Oracle Database 2日でセキュリティ・ガイド 11g リリース1(11.1) E05781-03 |
|
この章の内容は次のとおりです。
多くの方法を使用してデータベース・ユーザー・アカウントを保護できます。たとえば、Oracle Databaseには、パスワードに対する一連の組込み保護があります。この章では、デフォルトのデータベース・アカウントとパスワードを保護する方法およびデータベース・アカウントの管理方法について説明します。
『Oracle Database 2日でデータベース管理者』では、ユーザー・アカウントの作成および管理の基礎(ユーザー・ロールの管理方法、管理アカウントの概要、パスワード・ポリシーの作成におけるプロファイルの使用方法など)について説明します。
ユーザー・アカウントを作成した後で、この項の手順を使用し、次の方法に従ってこれらのアカウントをより強力に保護できます。
関連項目:
Oracle Databaseをインストールすると、インストール・プロセスにより事前定義されたアカウントのセットが作成されます。これらのアカウントは次のカテゴリにあります。
Oracle Databaseのデフォルトのインストールで、事前定義された管理アカウントのセットが提供されます。これらのアカウントには、SYS
スキーマが所有するパッケージのEXECUTE
権限、CREATE ANY TABLE
権限、またはALTER SESSION
のような、データベースの領域の管理に必要となる特別な権限を持ちます。管理アカウントのデフォルトの表領域は、SYSTEM
かSYSAUX
です。
これらのアカウントを無許可アクセスから保護するため、インストール・プロセスにより表3-1に示されたアカウントを除く、ほとんどのアカウントが期限切れにされ、ロックされます。データベース管理者は、「データベース・アカウントの期限切れおよびロック」で説明されているとおりにアカウントのロックを解除し、リセットする責任があります。
表3-1に、Oracle Databaseで提供される管理ユーザー・アカウントを示します。
ユーザー・アカウント | 説明 | インストール後のステータス |
---|---|---|
|
Oracle XML DBへのHTTPアクセスを許可するアカウント。EPG(Embedded PL/SQL Gateway)をデータベースにインストールするときに EPGはOracle Databaseとともに使用されるWebサーバーです。動的アプリケーションの作成に必要なインフラストラクチャを提供します。 |
期限切れおよびロック済 |
|
Oracle Textを管理するためのアカウント。Oracle Textでテキスト問合せアプリケーションおよびドキュメント分類アプリケーションを作成できます。Oracle Textは、テキスト用の索引付け、語とテーマの検索および表示機能を提供します。 『Oracle Textアプリケーション開発者ガイド』を参照してください。 |
期限切れおよびロック済 |
|
データベースの監視および管理を行うためにOracle Enterprise ManagerのManagement Agentのコンポーネントによって使用されるアカウント。 『Oracle Enterprise Manager Grid Controlインストレーションおよび基本構成』を参照してください。 |
パスワードはインストール時またはデータベースの作成時に作成されます。 |
|
Rules Manager機能およびExpression Filter機能と関連付けられる 『Oracle Database Rules ManagerおよびExpression Filter開発者ガイド』を参照してください。 |
期限切れおよびロック済 |
|
Oracle Label Security (OLS)を管理するためのアカウント。Label Securityオプションをインストールするときのみ作成されます。 「Oracle Label Securityによる行レベルのセキュリティの強制」および『Oracle Label Security管理者ガイド』を参照してください。 |
期限切れおよびロック済 |
|
Oracle SpatialおよびOracle Multimedia Locator管理者アカウント。 『Oracle Spatial開発者ガイド』を参照してください。 |
期限切れおよびロック済 |
|
Oracle Enterprise Manager Database Controlで使用されるアカウント。 |
パスワードはインストール時またはデータベースの作成時にランダムに生成されます。ユーザーがこのパスワードを知る必要はありません。 |
|
OLAPカタログ(CWMLite)を所有するアカウント。このアカウントは、非推奨となりましたが、下位互換性のために保持されています。 |
期限切れおよびロック済 |
|
Oracle Warehouse Builderのリポジトリを管理するためのアカウント。 インストール中にこのアカウントにアクセスし、リポジトリのベース言語を定義し、Warehouse Builderの作業領域とユーザーを定義します。データ・ウェアハウスは問合せおよび分析のために設計されたリレーショナル・データベースまたは多次元データベースです。 『Oracle Warehouse Builderインストレーションおよび管理ガイド』を参照してください。 |
