| Oracle® Database Advanced Security管理者ガイド 11gリリース2 (11.2) B56286-10 |
|
 前 |
 次 |
実際のデータ
Oracle Data Redactionで、保護表または保護ビューにあるデータ。実際のデータには数字123456789などがあり、この数字のリダクションされたデータは、データ・リダクション・ポリシーに従って999996789としてユーザーに表示されます。
アクセス制御リスト(ACL)
ユーザーが定義するアクセス指示のグループです。ディレクティブは、特定のクライアント、クライアント・グループまたはその両方に対して特定のデータへのアクセスのレベルを付与します。
Advanced Encryption Standard
Advanced Encryption Standard(AES)は、National Institute of Standards and TechnologyによってDESを置換するものとして承認された新しい暗号アルゴリズムです。AES標準は、Federal Information Processing Standards Publication 197で使用可能です。AESアルゴリズムは、128、192および256ビットの長さの暗号鍵を使用して、128ビットのデータ・ブロックを処理できる対称型ブロック暗号です。
属性
LDAPディレクトリ内のエントリの性質を説明する情報項目。1つのエントリは1組の属性から構成され、それぞれがオブジェクト・クラスに所属します。さらに、各属性にはタイプと値があり、タイプは属性の情報の種類を説明し、値には実際のデータが格納されています。
認証
コンピュータ・システムのユーザー、デバイスまたはその他のエンティティの識別情報を検証するプロセスであり、システムのリソースへのアクセス権を付与するための前提条件となることが多いです。認証されたメッセージの受信者は、メッセージの起点(送信者)を信頼できます。認証は、別人が送信者になりすましているという可能性を排除すると考えられます。
認証方式
分散環境のユーザー、クライアントまたはサーバーの識別情報を検証するセキュリティ方式。ネットワーク認証方式では、ユーザーにシングル・サイン・オン(SSO)の利点も提供できます。Oracle Advanced Securityがインストールされている場合は、Oracle Databaseで次の認証方式がサポートされます。
認可
オブジェクトまたはオブジェクトのセットへのアクセスのためにユーザー、プログラムまたはプロセスに与えられる許可。Oracleでは、認可はロール・メカニズムを通じて行われます。1人のユーザーまたはユーザー・グループに、1つのロールまたはロールのセットを付与できます。ロールはさらに他のロールに付与できます。認証されたエンティティが利用できる権限のセット。
自動ログイン・ウォレット
アクセス時に資格証明を提供せずにサービスへのPKIベースまたはパスワードベースのアクセスを可能にするOracle Wallet Managerの機能。自動ログイン・アクセスは、自動ログイン機能がウォレットに対して無効になるまで有効です。ファイル・システム権限は、自動ログイン・ウォレットに必要なセキュリティを提供します。ウォレットに対して自動ログインが有効になっている場合は、そのウォレットを作成したオペレーティング・システム・ユーザーのみ、そのウォレットを使用できます。これらはシングル・サイン・オン機能を提供するため、SSOウォレットと呼ばれることもあります。
証明書
公開鍵に対して識別情報を安全にバインドするITUのx.509 v3標準データ構造。
証明書は、エンティティの公開鍵が、信頼されている機関(認証局)によって署名されたときに作成されます。この証明書は、そのエンティティの情報が正しいこと、および公開鍵がそのエンティティに実際に含まれていることを保証します。
証明書には、エンティティの名前、識別情報および公開鍵が含まれます。シリアル番号、有効期限、ならびにその証明書に関連する権利、使用および権限についての情報が含まれていることもあります。さらに、発行元の認証局についての情報も含まれます。
認証局
他のエンティティ(ユーザー、データベース、管理者、クライアント、サーバーなど)が本物であることを証明する、信頼できるサード・パーティ。ユーザーを証明するとき、認証局は最初にそのユーザーが証明書失効リスト(CRL)に掲載されていないことを確認してからそのユーザーのアイデンティティを検証し、証明書を付与し、認証局の秘密鍵を使用してその証明書に署名します。認証局には自身の証明書と公開鍵があり、公開されています。サーバーおよびクライアントは、これらを使用して認証局の署名を検証します。認証局は、証明書サービスを提供する外部の会社の場合や、企業のMIS部門のような内部の組織の場合があります。
証明書リクエスト
認証リクエスト情報、署名アルゴリズム識別子および認証リクエスト情報に対するデジタル署名の3つの部分から構成される証明書リクエスト。認証リクエスト情報は、対象の識別名、公開鍵およびオプションの属性セットから構成されます。属性では、対象の識別情報に関する郵便番号などの追加情報、または対象エンティティが後で証明書失効を要求するためのチャレンジ・パスワードを提供できます。「PKCS #10」を参照。
証明書失効リスト
(CRL)失効した証明書のリストを含む署名付きデータ構造。CRLの信頼性および整合性は、証明書に添付されているデジタル署名により提供されます。CRL署名者は通常、発行された証明書に署名したエンティティと同一です。
チェックサム
