ヘッダーをスキップ
Oracle Databaseセキュリティ・ガイド
11g リリース1(11.1)
E05730-05
  目次
目次
索引
索引

戻る
戻る
 
次へ
次へ
 

用語集

CIDR

IPアドレスに使用する標準の表記法。 CIDR表記法では、IPv6サブネットは、サブネット接頭辞およびビットで示した接頭辞のサイズ(小数)がスラッシュ文字(/)で区切られて示されます。 たとえば、fe80:0000:0217:f2ff::/64は、アドレスfe80:0000:0217:f2ff:0000:0000:0000:0000からfe80:0000:0217:f2ff:ffff:ffff:ffff:ffffまでのサブネットを示します。 CIDR表記法には、IPv4アドレスのサポートが含まれます。 たとえば、192.0.2.1/24は、アドレス192.0.2.1から192.0.2.255までのサブネットを示します。

CRL

失効した証明書のリストを含む一連の署名付きデータ構造。CRLの信頼性および整合性は、証明書に添付されているデジタル署名により提供されます。CRL署名者は通常、発行された証明書に署名したエンティティと同一です。

KDC

Kerberosチケットを発行するコンピュータ。

Kerberosチケット」も参照。

Kerberosチケット(Kerberos ticket)

特定サービスに関するクライアントの識別情報を検証する一時的な電子資格証明。サービス・チケットとも呼ばれます。

Key Distribution Center(KDC)

KDC」を参照。

Oracle Virtual Private Database

行および列レベルでデータベース・アクセスを制御するセキュリティ・ポリシーを作成できる一連の機能。基本的には、Oracle Virtual Private Databaseのセキュリティ・ポリシーが適用された表、ビューまたはシノニムに対して発行されるSQL文に、動的なWHERE句が追加されます。

salt

暗号化技術において、暗号化されたデータのセキュリティを強化する方法。データが暗号化される前に追加されるランダムな文字列で、攻撃者が暗号文のパターンを既知の暗号文サンプルに一致させてデータを盗むことを困難にします。saltは通常、辞書攻撃(悪意のあるハッカー(攻撃者)がパスワードを盗むために使用する方法)を防ぐために、暗号化される前のパスワードにも追加されます。暗号化されたsalt処理済の値により、暗号化されたパスワードのハッシュ値(ベリファイアとも呼ばれる)と、一般のパスワード・ハッシュ値の辞書リストとの照合が困難になります。

アプリケーション・コンテキスト(application context)

名前と値のペア。このペアによって、アプリケーションは、ユーザーに関するセッション情報(ユーザーIDや他のユーザー固有の情報など)にアクセスして、その情報をデータベースに安全に引き渡すことができます。

グローバル・アプリケーション・コンテキスト」も参照。

アプリケーション・ロール(application role)

アプリケーション・ユーザーに付与されるデータベース・ロール。アプリケーション内に埋め込まれているパスワードによって保護されています。

セキュア・アプリケーション・ロール」も参照。

暗号化(encryption)

メッセージを宛先の受信者以外の第三者が判読できない書式に変換すること。

ウォレット(wallet)

個々のエンティティのセキュリティ資格証明を格納したり、管理するために使用されるデータ構造。

業務分離(separation of duty)

アクティビティを、それを実行する必要があるユーザーのみに制限します。 たとえば、SYSDBA権限は一般ユーザーには付与しないようにします。 この権限は管理ユーザーにのみ付与します。 業務分離は、多くのコンプライアンス・ポリシーで必要です。 適切なユーザーへの権限付与に関するガイドラインは、「ユーザー・アカウントと権限の保護に関するガイドライン」を参照してください。

クラスレス・ドメイン間ルーティング(Classless Inter-Domain Routing)

CIDR」を参照。

クリアテキスト(cleartext)

暗号化されていないプレーン・テキスト。

グローバル・アプリケーション・コンテキスト(global application context)

