Oracle Database Vaultをインストールすると、インストール・プロセスにより、データベース構成の安全を強化するために複数のデータベース初期化パラメータ設定が変更されます。これらの変更が組織のプロセスやデータベースのメンテナンス手順に影響した場合は、元の設定に戻すことができます。
表2-1で、Oracle Database Vaultにより変更される初期化パラメータ設定を説明します。初期化パラメータは、$ORACLE_HOME/srvm/admin
のinit.ora
初期化パラメータ・ファイルに保存されます。このファイルの詳細は、『Oracle Database管理者ガイド』を参照してください。
表2-1 変更されるデータベース初期化パラメータ設定
パラメータ | データベースのデフォルト値 | Database Vaultにより設定される新しい値 | 変更の影響 |
---|---|---|---|
|
|
ユーザー
|
|
|
ヌル文字列 |
オペレーティング・システムのアカウント名に接頭辞を追加しません。
|
|
未構成 |
|
オペレーティング・システムによる、ユーザーへのロールの付与と取消しの完全な管理を無効にします。以前に
|
|
|
|
Oracle Database Vaultはユーザーの認証にパスワード・ファイルを使用します。
|
|
|
|
リモート・クライアントが これにより、リモート・ユーザーがネットワーク接続で別のオペレーティング・システム・ユーザーになりすますことを防止できます。
|
|
|
|
オペレーティング・システムによるロールの認証を得るために、Oracle Netを介してデータベースに接続しているユーザーを無効にします。 接続にOracle Netが必要なため、共有サーバー構成を介した接続もこれに該当します。リモート・ユーザーがネットワーク接続で別のオペレーティング・システム・ユーザーになりすます可能性があるため、この制限はデフォルトで設定されています。
|
|
|
|
ユーザーに
|
Oracle Database Vaultのインストール中、インストーラにより複数の追加のデータベース・アカウント名を要求されます。また、データベース・ロールが複数作成されます。これらのアカウントは、Oracle Database Vaultにより実現される職務分離の一部です。複数の大企業に影響を与えている共通の監査問題の1つは、データベース管理者による本番インスタンス内での新規データベース・アカウントの不正な作成です。Oracle Database Vaultのインストール時に、Oracle Database Vaultアカウント・マネージャ、またはOracle Database Vaultアカウント・マネージャ・ロールを付与されたユーザー以外はデータベース内にユーザーを作成することができなくなります。
職務分離を管理するガイドラインについては、「職務分離ガイドライン」を参照してください。
規制、プライバシおよびその他の法令順守要件に準拠するため、Oracle Database Vaultには職務の分離という概念を導入しています。Oracle Database Vaultでは、アカウント管理の職責、データ・セキュリティの職責およびデータベース・リソース管理の職責がデータベース内で明確に分離されます。つまり、データとシステム構成両方のすべての権限が集中しているユーザーがいないよう、多くの権限を持つユーザー(DBA
など)という概念が複数の新しいデータベース・ロールに分割されています。Oracle Database Vaultにより、SYS
ユーザーおよびDBA
ロールやその他のシステム権限を持つアカウントは、レルムと呼ばれるデータベースの保護領域には指定されません。Oracle Database Vault所有者(DV_OWNER
)およびOracle Database Vaultアカウント・マネージャ(DV_ACCTMGR
)と呼ばれる新しいデータベース・ロールも導入されています。これらの新しいデータベース・ロールにより、データ・セキュリティとアカウント管理がこれまでのDBA
ロールから分離されます。これらのロールは、組織内のセキュリティの専門家に割り当てる必要があります。
関連項目:
|
Oracle Database Vaultをインストールすると、職務分離強化の一部として、Oracle Databaseで提供されている複数のロールから一連の権限が取り消されます。
表2-2に、Oracle Database Vaultにより既存のユーザーおよびロールから取り消される権限を示します。Oracle Database Vaultを無効にすると、これらの権限は取り消されたままになるので注意してください。アプリケーションがこれらの権限に依存する場合は、アプリケーションの所有者に権限を直接付与します。
表2-2 Oracle Database Vaultで取り消される権限
ユーザーまたはロール | 取り消される権限 |
---|---|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
表2-3に、DVSYS.AUTHORIZE_EVENT
コールによって阻止される権限を示します。Oracle Database Vaultが有効な場合、Database Vaultアカウント・マネージャ・ロール(DV_ACCTMGR
)を持つユーザーは、この表に示した権限を持ちます。Oracle Database Vaultを無効にした場合、ユーザーSYS
およびユーザーSYSTEM
は、これらの権限を持ちます。
ユーザーがOracle Virtual Private Databaseまたはファイングレイン監査ポリシーの作成を計画する場合は、DBMS_RLS
PL/SQLパッケージにおけるEXECUTE
権限が必要です。Oracle Database Vaultが有効な場合、このパッケージの所有者はSYS
ユーザーではなくOracle Database Vault管理者(DV_ADMIN
)になります。DV_ADMIN
ユーザーとして、これらのユーザーにDBMS_RLS
PL/SQLパッケージのEXECUTE
権限を付与します。