成
オペレーティング・システムを使用したユーザーの認証
ネットワークを使用したユーザーの認証
Secure Sockets Layerを使用した認証
サード・パーティ・サービスを使用した認証
グローバルなユーザー認証と認可の構成
ディレクトリ・サービスによって認可されるユーザーの作成
プライベート・スキーマを持つグローバル・ユーザーの作成
スキーマを共有する複数のエンタープライズ・ユーザーの作成
グローバル認証とグローバル認可の利点
ユーザーとパスワード認証のための外部サービスの構成
外部認証の概要
外部認証の利点
外部認証されるユーザーの作成
オペレーティング・システムを使用したユーザー・ログインの認証
ネットワーク認証を使用したユーザー・ログインの認証
複数層の認証と認可の使用
クライアント、アプリケーション・サーバーおよびデータベース・サーバーの管理とセキュリティ
複数層環境でのユーザー識別情報の保持
中間層サーバーを使用したプロキシ認証
プロキシ認証の概要
プロキシ認証の利点
プロキシ・ユーザー・アカウントの作成者とは
プロキシ・ユーザー・アカウントの作成と、作成したプロキシ・ユーザー・アカウントを介したユーザー接続の認可
安全性の高い外部パスワード・ストアとプロキシ認証の使用
プロキシ認証を使用した実際のユーザーの識別情報の引渡し
中間層の権限の制限
ユーザーのプロキシとして機能し、ユーザーを認証する中間層を認可する方法
他の方式で認証されたユーザーのプロキシとして機能するために、中間層を認可する方法
中間層からデータベースへのユーザーの再認証
データベースに認識されないアプリケーション・ユーザーの識別でのクライアント識別子の使用
クライアント識別子について
中間層システムでのクライアント識別子の使用方法
CLIENT_IDENTIFIER属性を使用したユーザー識別情報の保持
グローバル・アプリケーション・コンテキストから独立したCLIENT_IDENTIFIERの使用
DBMS_SESSION PL/SQLパッケージを使用したクライアント識別子の設定と消去
ユーザー認証に関する情報の検索
4
権限とロール認可の構成
権限とロールの概要
権限付与の対象者
ユーザーへのSYSDBAおよびSYSOPER管理権限の付与
システム権限の管理
システム権限の概要
システム権限を制限することが重要な理由
データ・ディクショナリの保護によるシステム権限の制限
SYSスキーマ内のオブジェクトへのアクセスの許可
システム権限の付与と取消し
システム権限を付与したり、取り消すことができるユーザー
ANY権限とPUBLICロールの概要
ユーザー・ロールの管理
ユーザー・ロールの概要
ロールの機能
ロールの特性とそのメリット
ロールの一般的な使用方法
ロールがユーザーの権限範囲に与える影響
PL/SQLブロックでのロールの機能
ロールによるDDL使用の支援または制限
オペレーティング・システムによるロールの支援方法
分散環境でのロールの機能
Oracle Databaseのインストールで事前に定義されているロール
ロールの作成
ロール認可のタイプの指定
データベースを使用したロールの認可
アプリケーションを使用したロールの認可
外部ソースを使用したロールの認可
エンタープライズ・ディレクトリ・サービスによるグローバル・ロールの認可
ロールの付与と取消し
ロールの付与と取消しについて
ロールを付与したり、取り消すことができるユーザー
ロールの削除
SQL*Plusユーザーによるデータベース・ロール使用の制限
セキュリティに関する潜在的な問題となる非定型ツールの使用
PRODUCT_USER_PROFILE表を介したロールの制限
ストアド・プロシージャを使用したビジネス・ロジックのカプセル化
セキュア・アプリケーション・ロールを使用したロール権限の保護
オブジェクト権限の管理
オブジェクト権限の概要
オブジェクト権限の付与または取消し
オブジェクト権限の管理
オブジェクト権限の付与と取消し
オブジェクト権限を付与できるユーザー
シノニムを持つオブジェクト権限の使用
表に対する権限の管理
表に対する権限がデータ操作言語操作に与える影響
表に対する権限がデータ定義言語操作に与える影響
ビューに対する権限の管理
ビューに対する権限の概要
ビューの作成に必要な権限
ビューによる表セキュリティの強化
プロシージャに対する権限の管理
プロシージャに対するEXECUTE権限の使用
プロシージャの実行とセキュリティ・ドメイン
プロシージャに対する権限が定義者権限に与える影響
プロシージャに対する権限が実行者権限に与える影響
プロシージャの作成または置換に必要なシステム権限
プロシージャのコンパイルに必要なシステム権限
