ヘッダーをスキップ
Oracle Databaseセキュリティ・ガイド
11
g
リリース1(11.1)
E05730-05
索引
次へ
目次
例一覧
図一覧
表一覧
タイトルおよび著作権情報
はじめに
対象読者
ドキュメントのアクセシビリティについて
関連ドキュメント
表記規則
サポートおよびサービス
Oracle Databaseセキュリティの新機能
安全性の高い構成の自動作成
新しいパスワード保護
SYSDBAおよびSYSOPERの厳密な認証
自動ストレージ管理用のSYSASM権限
暗号化の拡張機能
データベースのネットワーク・サービスに対するファイングレイン・アクセス・コントロール
AUDIT BY SESSIONの変更
Oracle XML DBのセキュリティ拡張機能
ディレクトリのセキュリティ拡張機能
Oracle Call Interfaceのセキュリティ拡張機能
1
Oracle Databaseセキュリティの概要
Oracle Databaseセキュリティの概要
その他のデータベース・セキュリティ・リソース
2
Oracle Databaseユーザーのセキュリティの管理
ユーザー・セキュリティの概要
ユーザー・アカウントの作成
新規ユーザー・アカウントの作成
ユーザー名の指定
ユーザーへのパスワードの割当て
ユーザーに対するデフォルト表領域の割当て
ユーザーに対する表領域割当て制限の割当て
表領域内にオブジェクトを作成する許可をユーザーから取り消す方法
ユーザーへのUNLIMITED TABLESPACEシステム権限の付与
ユーザーに対する一時表領域の割当て
ユーザーに対するプロファイルの指定
ユーザーに対するデフォルト・ロールの設定
ユーザー・アカウントの変更
ユーザー・パスワードの変更
ユーザー・リソース制限の構成
ユーザー・リソース制限の概要
システム・リソースのタイプと制限
ユーザー・セッション・レベルの制限
データベース・コール・レベルの制限
CPUタイムの制限
論理読取りの制限
その他のリソース制限
プロファイルのリソース制限の値の決定
プロファイルによるリソースの管理
プロファイルの作成
プロファイルの削除
ユーザー・アカウントの削除
データベース・ユーザーとプロファイルに関する情報の検索
データ・ディクショナリ・ビューを使用したユーザーとプロファイルに関する情報の検索
すべてのユーザーとその関連情報のリスト
すべての表領域割当て制限のリスト
すべてのプロファイルと割り当てられている制限のリスト
各ユーザー・セッションのメモリー使用の表示
3
認証の構成
認証の概要
パスワード保護の構成
Oracle Databaseの組込みパスワード保護の概要
パスワードの最低要件
パスワード管理ポリシーの使用
パスワード管理の概要
デフォルト・パスワードが設定されているユーザー・アカウントの検索
デフォルト・プロファイルのパスワード設定の構成
ログイン失敗後のユーザー・アカウントの自動ロック
ユーザーによる古いパスワードの再利用の制御
パスワード・エイジングおよび期限切れの制御
パスワードの複雑度検証の規定
パスワードでの大/小文字の区別の有効化または無効化
パスワードのセキュリティへの脅威からのSHA-1ハッシュ・アルゴリズムによる保護
パスワード資格証明用の安全性の高い外部パスワード・ストアの管理
安全性の高い外部パスワード・ストアの概要
外部パスワード・ストアの機能
クライアントを外部パスワード・ストアを使用するように構成
外部パスワード・ストア資格証明の管理
データベース管理者の認証
データベース管理者の厳密認証と集中管理
管理ユーザーのディレクトリ認証の構成
管理ユーザーのKerberos認証の構成
管理ユーザーのSecure Sockets Layer認証の構成
オペレーティング・システムを使用したデータベース管理者の認証
パスワードを使用したデータベース管理者の認証
データベースを使用したユーザーの認証
データベース認証の概要
データベース認証の利点
データベースによって認証されるユーザーの作成
オペレーティング・システムを使用したユーザーの認証
ネットワークを使用したユーザーの認証
Secure Sockets Layerを使用した認証
サード・パーティ・サービスを使用した認証
グローバルなユーザー認証と認可の構成
ディレクトリ・サービスによって認可されるユーザーの作成
プライベート・スキーマを持つグローバル・ユーザーの作成
スキーマを共有する複数のエンタープライズ・ユーザーの作成
グローバル認証とグローバル認可の利点
ユーザーとパスワード認証のための外部サービスの構成
