2 Oracle Database Vaultのインストール後のヒント

この章の内容は次のとおりです。

• 変更される初期化およびパスワード・パラメータ設定

• Oracle Database Vaultによるユーザー認可の制限

• 新規データベース・ロールを使用した職務分離の実施

• 既存のユーザーおよびロールに対して取消しまたは阻止される権限

• Oracle Virtual Private Databaseまたはファイングレイン監査ポリシーの作成

関連項目: Oracle Database構成におけるセキュリティの管理に関するガイドラインは、付録D「Oracle Database Vaultセキュリティ・ガイドライン」を参照してください。

変更される初期化およびパスワード・パラメータ設定

Oracle Database Vaultをインストールすると、インストール・プロセスにより、データベース構成の安全を強化するために複数のデータベース初期化パラメータ設定が変更されます。これらの変更が組織のプロセスやデータベースのメンテナンス手順に影響した場合は、元の設定に戻すことができます。

表2-1で、Oracle Database Vaultにより変更される初期化パラメータ設定を説明します。初期化パラメータは、$ORACLE_HOME/srvm/adminのinit.ora初期化パラメータ・ファイルに保存されます。このファイルの詳細は、『Oracle Database管理者ガイド』を参照してください。

表2-1 変更されるデータベース初期化パラメータ設定

パラメータ	データベースのデフォルト値	Database Vaultにより設定される新しい値	変更の影響
AUDIT_SYS_OPERATIONS	FALSE	TRUE	ユーザーSYS、およびSYSDBAまたはSYSOPER権限で接続しているユーザーにより発行された操作の監査を有効にします。 AUDIT_SYS_OPERATIONSの詳細は、『Oracle Database SQL言語リファレンス』を参照してください。
OS_AUTHENT_PREFIX	ops$	ヌル文字列	オペレーティング・システムのアカウント名に接頭辞を追加しません。 OS_AUTHENT_PREFIXの詳細は、『Oracle Database SQL言語リファレンス』を参照してください。
OS_ROLES	未構成	FALSE	オペレーティング・システムによる、ユーザーへのロールの付与と取消しの完全な管理を無効にします。以前にGRANT文を使用してユーザーに付与されたロールは変更されません。これは、それらのロールがデータ・ディクショナリにまだ記述されているためです。オペレーティング・システム・レベルでユーザーに付与されたロールにのみ適用されます。ユーザーも、ロールやユーザーに権限を付与できます。 OS_ROLESの詳細は、『Oracle Database SQL言語リファレンス』を参照してください。
REMOTE_LOGIN_PASSWORDFILE	EXCLUSIVE	EXCLUSIVE	Oracle Database Vaultはユーザーの認証にパスワード・ファイルを使用します。REMOTE_LOGIN_PASSWORDFILEがEXCLUSIVEに設定されていないデータベースにOracle Database Vaultをインストールした場合、EXCLUSIVEに設定するとパスワード・ファイルが使用されます。 REMOTE_LOGIN_PASSWORDFILEの詳細は、『Oracle Database SQL言語リファレンス』を参照してください。
REMOTE_OS_AUTHENT	FALSE	FALSE	リモート・クライアントがOS_AUTHENT_PREFIXパラメータの値により認証されるのを防ぎます。 これにより、リモート・ユーザーがネットワーク接続で別のオペレーティング・システム・ユーザーになりすますことを防止できます。 REMOTE_OS_AUTHENTの詳細は、『Oracle Databaseセキュリティ・ガイド』を参照してください。
REMOTE_OS_ROLES	FALSE	FALSE	オペレーティング・システムによるロールの認証を得るために、Oracle Netを介してデータベースに接続しているユーザーを無効にします。 接続にOracle Netが必要なため、共有サーバー構成を介した接続もこれに該当します。リモート・ユーザーがネットワーク接続で別のオペレーティング・システム・ユーザーになりすます可能性があるため、この制限はデフォルトで設定されています。 REMOTE_OS_ROLESの詳細は、『Oracle Databaseセキュリティ・ガイド』を参照してください。
SQL92_SECURITY	FALSE	TRUE	ユーザーにUPDATEまたはDELETE文などを実行するためのSELECTオブジェクト権限が付与されていることを確認します。 SQL92_SECURITYの詳細は、『Oracle Database SQL言語リファレンス』を参照してください。

Oracle Database Vaultによるユーザー認可の制限

Oracle Database Vaultのインストール中、インストーラにより複数の追加のデータベース・アカウント名を要求されます。また、データベース・ロールが複数作成されます。これらのアカウントは、Oracle Database Vaultにより実現される職務分離の一部です。複数の大企業に影響を与えている共通の監査問題の1つは、データベース管理者による本番インスタンス内での新規データベース・アカウントの不正な作成です。Oracle Database Vaultのインストール時に、Oracle Database Vaultアカウント・マネージャ、またはOracle Database Vaultアカウント・マネージャ・ロールを付与されたユーザー以外はデータベース内にユーザーを作成することができなくなります。

