2 Oracle Database Vaultのインストール後のヒント

この章の内容は次のとおりです。

• 変更される初期化およびパスワード・パラメータ設定

• Oracle Database Vaultによるユーザー認可の制限

• 職務分離を実施するための新規データベース・ロール

• 既存のユーザーおよびロールから取り消される権限

• 既存のユーザーおよびロールに対して阻止される権限

• Oracle Database VaultがOracle Databaseの監査に与える影響

関連項目: Oracle Database構成におけるセキュリティの管理に関するガイドラインは、付録D「Oracle Database Vaultセキュリティ・ガイドライン」を参照してください。

変更される初期化およびパスワード・パラメータ設定

Oracle Database Vaultをインストールすると、インストール・プロセスにより、データベース構成の安全を強化するために複数のデータベース初期化パラメータ設定が変更されます。これらの変更が組織のプロセスやデータベースのメンテナンス手順に影響した場合、問題を解決するには、Oracleサポートにご連絡ください。

表2-1で、Oracle Database Vaultにより変更される初期化パラメータ設定を説明します。初期化パラメータは、$ORACLE_HOME/srvm/adminのinit.ora初期化パラメータ・ファイルに保存されます。このファイルの詳細は、『Oracle Database管理者ガイド』を参照してください。

表2-1 変更されるデータベース初期化パラメータ設定

パラメータ	データベースのデフォルト値	Database Vaultにより設定される新しい値	変更の影響
AUDIT_SYS_OPERATIONS	FALSE	TRUE	ユーザーSYS、およびSYSDBAまたはSYSOPER権限で接続しているユーザーにより直接発行された上位レベルの操作の監査を有効にします。 AUDIT_SYS_OPERATIONSの詳細は、『Oracle Databaseリファレンス』を参照してください。
OS_ROLES	未構成。	FALSE	オペレーティング・システムによる、ユーザーへのロールの付与と取消しの完全な管理を無効にします。以前にGRANT文を使用してユーザーに付与されたロールはデータ・ディクショナリにまだリストされているため、変更されません。オペレーティング・システム・レベルでのユーザーへのロールの付与のみに適用されます。この場合も、ユーザーは権限をロールとユーザーに付与できます。 OS_ROLESの詳細は、『Oracle Database SQL言語リファレンス』を参照してください。
RECYCLEBIN	ON	OFF	フラッシュバック・ドロップ機能のオン/オフを制御します。RECYCLEBINがOFFに設定されている場合、削除された表はリサイクルビンに移動しません。ONに設定されている場合、削除された表はリサイクルビンに移動します(リカバリ可能です)。 関連項目: 「リサイクルビンのセキュリティの考慮事項」 RECYCLEBINの詳細は、『Oracle Databaseリファレンス』を参照してください。
REMOTE_LOGIN_PASSWORDFILE	EXCLUSIVE	EXCLUSIVE	Oracle Databaseがパスワード・ファイルをチェックするかどうかを指定します。REMOTE_LOGIN_PASSWORDFILEがEXCLUSIVEに設定されていないデータベースにOracle Database Vaultをインストールした場合、EXCLUSIVEに設定するとパスワード・ファイルが使用されます。 REMOTE_LOGIN_PASSWORDFILEの詳細は、『Oracle Databaseリファレンス』を参照してください。
SQL92_SECURITY	FALSE	TRUE	ユーザーは、UPDATEおよびDELETEオブジェクト権限が付与されている場合に、WHERE句またはSET句を含むUPDATE操作またはDELETE操作を表に対して実行するためには、SELECTオブジェクト権限も付与されている必要があります。 SQL92_SECURITYの詳細は、『Oracle Database SQL言語リファレンス』を参照してください。

Oracle Database Vaultによるユーザー認可の制限

Oracle Database Vaultのインストール中、インストーラにより2つの追加のデータベース・アカウント名を要求されます。また、データベース・ロールが複数作成されます。これらのアカウントは、Oracle Database Vaultにより実現される職務分離の一部です。複数の大企業に影響を与えている共通の監査問題の1つは、データベース管理者による本番インスタンス内での新規データベース・アカウントの不正な作成です。Oracle Database Vaultのインストール時に、Oracle Database Vaultアカウント・マネージャ、またはOracle Database Vaultアカウント・マネージャ・ロールを付与されたユーザー以外はデータベース内にユーザーを作成することができなくなります。

職務分離の管理に関するガイドラインは、「職務分離のガイドライン」を参照してください。

職務分離を実施するための新規データベース・ロール

規制、プライバシおよびその他のコンプライアンス要件を満たすために、Oracle Database Vaultには職務分離という概念が実装されています。Oracle Database Vaultでは、アカウント管理の職責、データ・セキュリティの職責およびデータベース・リソース管理の職責がデータベース内で明確に分離されます。つまり、データとシステム構成の両方についてすべての権限を持つユーザーがいないよう、多くの権限を持つユーザー(DBAなど)という概念が複数の新しいデータベース・ロールに分割されています。Oracle Database Vaultにより、SYSユーザーおよびDBAロールやその他のシステム権限を持つアカウントから、レルムと呼ばれるデータベースの指定された保護領域が守られます。Oracle Database Vault所有者(DV_OWNER)およびOracle Database Vaultアカウント・マネージャ(DV_ACCTMGR)と呼ばれる新しいデータベース・ロールも導入されています。これらの新規データベース・ロールにより、データ・セキュリティとアカウント管理が従来のDBAロールから分離されます。これらのロールは、組織内の別々のセキュリティの専門家にマップします。