外部認証の概要
外部認証の利点
外部認証されるユーザーの作成
オペレーティング・システムを使用したユーザー・ログインの認証
ネットワーク認証を使用したユーザー・ログインの認証
複数層の認証と認可の使用
クライアント、アプリケーション・サーバーおよびデータベース・サーバーの管理とセキュリティ
複数層環境でのユーザー識別情報の保持
中間層サーバーを使用したプロキシ認証
プロキシ認証の概要
プロキシ認証の利点
プロキシを介して接続するようにユーザー・アカウントを変更する方法
安全性の高い外部パスワード・ストアとプロキシ認証の使用
プロキシ認証を使用した実際のユーザーの識別情報の引渡し
中間層の権限の制限
ユーザーのプロキシとして機能し、ユーザーを認証する中間層を認可する方法
他の方式で認証されたユーザーのプロキシとして機能するために、中間層を認可する方法
中間層からデータベースへのユーザーの再認証
実際のユーザーのかわりに行われるアクションの監査
データベースに認識されないアプリケーション・ユーザーの識別でのクライアント識別子の使用
中間層システムでのクライアント識別子の使用方法
CLIENT_IDENTIFIER属性を使用したユーザー識別情報の保持
グローバル・アプリケーション・コンテキストから独立したCLIENT_IDENTIFIERの使用
DBMS_SESSION PL/SQLパッケージを使用したクライアント識別子の設定と消去
ユーザー認証に関する情報の検索
4
権限とロール認可の構成
権限とロールの概要
権限付与の対象者
システム権限の管理
システム権限の概要
システム権限を制限することが重要な理由
データ・ディクショナリの保護によるシステム権限の制限
権限受領者のスキーマで実行するスケジューラ・ジョブの保護
SYSスキーマ内のオブジェクトへのアクセスの許可
システム権限の付与と取消し
システム権限を付与したり、取り消すことができるユーザー
ANY権限とPUBLIC権限の概要
ユーザー・ロールの管理
ユーザー・ロールの概要
ロールの機能
ロールの特性とそのメリット
ロールの一般的な使用方法
ロールがユーザーの権限範囲に与える影響
PL/SQLブロックでのロールの機能
ロールによるDDL使用の支援または制限
オペレーティング・システムによるロールの支援方法
分散環境でのロールの機能
Oracle Databaseのインストールで事前に定義されているロール
ロールの作成
ロール認可のタイプの指定
データベースを使用したロールの認可
アプリケーションを使用したロールの認可
外部ソースを使用したロールの認可
エンタープライズ・ディレクトリ・サービスによるグローバル・ロールの認可
ロールの付与と取消し
ロールを付与したり、取り消すことができるユーザー
ロールの削除
SQL*Plusユーザーによるデータベース・ロール使用の制限
セキュリティに関する潜在的な問題となる非定型ツールの使用
PRODUCT_USER_PROFILE表を介したロールの制限
ストアド・プロシージャを使用したビジネス・ロジックのカプセル化
セキュア・アプリケーション・ロールを使用したロール権限の保護
オブジェクト権限の管理
オブジェクト権限の概要
オブジェクト権限の付与または取消し
スキーマ・オブジェクト権限の管理
スキーマ・オブジェクト権限の付与と取消し
スキーマ・オブジェクト権限を付与できるユーザー
シノニムを持つ権限の使用
表に対する権限の管理
表に対する権限がDML操作に与える影響
表に対する権限がDDL操作に与える影響
ビューに対する権限の管理
ビューに対する権限の概要
ビューの作成に必要な権限
ビューによる表セキュリティの強化
プロシージャに対する権限の管理
プロシージャに対するEXECUTE権限の使用
プロシージャの実行とセキュリティ・ドメイン
プロシージャに対する権限が定義者権限に与える影響
プロシージャに対する権限が実行者権限に与える影響
プロシージャの作成または変更に必要なシステム権限
プロシージャに対する権限がパッケージおよびパッケージ・オブジェクトに与える影響
型に対する権限の管理
名前付きの型に対するシステム権限
オブジェクト権限
メソッド実行モデル
型の作成と型を使用した表の作成に必要な権限
型の作成と型を使用した表の作成に必要な権限の例
型アクセスとオブジェクト・アクセスの権限
型の依存性
ユーザー権限とロールの付与
システム権限とロールの付与
ADMIN OPTIONの付与
GRANT文を使用した新規ユーザーの作成
オブジェクト権限の付与
GRANT OPTIONの指定
オブジェクト所有者にかわるオブジェクト権限の付与