メッセージ・パケットに含まれているデータに基づいてメッセージ・パケットの値を計算し、その値をデータとともに渡して、データが書き換えられていないことを認証するメカニズム。データの受信者は暗号チェックサムを再計算して、それをデータとともに送られた暗号チェックサムと比較します。これらが一致している場合は、データが送信中に書き換えられなかったことの確率的な証明になります。
暗号ブロック連鎖(CBC)
暗号化メソッドの1つ。先行するすべてのブロックに従って暗号ブロックの暗号化を行い、ブロック再生攻撃からデータを保護します。無許可の復号化が段階的に困難になるように設計されています。Oracle Advanced Securityでは、外部暗号ブロック連鎖が使用されています。これは、内部暗号ブロックよりも安全性が高く、実質的なパフォーマンスの低下を伴わないためです。
暗号スイート
ネットワークのノード間でメッセージ交換に使用される認証、暗号化およびデータ整合性アルゴリズムのセット。たとえば、SSLハンドシェイク時に、2つのノードでネゴシエーションを行い、メッセージを交換するときにどの暗号スイートを使用するかを確認します。
接続記述子
特別にフォーマットされた、ネットワーク接続のための宛先の記述。接続記述子には、接続先のサービスおよびネットワーク・ルート情報が含まれます。接続先サービスは、Oracle9iまたはOracle8iデータベースのサービス名か、Oracleデータベース・バージョン8.0のOracleシステム識別子(SID)を使用して指定されます。ネットワーク・ルートは、少なくとも、ネットワーク・アドレスを使用してリスナーの場所を示します。「接続識別子」を参照。
接続識別子
接続記述子を解決する名前、ネット・サービス名またはサービス名。次のように、ユーザーは、接続するサービスに対して、接続文字列内の接続識別子とともにユーザー名とパスワードを渡して、接続要求を実行します。
例:
CONNECT username@connect_identifier Enter password: password
接続文字列
ユーザー名、パスワード、ネット・サービス名など、ユーザーが接続先のサービスに渡す情報。例:
CONNECT username@net_service_name Enter password: password
CRL配布ポイント
(CRL DP) X.509バージョン3証明書標準で指定されるオプションの拡張子であり、証明書の失効情報が格納される区分CRLの位置を示します。通常、この拡張子の値はURLの形式です。CRL DPによって、1つの認証局ドメイン内の失効情報を複数のCRLにポストできます。CRL DPによって、失効情報はより管理しやすい部分に細分化され、CRLが膨大に増加するのが回避されるため、パフォーマンスが向上します。たとえば、CRL DPを証明書に指定し、その証明書の失効情報をダウンロードできる、Webサーバー上のファイルを指すようにできます。
データ・リダクション
様々な値でデータをマスクする機能です。Oracle Data Redactionでは、リアル・タイム、つまりユーザーがデータにアクセスしようとする瞬間にデータをマスクできます。すべてのデータまたは一部のデータをマスクしたり、データのかわりにランダム値を表示できます。
「リダクション」も参照してください。
Data Encryption Standard (DES)
米国連邦情報処理標準の古い暗号化アルゴリズムであり、Advanced Encryption Standard (AES)に置き換えられました。
データベース管理者
(1)Oracleサーバーまたはデータベース・アプリケーションを操作および管理する個人。(2)DBA権限を付与され、データベース管理機能を実行できるOracleユーザー名。通常、これら2つを同時に意味します。多くのサイトでは複数のDBAが配置されます。
データベース・インストール管理者
データベース作成者とも呼ばれます。この管理者は、新規データベースの作成を担当します。この作業には、データベース・コンフィギュレーション・アシスタントを使用したディレクトリへの各データベースの登録が含まれます。この管理者は、データベース・サービス・オブジェクトおよび属性の作成および変更アクセス権を持ちます。この管理者は、デフォルトのドメインも変更できます。
データベース・リンク
ローカル・データベースまたはネットワーク定義に格納されるネットワーク・オブジェクトであり、リモート・データベース、そのデータベースへの通信パス、およびオプションでユーザー名とパスワードを識別します。定義された後、データベース・リンクはリモート・データベースへのアクセスに使用されます。
あるデータベースから別のデータベースへのパブリックまたはプライベート・データベース・リンクは、DBAまたはユーザーによってローカル・データベースに作成されます。
グローバル・データベース・リンクは、Oracle Namesで各データベースからネットワーク内の他のすべてのデータベースに自動的に作成されます。グローバル・データベース・リンクはネットワーク定義に格納されます。
データベース・パスワード・ベリファイア
ユーザーのデータベース・パスワードから導出される不可逆的な値。この値は、データベースに対するパスワード認証時に、接続ユーザーの識別情報が正しいことを確認するために使用されます。
データベース・セキュリティ管理者
データベース・エンタープライズ・ユーザー・セキュリティの最上位レベルの管理者。この管理者は、すべてのエンタープライズ・ドメインに対する権限を持ち、次のことに責任を持ちます。
Oracle DBSecurityAdminsおよびOracleDBCreatorsグループの管理
新規エンタープライズ・ドメインの作成。
エンタープライズ内のあるドメインから別のドメインへのデータベースの移動
辞書攻撃
