Oracle Database Vaultをインストールすると、インストール・プロセスにより、データベース構成の安全を強化するために複数のデータベース初期化パラメータ設定が変更されます。これらの変更が組織のプロセスやデータベースのメンテナンス手順に影響した場合、問題を解決するには、Oracleサポートにご連絡ください。
表2-1で、Oracle Database Vaultにより変更される初期化パラメータ設定を説明します。初期化パラメータは、$ORACLE_HOME/srvm/admin
のinit.ora
初期化パラメータ・ファイルに保存されます。このファイルの詳細は、『Oracle Database管理者ガイド』を参照してください。
表2-1 変更されるデータベース初期化パラメータ設定
パラメータ | データベースのデフォルト値 | Database Vaultにより設定される新しい値 | 変更の影響 |
---|---|---|---|
|
|
ユーザー
|
|
未構成。 |
|
オペレーティング・システムによる、ユーザーへのロールの付与と取消しの完全な管理を無効にします。以前に
|
|
|
|
フラッシュバック・ドロップ機能のオン/オフを制御します。 関連項目:
|
|
|
|
Oracle Databaseがパスワード・ファイルをチェックするかどうかを指定します。
|
|
|
|
ユーザーは、
|
Oracle Database Vaultのインストール中、インストーラにより2つの追加のデータベース・アカウント名を要求されます。また、データベース・ロールが複数作成されます。これらのアカウントは、Oracle Database Vaultにより実現される職務分離の一部です。複数の大企業に影響を与えている共通の監査問題の1つは、データベース管理者による本番インスタンス内での新規データベース・アカウントの不正な作成です。Oracle Database Vaultのインストール時に、Oracle Database Vaultアカウント・マネージャ、またはOracle Database Vaultアカウント・マネージャ・ロールを付与されたユーザー以外はデータベース内にユーザーを作成することができなくなります。
職務分離の管理に関するガイドラインは、「職務分離のガイドライン」を参照してください。
規制、プライバシおよびその他のコンプライアンス要件を満たすために、Oracle Database Vaultには職務分離という概念が実装されています。Oracle Database Vaultでは、アカウント管理の職責、データ・セキュリティの職責およびデータベース・リソース管理の職責がデータベース内で明確に分離されます。つまり、データとシステム構成の両方についてすべての権限を持つユーザーがいないよう、多くの権限を持つユーザー(DBA
など)という概念が複数の新しいデータベース・ロールに分割されています。Oracle Database Vaultにより、SYS
ユーザーおよびDBA
ロールやその他のシステム権限を持つアカウントから、レルムと呼ばれるデータベースの指定された保護領域が守られます。Oracle Database Vault所有者(DV_OWNER
)およびOracle Database Vaultアカウント・マネージャ(DV_ACCTMGR
)と呼ばれる新しいデータベース・ロールも導入されています。これらの新規データベース・ロールにより、データ・セキュリティとアカウント管理が従来のDBA
ロールから分離されます。これらのロールは、組織内の別々のセキュリティの専門家にマップします。
関連項目:
|
Oracle Database Vaultをインストールすると、職務分離強化の一部として、Oracle Databaseで提供されている複数のロールから一連の権限が取り消されます。
表2-2に、Oracle Database Vaultにより既存のユーザーおよびロールから取り消される権限を示します。Oracle Database Vaultを無効にすると、これらの権限は取り消されたままになるので注意してください。アプリケーションがこれらの権限に依存する場合は、アプリケーションの所有者に権限を直接付与します。
表2-2 Oracle Database Vaultで取り消される権限
ユーザーまたはロール | 取り消される権限 |
---|---|
|
|
|
|
|
|
|
|
|
|
脚注1 Oracle Data Pumpを使用してデータをエクスポートおよびインポートする権限をユーザーに付与するには、「Oracle Database Vault環境でのOracle Data Pumpの使用」を参照してください。
脚注2 データベース・ジョブをスケジュールする権限をユーザーに付与するには、「Oracle Database Vault環境でのデータベース・ジョブのスケジュール」を参照してください。
注意: SYS およびSYSTEM ユーザーは両方とも、 デフォルト・パスワードを使用するユーザー・アカウントを示すDBA_USERS_WITH_DEFPWDデータ・ディクショナリ・ビューに対するSELECT 権限を保持します。他のユーザーにこのビューへのアクセス権を付与するには、SELECT 権限を付与します。 |
次に示す権限は、その権限がすでに付与されているどのユーザーおよびロールに対しても阻止されます。これには、ユーザーSYS
およびSYSTEM
も含まれます。
ALTER PROFILE
ALTER USER
(ただしユーザーがALTER USER
文を使用して自分のパスワードを変更することは可能です)
CREATE PROFILE
CREATE USER
DROP PROFILE
DROP USER
セキュリティの強化および職務分離規定の維持のために、SYS
ユーザーやSYSTEM
ユーザーにはユーザー・アカウントを作成または管理する権限を与えないでください。
この項の内容は次のとおりです。
Oracle Database Vault環境では、Oracle Label Securityが有効な場合、AUD$
表はSYS
スキーマからSYSTEM
スキーマに移動します。SYSTEM.AUD$
表を参照するためにシノニムSYS.AUD$
が作成されます。
Oracle Database Vaultをインストールすると、データベースで複数のAUDIT
文の設定が構成されます。詳細は、「Oracle Database Vault用に作成されるOracle Database監査設定」を参照してください。