列に対する権限の付与
行レベルのアクセス制御
ユーザー権限とロールの取消し
システム権限とロールの取消し
オブジェクト権限の取消し
オブジェクト所有者にかわるオブジェクト権限の取消し
列を選択するオブジェクト権限の取消し
REFERENCESオブジェクト権限の取消し
権限の取消しによる連鎖的な影響
システム権限の取消しによる連鎖的な影響
オブジェクト権限の取消しによる連鎖的な影響
PUBLICユーザー・グループに対する権限の付与と取消し
オペレーティング・システムまたはネットワークを使用したロールの付与
オペレーティング・システムまたはネットワークを使用したロールの付与の概要
オペレーティング・システムのロール識別機能の使用
オペレーティング・システムのロール管理機能の使用
OS_ROLESがTRUEに設定されている場合のロールの付与と取消し
OS_ROLESがTRUEに設定されている場合のロールの有効化と無効化
オペレーティング・システムによるロール管理使用時のネットワーク接続の使用
権限の付与と取消しが有効になるとき
SET ROLE文が付与と取消しに与える影響
デフォルト・ロールの指定
ユーザーが使用可能にできるロール数の制限
外部ネットワーク・サービスに対するファイングレイン・アクセスの管理
データベース・ネットワーク・サービスに対するファイングレイン・アクセスの概要
PL/SQLネットワーク・ユーティリティ・パッケージに依存しているアプリケーションのアップグレード
データベース・ネットワーク・サービスに対するアクセス制御リストの作成
手順1: アクセス制御リストとその権限の定義の作成
手順2: 1つ以上のネットワーク・ホストへのアクセス制御リストの割当て
アクセス制御リストの作成例
単純なアクセス制御リストの作成例
複数のホストに複数のロールを割り当てるアクセス制御リストの例
ネットワーク・ホスト・コンピュータでのワイルドカード文字の使用
複数のアクセス制御リスト割当てでのホスト・コンピュータの優先順位
ポート範囲指定によるアクセス制御リスト割当てでのホストの優先順位
ネットワーク・ホストへのユーザー・アクセスに影響を与える権限割当てのチェック
DBAによるユーザーのネットワーク接続およびドメインに対する権限のチェック方法
ユーザーによる各自のネットワーク接続およびドメインに対する権限のチェック方法
単一アクセス制御リスト内の複数のユーザーとロールに対する優先順位の設定
アクセス制御リストに関する情報の検索
ユーザー権限とロールに関する情報の検索
付与されているすべてのシステム権限のリスト
付与されているすべてのロールのリスト
ユーザーに付与されているオブジェクト権限のリスト
セッションの現在の権限ドメインのリスト
データベースのロールのリスト
ロールの権限ドメイン情報のリスト
5
アプリケーション開発者のセキュリティの管理
アプリケーション・セキュリティ・ポリシーの概要
アプリケーション・ベースのセキュリティの使用に関する考慮事項
アプリケーション・ユーザーはデータベース・ユーザーでもあるか
アプリケーション内またはデータベース内でのセキュリティ規定
アプリケーション設計におけるパスワードの保護
アプリケーションでのパスワードの保護に関する一般的なガイドライン
プラットフォーム固有のセキュリティへの脅威
パスワード入力を処理するアプリケーションの設計
パスワードの形式と動作の構成
SQL*PlusおよびSQLスクリプトにおけるパスワードの処理
外部パスワード・ストアを使用したパスワードの保護
orapwdユーティリティを使用したパスワードの保護
Javaでのパスワード読取り例
アプリケーション権限の管理
アプリケーションへのアクセスを制御するセキュア・アプリケーション・ロールの作成
手順1: セキュア・アプリケーション・ロールの作成
手順2: アプリケーションに対するアクセス・ポリシーを定義するPL/SQLパッケージの作成
権限とユーザー・データベース・ロールの関連付け
ユーザーの権限が現在のデータベース・ロールのみである理由
ロールを自動的に使用可能または使用禁止にするSET ROLE文の使用
スキーマを使用したデータベース・オブジェクトの保護
一意スキーマでのデータベース・オブジェクトの保護
共有スキーマでのデータベース・オブジェクトの保護
アプリケーションでのオブジェクト権限の管理
アプリケーション開発者に必要なオブジェクト権限に関する知識
オブジェクト権限によって許可されるSQL文
データベース通信のセキュリティを強化するためのパラメータ
プロトコル・エラーによってデータベースで受信した不正パケットのレポート
