| Oracle Databaseセキュリティ・ガイド 11g リリース1(11.1) E05730-05 |
|
 戻る |
 次へ |
CIDR
IPアドレスに使用する標準の表記法。 CIDR表記法では、IPv6サブネットは、サブネット接頭辞およびビットで示した接頭辞のサイズ(小数)がスラッシュ文字(/)で区切られて示されます。 たとえば、fe80:0000:0217:f2ff::/64は、アドレスfe80:0000:0217:f2ff:0000:0000:0000:0000からfe80:0000:0217:f2ff:ffff:ffff:ffff:ffffまでのサブネットを示します。 CIDR表記法には、IPv4アドレスのサポートが含まれます。 たとえば、192.0.2.1/24は、アドレス192.0.2.1から192.0.2.255までのサブネットを示します。
CRL
失効した証明書のリストを含む一連の署名付きデータ構造。CRLの信頼性および整合性は、証明書に添付されているデジタル署名により提供されます。CRL署名者は通常、発行された証明書に署名したエンティティと同一です。
Oracle Virtual Private Database
行および列レベルでデータベース・アクセスを制御するセキュリティ・ポリシーを作成できる一連の機能。基本的には、Oracle Virtual Private Databaseのセキュリティ・ポリシーが適用された表、ビューまたはシノニムに対して発行されるSQL文に、動的なWHERE句が追加されます。
暗号化技術において、暗号化されたデータのセキュリティを強化する方法。データが暗号化される前に追加されるランダムな文字列で、攻撃者が暗号文のパターンを既知の暗号文サンプルに一致させてデータを盗むことを困難にします。saltは通常、辞書攻撃(悪意のあるハッカー(攻撃者)がパスワードを盗むために使用する方法)を防ぐために、暗号化される前のパスワードにも追加されます。暗号化されたsalt処理済の値により、暗号化されたパスワードのハッシュ値(ベリファイアとも呼ばれる)と、一般のパスワード・ハッシュ値の辞書リストとの照合が困難になります。
アプリケーション・コンテキスト(application context)
名前と値のペア。このペアによって、アプリケーションは、ユーザーに関するセッション情報(ユーザーIDや他のユーザー固有の情報など)にアクセスして、その情報をデータベースに安全に引き渡すことができます。
「グローバル・アプリケーション・コンテキスト」も参照。
アプリケーション・ロール(application role)
アプリケーション・ユーザーに付与されるデータベース・ロール。アプリケーション内に埋め込まれているパスワードによって保護されています。
「セキュア・アプリケーション・ロール」も参照。
業務分離(separation of duty)
アクティビティを、それを実行する必要があるユーザーのみに制限します。 たとえば、SYSDBA権限は一般ユーザーには付与しないようにします。 この権限は管理ユーザーにのみ付与します。 業務分離は、多くのコンプライアンス・ポリシーで必要です。 適切なユーザーへの権限付与に関するガイドラインは、「ユーザー・アカウントと権限の保護に関するガイドライン」を参照してください。
グローバル・アプリケーション・コンテキスト(global application context)
アプリケーション・コンテキスト値を複数のデータベース・セッションにわたってアクセス可能にする名前と値のペア。
「アプリケーション・コンテキスト」も参照。
軽量ユーザー・セッション(lightweight user session)
ユーザーがログインしているアプリケーションに関連する情報のみを含むユーザー・セッション。軽量ユーザー・セッションは、そのセッション自体ではデータベース・リソース(トランザクションやカーソルなど)を保持しないことから「軽量」と呼ばれます。軽量ユーザー・セッションが消費するシステム・リソースは、従来のデータベース・セッションよりもはるかに少量です。軽量ユーザー・セッションによるサーバー・リソースの消費は非常に少ないため、各エンド・ユーザー専用の軽量ユーザー・セッションを確保でき、アプリケーションが必要としているかぎり存続できます。
証明書(certificate)
公開鍵に対して識別情報を安全にバインドするITUのx.509 v3標準データ構造。
証明書は、エンティティの公開鍵が、信頼されている機関(認証局)によって署名されたときに作成されます。この証明書は、そのエンティティの情報が正しいこと、および公開鍵がそのエンティティに属していることを保証します。
証明書にはエンティティの名前、認証情報および公開鍵が含まれます。また、証明書に関する権利、ユーザーおよび権限についてのシリアル番号、有効期限、その他の情報が含まれる場合もあります。さらに、発行元の認証局についての情報も含まれます。
実行者権限プロシージャ(invoker's rights procedures)
現行ユーザー、つまりプロシージャを起動するユーザーの権限で実行されるプロシージャ。 これらのプロシージャは、特定のスキーマにバインドされません。このプロシージャは様々なユーザーが実行でき、これによって、複数のユーザーが、集中化したアプリケーション・ロジックを使用してそれぞれのデータを管理できます。実行者権限プロシージャは、プロシージャ・コードの宣言セクションにあるAUTHID句を使用して作成されます。
セキュア・アプリケーション・ロール(secure application role)
アプリケーション・ユーザーに付与されるデータベース・ロール。ただし、実行者権限ストアド・プロシージャを使用して保護され、ロールのパスワードをデータベース表から取得します。セキュア・アプリケーション・ロールのパスワードは、アプリケーション内に埋め込まれていません。
「アプリケーション・ロール」も参照。
定義者権限プロシージャ(definer's rights procedure)
プロシージャの現行ユーザーではなく所有者の権限で実行されるプロシージャ。定義者権限のサブプログラムは、それらが配置されているスキーマにバインドされます。たとえば、ユーザーblakeとユーザーscottのユーザー・スキーマには、それぞれdeptという表があるとします。ユーザーblakeが、ユーザーscottが所有している定義者権限プロシージャをコールしてdept表を更新した場合、このプロシージャでは、scottのスキーマにあるdept表が更新されます。これは、このプロシージャはそれ自体を所有している(つまり定義した)ユーザーの権限で実行されるためです。
転送可能なチケット認可チケット(Forwardable Ticket Granting Ticket)
プロキシに転送できる特殊なKerberosチケット。プロキシ認証用に、プロキシはクライアントにかわって追加Kerberosチケットを取得することが許可されます。
「Kerberosチケット」も参照。