関連項目: サイトの職務分離の管理に関する注意事項は、「職務分離のガイドライン」を参照してください。 Oracle Database Vaultのインストール中に作成されるロールの詳細は、「Oracle Database Vaultロール」を参照してください。 作成されるデフォルトのアカウントと、追加作成するアカウントに関する注意事項については、「Oracle Database Vaultアカウント」を参照してください。

既存のユーザーおよびロールから取り消される権限

Oracle Database Vaultをインストールすると、職務分離強化の一部として、Oracle Databaseで提供されている複数のロールから一連の権限が取り消されます。

表2-2に、Oracle Database Vaultにより既存のユーザーおよびロールから取り消される権限を示します。Oracle Database Vaultを無効にすると、これらの権限は取り消されたままになるので注意してください。アプリケーションがこれらの権限に依存する場合は、アプリケーションの所有者に権限を直接付与します。

表2-2 Oracle Database Vaultで取り消される権限

ユーザーまたはロール	取り消される権限
DBAロール	BECOME USER SELECT ANY TRANSACTION CREATE ANY JOB CREATE EXTERNAL JOB EXECUTE ANY PROGRAM EXECUTE ANY CLASS MANAGE SCHEDULER DEQUEUE ANY QUEUE ENQUEUE ANY QUEUE MANAGE ANY QUEUE
IMP_FULL_DATABASEロール脚注1	BECOME USER MANAGE ANY QUEUE
EXECUTE_CATALOG_ROLEロール	EXECUTE ON DBMS_LOGMNR EXECUTE ON DBMS_LOGMNR_D EXECUTE ON DBMS_LOGMNR_LOGREP_DICT EXECUTE ON DBMS_LOGMNR_SESSION EXECUTE ON DBMS_FILE_TRANSFER
PUBLICユーザー	EXECUTE ON UTL_FILE
SCHEDULER_ADMINロール脚注2	CREATE ANY JOB CREATE EXTERNAL JOB EXECUTE ANY PROGRAM EXECUTE ANY CLASS MANAGE SCHEDULER

^脚注1 Oracle Data Pumpを使用してデータをエクスポートおよびインポートする権限をユーザーに付与するには、「Oracle Database Vault環境でのOracle Data Pumpの使用」を参照してください。

^脚注2 データベース・ジョブをスケジュールする権限をユーザーに付与するには、「Oracle Database Vault環境でのデータベース・ジョブのスケジュール」を参照してください。

注意: SYSおよびSYSTEMユーザーは両方とも、デフォルト・パスワードを使用するユーザー・アカウントを示すDBA_USERS_WITH_DEFPWDデータ・ディクショナリ・ビューに対するSELECT権限を保持します。他のユーザーにこのビューへのアクセス権を付与するには、SELECT権限を付与します。

関連項目: 表11-1「Oracle Database Vaultロールの権限」 「DV_ACCTMGR Database Vaultアカウント・マネージャ・ロール」

既存のユーザーおよびロールに対して阻止される権限

次に示す権限は、その権限がすでに付与されているどのユーザーおよびロールに対しても阻止されます。これには、ユーザーSYSおよびSYSTEMも含まれます。

• ALTER PROFILE

• ALTER USER (ただしユーザーがALTER USER文を使用して自分のパスワードを変更することは可能です)

• CREATE PROFILE

• CREATE USER

• DROP PROFILE

• DROP USER

セキュリティの強化および職務分離規定の維持のために、SYSユーザーやSYSTEMユーザーにはユーザー・アカウントを作成または管理する権限を与えないでください。

Oracle Database VaultがOracle Databaseの監査に与える影響

この項の内容は次のとおりです。

• AUD$表のSYSスキーマからSYSTEMスキーマへの移動

• AUDIT文の設定の変更

AUD$表のSYSスキーマからSYSTEMスキーマへの移動

Oracle Database Vault環境では、Oracle Label Securityが有効な場合、AUD$表はSYSスキーマからSYSTEMスキーマに移動します。SYSTEM.AUD$表を参照するためにシノニムSYS.AUD$が作成されます。

ヒント: セキュリティを強化するために、SYSTEM.AUD$表およびSYS.FGA_LOG$表に関してレルムを作成します。レルムの詳細は、第4章「レルムの構成」を参照してください。

AUDIT文の設定の変更

Oracle Database Vaultをインストールすると、データベースで複数のAUDIT文の設定が構成されます。詳細は、「Oracle Database Vault用に作成されるOracle Database監査設定」を参照してください。