パスワードに対する一般的な攻撃。攻撃者は、多数の一般的なパスワードのリストを作成し、それらを暗号化します。次に、攻撃者は暗号化されたパスワードを含むファイルを盗み、暗号化した一般的なパスワードのリストと比較します。暗号化したパスワードの値(ベリファイアと呼ばれる)のいずれかが一致した場合、攻撃者は対応するパスワードを盗むことができます。辞書攻撃は、暗号化の前にパスワードにsaltを使用することで回避できます。
Diffie-Hellman鍵交換アルゴリズム
これは、安全でないチャネルを通じて通信する2つのパーティに、それらのパーティのみが知っているランダムな数字を合意させる方法です。Diffie-Hellman鍵交換アルゴリズムの実行中は、当事者は非保護チャネルで情報を交換しますが、攻撃者がネットワーク通信を分析し、当事者の間で取り決めた乱数を計算によって推定するのはほぼ不可能です。Oracle Advanced Securityでは、セッション鍵の生成にDiffie-Hellman鍵交換アルゴリズムが使用されています。
デジタル署名
デジタル署名は、公開鍵アルゴリズムを使用して送信者の秘密鍵で送信者のメッセージに署名するために使用されます。このデジタル署名によって、文書が信頼できるものであること、別のエンティティで偽造されていないこと、変更されていないこと、送信者によって拒否されないことが保証されます。
ディレクトリ・ネーミング・コンテキスト
ディレクトリ・サーバー内で意味を持つサブツリー。通常は、組織サブツリーの最上位です。あるディレクトリでは、固定のこのようなコンテキストが1個のみ許可されますが、他のディレクトリでは、ディレクトリ管理者によって0個から多数までのコンテキストを構成できます。
識別名(DN)
ディレクトリ・エントリの一意の名前。親エントリからディレクトリ情報ツリーのルート・エントリまでのすべての個々の名前から構成されます。「ディレクトリ情報ツリー(DIT)」を参照してください。
ドメイン
ドメイン・ネーム・システム(DNS)・ネームスペース内の任意のツリーまたはサブツリーです。ドメインは通常、所属するホストの名前が共通の接尾辞、つまりドメイン名を共有しているコンピュータのグループを指します。
ドメイン・ネーム・システム(DNS)
ドメインの階層に編成された、コンピュータおよびネットワーク・サービスのネーミングのためのシステム。DNSは、TCP/IPネットワークで使用され、ユーザー・フレンドリな名前でコンピュータの位置を識別します。DNSは、このわかりやすい名前を、コンピュータが理解できるIPアドレスに変換します。
Oracle Net Servicesでは、DNSはTCP/IPアドレスのホスト名をIPアドレスに変換します。
暗号化テキスト
暗号化アルゴリズムを使用して暗号化されたテキスト。暗号化プロセスの出力ストリーム。テキストは復号化の対象とならないかぎり、そのままでは読取りまたは解読できません。暗号文とも呼ばれます。暗号化テキストは、最終的には平文になります。
エンタープライズ・ドメイン
データベースとエンタープライズ・ロールのグループで構成されたディレクトリ構造。1つのデータベースが同時に複数のエンタープライズ・ドメイン内に存在することはありません。エンタープライズ・ドメインは、共通ディレクトリ・データベースを共有するコンピュータの集合であるWindows 2000ドメインとは異なります。
エンタープライズ・ロール
エンタープライズ・ユーザーに割り当てられるアクセス権限。エンタープライズ・ドメイン内の1つ以上のデータベースに対する、一連のOracleロールに基づく認可。エンタープライズ・ロールは、ディレクトリに格納され、1つ以上のグローバル・ロールが含まれています。
米国連邦情報処理標準(FIPS)
暗号化モジュールのセキュリティ要件を定義する米国連邦政府の標準であり、コンピュータおよびテレコミュニケーション・システム内の非機密情報を保護するセキュリティ・システムで使用されます。米国商務省国立標準技術研究所(NIST)によって発行されます。
フォレスト
相互に信頼する1つ以上のActive Directoryツリーのグループ。フォレスト内のすべてのツリーは、共通のスキーマ、構成およびグローバル・カタログを共有します。フォレストに複数のツリーが含まれる場合、ツリーは連続したネームスペースを形成しません。指定フォレスト内のすべてのツリーは、推移的な双方向の信頼関係を介して相互に信頼します。
グローバル・ロール
ディレクトリで管理されるロールですが、その権限は単一のデータベースに含まれています。グローバル・ロールは、次の構文を使用してデータベースに作成されます。
CREATE ROLE role_name IDENTIFIED GLOBALLY;
グリッド・コンピューティング
多くのサーバーと記憶域を調整して単一の大容量コンピュータとして動作させるコンピューティング・アーキテクチャ。Oracle Grid Computingは、柔軟性のあるオンデマンド・コンピューティング・リソースをすべてのエンタープライズ・コンピューティング・ニーズに対して作成します。Oracle10gグリッド・コンピューティング・インフラストラクチャで稼働しているアプリケーションは、フェイルオーバー、ソフトウェア・プロビジョニングおよび管理のための共通インフラストラクチャ・サービスを利用できます。Oracle Grid Computingは、リソースの需要を分析し、それに応じて供給を調整します。
HTTP
Hypertext Transfer Protocol: World Wide Web上でのファイル(テキスト、グラフィック・イメージ、サウンド、ビデオおよびその他のマルチメディア・ファイル)の交換に関するルールのセット。TCP/IPプロトコル・スイート(インターネット上での情報交換の基礎)に関して、HTTPはアプリケーション・プロトコルです。
識別情報