期限切れおよびロック済 |
|
Oracle Multimediaユーザー。Oracleおよびサード・パーティにより提供されたプラグイン(フォーマット・プラグイン)はこのスキーマにインストールされています。 Oracle MultimediaによりOracle Databaseで画像、音声、動画、DICOMフォーマットの医療用画像などのオブジェクトや、その他の企業情報と統合された異機種間のメディア・データを格納、管理および取得できます。 『Oracle Multimediaユーザーズ・ガイド』および『Oracle Multimediaリファレンス』を参照してください。 |
期限切れおよびロック済 |
|
『Oracle Multimediaユーザーズ・ガイド』、『Oracle Multimediaリファレンス』および『Oracle Multimedia DICOM開発者ガイド』を参照してください。 |
期限切れおよびロック済 |
|
プランの安定性をサポートするアカウント。プランの安定性により、ストアド・アウトラインに実行プランが保存され、特定のデータベースの環境の変更がアプリケーションのパフォーマンス特性に影響するのを防ぎます 『Oracle Databaseパフォーマンス・チューニング・ガイド』を参照してください。 |
期限切れおよびロック済 |
|
SQL/MM Still Image Standard向けの情報ビューを保存しているアカウント。 『Oracle Multimediaユーザーズ・ガイド』および『Oracle Multimediaリファレンス』を参照してください。 |
期限切れおよびロック済 |
|
『Oracle Database 2日でデータベース管理者』を参照してください。 |
パスワードはインストール時またはデータベースの作成時に作成されます。 |
|
Oracle Enterprise Managerデータベースの管理タスクの実行に使用するアカウント。 『Oracle Enterprise Manager Grid Controlインストレーションおよび基本構成』を参照してください。 |
パスワードはインストール時またはデータベースの作成時に作成されます。 |
|
Oracle Databaseのデフォルトの汎用データベース管理者アカウント。
本番システムでは、データベース管理操作用に汎用 『Oracle Database 2日でデータベース管理者』を参照してください。 |
パスワードはインストール時またはデータベースの作成時に作成されます。 |
|
透過的なセッション移行(Transparent Session Migration: TSM)に使用されるアカウント。 |
期限切れおよびロック済 |
|
デフォルトのインスタンス( Ultra Searchは、Oracle Database、その他のODBC準拠のデータベース、IMAPメール・サーバー、Webサーバーで管理されるHTMLドキュメント、ディスク上のファイルなどの複数のリポジトリに対する統一された検索機能および位置特定機能を提供します。 『Oracle Ultra Search管理者ガイド』を参照してください。 |
期限切れおよびロック済 |
|
Ultra Searchデータベースのスーパーユーザー。 『Oracle Ultra Search管理者ガイド』を参照してください。 |
期限切れおよびロック済 |
|
Oracle9i Application Server Ultra Searchの管理アカウント。 『Oracle Ultra Search管理者ガイド』を参照してください。 |
期限切れおよびロック済 |
|
Oracle Workspace Managerのメタデータ情報の格納に使用されるアカウント。 『Oracle Database Workspace Manager開発者ガイド』を参照してください。 |
期限切れおよびロック済 |
|
Oracle XML DBデータおよびメタデータの保存に使用されるアカウント。 Oracle XML DBはOracle Databaseのデータに対し、パフォーマンスの高いXMLの格納および取得を提供します。 『Oracle XML DB開発者ガイド』を参照してください。 |
期限切れおよびロック済 |
表3-2には、Oracle Databaseをインストールするときに作成されるデフォルトの非管理ユーザー・アカウントがリストされています。非管理ユーザー・アカウントはジョブの実行に最低限必要な権限のみ所有します。デフォルトの表領域はUSERS
です。
これらのアカウントを無許可アクセスから保護するため、インストール・プロセスにより表3-2に示されたアカウントを除く、ほとんどのアカウントがインストール後すぐにロックされ、期限切れになります。データベース管理者は、「データベース・アカウントの期限切れおよびロック」で説明されているとおりにアカウントのロックを解除し、リセットする責任があります。
このマニュアルの例を完了するために実行する必要があるサンプル・スキーマをインストールすると、Oracle Databaseはサンプル・ユーザー・アカウントのセットを作成します。サンプル・スキーマ・ユーザー・アカウントはすべて非管理アカウントで、表領域はUSERS
です。