プロシージャに対する権限がパッケージおよびパッケージ・オブジェクトに与える影響
型に対する権限の管理
名前付きの型に対するシステム権限
オブジェクト権限
メソッド実行モデル
型の作成と型を使用した表の作成に必要な権限
型の作成と型を使用した表の作成に必要な権限の例
型アクセスとオブジェクト・アクセスの権限
型の依存性
ユーザー権限とロールの付与
システム権限とロールの付与
ADMINオプションの付与
GRANT文を使用した新規ユーザーの作成
オブジェクト権限の付与
GRANT OPTION句の指定
オブジェクト所有者にかわるオブジェクト権限の付与
列に対する権限の付与
行レベルのアクセス制御
ユーザー権限とロールの取消し
システム権限とロールの取消し
オブジェクト権限の取消し
オブジェクト所有者にかわるオブジェクト権限の取消し
列を選択するオブジェクト権限の取消し
REFERENCESオブジェクト権限の取消し
権限の取消しによる連鎖的な影響
システム権限の取消しによる連鎖的な影響
オブジェクト権限の取消しによる連鎖的な影響
PUBLICロールに対する付与と取消し
オペレーティング・システムまたはネットワークを使用したロールの付与
オペレーティング・システムまたはネットワークを使用したロールの付与の概要
オペレーティング・システムのロール識別機能の使用
オペレーティング・システムのロール管理機能の使用
OS_ROLESがTRUEに設定されている場合のロールの付与と取消し
OS_ROLESがTRUEに設定されている場合のロールの有効化と無効化
オペレーティング・システムによるロール管理使用時のネットワーク接続の使用
権限の付与と取消しが有効になるとき
SET ROLE文が付与と取消しに与える影響
デフォルトのロールの指定
ユーザーが使用可能にできるロールの最大数
PL/SQLパッケージおよびタイプでのファイングレイン・アクセスの管理
外部ネットワーク・サービスに対するファイングレイン・アクセス・コントロールについて
ウォレットに対するアクセス制御について
外部ネットワーク・サービスを使用するパッケージに依存しているアプリケーションのアップグレード
外部ネットワーク・サービスに対するアクセス制御リストの作成
手順1: アクセス制御リストとその権限の定義の作成
手順2: 1つ以上のネットワーク・ホストへのアクセス制御リストの割当て
ウォレットに対するアクセス制御の構成
手順1: Oracleウォレットの作成
手順2: ウォレット権限を付与するアクセス制御リストの作成
手順3: ウォレットへのアクセス制御リストの割当て
手順4: パスワードとクライアント証明書を使用するHTTPリクエストの作成
アクセス制御リストの作成例
1つのロールと1つのネットワーク接続を割り当てるアクセス制御リストの例
複数のホストに複数のロールを割り当てるアクセス制御リストの例
非共有ウォレットのパスワードを使用するアクセス制御リストの例
共有データベース・セッションに使用するウォレットのアクセス制御リストの例
ネットワーク・ホスト・コンピュータのグループの指定
複数のアクセス制御リスト割当てでのホスト・コンピュータの優先順位
ポート範囲指定によるアクセス制御リスト割当てでのホストの優先順位
ネットワーク・ホストへのユーザー・アクセスに影響を与える権限割当てのチェック
DBAによるユーザーのネットワーク接続およびドメインに対する権限のチェック方法
ユーザーによる各自のネットワーク接続およびドメインに対する権限のチェック方法
単一アクセス制御リスト内の複数のユーザーとロールに対する優先順位の設定
ユーザー・アクセス用に構成されたアクセス制御リストに関する情報の検索
ユーザー権限とロールに関する情報の検索
付与されているすべてのシステム権限のリスト
付与されているすべてのロールのリスト
ユーザーに付与されているオブジェクト権限のリスト
セッションの現在の権限ドメインのリスト
データベースのロールのリスト
ロールの権限ドメイン情報のリスト
5
アプリケーション開発者のセキュリティの管理
アプリケーション・セキュリティ・ポリシーの概要
アプリケーション・ベースのセキュリティの使用に関する考慮事項
アプリケーション・ユーザーはデータベース・ユーザーでもあるか
アプリケーション内またはデータベース内でのセキュリティ規定
アプリケーション設計におけるパスワードの保護
アプリケーションでのパスワードの保護に関する一般的なガイドライン
プラットフォーム固有のセキュリティへの脅威
パスワード入力を処理するアプリケーションの設計
パスワードの形式と動作の構成
SQL*PlusおよびSQLスクリプトにおけるパスワードの処理
外部パスワード・ストアを使用したパスワードの保護