公開鍵と、エンティティに関するその他の任意のパブリック情報の組合せ。パブリック情報には、電子メール・アドレスなどのユーザー識別データを含めることができます。宣言どおりのエンティティとして証明されているユーザー。
アイデンティティ管理
オンライン、すなわちデジタルなエンティティの作成、管理および使用。ID管理には、デジタル識別情報の作成(デジタル識別情報のプロビジョニング)から、メンテナンス(電子リソースへのアクセスに関する組織ポリシーの施行)、さらに最終的な終了までのライフ・サイクル全体の安全な管理が含まれます。
アイデンティティ管理レルム
Oracle Internet Directoryのサブツリーであり、Oracleコンテキストのみでなく、それぞれアクセス制御リストで保護されているユーザーおよびグループの追加サブツリーも含みます。
推論
問合せを繰り返し試行してデータを検出するように設計された問合せ。たとえば、最高額の給与を得ているユーザーを検出する場合、侵入者は次の問合せを使用できます。
SELECT FIRST_NAME, LAST_NAME, SALARY FROM HR.EMPLOYEES WHERE SALARY > 16000 ORDER BY SALARY DESC; FIRST_NAME LAST_NAME SALARY -------------------- ------------------------- ---------- Steven King 24000 Neena Kochhar 17000 Lex De Haan 17000
初期チケット
Kerberos認証では、初期チケットまたはチケット認可チケット(TGT)によって、ユーザーが追加のサービス・チケットを要求する権利を持つものとして識別されます。初期チケットがないと、他のチケットは取得できません。初期チケットは、okinitプログラムを実行し、パスワードを提供することで取得されます。
インスタンス
稼働中のすべてのOracleデータベースは、Oracleインスタンスに関連付けられています。(コンピュータのタイプに関係なく)データベースがデータベース・サーバー上で起動すると、Oracleによってシステム・グローバル領域(SGA)というメモリー領域が割り当てられ、Oracleプロセスが起動します。このSGAとOracleプロセスの組合せをインスタンスと呼びます。インスタンスのメモリーおよびプロセスは、関連付けられているデータベースのデータを効率的に管理し、1人以上のデータベース・ユーザーを処理します。
Javaコードの不明瞭化
Javaコードの不明瞭化は、Javaプログラムをリバース・エンジニアリングから保護するために使用されます。特別なプログラム(obfuscator)を使用して、コードに見つかったJavaシンボルをスクランブルします。プロセスは、元のプログラム構造をそのまま保持し、意図した動作を隠すためにクラス、メソッドおよび変数の名前を変更する一方でプログラムを正常に実行します。不明瞭化されていないJavaコードをデコンパイルして読み取ることは可能ですが、不明瞭化されたJavaコードのデコンパイルは、米国政府の輸出規制を満たすのに十分なほど困難になっています。
Java Database Connectivity(JDBC)
Sun Microsystemsによって定義された業界標準のJavaインタフェースで、Javaプログラムからリレーショナル・データベースに接続する場合に使用します。
KDC
Key Distribution Center。Kerberos認証では、KDCはユーザー・プリンシパルのリストを管理し、ユーザーの初期チケットに関してkinit(okinitはOracleバージョン)プログラムを通じてアクセスされます。KDCおよびチケット認可サービスが同じエンティティに結合されることが多いですが、その場合もKDCと呼ばれます。チケット認可サービスは、サービス・プリンシパルのリストを管理し、このようなサービスを提供するサーバーに対してユーザーの認証が必要な場合にアクセスされます。KDCは、セキュア・ホストで実行する必要のある信頼できるサード・パーティです。チケット認可チケットおよびサービス・チケットを作成します。
Kerberos
Massachusetts Institute of TechnologyのAthenaプロジェクトで開発されたネットワーク認証サービスであり、分散環境でのセキュリティを強化します。Kerberosは信頼できるサード・パーティ認証システムであり、共有秘密鍵に基づき、サード・パーティがセキュアであることを前提とします。シングル・サインオン機能とデータベース・リンク認証(MIT Kerberosのみ)があり、パスワードを一元的に保管してPCのセキュリティを強化します。
鍵
データの暗号化時に、指定されたアルゴリズムによって指定された平文から生成される暗号文を決定する値。また、データの復号化時に、暗号文を正しく復号化するために必要な値。正しい鍵が提供された場合のみ、暗号文は正しく復号化されます。
対称型暗号化アルゴリズムでは、同じデータの暗号化と復号化の両方に同じ鍵が使用されます。非対称型暗号化アルゴリズム(公開鍵暗号化アルゴリズムまたは公開鍵暗号システムとも呼びます)では、同じデータの暗号化と復号化に異なる鍵が使用されます。
ldap.oraファイル
次のディレクトリ・サーバー・アクセス情報を含むファイル。Oracle Netコンフィギュレーション・アシスタントによって作成されます。
ディレクトリ・サーバーのタイプ。
ディレクトリ・サーバーの位置。
クライアントまたはサーバーで使用するデフォルトのID管理レルムまたはOracleコンテキスト(ポートを含む)
Lightweight Directory Access Protocol (LDAP)
