| Oracle® Databaseセキュリティ・ガイド 11gリリース2 (11.2) B56285-13 |
|
 前 |
 次 |
この項で説明するOracle Database 11g リリース2(11.2)のセキュリティ機能と拡張機能には、今回リリースされたOracle Databaseに優れたアクセス制御、プライバシおよびアカウンタビリティを提供するための全体的な取り組みが反映されています。
次の各項では、Oracle Database 11g リリース2(11.2)の新しいセキュリティ機能について説明し、追加情報の参照先を示します。
この項の内容は、次のとおりです。
このリリースでは、ファイングレイン・アクセス・コントロールを使用して外部ネットワーク・サービスおよびウォレットを構成すると、DBMS_LDAP PL/SQLパッケージにアクセスできるようになります。デフォルトのデータベース・インストールでは、このパッケージは、PUBLICユーザーに付与されるEXECUTE権限付きで作成されます。このリリースでは、このパッケージを使用するデータベース内のアプリケーションへのアクセスをユーザーが制御できるようにして、このパッケージのセキュリティを強化しています。この拡張の一部として、DBMS_LDAPパッケージは実行者の権限パッケージになりました。ユーザーがリモート・ネットワーク・ホストに接続する前に、リモート・ネットワーク・ホストに割り当てられたアクセス制御リストでconnect権限が付与されている必要があります。
DBMS_LDAPパッケージの詳細は、『Oracle Database PL/SQLパッケージおよびタイプ・リファレンス』を参照してください。
Oracle Databaseの以前のリリースでは、MERGE INTO文を含むアプリケーションでOracle Virtual Private Databaseポリシーを作成すると、Virtual Private Databaseポリシーが存在するために、MERGE INTO文はORA-28132「MERGE INTO構文ではセキュリティ・ポリシーをサポートしていません」エラーにより回避されていました。このリリースでは、MERGE INTO操作を含むアプリケーションでポリシーを作成できます。そのためには、DBMS_RLS.ADD_POLICY statement_typesパラメータにINSERT、UPDATEおよびDELETE文を含めるか、statement_typesパラメータを完全に省略します。
詳細は、「特定のSQL文に対するポリシーの規定」を参照してください。
このリリース以降、標準監査レコードはデフォルトでAUDIT文のBY ACCESS句の機能を使用して生成されます。BY ACCESS句とBY SESSION句はどちらも監査対象イベントごとに個別の監査レコードを書き込みますが、BY ACCESS句は監査対象イベントのより詳細な情報を取得します。
詳細は、「AUDIT文でBY ACCESS句を使用する利点」を参照してください。
このリリース以降、UTL_SMTP PL/SQLパッケージには次の新機能が含まれています。
UTL_SMTP PL/SQLパッケージをTransport Layer Security(TLS)とSecure Sockets Layer(SSL)の両方のサーバーで使用できるようになりました。
UTL_SMTPで、PLAIN、LOGONおよびCRAM_MD5のパスワード認証スキームがサポートされるようになりました。
UTL_SMTPパッケージの詳細は、『Oracle Database PL/SQLパッケージおよびタイプ・リファレンス』を参照してください。
DBMS_SCHEDULER PL/SQLパッケージには、次の2つの新しいグローバル・スケジューラ属性が含まれています。この属性を使用して、メール・サーバーへの接続の暗号化が制御されます。
email_server_credentialを使用すると、ユーザーSYSがEXECUTEオブジェクト権限を持つ既存の資格証明オブジェクトのスキーマおよび名前を指定できます。
email_server_encryptionを使用すると、メール・サーバーの3つの暗号化設定の1つを設定できます。
ssl_tlsはSSLまたはTLSを使用して、接続の開始時からメール・サーバーへの接続を暗号化します。
starttlsでは、メール・サーバーへの接続が暗号化されずに開始されますが、暗号化された接続に切り替わります。
noneでは、メール・サーバーへの接続に暗号化は使用されません。
スケジューラのプリファレンスの詳細は、『Oracle Database管理者ガイド』を参照してください。