orapwdユーティリティを使用したパスワードの保護
Javaでのパスワード読取り例
アプリケーション権限の管理
アプリケーションへのアクセスを制御するセキュア・アプリケーション・ロールの作成
手順1: セキュア・アプリケーション・ロールの作成
手順2: アプリケーションに対するアクセス・ポリシーを定義するPL/SQLパッケージの作成
権限とユーザー・データベース・ロールの関連付け
ユーザーの権限が現在のデータベース・ロールのみである理由
ロールを自動的に使用可能または使用禁止にするSET ROLE文の使用
スキーマを使用したデータベース・オブジェクトの保護
一意スキーマでのデータベース・オブジェクトの保護
共有スキーマでのデータベース・オブジェクトの保護
アプリケーションでのオブジェクト権限の管理
アプリケーション開発者に必要なオブジェクト権限に関する知識
オブジェクト権限によって許可されるSQL文
データベース通信のセキュリティを強化するためのパラメータ
プロトコル・エラーによってデータベースで受信した不正パケットのレポート
不正パケット受信後のサーバー実行の終了または再開
認証の最大試行回数の構成
データベース・バージョン・バナーの表示制御
不正なアクセスおよびユーザー・アクションの監査に関するバナーの構成
6
アプリケーション・コンテキストを使用したユーザー情報の取得
アプリケーション・コンテキストの概要
アプリケーション・コンテキストとは
アプリケーション・コンテキストの構成要素
アプリケーション・コンテキストの値の格納場所
アプリケーション・コンテキストを使用する利点
エディションがアプリケーション・コンテキストの値に与える影響
アプリケーション・コンテキストの種類
データベース・セッション・ベースのアプリケーション・コンテキストの使用
データベース・セッション・ベースのアプリケーション・コンテキストの概要
データベース・セッション・ベースのアプリケーション・コンテキストの作成
データベース・セッション・ベースのアプリケーション・コンテキストを設定するためのPL/SQLパッケージの作成
データベース・セッション・ベースのアプリケーション・コンテキストを管理するパッケージの概要
SYS_CONTEXTを使用したセッション情報の取得
SYS_CONTEXTでの動的SQLの使用
パラレル問合せでのSYS_CONTEXTの使用
データベース・リンクでのSYS_CONTEXTの使用
DBMS_SESSION.SET_CONTEXTを使用したセッション情報の設定
データベース・セッション・ベースのアプリケーション・コンテキスト・パッケージを実行するためのログイン・トリガーの作成
例: データベース・セッション・ベースのアプリケーション・コンテキストの作成と使用
このチュートリアルの概要
手順1: ユーザー・アカウントの作成とユーザーSCOTTがアクティブであることの確認
手順2: データベース・セッション・ベースのアプリケーション・コンテキストの作成
手順3: セッション・データを取得してアプリケーション・コンテキストを設定するパッケージの作成
手順4: パッケージに対するログイン・トリガーの作成
手順5: アプリケーション・コンテキストのテスト
手順6: この例で使用したコンポーネントの削除
データベース・セッション・ベースのアプリケーション・コンテキストの外部での初期化
ユーザーからのデフォルト値の取得
他の外部リソースからの値の取得
中間層サーバーからのアプリケーション・コンテキスト値の初期化
データベース・セッション・ベースのアプリケーション・コンテキストのグローバルな初期化
データベース・セッション・ベースのアプリケーション・コンテキストのグローバルな初期化について
LDAPでのデータベース・セッション・ベースのアプリケーション・コンテキストの使用
グローバルに初期化されたデータベース・セッション・ベースのアプリケーション・コンテキストの動作
データベース・セッション・ベースのアプリケーション・コンテキストをグローバルに初期化する例
外部化されたデータベース・セッション・ベースのアプリケーション・コンテキストの使用
グローバル・アプリケーション・コンテキストの使用
グローバル・アプリケーション・コンテキストの概要
Oracle Real Application Clusters環境でのグローバル・アプリケーション・コンテキストの使用
グローバル・アプリケーション・コンテキストの作成
グローバル・アプリケーション・コンテキストを管理するためのPL/SQLパッケージの作成
グローバル・アプリケーション・コンテキストを管理するパッケージの概要
エディションがグローバル・アプリケーション・コンテキストのPL/SQLパッケージの結果に与える影響