不正パケット受信後のサーバー実行の終了または再開
認証の最大試行回数の構成
データベース・バージョン・バナーの表示制御
不正なアクセスおよびユーザー・アクションの監査に関するバナーの構成
6
アプリケーション・コンテキストを使用したユーザー情報の取得
アプリケーション・コンテキストの概要
アプリケーション・コンテキストの種類
データベース・セッション・ベースのアプリケーション・コンテキストの使用
データベース・セッション・ベースのアプリケーション・コンテキストの概要
データベース・セッション・ベースのアプリケーション・コンテキストの作成
データベース・セッション・ベースのアプリケーション・コンテキストを設定するためのPL/SQLパッケージの作成
データベース・セッション・ベースのアプリケーション・コンテキストを管理するパッケージの概要
SYS_CONTEXTを使用したセッション情報の取得
SYS_CONTEXTでの動的SQLの使用
パラレル問合せでのSYS_CONTEXTの使用
データベース・リンクでのSYS_CONTEXTの使用
DBMS_SESSION.SET_CONTEXTを使用したセッション情報の設定
データベース・セッション・ベースのアプリケーション・コンテキスト・パッケージを実行するためのログイン・トリガーの作成
例: データベース・セッション・ベースのアプリケーション・コンテキストの作成と使用
手順1: ユーザー・アカウントの作成とユーザーSCOTTがアクティブであることの確認
手順2: データベース・セッション・ベースのアプリケーション・コンテキストの作成
手順3: セッション・データを取得してアプリケーション・コンテキストを設定するパッケージの作成
手順4: パッケージに対するログイン・トリガーの作成
手順5: アプリケーション・コンテキストのテスト
手順6: この例で使用したコンポーネントの削除
データベース・セッション・ベースのアプリケーション・コンテキストの外部での初期化
ユーザーからのデフォルト値の取得
他の外部リソースからの値の取得
中間層サーバーからのアプリケーション・コンテキスト値の初期化
データベース・セッション・ベースのアプリケーション・コンテキストのグローバルな初期化
LDAPでのデータベース・セッション・ベースのアプリケーション・コンテキストの使用
グローバルに初期化されたデータベース・セッション・ベースのアプリケーション・コンテキストの動作
データベース・セッション・ベースのアプリケーション・コンテキストをグローバルに初期化する例
外部化されたデータベース・セッション・ベースのアプリケーション・コンテキストの使用
グローバル・アプリケーション・コンテキストの使用
グローバル・アプリケーション・コンテキストの概要
グローバル・アプリケーション・コンテキストの作成
グローバル・アプリケーション・コンテキストを管理するためのPL/SQLパッケージの作成
グローバル・アプリケーション・コンテキストを管理するパッケージの概要
usernameおよびclient_id DBMS_SESSION.SET_CONTEXTパラメータの設定
全データベース・ユーザーを対象としたグローバル・アプリケーション・コンテキスト値の共有
複数のアプリケーション間を移動するデータベース・ユーザーに対するグローバル・コンテキストの設定
非データベース・ユーザーに対するグローバル・アプリケーション・コンテキストの設定
セッションをクローズする際のセッション・データの消去
クライアント・セッションIDを管理するための中間層アプリケーションへのコールの埋込み
中間層アプリケーションを使用したクライアント・セッションIDの管理の概要
中間層アプリケーションを使用したクライアント・セッションIDの取得
中間層アプリケーションを使用したクライアント・セッションIDの設定
中間層アプリケーションを使用したセッション・データの消去
例: クライアント・セッションIDを使用するグローバル・アプリケーション・コンテキストの作成
手順1: ユーザー・アカウントの作成
手順2: グローバル・アプリケーション・コンテキストの作成
手順3: グローバル・アプリケーション・コンテキストのパッケージの作成
手順4: グローバル・アプリケーション・コンテキストのテスト
手順5: この例で使用したコンポーネントの削除
グローバル・アプリケーション・コンテキスト・プロセス
単純なグローバル・アプリケーション・コンテキスト・プロセス
軽量ユーザー用のグローバル・アプリケーション・コンテキスト・プロセス