以前のリリースでは、UNLIMITED TABLESPACEシステム権限をユーザーから取り消した場合は明示的な割当て制限が再び有効になりました。このリリースから、UNLIMITED TABLESPACEシステム権限を取り消した後は、個々の表領域に割当て制限を明示的に付与する必要があります。
UNLIMITED TABLESPACEシステム権限の詳細は、「ユーザーへのUNLIMITED TABLESPACEシステム権限の付与」を参照してください。
この項の内容は、次のとおりです。
前のリリースのOracle Databaseでは、外部ネットワーク・サービスおよびウォレットに対するファイングレイン・アクセス・コントロールを作成する機能が追加されました。このリリースでは、次の拡張が加えられました。
UTL_HTTP PL/SQLパッケージに対する更新。Amazon.com Webサイトへのアクセスを構成するAmazon Simple Storage Service (S3)スキームを使用するためのネットワーク・サービスを構成できるようになりました。さらに、個々のアプリケーションがそれぞれのプライベート・ウォレットとHTTP Cookie表を、同じデータベース・セッション内の他のアプリケーションと共有せず使用することにより、HTTPリクエストを実行できます。この機能により、パスワード資格証明のかわりにアクセス制御リスト(ACL)権限を使用したウォレットの保護も可能になります。
IPバージョン6(IPv6)アドレスのサポート。DBMS_NETWORK_ACL_ADMINおよびDBMS_NETWORK_ACL_UTILTIYパッケージ、さらにPL/SQLネットワーク・ユーティリティ・パッケージ(UTL_TCP、UTL_SMTP、UTL_MAIL、UTL_HTTP、UTL_INADDRなど)で、IPバージョン4(IPv4)とIPv6アドレスの両方がサポートされるようになりました。
詳細は、「PL/SQLパッケージおよびタイプでのファイングレイン・アクセスの管理」を参照してください。
このリリースでは、グローバル・アプリケーション・コンテキスト値の変更が、すべてのOracle Real Application Clusters(Oracle RAC)インスタンスで自動的に利用可能になります。
グローバル・アプリケーション・コンテキストの作成方法の詳細は、「グローバル・アプリケーション・コンテキストの使用」を参照してください。
Oracle Database 11g リリース(11.2)以降、SSLバージョン2は、サポートされるデフォルト・プロトコルのデフォルト・リストから除外されました。アプリケーションでSSLバージョン2を使用する必要がある場合、このような接続を使用する間は、SSLバージョン2を明示的に設定することによって対応できます。
詳細は、『Oracle Database Advanced Security管理者ガイド』を参照してください。
この項の内容は、次のとおりです。
ORACLE_LOADERアクセス・ドライバが使用するためのユーザー指定プリプロセッサ・プログラムを含むディレクトリ・オブジェクトに対するEXECUTE権限をユーザーに付与できるようになりました。これにより、ユーザーが誤って(または意図的に)プリプロセッサ・プログラムを破損してしまうのを防ぐことができます。EXECUTE権限による影響を受けるSQL文は、GRANTおよびREVOKEです。ORACLE_LOADERアクセス・パラメータには、現在PREPROCESSOR句が含まれています。この句を使用すると、データ・ファイルの内容を変更するプリプロセッサ・プログラムの名前と場所を指定して、ORACLE_LOADERアクセス・ドライバがこのプリプロセッサ・プログラムを読み取れるようにできます。
ORACLE_LOADERアクセス・ドライバ・プリプロセッサの使用の詳細は、次の各項およびマニュアルを参照してください。
ORACLE_LOADERアクセス・ドライバの詳細は、『Oracle Databaseユーティリティ』を参照してください。
ディレクトリ・オブジェクトに対するEXECUTE権限を付与する構文については、「システム権限とロールの付与」を参照してください。
SQL文GRANTとREVOKEの更新については、『Oracle Database SQL言語リファレンス』を参照してください。
ディレクトリ・オブジェクトに対するEXECUTE権限を監査できるようになりました。これにより、ディレクトリ・オブジェクトに追加されたプリプロセッサ・プログラム(ORACLE_LOADERアクセス・ドライバによって使用されます)を実行するユーザーを監視できます。