DBMS_SESSION.SET_CONTEXTのusernameおよびclient_idパラメータの設定
全データベース・ユーザーを対象としたグローバル・アプリケーション・コンテキスト値の共有
複数のアプリケーション間を移動するデータベース・ユーザーに対するグローバル・コンテキストの設定
非データベース・ユーザーに対するグローバル・アプリケーション・コンテキストの設定
セッションをクローズする際のセッション・データの消去
クライアント・セッションIDを管理するための中間層アプリケーションへのコールの埋込み
中間層アプリケーションを使用したクライアント・セッションIDの管理の概要
中間層アプリケーションを使用したクライアント・セッションIDの取得
中間層アプリケーションを使用したクライアント・セッションIDの設定
中間層アプリケーションを使用したセッション・データの消去
例: クライアント・セッションIDを使用するグローバル・アプリケーション・コンテキストの作成
このチュートリアルの概要
手順1: ユーザー・アカウントの作成
手順2: グローバル・アプリケーション・コンテキストの作成
手順3: グローバル・アプリケーション・コンテキストのパッケージの作成
手順4: グローバル・アプリケーション・コンテキストのテスト
手順5: この例で使用したコンポーネントの削除
グローバル・アプリケーション・コンテキスト・プロセス
単純なグローバル・アプリケーション・コンテキスト・プロセス
軽量ユーザー用のグローバル・アプリケーション・コンテキスト・プロセス
クライアント・セッション・ベースのアプリケーション・コンテキストの使用
クライアント・セッション・ベースのアプリケーション・コンテキストの概要
CLIENTCONTEXTネームスペースへの値の設定
CLIENTCONTEXTネームスペースの取得
CLIENTCONTEXTネームスペースの設定の消去
CLIENTCONTEXTネームスペースのすべての設定の消去
アプリケーション・コンテキストに関する情報の検索
7
Oracle Virtual Private Databaseを使用したデータ・アクセスの制御
Oracle Virtual Private Databaseの概要
Oracle Virtual Private Database
Oracle Virtual Private Databaseポリシーを使用するメリット
アプリケーションではなくデータベース・オブジェクトに基づくセキュリティ・ポリシー
Oracle Databaseによるポリシー関数の評価方法の制御
Oracle Virtual Private Databaseポリシー関数を実行するために使用する権限
Oracle Virtual Private Databaseでのアプリケーション・コンテキストの使用
Oracle Virtual Private Databaseポリシーのコンポーネント
動的なWHERE句を生成する関数の作成
保護するオブジェクトに関数を付加するポリシーの作成
Oracle Virtual Private Databaseポリシーの構成
Oracle Virtual Private Databaseポリシーの概要
データベース表、ビューまたはシノニムへのポリシーの付加
特定のSQL文に対するポリシーの規定
ポリシーを使用した列データ表示の制御
列レベルのOracle Virtual Private Databaseポリシーの追加
問合せで参照する列の行のみの表示
列のマスクを使用して機密性の高い列をNULL値で表示
Oracle Virtual Private Databaseポリシー・グループの使用
Oracle Virtual Private Databaseポリシー・グループの概要
新しいOracle Virtual Private Databaseポリシー・グループの作成
SYS_DEFAULTポリシー・グループを使用したデフォルト・ポリシー・グループの指定
各表、ビューまたはシノニムに対する複数のポリシーの設定
データベースへの接続に使用されるアプリケーションの検証
Oracle Virtual Private Databaseポリシー・タイプを使用したパフォーマンスの最適化
Oracle Virtual Private Databaseポリシー・タイプの概要
動的ポリシー・タイプの使用によるポリシー関数の自動再実行
静的ポリシーの使用によるポリシー関数の問合せごとの再実行の回避
共有の静的ポリシーの使用による複数オブジェクト間でのポリシーの共有
静的ポリシーおよび共有の静的ポリシーを使用する場合
解析後に変更されない述語に対する状況依存ポリシーの使用