標準の拡張可能ディレクトリ・アクセス・プロトコル。LDAPクライアントおよびサーバーが通信に使用する共通言語です。Oracle Internet Directoryなど、業界標準のディレクトリ製品をサポートする設計規則のフレームワーク。
リスナー
サーバー上で実行される独立したプロセスです。クライアントの着信接続要求をリスニングし、サーバーへの通信量を管理します。
クライアントがサーバーとのネットワーク・セッションを要求するたびに、リスナーが実際の要求を受信します。クライアント情報がリスナー情報と一致する場合、リスナーはサーバーへの接続を付与します。
listener.oraファイル
次のものを識別するリスナーの構成ファイル。
リスナー名
接続要求を受付けるプロトコル・アドレス
リスニング対象のサービス
通常、listener.oraファイルは、UNIXプラットフォームでは$ORACLE_HOME/network/adminに、WindowsではORACLE_BASE\ORACLE_HOME\network\adminにあります。
介在者
第三者によるメッセージの不正傍受という特徴を持つセキュリティ攻撃。第三者(介在者)は、メッセージを復号化して再暗号化し(元のメッセージを変更する場合と変更しない場合があります)、元の宛先である受信者に転送します。これらの処理はすべて、正当な送受信者が気付かないうちに行われます。この種のセキュリティ攻撃は、認証が行われていない場合にのみ発生します。
National Institute of Standards and Technology (NIST)
米国商務省の機関であり、コンピュータおよびテレコミュニケーション・システム内の暗号ベース・セキュリティ・システムの設計、取得および実装に関連するセキュリティ標準の開発に責任を持ちます。連邦機関、または連邦の役割を遂行するために連邦政府にかわって情報を処理する連邦機関の契約者やその他の組織によって運営されます。
ネット・サービス別名
ディレクトリ・サーバーのディレクトリ・ネーミング・オブジェクトの代替名。ディレクトリ・サーバーは、定義されたネット・サービス名またはデータベース・サービスのネット・サービス別名を格納します。ネット・サービス別名のエントリには、接続記述子情報は含まれていません。かわりに、別名の対象のオブジェクトの場所のみ参照します。クライアントがネット・サービス別名のディレクトリ参照をリクエストすると、ディレクトリはそのエントリがネット・サービス別名であると判断し、参照しているのが実際のエントリであるかのようにして参照を完了します。
ネット・サービス名
接続記述子に解決されるサービスの単純名。ユーザーは、接続するサービスに対する接続文字列内に、ネット・サービス名とともにユーザー名およびパスワードを渡すことで接続リクエストを開始します。
CONNECT username@net_service_name Enter password: password
必要に応じて、ネット・サービス名は次のような様々な場所に格納できます。
各クライアントのローカル構成ファイル、tnsnames.ora
ディレクトリ・サーバー
NISなどの外部ネーミング・サービス
ネットワーク認証サービス
分散環境で、クライアントからサーバー、サーバー間およびユーザーからクライアントとサーバーの両方を認証する手段。ネットワーク認証サービスは、アクセスできる様々なサーバー上のユーザーとサービスに関する情報、およびネットワーク上のクライアントとサーバーに関する情報を格納するためのリポジトリです。認証サーバーは、物理的に異なるコンピュータにすることも、システム内の別のサーバー上の共同の場所にある設備にすることもできます。可用性を保証するために、一部の認証サービスを複製してシングル・ポイント障害を回避できます。
オブジェクト・クラス
名前を持った属性のグループ。属性をエントリに割り当てるときは、その属性を保持しているオブジェクト・クラスをそのエントリに割り当てます。同じオブジェクト・クラスに関連するオブジェクトはすべて、同じ属性を共有します。
Oracleコンテキスト
1. LDAP準拠のインターネット・ディレクトリ内にあるcn=OracleContextというエントリ。このディレクトリには、Oracle Net Servicesディレクトリ・ネーミングおよびチェックサムのセキュリティのエントリなど、Oracleソフトウェア関連のすべての情報が格納されています。
1つのディレクトリに1つ以上のOracleコンテキストを設定できます。Oracleコンテキストは、通常はID管理レルムに位置します。
Oracle Data Redaction
完全マスキング、部分マスキング、ランダム・マスキングまたはマスキングなしのいずれかを使用して、リアルタイムでデータをマスクできる一連の機能です。
「実際のデータ」、「リダクションされたデータ」および「リダクション」も参照してください。
Oracle Net Services
OracleサーバーまたはDesigner/2000などのOracleツールを実行する2台以上のコンピュータがサード・パーティ・ネットワークを通じてデータを交換できるようにするOracle製品。Oracle Net Servicesは、分散処理および分散データベース機能をサポートします。Oracle Net Servicesは、通信プロトコルに依存しないためオープン・システムであり、ユーザーはOracle Netから多数のネットワーク環境へのインタフェースをとることができます。
PCMCIAカード