詳細は、「ディレクトリ・オブジェクトの監査」を参照してください。
この項の内容は、次のとおりです。
このリリースでは、透過的表領域暗号化および透過的列暗号化のマスター暗号化鍵が、1つの統合マスター暗号化鍵に結合されました。これらの鍵を結合することで、マスター暗号化鍵がOracle Walletに格納されるか、RSA、SafeNet、Thales(nCipherを含む)およびUtimacoが提供する認証済のハードウェア・セキュリティ・モジュールの1つに格納されるかに関係なく、これらの両方の透過的データ暗号化機能を透過的に更新できます。
透過的データ暗号化の詳細は『Oracle Database Advanced Security管理者ガイド』を参照してください。
このリリースでは、Oracle Advanced Securityを使用して、Oracle Database表領域を暗号化するために使用される暗号化鍵を保護するマスター鍵を変更できます。Payment Card Industry Data Security Standard(PCI DSS)などの業界構想によって、クレジット・カード・データに関連付けられている暗号化鍵を定期的に変更することが義務付けられています。
表領域の暗号化の詳細は『Oracle Database Advanced Security管理者ガイド』を参照してください。
Oracle Database 11gリリース2(11.2)では、監査証跡のクリーン・アップ・プロセスにいくつかの拡張が施されています。このリリースでは、次のことが可能です。
アーカイブ日付に基づくタイムスタンプ監査証跡レコード。後日、このアーカイブ日付の前に作成されたすべてのレコードを削除できます。
詳細は、「手順4: 監査レコードのアーカイブ・タイムスタンプの設定(必要に応じて)」を参照してください。
監査証跡レコードを1つの操作で削除するか、削除ジョブを作成します。システム内のすべての監査証跡レコード、またはデータベース監査証跡内のすべてのファイングレイン監査証跡レコードなど、個別タイプの監査証跡レコードを削除できます。削除操作では、タイムスタンプ・アーカイブ日付の前に作成された監査証跡レコード、または特定の監査証跡タイプのすべての監査証跡レコードが削除されます。この削除ジョブにより、時間間隔に基づいてレコードを削除し、タイムスタンプ・アーカイブ日付に基づいてレコードを削除できます。
次の各項を参照してください。
データベース監査証跡表を、SYSTEM表領域から別の表領域に移動します。標準監査証跡表、ファイングレイン監査証跡表または標準監査証跡表とファイングレイン監査証跡表の両方を移動できます。SYSTEM表領域がビジー状態である場合は、この表領域からのデータベース監査証跡の移動を検討します。
詳細は、「データベース監査証跡の別の表領域への移動」を参照してください。
データベース監査証跡レコードが削除される際、削除操作で各バッチが削除されるように、レコードのバッチ・サイズを設定します。削除操作では、すべてまたは一部の監査証跡レコードを削除します。一般に、この操作は監査証跡のアーカイブ後に行います。その後、監査証跡は監査データの収集を再開します。バッチ・プロセスにより、すべてのレコードを一度に削除するのではなく、一度に10,000レコードなど、レコードのグループを削除できます。
詳細は、「手順6: 監査証跡レコードのバッチ削除の構成(必要に応じて)」を参照してください。
オペレーティング・システム監査証跡の最大サイズおよび最大有効期間を設定します。現在の監査ファイルがこの最大値に到達すると、現在のファイルへの移入が中止され、その後の監査証跡レコードのために新しいファイルが作成されます。
次の各項を参照してください。
AUDIT_TRAIL初期化パラメータのDB_EXTENDED設定は非推奨となりました。かわりに、DB, EXTENDED設定を使用します。
詳細は、「AUDIT_TRAIL初期化パラメータを使用した標準監査の構成」を参照してください。
WKUSERロールおよびWKSYS、WKTEST、WKPROXYスキーマが非推奨となりました。Oracle Ultra Searchの詳細は、『Oracle Ultra Search管理者ガイド』を参照してください。
以前のリリースのOracle Databaseでは、Database Configuration Assistant(DBCA)を使用して、パスワード・セキュリティおよび監査オプションを新しいデータベースに追加できました。このリリースでは、このオプションは使用できません。このリリースでは、DBCAによって、監査オプションおよびパスワード・ポリシーが新しいデータベースに自動的に追加されます。