共有の状況依存ポリシーの使用による複数オブジェクト間でのポリシーの共有
状況依存ポリシーおよび共有の状況依存ポリシーを使用する場合
5種類のOracle Virtual Private Databaseポリシー・タイプの要約
例: Oracle Virtual Private Databaseポリシーの作成
例: 単純なOracle Virtual Private Databaseポリシーの作成
このチュートリアルの概要
手順1: OEユーザー・アカウントがアクティブであることの確認
手順2: ポリシー関数の作成
手順3: Oracle Virtual Private Databaseポリシーの作成
手順4: ポリシーのテスト
手順5: この例で使用したコンポーネントの削除
例: データベース・セッション・ベースのアプリケーション・コンテキストを使用したポリシーの実装
このチュートリアルの概要
手順1: ユーザー・アカウントとサンプル表の作成
手順2: データベース・セッション・ベースのアプリケーション・コンテキストの作成
手順3: アプリケーション・コンテキストを設定するPL/SQLパッケージの作成
手順4: アプリケーション・コンテキストのPL/SQLパッケージを実行するログイン・トリガーの作成
手順5: ユーザー・アクセスを自分の注文に制限するPL/SQLポリシー関数の作成
手順6: 新しいセキュリティ・ポリシーの作成
手順7: 新しいポリシーのテスト
手順8: この例で使用したコンポーネントの削除
例: Oracle Virtual Private Databaseポリシー・グループの実装
このチュートリアルの概要
手順1: この例で使用するユーザー・アカウントと他のコンポーネントの作成
手順2: 2つのポリシー・グループの作成
手順3: ポリシー・グループを制御するPL/SQLファンクションの作成
手順4: PL/SQLファンクションのポリシー・グループへの追加
手順5: 駆動アプリケーション・コンテキストの作成
手順6: ポリシー・グループのテスト
手順7: この例で使用したコンポーネントの削除
他のOracle機能でのOracle Virtual Private Databaseの使用
Oracle Virtual Private Databaseポリシーとエディションの併用
VPD保護表に対するユーザーの問合せでのSELECT FOR UPDATEの使用
Oracle Virtual Private Databaseポリシーの外部結合操作またはANSI結合操作への影響
アプリケーションでのOracle Virtual Private Databaseセキュリティ・ポリシーの使用
ファイングレイン・アクセス・コントロールのポリシー関数に対する自動再解析の使用
Oracle Virtual Private Databaseポリシーとフラッシュバック問合せの使用
Oracle Virtual Private DatabaseおよびOracle Label Securityの使用
Oracle Virtual Private Databaseを使用したOracle Label Securityポリシーの規定
Oracle Virtual Private DatabaseおよびOracle Label Securityの例外
EXPDPユーティリティaccess_methodパラメータを使用したデータのエクスポート
ユーザー・モデルとOracle Virtual Private Database
Oracle Virtual Private Databaseポリシーに関する情報の検索
8
データの暗号化APIを使用したアプリケーションの開発
暗号化で解決しないセキュリティの問題
原則1: 暗号化はアクセス制御の問題を解決しない
原則2: 暗号化は不正なデータベース管理者からデータを保護しない
原則3: すべてのデータを暗号化してもデータは保護されない
データ暗号化の課題
索引付けされたデータの暗号化
暗号化鍵の生成
暗号化鍵の転送
暗号化鍵の格納
データベースへの暗号化鍵の格納
オペレーティング・システムへの暗号化鍵の格納
ユーザー自身による暗号化鍵の管理
透過的データベース暗号化および表領域暗号化の使用
暗号化鍵の変更
バイナリ・ラージ・オブジェクトの暗号化
DBMS_CRYPTOパッケージを使用した格納データの暗号化
データの暗号化APIの使用例
データ暗号化プロシージャの例
AES 256ビット・データ暗号化および復号化プロシージャの例
BLOBデータの暗号化および復号化プロシージャの例
暗号化データに関する情報の検索
9
監査を使用したセキュリティ・アクセスの検証
監査の概要
監査とは
監査を使用する理由