Personal Computer Memory Card International Association(PCMCIA)標準に準拠する小さなクレジット・カード・サイズのコンピューティング・デバイス。これらのデバイスはPCカードとも呼ばれ、メモリー、モデムまたはハードウェア・セキュリティ・モジュールの追加に使用されます。PCMCIAカードは、ハードウェア・セキュリティ・モジュールが公開鍵と秘密鍵のペアの秘密鍵コンポーネントを安全に格納する際に使用され、暗号操作も実行するものもあります。
ピア識別情報
SSL接続セッションは、特定のクライアントと特定のサーバー間のセッションです。接続先の識別情報は、セッションのセットアップ・プロセスの一部として設定される場合があります。接続先は、X.509証明連鎖によって識別されます。
PEM
インターネット上での安全な電子メールを提供するためにInternet Architecture Boardによって採用されたInternet Privacy-Enhanced Mailプロトコル標準。PEMプロトコルは、暗号化、認証、メッセージ整合性および鍵管理を提供します。PEMは、データ暗号化鍵を暗号化するための対称型スキームと公開鍵スキームの両方を含む様々な鍵管理アプローチと互換性を持つよう意図された包括的な標準です。PEMの仕様は、4つのInternet Engineering Task Force(IETF)ドキュメント、RFC 1421、1422、1423および1424に記載されています。
PKCS #10
認証リクエストの構文を記述するRSA Security, Inc.のPublic-Key Cryptography Standards(PKCS)仕様。認証リクエストは、識別名、公開鍵およびオプションの属性セットから構成され、証明書を要求するエンティティによって一括して署名されます。このマニュアルでは、認証リクエストを証明書リクエストと呼びます。「証明書リクエスト」を参照。
PKCS #11
暗号情報を保持するデバイスへのCryptokiと呼ばれるアプリケーション・プログラミング・インタフェース(API)を定義し、暗号操作を実行するRSA Security, Inc.のPublic-Key Cryptography Standards(PKCS)仕様。「PCMCIAカード」を参照。
PKCS #12
通常はウォレットと呼ばれる形式で個人認証資格証明を格納および転送するための転送構文を記述するRSA Security, Inc.のPublic-Key Cryptography Standards(PKCS)仕様。
プリンシパル
Kerberos資格証明のセットが割り当てられているクライアントまたはサーバーを一意に識別する文字列。通常、これにはkservice/kinstance@REALMという3つの部分が含まれます。ユーザーの場合、kserviceはユーザー名です。
「kservice」、「kinstance」および「レルム」も参照してください。
プロキシ認証
ファイアウォールなどの中間層を伴う環境で一般に使用されるプロセス。エンド・ユーザーは中間層に対して認証を行い、中間層はエンド・ユーザーのプロキシとして、ユーザーのかわりにディレクトリに対して認証を実施します。中間層は、プロキシ・ユーザーとしてディレクトリにログインします。プロキシ・ユーザーは識別情報を切り替えることができ、ディレクトリにログインするとエンド・ユーザーの識別情報に切り替わります。プロキシ・ユーザーは、特定のエンド・ユーザーに適した認可を使用して、そのエンド・ユーザーにかわって操作を実行できます。
公開鍵
公開鍵暗号で使用される2つの鍵の1つ。もう一方は秘密鍵です。公開鍵暗号の一般的な使用方法では、公開鍵はデータを暗号化するとき、またはデジタル署名を検証するときに使用されます。秘密鍵は、データを復号化するとき、またはデジタル署名を生成するときに使用されます。公開鍵は誰でも使用できますが、秘密鍵は秘密のまま管理されます。
「公開鍵と秘密鍵のペア」を参照してください。
公開鍵インフラストラクチャ(PKI)
公開鍵暗号化の原理を利用した情報セキュリティ・テクノロジ。公開鍵暗号化には、共有の公開鍵と秘密鍵のペアを使用した情報の暗号化および復号化が含まれます。これにより、パブリック・ネットワーク上において安全でプライベートな通信ができます。
公開鍵と秘密鍵のペア
暗号化および復号化に使用される2つの数字のセットで、1つは秘密鍵、もう1つは公開鍵と呼ばれます。公開鍵は通常広く使用可能であるのに対して、秘密鍵はそれぞれの所有者によって保持されます。数学的に関連付けられてはいますが、計算によって公開鍵から秘密鍵を求めるのはほぼ不可能と考えられています。公開鍵と秘密鍵は、公開鍵暗号化アルゴリズムまたは公開鍵暗号化体系とも呼ばれる非対称型暗号化アルゴリズムでのみ使用されます。鍵のペアの公開鍵または秘密鍵で暗号化されたデータは、鍵のペアのうち関連付けられている鍵で復号化できます。ただし、公開鍵で暗号化されたデータを同じ公開鍵で復号化することはできず、秘密鍵で包まれたデータを同じ秘密鍵で複合化することはできません。
RADIUS
Remote Authentication Dial-In User Service(RADIUS)は、リモート・アクセス・サーバーが中央サーバーと通信してダイアルイン・ユーザーを認証し、リクエストされたシステムまたはサービスへのアクセスを認可できるようにするクライアント/サーバー・プロトコルおよびソフトウェアです。
リダクションされたデータ
Oracle Data Redactionポリシーでは、マスクされたデータが、問合せユーザーに表示されます。たとえば、実際のデータが3714-4963-5398-431の場合、データ・リダクション・ポリシーに従って、リダクションされたデータはXXXX-XXXX-XXXX-431として表示されます。
リダクション
Oracle Data Redactionポリシーで、問合せを行うユーザーにリダクションされたデータを表示するために、サーバーが実際のデータに対して実行するアクションです。