クライアント・セッション・ベースのアプリケーション・コンテキストの使用
クライアント・セッション・ベースのアプリケーション・コンテキストの概要
CLIENTCONTEXTネームスペースへの値の設定
クライアント・セッションIDの取得
CLIENTCONTEXTネームスペースの設定の消去
CLIENTCONTEXTネームスペースのすべての設定の消去
アプリケーション・コンテキストに関する情報の検索
7
Oracle Virtual Private Databaseを使用したデータ・アクセスの制御
Oracle Virtual Private Databaseの概要
Oracle Virtual Private Database
Oracle Virtual Private Databaseポリシーを使用するメリット
アプリケーションではなくデータベース・オブジェクトに基づくセキュリティ・ポリシー
Oracle Databaseによるポリシー関数の評価方法の制御
Oracle Virtual Private Databaseポリシー関数を実行するために使用する権限
Oracle Virtual Private Databaseでのアプリケーション・コンテキストの使用
Oracle Virtual Private Databaseポリシーのコンポーネント
動的なWHERE句を生成する関数の作成
保護するオブジェクトに関数を付加するポリシーの作成
Oracle Virtual Private Databaseポリシーの構成
Oracle Virtual Private Databaseポリシーの概要
データベース表、ビューまたはシノニムへのポリシーの付加
特定のSQL文に対するポリシーの規定
ポリシーを使用した列データ表示の制御
列レベルのOracle Virtual Private Databaseポリシーの追加
問合せで参照する列の行のみの表示
列のマスクを使用して機密性の高い列をNULL値で表示
ポリシー・グループの使用
ポリシー・グループの概要
新しいポリシー・グループの作成
SYS_DEFAULTポリシー・グループを使用したデフォルト・ポリシー・グループの指定
各表、ビューまたはシノニムに対する複数のポリシーの設定
データベースへの接続に使用されるアプリケーションの検証
Oracle Virtual Private Databaseポリシー・タイプを使用したパフォーマンスの最適化
動的ポリシー・タイプの使用によるポリシー関数の自動再実行
静的ポリシーの使用によるポリシー関数の問合せごとの再実行の回避
共有の静的ポリシーの使用による複数オブジェクト間でのポリシーの共有
静的ポリシーおよび共有の静的ポリシーを使用する場合
解析後に変更されない述語に対する状況依存ポリシーの使用
共有の状況依存ポリシーの使用による複数オブジェクト間でのポリシーの共有
状況依存ポリシーおよび共有の状況依存ポリシーを使用する場合
5種類のOracle Virtual Private Databaseポリシー・タイプの要約
例: Oracle Virtual Private Databaseポリシーの作成
例: 単純なOracle Virtual Private Databaseポリシーの作成
手順1: OEユーザー・アカウントがアクティブであることの確認
手順2: ポリシー関数の作成
手順3: Oracle Virtual Private Databaseポリシーの作成
手順4: ポリシーのテスト
手順5: この例で使用したコンポーネントの削除
例: データベース・セッション・ベースのアプリケーション・コンテキストを使用したポリシーの実装
手順1: ユーザー・アカウントとサンプル表の作成
手順2: データベース・セッション・ベースのアプリケーション・コンテキストの作成
手順3: アプリケーション・コンテキストを設定するPL/SQLパッケージの作成
手順4: アプリケーション・コンテキストのPL/SQLパッケージを実行するログイン・トリガーの作成
手順5: ユーザー・アクセスを自分の注文に制限するPL/SQLポリシー関数の作成
手順6: 新しいセキュリティ・ポリシーの作成
手順7: 新しいポリシーのテスト
手順8: この例で使用したコンポーネントの削除
例: Oracle Virtual Private Databaseポリシー・グループの実装
手順1: この例で使用するコンポーネントの作成
手順2: 2つのポリシー・グループの作成
手順3: ポリシー・グループを制御するPL/SQLファンクションの作成
手順4: PL/SQLファンクションのポリシー・グループへの追加