データベース監査証跡の保護
標準監査レコードおよびファイングレイン監査レコードに常に書き込まれるアクティビティ
すべてのプラットフォームについて常に監査されるアクティビティ
分散データベースでの監査
監査のベスト・プラクティス
監査タイプの選択
SQL文、権限および他の一般アクティビティの監査
一般的に使用されるセキュリティ関連アクティビティの監査
特定のファイングレイン・アクティビティの監査
標準監査を使用した一般的なアクティビティの監視
標準監査の概要
標準監査とは
標準監査の実行者
標準監査レコードが作成される場合
AUDIT_TRAIL初期化パラメータを使用した標準監査の構成
標準監査証跡を使用可能または使用禁止にする方法
AUDIT_TRAIL初期化パラメータの設定
オペレーティング・システム監査証跡とデータベース監査証跡の共通点
オペレーティング・システム監査証跡の使用
オペレーティング・システム証跡の概要
オペレーティング・システム監査証跡レコードの表示形式
オペレーティング・システム監査証跡の利点
オペレーティング・システム監査証跡の機能
オペレーティング・システム監査証跡のディレクトリの指定
UNIXシステムでのsyslog監査証跡の使用
syslog監査証跡の概要
syslog監査証跡に格納される情報の形式
syslog監査証跡の表示形式
syslog監査の構成
AUDITおよびNOAUDIT SQL文の動作
AUDIT SQL文による標準監査の使用可能化
文の実行の監査: 正常な実行、異常終了した実行またはその両方の監査
標準監査レコードの生成の仕組み
カーソルが標準監査に与える影響
AUDIT文でBY ACCESS句を使用する利点
特定のユーザーが実行したアクションの監査
NOAUDIT SQL文を使用した監査オプションの解除
SQL文の監査
SQL文監査の概要
監査されるSQL文のタイプ
SQL文監査の構成
SQL文監査の解除
権限の監査
権限監査の概要
監査可能な権限のタイプ
権限監査の構成
権限監査の解除
複数層環境におけるSQL文および権限の監査
スキーマ・オブジェクトの監査
スキーマ・オブジェクト監査の概要
監査可能なスキーマ・オブジェクトのタイプ
標準監査とエディション付きオブジェクトの併用
ビュー、プロシージャおよびその他の要素のスキーマ・オブジェクト監査オプション
スキーマ・オブジェクト監査の構成
オブジェクト監査の解除
将来作成される可能性のあるオブジェクトに対する監査オプションの設定
ディレクトリ・オブジェクトの監査
ディレクトリ・オブジェクト監査の概要
ディレクトリ・オブジェクト監査の構成
ディレクトリ・オブジェクト監査の解除
ファンクション、プロシージャ、パッケージおよびトリガーの監査
ファンクション、プロシージャ、パッケージおよびトリガーの監査の概要
ファンクション、プロシージャ、パッケージおよびトリガーの監査の構成
ファンクション、プロシージャ、パッケージおよびトリガーの監査の解除
ネットワーク・アクティビティの監査
ネットワーク監査の概要
ネットワーク監査の構成
ネットワーク監査の解除
セキュリティに関連するSQL文および権限に対するデフォルト監査の使用
デフォルトの監査設定の概要
Oracle Databaseがデフォルトで監査する権限
デフォルト監査設定の無効化および有効化
ファイングレイン監査を使用した特定のアクティビティの監査
ファイングレイン監査の概要
ファイングレイン監査レコードが格納される場所
ファイングレイン監査の利点
ファイングレイン監査ポリシーの作成に必要な権限
ファイングレイン監査で常に監査されるアクティビティ
ファイングレイン監査ポリシーとエディションの併用
ファイングレイン監査レコードの監査証跡の作成
ファイングレイン監査証跡レコードの生成の仕組み
DBMS_FGAパッケージを使用したファイングレイン監査ポリシーの管理
DBMS_FGA PL/SQLパッケージの概要
ファイングレイン監査ポリシーの作成
ファイングレイン監査ポリシーを使用可能および使用禁止にする方法
ファイングレイン監査ポリシーの削除
例: ファイングレイン監査ポリシーへの電子メール・アラートの追加
このチュートリアルの概要
手順1: UTL_MAIL PL/SQLパッケージのインストールと構成
手順2: ユーザー・アカウントの作成
手順3: ネットワーク・サービスに対するアクセス制御リスト・ファイルの構成
手順4: 電子メール・セキュリティ・アラートPL/SQLプロシージャの作成
手順5: ファイングレイン監査ポリシー設定の作成とテスト
手順6: アラートのテスト
手順7: この例で使用したコンポーネントの削除
例: 非データベース・ユーザーの監査
このチュートリアルの概要