「リダクション」も参照してください。
レルム
1. ID管理レルムの省略形。2.Kerberosオブジェクト。単一の鍵配布センター/チケット認可サービス(KDC/TGS)の下で動作するクライアントとサーバーのセット。同じ名前を共有する異なるレルム内のサービス(kserviceを参照)は一意です。
salt
1. 暗号化において、一般的には、saltは暗号化されたデータのセキュリティを強化する方法です。saltは、暗号化の前にデータに追加されるランダムな文字列です。したがって、攻撃者にとっては、暗号文のパターンを既知の暗号文サンプルと照合してデータを盗むことがより困難になります。2.saltは通常、辞書攻撃(悪意のあるハッカー(攻撃者)がパスワードを盗むために使用する方法)を防ぐためにも使用されます。パスワードが暗号化される前に、パスワードに追加されます。したがって、攻撃者にとっては、暗号化されたパスワードのハッシュ値(ベリファイアと呼ばれることもあります)と、一般のパスワード・ハッシュ値の辞書リストとの照合が困難になります。「辞書攻撃」を参照。
スキーマ
1. データベース・スキーマ。表、ビュー、クラスタ、プロシージャ、パッケージ、属性、オブジェクト・クラス、およびそれらに対応する一致規則など、名前が付いたオブジェクトの集合であり、特定のユーザーに関連付けられています。2.LDAPディレクトリ・スキーマ: 属性、オブジェクト・クラス、およびそれらに対応する一致ルールのコレクション。
Secure Hash Algorithm(SHA)
与えられたデータから160ビットの暗号メッセージ・ダイジェスト値を生成することにより、データの整合性を保証するアルゴリズム。1ビットでもデータが変更されると、そのデータのSecure Hash Algorithmチェックサムが変化します。与えられたデータ・セットを偽造して、元のデータと同じ結果をSecure Hash Algorithmで生成することはコンピュータではほぼ不可能と考えられます。
長さが264ビット未満のメッセージを取得して、160ビットのメッセージ・ダイジェスト値を生成するアルゴリズム。このアルゴリズムは、以前にサポートされていたMD5よりも若干速度が遅くなりますが、大きいメッセージ・ダイジェストによって、総当たり攻撃および反転攻撃に対処できます。
Secure Sockets Layer (SSL)
ネットワーク接続の保護のためにNetscape Communications社によって設計された業界標準プロトコル。SSLは、公開鍵インフラストラクチャ(PKI)を使用して、認証、暗号化およびデータ整合性を提供します。
Transport Layer Security (TLS)プロトコルは、SSLプロトコルの後継です。
サービス
1. Oracleデータベース・サーバーなど、クライアントによって使用されるネットワーク・リソース。
2. Windowsレジストリにインストールされ、Windowsによって管理される実行可能プロセス。サービスが作成され、開始された後は、コンピュータにログオンしているユーザーがいない場合でも実行できます。
サービス・キー表
Kerberos認証では、サービス・キー表はkinstanceに存在するサービス・プリンシパルのリストです。KerberosをOracleで使用するには、その前にこの情報をKerberosから抽出し、Oracleサーバー・コンピュータにコピーする必要があります。
サービス・チケット
サービス・チケットは、事前定義された期間、特定のサービスまたはサーバーに対してクライアントを認証するために使用する信頼できる情報です。初期チケットを使用してKDCから取得されます。
セッション鍵
少なくとも二者(通常はクライアントとサーバー)によって共有される鍵であり、単一の通信セッション中のデータ暗号化に使用されます。セッション鍵は通常、ネットワーク・トラフィックを暗号化するために使用されます。クライアントとサーバーはセッションの開始時にセッション鍵をネゴシエーションすることができ、その鍵はそのセッションの関係者間のすべてのネットワーク・トラフィックを暗号化するために使用されます。クライアントとサーバーが新しいセッションで再び通信する場合は、新しいセッション鍵をネゴシエーションします。
セッション・レイヤー
プレゼンテーション・レイヤー・エンティティが必要とするサービスを提供するネットワーク・レイヤーであり、プレゼンテーション・レイヤー・エンティティがダイアログの編成と同期およびデータ交換の管理を行えるようにします。このレイヤーは、クライアントとサーバー間のネットワーク・セッションを確立、管理および終了します。セッション・レイヤーの例には、ネットワーク・セッションがあります。
共有スキーマ
複数のエンタープライズ・ユーザーが使用できるデータベースまたはアプリケーション・スキーマ。Oracle Advanced Securityでは、データベース上の同じ共有スキーマへの複数のエンタープライズ・ユーザーのマッピングがサポートされます。これにより、管理者はそれぞれのデータベースでユーザーごとにアカウントを作成する必要がなくなります。管理者は、ユーザーを1つの場所、つまり、エンタープライズ・ディレクトリに作成して、そのユーザーを共有スキーマにマップできます。この共有スキーマには他のエンタープライズ・ユーザーもマップできます。ユーザー/スキーマの分割とも呼ばれます。
単一パスワード認証
単一パスワードを使用して複数のデータベースでユーザーを認証する機能。Oracle Advanced Securityの実装では、パスワードはLDAP準拠ディレクトリに格納され、暗号化やアクセス制御リストで保護されます。
シングル・サインオン(SSO)