手順5: 駆動アプリケーション・コンテキストの作成
手順6: ポリシー・グループのテスト
手順7: この例で使用したコンポーネントの削除
他のOracle機能でのOracle Virtual Private Databaseの使用
アプリケーションでのOracle Virtual Private Databaseセキュリティ・ポリシーの使用
ファイングレイン・アクセス・コントロールのポリシー関数に対する自動再解析の使用
Oracle Virtual Private Databaseポリシーとフラッシュバック問合せの使用
Oracle Virtual Private DatabaseおよびOracle Label Securityの使用
Oracle Virtual Private Databaseを使用したOracle Label Securityポリシーの規定
Oracle Virtual Private DatabaseおよびOracle Label Securityの例外
ユーザー・モデルとOracle Virtual Private Database
Oracle Virtual Private Databaseポリシーに関する情報の検索
8
データの暗号化APIを使用したアプリケーションの開発
機密情報の保護
暗号化で解決しないセキュリティの問題
原則1: 暗号化はアクセス制御の問題を解決しない
原則2: 暗号化は不正なデータベース管理者からデータを保護しない
原則3: すべてのデータを暗号化してもデータは保護されない
データ暗号化の課題
索引付けされたデータの暗号化
暗号化鍵の生成
暗号化鍵の転送
暗号化鍵の格納
データベースへの暗号化鍵の格納
オペレーティング・システムへの暗号化鍵の格納
ユーザー自身による暗号化鍵の管理
透過的データベース暗号化および表領域暗号化の使用
暗号化鍵の変更
バイナリ・ラージ・オブジェクトの暗号化
DBMS_CRYPTOパッケージを使用した格納データの暗号化
DBMS_SQLHASHパッケージによるデータ整合性の検証
DBMS_SQLHASHパッケージの概要
DBMS_SQLHASH.GETHASH関数の使用
構文
パラメータ
データの暗号化APIの使用例
データ暗号化プロシージャの例
AES 256ビット・データ暗号化および復号化プロシージャの例
BLOBデータの暗号化および復号化プロシージャの例
暗号化データに関する情報の検索
9
監査を使用したセキュリティ・アクセスの検証
監査の概要
監査とは
監査を使用する理由
すべてのプラットフォームについて常に監査されるアクティビティ
UNIXシステムについて監査されるアクティビティ
分散データベースでの監査
監査のベスト・プラクティス
監査タイプの選択
セキュリティに関連するSQL文および権限に対するデフォルト監査の使用
標準監査を使用した一般的なアクティビティの監視
標準監査の概要
標準監査とは
標準監査の実行者
標準監査レコードが作成される場合
AUDIT_TRAIL初期化パラメータを使用した標準監査の構成
標準監査証跡を使用可能または使用禁止にする方法
AUDIT_TRAIL初期化パラメータの設定
AUDITおよびNOAUDIT SQL文の動作
AUDIT SQL文による標準監査の使用可能化
文の実行の監査: 正常な実行、異常終了した実行またはその両方の監査
文の実行数の監査
特定のユーザーが実行したアクションの監査
NOAUDIT SQL文による標準監査の使用禁止
SQL文の監査
SQL文監査の概要
監査されるSQL文のタイプ
SQL文監査の使用可能化
SQL文監査の使用禁止
権限の監査
権限監査の概要
監査可能な権限のタイプ
権限監査の使用可能化
権限監査の使用禁止
複数層環境におけるSQL文および権限の監査
スキーマ・オブジェクトの監査
スキーマ・オブジェクト監査の概要
監査可能なスキーマ・オブジェクトのタイプ
ビュー、プロシージャおよびその他の要素のスキーマ・オブジェクト監査オプション
スキーマ・オブジェクト監査の使用可能化
オブジェクト監査の使用禁止
将来作成される可能性のあるオブジェクトに対する監査オプションの設定
ネットワーク・アクティビティの監査
ネットワーク監査の概要
ネットワーク監査の使用可能化
ネットワーク監査の使用禁止
例: SYS.AUD$表に対する変更の監査
手順1: この例で使用するユーザーの作成
手順2: SYS.AUD$表の監査の使用可能化および切捨て
手順3: ユーザー・アクションの実行と監査
手順4: この例で使用したコンポーネントの削除
ファイングレイン監査を使用した特定のアクティビティの監査