これらのアカウントを無許可アクセスから保護するため、インストール・プロセスによりこれらのアカウントがインストール直後にロックされ、期限切れになります。データベース管理者は、「データベース・アカウントの期限切れおよびロック」で説明されているとおりにアカウントのロックを解除し、リセットする責任があります。サンプル・スキーマ・アカウントの詳細は『Oracle Databaseサンプル・スキーマ』を参照してください。
表3-3には様々な製品を製造している架空の企業の個別の部門を表すサンプル・スキーマ・ユーザー・アカウントがリストされています。
サンプル・スキーマ・アカウントに加えて、Oracle Databaseでは別のサンプル・スキーマ・アカウント(SCOTT
)が提供されます。SCOTT
スキーマには、表EMP
、DEPT
、SALGRADE
およびBONUS
が含まれています。SCOTT
アカウントはOracle Databaseのドキュメント・セット全体の例で使用されます。Oracle Databaseをインストールすると、SCOTT
アカウントはロックされ、期限が切れます。
『Oracle Database 2日でデータベース管理者』では、Database Controlを使用してデータベース・アカウントのロックを解除する方法を説明します。また、Database Controlを使用して、データベース・アカウントを期限切れにしたり、ロックすることもできます。
ユーザーのパスワードを期限切れにすると、パスワードは存在しなくなります。パスワードを期限切れにしない場合は、そのアカウントのパスワードを変更します。アカウントをロックすると、他のアカウント情報と同じようにユーザー・パスワードも保持されますが、そのアカウントを使用してデータベースにログインするユーザーに対してアカウントが使用不可になります。ロックを解除すると、アカウントは再度使用可能になります。
Database Controlを起動する手順については、『Oracle Database 2日でデータベース管理者』を参照してください。
次に例を示します。
データベースのホームページが表示されます。
「ユーザー」ページに、現行のデータベース・インスタンスで作成されたユーザー・アカウントが表示されます。「アカウント・ステータス」列は、アカウントが期限切れか、ロックされているか、オープンかを表します。
「ユーザーの編集」ページが表示されます。
パスワードが期限切れにならないようにするには、「パスワードの入力」および「パスワードの確認」フィールドに新しいパスワードを入力します。パスワードの要件については、「パスワードの作成要件」を参照してください。
ユーザー・アカウントを作成すると、Oracle Databaseによって、そのユーザーのデフォルトのパスワード・ポリシーが割り当てられます。パスワード・ポリシーは、最低文字数や有効期限など、パスワードの作成方法に関するルールを定義します。パスワード・ポリシーを使用してパスワードを強化できます。
パスワードは30文字以内にする必要があります。ただし、セキュリティを考慮して、次の追加のガイドラインに従います。
パスワードをさらにセキュアなものにする方法については、『Oracle Databaseセキュリティ・ガイド』を参照してください。
関連項目:
|
Oracle Databaseでは、管理アカウントを含むデータベース・ユーザー・アカウントがデフォルト・パスワードなしでインストールされます。インストール時に、そのアカウント(常に管理アカウント)のパスワードを作成します。作成しない場合は、Oracle Databaseによって、パスワードが期限切れになった状態でロックされたデフォルト・アカウント(サンプル・スキーマ内のアカウントなど)がインストールされます。
以前のリリースのOracle Databaseからアップグレードした場合、デフォルト・パスワードを持つデータベース・アカウントが存在する場合があります。これらのデフォルト・アカウント(HR
、OE
、SCOTT
アカウントなど)は、データベースの作成時に作成されます。
セキュリティは、デフォルトのデータベース・ユーザー・アカウントがインストール後もデフォルト・パスワードを使用していると、最も容易に危険にさらされます。ユーザー・アカウントSCOTT
はよく知られているアカウントで侵入されやすい可能性があるため、これが特に当てはまります。デフォルト・パスワードが使用されているアカウントを検索してから、そのパスワードを変更します。
SQLPLUS SYSTEM Enter password: password
DBA_USERS_WITH_DEFPWD
データ・ディクショナリ・ビューから選択します。
SELECT * FROM DBA_USERS_WITH_DEFPWD;
DBA_USERS_WITH_DEFPWD
には、ユーザー・デフォルト・パスワードを持つアカウントが表示されます。次に例を示します。
USERNAME ------------ SCOTT
DBA_USERS_WITH_DEFPWD
データ・ディクショナリ・ビューに表示されたアカウントのパスワードを変更します。たとえば、ユーザーSCOTT
のパスワードを変更するには、次のように入力します。
PASSWORD SCOTT Changing password for SCOTT New password: password Retype new password: password Password changed
