ヘッダーをスキップ
Oracle Database Vault管理者ガイド
11gリリース1(11.1)
E05797-05
  目次
目次
索引
索引

戻る
戻る
 
次へ
次へ
 

2 Oracle Database Vaultのインストール後のヒント

この章の内容は次のとおりです。


関連項目:

Oracle Database構成におけるセキュリティの管理に関するガイドラインは、付録D「Oracle Database Vaultセキュリティ・ガイドライン」を参照してください。

変更される初期化およびパスワード・パラメータ設定

Oracle Database Vaultをインストールすると、インストール・プロセスにより、データベース構成の安全を強化するために複数のデータベース初期化パラメータ設定が変更されます。これらの変更が組織のプロセスやデータベースのメンテナンス手順に影響した場合は、元の設定に戻すことができます。

表2-1で、Oracle Database Vaultにより変更される初期化パラメータ設定を説明します。初期化パラメータは、$ORACLE_HOME/srvm/admininit.ora初期化パラメータ・ファイルに保存されます。このファイルの詳細は、『Oracle Database管理者ガイド』を参照してください。

表2-1 変更されるデータベース初期化パラメータ設定

パラメータ データベースのデフォルト値 Database Vaultにより設定される新しい値 変更の影響

AUDIT_SYS_OPERATIONS

FALSE

TRUE

ユーザーSYS、およびSYSDBAまたはSYSOPER権限で接続しているユーザーにより発行された操作の監査を有効にします。

AUDIT_SYS_OPERATIONSの詳細は、『Oracle Database SQL言語リファレンス』を参照してください。

OS_AUTHENT_PREFIX

ops$

ヌル文字列

オペレーティング・システムのアカウント名に接頭辞を追加しません。

OS_AUTHENT_PREFIXの詳細は、『Oracle Database SQL言語リファレンス』を参照してください。

OS_ROLES

未構成

FALSE

オペレーティング・システムによる、ユーザーへのロールの付与と取消しの完全な管理を無効にします。以前にGRANT文を使用してユーザーに付与されたロールは変更されません。これは、それらのロールがデータ・ディクショナリにまだ記述されているためです。オペレーティング・システム・レベルでユーザーに付与されたロールにのみ適用されます。ユーザーも、ロールやユーザーに権限を付与できます。

OS_ROLESの詳細は、『Oracle Database SQL言語リファレンス』を参照してください。

REMOTE_LOGIN_PASSWORDFILE

EXCLUSIVE

EXCLUSIVE

Oracle Database Vaultはユーザーの認証にパスワード・ファイルを使用します。REMOTE_LOGIN_PASSWORDFILEEXCLUSIVEに設定されていないデータベースにOracle Database Vaultをインストールした場合、EXCLUSIVEに設定するとパスワード・ファイルが使用されます。

REMOTE_LOGIN_PASSWORDFILEの詳細は、『Oracle Database SQL言語リファレンス』を参照してください。

REMOTE_OS_AUTHENT

FALSE

FALSE

リモート・クライアントがOS_AUTHENT_PREFIXパラメータの値により認証されるのを防ぎます。

これにより、リモート・ユーザーがネットワーク接続で別のオペレーティング・システム・ユーザーになりすますことを防止できます。

REMOTE_OS_AUTHENTの詳細は、『Oracle Databaseセキュリティ・ガイド』を参照してください。

REMOTE_OS_ROLES

FALSE

FALSE

オペレーティング・システムによるロールの認証を得るために、Oracle Netを介してデータベースに接続しているユーザーを無効にします。

接続にOracle Netが必要なため、共有サーバー構成を介した接続もこれに該当します。リモート・ユーザーがネットワーク接続で別のオペレーティング・システム・ユーザーになりすます可能性があるため、この制限はデフォルトで設定されています。

REMOTE_OS_ROLESの詳細は、『Oracle Databaseセキュリティ・ガイド』を参照してください。

SQL92_SECURITY

FALSE

TRUE

ユーザーにUPDATEまたはDELETE文などを実行するためのSELECTオブジェクト権限が付与されていることを確認します。

SQL92_SECURITYの詳細は、『Oracle Database SQL言語リファレンス』を参照してください。


Oracle Database Vaultによるユーザー認可の制限

Oracle Database Vaultのインストール中、インストーラにより複数の追加のデータベース・アカウント名を要求されます。また、データベース・ロールが複数作成されます。これらのアカウントは、Oracle Database Vaultにより実現される職務分離の一部です。複数の大企業に影響を与えている共通の監査問題の1つは、データベース管理者による本番インスタンス内での新規データベース・アカウントの不正な作成です。Oracle Database Vaultのインストール時に、Oracle Database Vaultアカウント・マネージャ、またはOracle Database Vaultアカウント・マネージャ・ロールを付与されたユーザー以外はデータベース内にユーザーを作成することができなくなります。