職務分離を管理するガイドラインについては、「職務分離ガイドライン」を参照してください。

新規データベース・ロールを使用した職務分離の実施

規制、プライバシおよびその他の法令順守要件に準拠するため、Oracle Database Vaultには職務の分離という概念を導入しています。Oracle Database Vaultでは、アカウント管理の職責、データ・セキュリティの職責およびデータベース・リソース管理の職責がデータベース内で明確に分離されます。つまり、データとシステム構成両方のすべての権限が集中しているユーザーがいないよう、多くの権限を持つユーザー（DBAなど）という概念が複数の新しいデータベース・ロールに分割されています。Oracle Database Vaultにより、SYSユーザーおよびDBAロールやその他のシステム権限を持つアカウントは、レルムと呼ばれるデータベースの保護領域には指定されません。Oracle Database Vault所有者（DV_OWNER）およびOracle Database Vaultアカウント・マネージャ（DV_ACCTMGR）と呼ばれる新しいデータベース・ロールも導入されています。これらの新しいデータベース・ロールにより、データ・セキュリティとアカウント管理がこれまでのDBAロールから分離されます。これらのロールは、組織内のセキュリティの専門家に割り当てる必要があります。

関連項目: 個々の職務分離の管理に関するアドバイスは、「職務分離ガイドライン」を参照してください。 Oracle Database Vaultのインストール中に作成されるロールの詳細は、「Oracle Database Vaultロール」を参照してください。 作成されるデフォルトのアカウントと、追加作成するアカウントに関する注意事項については、「Oracle Database Vaultアカウント」を参照してください。

既存のユーザーおよびロールに対して取消しまたは阻止される権限

Oracle Database Vaultをインストールすると、職務分離強化の一部として、Oracle Databaseで提供されている複数のロールから一連の権限が取り消されます。

表2-2に、Oracle Database Vaultにより既存のユーザーおよびロールから取り消される権限を示します。Oracle Database Vaultを無効にすると、これらの権限は取り消されたままになるので注意してください。アプリケーションがこれらの権限に依存する場合は、アプリケーションの所有者に権限を直接付与します。

表2-2 Oracle Database Vaultで取り消される権限

ユーザーまたはロール	取り消される権限
DBAロール	BECOME USER SELECT ANY TRANSACTION CREATE ANY JOB CREATE EXTERNAL JOB EXECUTE ANY PROGRAM EXECUTE ANY CLASS MANAGE SCHEDULER DEQUEUE ANY QUEUE ENQUEUE ANY QUEUE MANAGE ANY QUEUE
IMP_FULL_DATABASEロール	BECOME USER MANAGE ANY QUEUE
EXECUTE_CATALOG_ROLEロール	EXECUTE ON DBMS_LOGMNR EXECUTE ON DBMS_LOGMNR_D EXECUTE ON DBMS_LOGMNR_LOGREP_DICT EXECUTE ON DBMS_LOGMNR_SESSION EXECUTE ON DBMS_FILE_TRANSFER
PUBLICユーザー	EXECUTE ON UTL_FILE
SCHEDULER_ADMINロール	CREATE ANY JOB CREATE EXTERNAL JOB EXECUTE ANY PROGRAM EXECUTE ANY CLASS MANAGE SCHEDULER
SYSユーザー	ALTER USER DROP USER
SYSTEMユーザー	ALTER USER CREATE USER DROP USER

表2-3に、DVSYS.AUTHORIZE_EVENTコールによって阻止される権限を示します。Oracle Database Vaultが有効な場合、Database Vaultアカウント・マネージャ・ロール（DV_ACCTMGR）を持つユーザーは、この表に示した権限を持ちます。Oracle Database Vaultを無効にした場合、ユーザーSYSおよびユーザーSYSTEMは、これらの権限を持ちます。

表2-3 DVSYS.AUTHORIZE_EVENTにより阻止される権限

ユーザーまたはロール	DVSYSにより阻止される権限
SYSユーザー	ALTER PROFILE CREATE PROFILE DROP PROFILE
SYSTEMユーザー	ALTER PROFILE CREATE PROFILE DROP PROFILE

関連項目: 表10-1「Oracle Database Vaultロールの権限」 「Oracle Database Vaultアカウント・マネージャ・ロール: DV_ACCTMGR」

Oracle Virtual Private Databaseまたはファイングレイン監査ポリシーの作成

ユーザーがOracle Virtual Private Databaseまたはファイングレイン監査ポリシーの作成を計画する場合は、DBMS_RLS PL/SQLパッケージにおけるEXECUTE権限が必要です。Oracle Database Vaultが有効な場合、このパッケージの所有者はSYSユーザーではなくOracle Database Vault管理者（DV_ADMIN）になります。DV_ADMINユーザーとして、これらのユーザーにDBMS_RLS PL/SQLパッケージのEXECUTE権限を付与します。