「パスワードの作成要件」に示されているガイドラインに従って、password
をセキュアなパスワードに置き換えます。セキュリティを考慮して、以前のリリースのOracle Databaseで使用していたパスワードと同じパスワードは再使用しないでください。
また、パスワードは、ALTER USER
SQL文を使用して変更することもできます。
ALTER USER SCOTT IDENTIFIED BY password;
管理権限がある場合は、Database Controlを使用して、(デフォルトのユーザー・アカウントのパスワードのみでなく)ユーザー・アカウントのパスワードを変更できます。個々のユーザーがDatabase Controlを使用して自分のパスワードを変更することもできます。
Database Controlを起動する手順については、『Oracle Database 2日でデータベース管理者』を参照してください。
SYSTEM
など)を入力し、「ログイン」をクリックします。
「ユーザー」ページに、現行のデータベース・インスタンスで作成されたユーザー・アカウントが表示されます。「アカウント・ステータス」列は、アカウントが期限切れか、ロックされているか、オープンかを表します。
「ユーザーの編集」ページが表示されます。
関連項目:
SYS
、SYSTEM
、SYSMAN
、DBSNMP
管理アカウントでは、同じパスワードを使用することも異なるパスワードを使用することもできますが、各アカウントに別々のパスワードを使用することをお薦めします。どのようなOracle環境(本番環境もしくはテスト環境)でも、これらの管理者アカウントには強力でセキュアな固有のパスワードを割り当ててください。Database Configuration Assistantを使用して新規データベースを作成する場合は、SYS
アカウントおよびSYSTEM
アカウントのパスワードを作成する必要があります。
同様に、本番環境では、SYSMAN
およびDBSNMP
を含むすべての管理者アカウントでデフォルト・パスワードを使用しないでください。Oracle Database 11g リリース1(11.1)以上では、デフォルト・パスワードを持つこれらのアカウントはインストールされませんが、以前のリリースのOracle Databaseからアップグレードした場合、デフォルト・パスワードを使用するアカウントが存在している可能性があります。これらのアカウントは、「デフォルト・パスワードの検索および変更」の手順を使用して検索および変更する必要があります。
データベース作成の最後に、Database Configuration Assistantにより、SYS
およびSYSTEM
ユーザー・アカウントの新しいパスワードの入力および確認を要求するページが表示されます。
管理ユーザー・パスワードは、インストール後にDatabase Controlを使用して変更できます。パスワード変更の詳細は、「デフォルト・パスワードの検索および変更」を参照してください。
すべてのユーザー・パスワードに基本的なパスワード管理ルール(パスワードの長さ、履歴、複雑度など)を適用します。Oracle Databaseでは、デフォルト・プロファイルでパスワード・ポリシーが有効になります。パスワード・ポリシーを作成するためのガイドラインについては、「パスワードの作成要件」を参照してください。パスワードの管理を実行するために設定する初期化パラメータについては、表3-4を参照してください。
DBA_USERS
ビューを問い合せることで、ユーザー・アカウントに関する情報を検索できます。このビューには、パスワードの列が含まれていますが、セキュリティを高めるために、Oracle Databaseはこの列のデータを暗号化します。DBA_USERS
ビューでは、ユーザー・アカウント・ステータス、アカウントがロックされているかどうか、パスワードのバージョンなど、有用な情報が提供されます。DBA_USERS
は次のように問い合せることができます。
SQLPLUS SYSTEM Enter password: password Connected. SQL> SELECT * FROM DBA_USERS;
また、可能な場合は、ネットワーク認証サービス(Kerberosなど)、トークン・カード、スマート・カードあるいはX.509証明書とともに、Oracle Advanced Security(Oracle Database Enterprise Editionのオプション)を使用することをお薦めします。これらのサービスはユーザーの厳密な認証を可能にし、Oracle Databaseへの無許可アクセスに対してより強力な保護を実現します。
表3-4に、ユーザー・アカウントを保護するために設定する初期化パラメータおよびプロファイル・パラメータを示します。
初期化パラメータを変更するには、「初期化パラメータ値の変更」を参照してください。初期化パラメータの詳細は、『Oracle Databaseリファレンス』および『Oracle Database管理者ガイド』を参照してください。
|
![]() Copyright © 2007, 2008 Oracle Corporation. All Rights Reserved. |
|