詳細は、次の各項を参照してください。
このリリースでは、ALTER USER文のAUTHENTICATED USING PASSWORD句が非推奨となりました。この句を使用すると、Oracle DatabaseによってAUTHENTICATION REQUIRED句に変換されます。AUTHENTICATION REQUIRED句を指定しなかった場合は、AUTHENTICATED USING CERTIFICATE句またはAUTHENTICATED USING DISTINGUISHED NAME句のいずれかが使用されます。
ALTER USER文のオプションの詳細は、『Oracle Database SQL言語リファレンス』を参照してください。
この項の内容は、次のとおりです。
新しいデータベースの作成時に、Database Configuration Assistant(DBCA)を使用すると、以前のリリースのOracle Databaseより安全性の高い構成を自動的に作成できます。次のような安全性の高い構成の設定を1回の操作で使用可能にできます。
デフォルト・プロファイルのパスワード固有の設定。この機能を使用すると、パスワードの期限切れやその他のパスワード・ポリシーを規定できます。詳細は、「デフォルト・プロファイルのパスワード設定の構成」を参照してください。
監査。この機能によって、データベース接続などの特定イベントの監査が使用可能になります。詳細は、「セキュリティに関連するSQL文および権限に対するデフォルト監査の使用」を参照してください。
データベースを構成してセキュリティを向上させるには、第10章「Oracle Databaseの安全性の維持」のガイドラインに従ってください。
Oracle Databaseには、次の新しいパスワード保護が組み込まれています。
デフォルトのパスワードの容易な検索。以前のリリースのOracle Databaseからアップグレードした場合は、デフォルト・パスワードが設定されているユーザー・アカウントが存在していることがあります。セキュリティを向上させるため、これらのパスワードを検索して変更する必要があります。詳細は、「デフォルト・パスワードが設定されているユーザー・アカウントの検索」を参照してください。
パスワード検証。パスワードの検証により、ユーザーはパスワードの設定または再設定時に複雑なパスワードを設定するようになります。Oracle Databaseで提供されているデフォルト設定を使用してパスワードを規定できます。または、カスタム要件を作成して、サイトのパスワードに関する要件の安全性を強化できます。
組込みのパスワード検証の説明は、「パスワードの複雑度検証の規定」を参照してください。
大/小文字の区別の規定。詳細は、「パスワードでの大/小文字の区別の有効化または無効化」を参照してください。
パスワード・ハッシュ・アルゴリズムの強化。この拡張により、ユーザーは大/小文字や特殊文字の混在するパスワードを作成できます。詳細は、「パスワードのセキュリティへの脅威からのSHA-1ハッシュ・アルゴリズムによる保護」を参照してください。
SYSDBAおよびSYSOPER権限のあるユーザーを認証するために、Secure Sockets Layer(SSL)とKerberosの厳密な認証方式を使用できるようになりました。
詳細は、「データベース管理者の厳密認証と集中管理」を参照してください。
Oracle Database 11gリリース2 (11.2)に追加されたSYSASMシステム権限は、Automatic Storage Management (ASM)を管理するためにのみ使用します。ASMインスタンスに接続し管理するには、SYSDBA権限ではなく、SYSASM権限を使用します。
SYSASM権限の詳細は、『Oracle Automatic Storage Management管理者ガイド』を参照してください。
ここでは、暗号化の拡張機能について説明します。この項の内容は、次のとおりです。
Oracle Databaseでは、SecureFileと呼ばれる、処理速度が向上した新しいスケーラブルなラージ・オブジェクト(LOB)記憶域パラダイムがサポートされています。SecureFileでは、パフォーマンスの向上に加えて、効率的な圧縮、重複除外(重複データの結合)および暗号化がサポートされます。LOBデータをOracle Databaseで暗号化できるようになり、ランダムな読み書きに使用できます。