手順1: ユーザー・アカウントの作成とユーザーHRがアクティブであることの確認
手順2: ファイングレイン監査ポリシーの作成
手順3: ポリシーのテスト
手順4: この例で使用したコンポーネントの削除
SYS管理ユーザーの監査
ユーザーSYSTEMの監査
ユーザーSYS、およびSYSDBAまたはSYSOPERとして接続するユーザーの監査
トリガーを使用して監査データを個別の表に書き込む方法
監査証跡レコードの管理
監査レコードの概要
データベース監査証跡の管理
データベース監査証跡の内容
データベース監査証跡のサイズの制御
データベース監査証跡の別の表領域への移動
データベース監査証跡の監査
データベース監査証跡のアーカイブ
オペレーティング・システム監査証跡の管理
オペレーティング・システム監査証跡がいっぱいになった場合
オペレーティング・システム監査証跡のサイズの設定
オペレーティング・システム監査証跡の有効期間の設定
オペレーティング・システム監査証跡のアーカイブ
監査証跡レコードの削除
監査証跡レコードの削除の概要
監査証跡の削除方法の選択
監査証跡の自動削除ジョブのスケジューリング
手順1: オンラインREDOログとアーカイブREDOログのサイズのチューニング(必要に応じて)
手順2: タイムスタンプおよびアーカイブ方針の計画
手順3: クリーン・アップ操作のための監査証跡の初期化
手順4: 監査レコードのアーカイブ・タイムスタンプの設定(必要に応じて)
手順5: 削除ジョブの作成とスケジューリング
手順6: 監査証跡レコードのバッチ削除の構成(必要に応じて)
監査証跡の手動削除
データベース監査証跡内のレコードのサブセットの削除
他の監査証跡削除操作
監査証跡がクリーン・アップ用に初期化されたことの確認
任意の監査証跡タイプに対するデフォルトの監査証跡削除間隔の設定
初期化クリーン・アップ設定の取消し
監査証跡の削除ジョブを使用可能または使用禁止にする方法
指定した削除ジョブに対するデフォルトの監査証跡削除ジョブの間隔の設定
監査証跡の削除ジョブの削除
アーカイブ・タイムスタンプ設定の消去
データベース監査証跡のバッチ・サイズの消去
例: データベース監査証跡の削除操作の直接コール
監査アクティビティに関する情報の検索
データ・ディクショナリ・ビューを使用した監査証跡に関する情報の検索
監査証跡ビューを使用した疑わしいアクティビティの調査
アクティブな文監査オプションのリスト
アクティブな権限監査オプションのリスト
特定のオブジェクトに対するアクティブなオブジェクト監査オプションのリスト
デフォルトのオブジェクト監査オプションのリスト
監査レコードのリスト
AUDIT SESSIONオプションの監査レコードのリスト
監査証跡ビューの削除
10
Oracle Databaseの安全性の維持
この章で説明するセキュリティ・ガイドラインの概要
セキュリティ・パッチのダウンロードと脆弱性についてのOracleへの連絡
セキュリティ・パッチと回避ソリューションの適用
Oracle Databaseの脆弱性に関するOracleのセキュリティ窓口への連絡
ユーザー・アカウントと権限の保護に関するガイドライン
ロールの保護に関するガイドライン
パスワードの保護に関するガイドライン
データの保護に関するガイドライン
ORACLE_LOADERアクセス・ドライバの保護に関するガイドライン
データベースのインストールと構成の保護に関するガイドライン
ネットワークの保護に関するガイドライン
クライアント接続の保護
ネットワーク接続の保護
Secure Sockets Layer接続の保護
監査に関するガイドライン
機密情報の監査
監査済情報の管理しやすい状態での維持
通常のデータベース・アクティビティの監査
疑わしいデータベース・アクティビティの監査
監査の推奨設定
CONNECTロール変更への対処
CONNECTロールが変更された理由
CONNECTロール変更がアプリケーションに与える影響
CONNECTロール変更がデータベース・アップグレードに与える影響
CONNECTロール変更がアカウント・プロビジョニングに与える影響
CONNECTロール変更が新規のデータベースを使用するアプリケーションに与える影響
CONNECTロール変更がユーザーに与える影響
CONNECTロール変更が一般ユーザーに与える影響
CONNECTロール変更がアプリケーション開発者に与える影響
CONNECTロール変更がクライアント・サーバー・アプリケーションに与える影響
CONNECTロール変更に対処する方法
方法1: 新しいデータベース・ロールの作成
方法2: CONNECT権限のリストア
方法3: 「最低限の権限」分析の実施
用語集
索引