ファイングレイン監査の概要
ファイングレイン監査ポリシーの作成に必要な権限
ファイングレイン監査で常に監査されるアクティビティ
ファイングレイン監査レコードの監査証跡の作成
DBMS_FGAパッケージを使用したファイングレイン監査ポリシーの管理
DBMS_FGA PL/SQLパッケージの概要
ファイングレイン監査ポリシーの作成
ファイングレイン監査ポリシーを使用可能および使用禁止にする方法
ファイングレイン監査ポリシーの削除
例: ファイングレイン監査ポリシーへのアラートの追加
手順1: ユーザー・アカウントの作成とユーザーHRがアクティブであることの確認
手順2: アラート表およびアラートを生成するプロシージャの作成
手順3: ファイングレイン監査ポリシーの作成
手順4: アラートのテスト
手順5: この例で使用したコンポーネントの削除
ファイングレイン監査証跡のアーカイブおよび削除
SYS管理ユーザーの監査
SYSで接続したユーザーの監査
syslog監査証跡を使用したUNIXシステムのシステム管理者の監査
syslog監査証跡の概要
syslog監査証跡に格納される情報の形式
syslog監査の構成
監査証跡レコードの管理
監査レコードの概要
データベース監査証跡の管理
データベース監査証跡の概要
データベース監査証跡を使用する利点
データベース監査証跡の内容
データベース監査証跡のサイズの制御
データベース監査証跡の保護
データベース監査証跡の監査
オペレーティング・システム監査証跡の管理
オペレーティング・システム証跡の概要
オペレーティング・システム監査証跡の利点
オペレーティング・システム監査証跡の機能
オペレーティング・システム監査証跡のディレクトリの指定
オペレーティング・システム監査証跡がいっぱいになった場合
オペレーティング・システム監査証跡レコードのデコード
監査証跡レコードのアーカイブおよび削除
監査証跡レコードのアーカイブおよび削除の概要
データベース監査証跡のアーカイブおよび削除
データベース監査証跡のアーカイブ
データベース監査証跡の削除
オペレーティング・システム監査証跡のアーカイブおよび削除
監査アクティビティに関する情報の検索
データ・ディクショナリ・ビューを使用した監査証跡に関する情報の検索
監査証跡ビューを使用した疑わしいアクティビティの調査
アクティブな文監査オプションのリスト
アクティブな権限監査オプションのリスト
特定のオブジェクトに対するアクティブなオブジェクト監査オプションのリスト
デフォルトのオブジェクト監査オプションのリスト
監査レコードのリスト
AUDIT SESSIONオプションの監査レコードのリスト
監査証跡ビューの削除
10
Oracle Databaseの安全性の維持
この章で説明するセキュリティ・ガイドラインの概要
セキュリティ・パッチのダウンロードと脆弱性についてのOracleへの連絡
セキュリティ・パッチと回避ソリューションの適用
Oracle Databaseの脆弱性に関するOracleのセキュリティ窓口への連絡
ユーザー・アカウントと権限の保護に関するガイドライン
ロールの保護に関するガイドライン
パスワードの保護に関するガイドライン
データの保護に関するガイドライン
データベースのインストールと構成の保護に関するガイドライン
ネットワークの保護に関するガイドライン
クライアント接続の保護
ネットワーク接続の保護
Secure Sockets Layer接続の保護
監査に関するガイドライン
SQL文および権限のデフォルト監査の使用可能化
監査済情報の管理しやすい状態での維持
通常のデータベース・アクティビティの監査
疑わしいデータベース・アクティビティの監査
監査の推奨設定
CONNECTロール変更への対処
CONNECTロールが変更された理由
CONNECTロール変更がアプリケーションに与える影響
CONNECTロール変更がデータベース・アップグレードに与える影響
CONNECTロール変更がアカウント・プロビジョニングに与える影響
CONNECTロール変更が新規のデータベースを使用するアプリケーションに与える影響
CONNECTロール変更がユーザーに与える影響
CONNECTロール変更が一般ユーザーに与える影響
CONNECTロール変更がアプリケーション開発者に与える影響
CONNECTロール変更がクライアント・サーバー・アプリケーションに与える影響
CONNECTロール変更に対処する方法
方法1: 新しいデータベース・ロールの作成
方法2: CONNECT権限のリストア
方法3: 「最低限の権限」分析の実施
用語集
索引