SecureFileの詳細は、『Oracle Database SecureFilesおよびラージ・オブジェクト開発者ガイド』を参照してください。この機能をサポートするためのCREATE TABLEおよびALTER TABLE文の更新については、『Oracle Database SQL言語リファレンス』も参照してください。
このリリースでは、Oracle Data Pumpを使用してダンプ・ファイル・セット全体を圧縮および暗号化できます。オプションで、Oracle Data Pumpによるエクスポート時にデータ、メタデータまたは完全なダンプ・ファイル・セットを圧縮および暗号化できます。
詳細は、『Oracle Databaseユーティリティ』を参照してください。
透過的データ暗号化(TDE)では、暗号化されたソフトウェア・ウォレットにマスター鍵が格納され、この鍵を使用して列キーが暗号化され、その列キーを使用して列データが暗号化されます。多くのアプリケーションはこの鍵管理の方法で十分ですが、さらに厳密なセキュリティを必要とする環境では不十分な場合があります。TDEが拡張され、ハードウェア・セキュリティ・モジュール(HSM)が使用されるようになりました。この拡張によって、マスター鍵の保護に高信頼性要件が適用されます。
このリリースでは、鍵管理機能を活用することによりいつでもTDEマスター暗号化鍵をハードウェア・セキュリティ・モジュール(HSM)内に格納できます。表キー(TDE列暗号化の場合)と表領域キー(TDE表領域暗号化の場合)のみが、データベースに返される前にHSMで復号化されるため、アプリケーション・データの暗号化と復号化はデータベースに残ります。HSMデバイスとデータベース間のトラフィックの暗号化をお薦めします。この新機能では、マスター暗号化鍵はクリアテキストの場合も暗号化形式の場合でもHSMに存在するため、透過的データ暗号化のセキュリティが向上します。さらに、Oracle Real Applications Clusters (Oracle RAC)またはData Guard環境内の複数のデータベースおよびインスタンス間で同じ鍵を共有できます。
透過的データ暗号化をハードウェア・セキュリティ・モジュールと統合するように構成する方法は、『Oracle Database Advanced Security管理者ガイド』を参照してください。
透過的表領域暗号化により、アプリケーションの表領域全体を暗号化し、これらの表領域内のデータをすべて暗号化できます。適切な認可を受けたアプリケーションが表領域にアクセスすると、アプリケーションに関連するデータ・ブロックが透過的に復号化されます。
透過的表領域暗号化はTDE列暗号化に代わる機能です。この方法では、暗号化する列を判別するためにアプリケーションを詳細に分析する必要がありません。特に社会保障番号や患者受診記録など、個人を特定できる情報(PII)が格納されている列が多数あるアプリケーションに有効です。表の中に暗号化するデータが少量しかない場合は、TDE列暗号化を使用し続けてもかまいません。
透過的暗号化の概要は、『Oracle Database 2日でセキュリティ・ガイド』を参照してください。透過的表領域暗号化の詳細は、『Oracle Database Advanced Security管理者ガイド』を参照してください。
Oracle Databaseには、UTL_TCP、UTL_SMTP、UTL_MAIL、UTL_HTTP、UTL_INADDRなど、データベース・ユーザーがデータベースのネットワーク・サービスにアクセスできるように設計されたPL/SQLユーティリティ・パッケージのセットが用意されています。PL/SQLユーティリティ・パッケージの詳細は、『Oracle Database PL/SQLパッケージおよびタイプ・リファレンス』を参照してください。
デフォルトのデータベース・インストールでは、これらのパッケージは、PUBLICユーザーに付与されるEXECUTE権限付きで作成されます。このリリースでは、これらのパッケージを使用するデータベース内のアプリケーションへのアクセスをデータベース管理者が制御できるようにして、これらのパッケージのセキュリティを強化しています。
詳細は、「PL/SQLパッケージおよびタイプでのファイングレイン・アクセスの管理」を参照してください。