職務分離を管理するガイドラインについては、「職務分離ガイドライン」を参照してください。

新規データベース・ロールを使用した職務分離の実施

規制、プライバシおよびその他の法令順守要件に準拠するため、Oracle Database Vaultには職務の分離という概念を導入しています。Oracle Database Vaultでは、アカウント管理の職責、データ・セキュリティの職責およびデータベース・リソース管理の職責がデータベース内で明確に分離されます。つまり、データとシステム構成両方のすべての権限が集中しているユーザーがいないよう、多くの権限を持つユーザー(DBAなど)という概念が複数の新しいデータベース・ロールに分割されています。Oracle Database Vaultにより、SYSユーザーおよびDBAロールやその他のシステム権限を持つアカウントは、レルムと呼ばれるデータベースの保護領域には指定されません。Oracle Database Vault所有者(DV_OWNER)およびOracle Database Vaultアカウント・マネージャ(DV_ACCTMGR)と呼ばれる新しいデータベース・ロールも導入されています。これらの新しいデータベース・ロールにより、データ・セキュリティとアカウント管理がこれまでのDBAロールから分離されます。これらのロールは、組織内のセキュリティの専門家に割り当てる必要があります。


関連項目:


既存のユーザーおよびロールに対して取消しまたは阻止される権限

Oracle Database Vaultをインストールすると、職務分離強化の一部として、Oracle Databaseで提供されている複数のロールから一連の権限が取り消されます。

表2-2に、Oracle Database Vaultにより既存のユーザーおよびロールから取り消される権限を示します。Oracle Database Vaultを無効にすると、これらの権限は取り消されたままになるので注意してください。アプリケーションがこれらの権限に依存する場合は、アプリケーションの所有者に権限を直接付与します。

表2-2 Oracle Database Vaultで取り消される権限

ユーザーまたはロール 取り消される権限

DBAロール

  • BECOME USER

  • SELECT ANY TRANSACTION

  • CREATE ANY JOB

  • CREATE EXTERNAL JOB

  • EXECUTE ANY PROGRAM

  • EXECUTE ANY CLASS

  • MANAGE SCHEDULER

  • DEQUEUE ANY QUEUE

  • ENQUEUE ANY QUEUE

  • MANAGE ANY QUEUE

IMP_FULL_DATABASEロール

  • BECOME USER

  • MANAGE ANY QUEUE

EXECUTE_CATALOG_ROLEロール

  • EXECUTE ON DBMS_LOGMNR

  • EXECUTE ON DBMS_LOGMNR_D

  • EXECUTE ON DBMS_LOGMNR_LOGREP_DICT

  • EXECUTE ON DBMS_LOGMNR_SESSION

  • EXECUTE ON DBMS_FILE_TRANSFER

PUBLICユーザー

  • EXECUTE ON UTL_FILE

SCHEDULER_ADMINロール

  • CREATE ANY JOB

  • CREATE EXTERNAL JOB

  • EXECUTE ANY PROGRAM

  • EXECUTE ANY CLASS

  • MANAGE SCHEDULER

SYSユーザー

  • ALTER USER

  • DROP USER

SYSTEMユーザー

  • ALTER USER

  • CREATE USER

  • DROP USER


表2-3に、DVSYS.AUTHORIZE_EVENTコールによって阻止される権限を示します。Oracle Database Vaultが有効な場合、Database Vaultアカウント・マネージャ・ロール(DV_ACCTMGR)を持つユーザーは、この表に示した権限を持ちます。Oracle Database Vaultを無効にした場合、ユーザーSYSおよびユーザーSYSTEMは、これらの権限を持ちます。

表2-3 DVSYS.AUTHORIZE_EVENTにより阻止される権限

ユーザーまたはロール DVSYSにより阻止される権限

SYSユーザー

  • ALTER PROFILE

  • CREATE PROFILE

  • DROP PROFILE

SYSTEMユーザー

  • ALTER PROFILE

  • CREATE PROFILE

  • DROP PROFILE


Oracle Virtual Private Databaseまたはファイングレイン監査ポリシーの作成

ユーザーがOracle Virtual Private Databaseまたはファイングレイン監査ポリシーの作成を計画する場合は、DBMS_RLS PL/SQLパッケージにおけるEXECUTE権限が必要です。Oracle Database Vaultが有効な場合、このパッケージの所有者はSYSユーザーではなくOracle Database Vault管理者(DV_ADMIN)になります。DV_ADMINユーザーとして、これらのユーザーにDBMS_RLS PL/SQLパッケージのEXECUTE権限を付与します。