アプリケーション・コンテキスト値を複数のデータベース・セッションにわたってアクセス可能にする名前と値のペア。

アプリケーション・コンテキスト」も参照。

軽量ユーザー・セッション(lightweight user session)

ユーザーがログインしているアプリケーションに関連する情報のみを含むユーザー・セッション。軽量ユーザー・セッションは、そのセッション自体ではデータベース・リソース(トランザクションやカーソルなど)を保持しないことから「軽量」と呼ばれます。軽量ユーザー・セッションが消費するシステム・リソースは、従来のデータベース・セッションよりもはるかに少量です。軽量ユーザー・セッションによるサーバー・リソースの消費は非常に少ないため、各エンド・ユーザー専用の軽量ユーザー・セッションを確保でき、アプリケーションが必要としているかぎり存続できます。

サービス・チケット(service ticket)

Kerberosチケット」を参照。

証明書(certificate)

公開鍵に対して識別情報を安全にバインドするITUのx.509 v3標準データ構造。

証明書は、エンティティの公開鍵が、信頼されている機関(認証局)によって署名されたときに作成されます。この証明書は、そのエンティティの情報が正しいこと、および公開鍵がそのエンティティに属していることを保証します。

証明書にはエンティティの名前、認証情報および公開鍵が含まれます。また、証明書に関する権利、ユーザーおよび権限についてのシリアル番号、有効期限、その他の情報が含まれる場合もあります。さらに、発行元の認証局についての情報も含まれます。

証明書失効リスト(certificate revocation list: CRL)

CRL」を参照。

実行者権限プロシージャ(invoker's rights procedures)

現行ユーザー、つまりプロシージャを起動するユーザーの権限で実行されるプロシージャ。 これらのプロシージャは、特定のスキーマにバインドされません。このプロシージャは様々なユーザーが実行でき、これによって、複数のユーザーが、集中化したアプリケーション・ロジックを使用してそれぞれのデータを管理できます。実行者権限プロシージャは、プロシージャ・コードの宣言セクションにあるAUTHID句を使用して作成されます。

整合性(integrity)

受信したメッセージの内容が、送信された元のメッセージの内容から変更されていないという保証。

セキュア・アプリケーション・ロール(secure application role)

アプリケーション・ユーザーに付与されるデータベース・ロール。ただし、実行者権限ストアド・プロシージャを使用して保護され、ロールのパスワードをデータベース表から取得します。セキュア・アプリケーション・ロールのパスワードは、アプリケーション内に埋め込まれていません。

アプリケーション・ロール」も参照。

定義者権限プロシージャ(definer's rights procedure)

プロシージャの現行ユーザーではなく所有者の権限で実行されるプロシージャ。定義者権限のサブプログラムは、それらが配置されているスキーマにバインドされます。たとえば、ユーザーblakeとユーザーscottのユーザー・スキーマには、それぞれdeptという表があるとします。ユーザーblakeが、ユーザーscottが所有している定義者権限プロシージャをコールしてdept表を更新した場合、このプロシージャでは、scottのスキーマにあるdept表が更新されます。これは、このプロシージャはそれ自体を所有している(つまり定義した)ユーザーの権限で実行されるためです。

転送可能なチケット認可チケット(Forwardable Ticket Granting Ticket)

プロキシに転送できる特殊なKerberosチケット。プロキシ認証用に、プロキシはクライアントにかわって追加Kerberosチケットを取得することが許可されます。

Kerberosチケット」も参照。

ネームスペース(namespace)

Oracle Databaseのセキュリティにおけるアプリケーション・コンテキストの名前。CREATE CONTEXT文でこの名前を作成します。

必須監査(mandatory auditing)

監査が有効かどうかにかかわらず、デフォルトで監査されるアクティビティ。これらのアクティビティには、管理者権限でのインスタンスへの接続、データベースの起動、データベースの停止などがあります。これらのアクティビティは、オペレーティング・システム監査ファイルに書き込まれます。

復号化(decryption)

暗号化されたメッセージを判読可能な書式に変換すること。