ユーザーが1度認証を受けると、その後の他のデータベースまたはアプリケーションへの接続に、厳密な認証が透過的に実施される機能。シングル・サインオンでは、ユーザーは1回の接続中に入力した単一のパスワードで複数のアカウントおよびアプリケーションにアクセスできます。単一のパスワードによる単一の認証です。Oracle Advanced Securityは、KerberosおよびSSLベースのシングル・サインオンをサポートしています。
スマートカード
ユーザー名やパスワードなどの情報を格納するため、また認証交換に関連する計算を実行するための集積回路が埋め込まれた(クレジット・カードに似た)プラスチック・カード。スマートカードは、クライアントまたはサーバーでハードウェア・デバイスによって読み取られます。
スマートカードでは、1回かぎりのパスワードとして使用できるランダムな数値を生成できます。この場合、スマートカードはサーバー上のサービスと同期するため、サーバーはスマートカードによって同じパスワードが生成されると予想します。
sqlnet.oraファイル
次の内容を指定する、クライアントまたはサーバー用の構成ファイルです。
修飾されていないサービス名またはネット・サービス名に付加されるクライアント・ドメイン
名前の解決時にクライアントが使用するネーミング・メソッドの順序
使用するロギング機能とトレース機能
接続のルート
デフォルトのOracle Names Server
外部ネーミング・パラメータ
Oracle Advanced Securityパラメータ
通常、sqlnet.oraファイルは、UNIXプラットフォームでは$ORACLE_HOME/network/adminに、WindowsプラットフォームではORACLE_BASE\ORACLE_HOME\network\adminにあります。
システム識別子(SID)
Oracleインスタンスの一意の名前。Oracleデータベース間を切り替えるには、ユーザーが目的のSIDを指定する必要があります。SIDは、tnsnames.oraファイル内の接続記述子のCONNECT DATA部分と、listener.oraファイル内のネットワーク・リスナーの定義に含まれます。
tnsnames.ora
接続記述子が含まれているファイル。各接続記述子はネット・サービス名にマップされます。すべてのクライアントまたは各クライアントで使用するために、このファイルを集中して維持することも、ローカルで維持することもできます。このファイルは通常、プラットフォームに応じて次の場所にあります。
(UNIXの場合)ORACLE_HOME/network/admin
(Windowsの場合)ORACLE_BASE\ORACLE_HOME\network\admin
トークン・カード
ユーザーが容易に認証サービスを利用できるように、数種類のメカニズムを提供するデバイス。一部のトークン・カードは、認証サービスと同期された1回かぎりのパスワードを提供します。サーバーは、認証サービスにアクセスすることにより、トークン・カードによって提供されるパスワードを任意の時点で検証できます。その他のトークン・カードは、チャレンジ・レスポンス・ベースで動作します。その場合、サーバーはユーザーがトークン・カードに入力するチャレンジ(数字)を提供します。トークン・カードは、ユーザーがサーバーに提供する別の数字(チャレンジから暗号的に派生)を提供します。
トランスポート・レイヤー
データ・フロー制御とエラー・リカバリ方式を通じてエンドツーエンドの信頼性を維持するネットワーキング・レイヤー。Oracle Net Servicesは、トランスポート・レイヤーにOracleプロトコル・サポートを使用します。
Transport Layer Security(TLS)
ネットワーク接続を保護するための業界標準プロトコル。TLSプロトコルはSSLプロトコルの後継です。公開鍵インフラストラクチャ(PKI)を使用した認証、暗号化およびデータの整合性を提供します。TLSプロトコルは、Internet Engineering Task Force (IETF)によって開発されています。
信頼できる証明書
ルート鍵証明書とも呼ばれることのある信頼できる証明書は、信頼のレベルで修飾されたサード・パーティ識別情報です。信頼できる証明書は、識別情報がエンティティの主張どおりであるかどうかを検証する際に使用されます。通常は、信頼する認証局を信頼できる証明書と呼びます。複数レベルの信頼できる証明書がある場合、証明連鎖における下位レベルの信頼できる証明書で、それより上のレベルの証明書をすべて再確認する必要はありません。
ユーザー・スキーマ・マッピング
ユーザーが存在するディレクトリ内のベースおよびユーザーがマッピングされるデータベース・スキーマの名前という値のペアを含むLDAPディレクトリ・エントリ。マッピングで参照されるユーザーは、データベースへの接続時に指定されたスキーマに接続されます。ユーザー・スキーマ・マッピング・エントリは、1つのデータベースにのみ適用できるか、1つのドメイン内のすべてのデータベースに適用できます。「共有スキーマ」を参照。
ウォレット
ウォレットとは、個々のエンティティに対するセキュリティ資格証明の格納と管理に使用されるデータ構造です。ウォレット・リソース・ロケータ(WRL)は、ウォレットを探すために必要なすべての情報を提供します。
ウォレット不明瞭化
ウォレット不明瞭化は、アクセスの前にユーザーにパスワードを問い合せずにOracleウォレットを格納およびアクセスするために使用されます(シングル・サイン・オン(SSO)をサポートします)。
ウォレット・リソース・ロケータ
ウォレット・リソース・ロケータ(WRL)は、ウォレットの位置を特定するために必要なすべての情報を提供します。ウォレットの保存場所であるオペレーティング・システムのディレクトリへのパスです。