AUDIT文のBY SESSION句を使用すると、監査対象イベントごとに1つの監査レコードが書き込まれるようになりました。以前のリリースでは、BY SESSIONにより、すべてのSQL文、または同一ユーザー・セッション内の同一スキーマ・オブジェクトに実行された同一タイプの操作に対して、1つの監査レコードが書き込まれていました。現在は、BY SESSIONとBY ACCESSの両方によって、監査操作ごとに1つの監査レコードが書き込まれます。これ以外に、LOGONイベントとLOGOFFイベント用の個別の監査レコードがあります。BY ACCESS句を省略すると、BY SESSIONがデフォルトで使用されます。
BY SESSIONによって生成される監査レコードは、BY ACCESSの監査レコードとは異なります。より詳細な監査レコードが作成されるように、すべてのAUDIT文にBY ACCESS句を指定することをお薦めします。LOGOFFイベントについては、監査レコードのタイムスタンプの精度が以前のリリースより高くなっています。
この変更は、データ定義言語(DDL)文以外のSQL文を監査するスキーマ・オブジェクト監査オプション、文オプションおよびシステム権限に適用されることに注意してください。DDL文を監査するすべてのSQL文およびシステム権限については、常にBY ACCESS句を使用して監査が行われます。
詳細は、次の各項を参照してください。
この項の内容は、次のとおりです。
セキュリティ・オブジェクトは、Oracle XML DBリポジトリにXMLTypeオブジェクトとして格納されるようになりました。これらのセキュリティ・オブジェクトには、別の言語で検索または表示できるように、その言語に変換する必要がある文字列を格納できます。開発者は、変換した複数の文字列をXMLTypeで格納し、ユーザーの言語設定に応じてこれらの文字列を取得および操作できます。この機能の利点は、ユーザーのターゲット優先言語に依存しないアプリケーションの開発関連コストが削減されることです。
XMLTypeオブジェクトのセキュリティを構成する方法は、『Oracle XML DB開発者ガイド』を参照してください。
サービス指向アーキテクチャ(SOA)の操作にOracle XML DB HTTPサーバーを使用できるようになりました。この結果、SOA環境でデータベースを単純に別のサービス・プロバイダとして扱うことができます。セキュリティ管理者は、事前定義のロールであるXDB_WEBSERVICES、XDB_WEBSERVICES_OVER_HTTPおよびXDB_WEBSERVICES_WITH_PUBLICを使用して、Oracle Database Webサービスとその関連データベース・オブジェクトへのユーザー・アクセスを制御できます。
Oracle Database Webサービスの構成方法は、『Oracle XML DB開発者ガイド』を参照してください。この機能の事前定義のロールに関する詳細は、表4-3「Oracle Databaseの事前定義ロール」を参照してください。
このリリースでは、管理者は、ディレクトリ内のデータベース・サービス情報への匿名アクセスを禁止し、LDAPディレクトリベースの名前参照の実行時に、クライアントに認証を要求できるようになりました。Microsoft Active Directoryベースの名前参照を使用している場合、Oracle Databaseでは、オペレーティング・システムベースのネイティブ認証が使用されます。Oracle Internet Directory(OID)ベースの名前参照を使用している場合は、ウォレットを使用して認証が実行されます。
ディレクトリのセキュリティの構成方法は、『Oracle Database Net Servicesリファレンス』を参照してください。
Oracle Call Interface(OCI)で使用できるセキュリティ拡張機能は、次のとおりです。
悪意のあるユーザーまたは侵入者が送信元の可能性がある不正なパケットのレポート。
不正なパケット受信時のクライアントまたはサーバー・プロセスの終了または再開。
認証の最大試行回数の構成。
Oracleデータベース・バージョンのバナー表示の制御。これは、バージョンによってデータベース・ソフトウェアに存在するセキュリティ上の脆弱性に関する情報を侵入者が検出できないようにするためです。
サーバー接続に対する「不正なアクセス」や「ユーザー・アクション監査済」などのバナー情報の追加。クライアントでこの情報を表示できます。
データベース管理者は、新しい一連の初期化パラメータを構成することによって、Oracle Call Interface開発者のためにこれらのセキュリティ拡張機能を管理できます。詳細は、「データベース通信のセキュリティを強化するためのパラメータ」を参照してください。Oracle Call Interfaceの詳細は、『Oracle Call Interfaceプログラマーズ・ガイド』も参照してください。
