Oracle Advanced Securityの新機能

この項では、Oracle Advanced Security 11g リリース2 (11.2)の新機能について説明し、追加情報の参照先を示します。

• Oracle Database 11gリリース2 (11.2.0.4)におけるOracle Advanced Securityの新機能

• Oracle Database 11gリリース2 (11.2.0.3)におけるOracle Advanced Securityの新機能

• Oracle Database 11gリリース2 (11.2)におけるOracle Advanced Securityの新機能

• Oracle Database 11gリリース1 (11.1)におけるOracle Advanced Securityの新機能

Oracle Database 11g リリース2 (11.2.0.4)におけるOracle Advanced Securityの新機能

このリリースには、次の新機能があります。

• データをマスクするためのOracle Data Redaction

• Secure Sockets Layer証明書のフィルタ処理

データをマスクするためのOracle Data Redaction

このリリースには、権限の低いユーザーやアプリケーションからデータを偽装(マスク)することができるOracle Data Redactionが含まれています。たとえば、次のクレジット・カード番号があると仮定します。

• 5105 1051 0510 5100

• 5111 1111 1111 1118

• 5454 5454 5454 5454

データ・リダクションを使用して、末尾4桁を次のように偽装できます。

• 5105 1051 0510 ****

• 5111 1111 1111 ****

• 5454 5454 5454 ****

データは起動時にリダクションされます、つまり、データは、ユーザーがデータを含むページにアクセスするときは非表示になりますが、データベースからは参照できています。これにより、機密データを通常どおりに処理することができ、バックエンドでの参照整合性やデータ制約は維持されます。部分的にデータをリダクションすることもでき、これにより、オリジナル・データの一部は、それ全体を固定値で置換するか、暗号化された値を持つデータで置換することで保持されます(クレジット・カード番号の末尾4桁など)。また、Oracle Data Redactionポリシーを簡単にエンタープライズのデータベースに適用できます。

詳細は、第I部「Oracle Data Redaction」を参照してください。

Secure Sockets Layer証明書のフィルタ処理

このリリース以降、sqlnet.oraファイルのSQLNET.SSL_EXTENDED_KEY_USAGEパラメータを使用して、クライアントの認証に自動的に使用されるSecure Sockets Layer証明書を選択できます。たとえば、スマートカードに複数の証明書があるが、証明書の1つのみにclient authenticationの拡張鍵使用方法フィールドがあるとします。アプリケーションでは、証明書選択ダイアログ・ボックスが表示され、認証の種類を選択するように要求されます。認証の種類は常にクライアント用であるため、SQLNET.SSL_EXTENDED_KEY_USAGEパラメータにより、このダイアログ・ボックスをバイパスし、自動的にクライアント認証を選択できます。その結果、タスクで実行する手順が減り、ユーザーの仕事は、より簡単でより効率的になります。

詳細は、「手順3G: クライアントでの認証に使用する証明書の指定(オプション)」を参照してください。

Oracle Database 11gリリース2 (11.2.0.3)におけるOracle Advanced Securityの新機能

このリリースには、次の新機能があります。

• SHA-2証明書署名のサポート

• スマートカードでのPINおよび複数証明書のサポート

• Solaris用TDEハードウェア・アクセラレーション

SHA-2証明書署名のサポート

この機能では、データベースでネットワーク暗号化および認証に使用されるSHA-2 (256ビット)署名付き証明書のサポートが導入されます。

これらの証明書は別の認証局(CA)で発行され、安全なデータベース接続が確立されている場合に、データベースとクライアントの間で交換されます。

スマートカードでのPINおよび複数証明書のサポート

この機能では、複数の証明書を含むCommon Access Cards (CAC、HSPD-12)を使用した、データベースに対する認証のサポートが導入されます。

1つ以上のデジタル証明書が記録されているカードをデータベース・ユーザーが挿入すると、データベースは読み取る証明書をインテリジェントに選択しようとします。データベースが読み取る証明書を判別できない場合、Windowsクライアントでは選択ボックスが表示されます。ユーザーは、正しいPINを手動で入力することも必要です。

Solaris用TDEハードウェア・アクセラレーション

透過的データ暗号化(TDE)では、暗号化および復号化処理を高速化する専用の暗号シリコンを搭載したデータベース・ホスト・マシンを自動的に検出します。検出すると、TDEは専用のシリコンを使用して暗号処理を実行し、暗号パフォーマンス全体を高速化します。

以前のリリースでは、TDEの暗号ハードウェア・アクセラレーションはIntel Xeonでしか使用できず、Linuxにしか対応していませんでした。リリース11.2.0.3以降では、SPARC TシリーズおよびIntel Xeonの両方で実行される現行バージョンのSolaris 11でも使用できます。

Oracle Database 11g リリース2 (11.2)におけるOracle Advanced Securityの新機能

このリリースには、次の新機能があります。

• TDE表領域暗号化の拡張

• TDEによるIntel Advanced Encryption Standard New Instructions (Intel AES-NI)のサポート

• Internet Protocol Version 6(IPv6)のサポート

• Kerberosの機能強化

TDE表領域暗号化の拡張

Oracle Database 11g リリース2 (11.2)では、TDE表領域暗号化に次の拡張が実装されています。

• 透過的データ暗号化(TDE)列暗号化とTDE表領域暗号化の両方で、統合マスター暗号化鍵が使用されます。

• オプションとして、統合マスター暗号化鍵は、ハードウェア・セキュリティ・モジュールに格納することもできます。これにより、TDE表領域暗号化機能をハードウェア・セキュリティ・モジュールと組み合せて使用できるようになります。

• 統合マスター暗号化鍵はリセット(rekey)できます。これによってセキュリティが強化され、セキュリティ要件やコンプライアンス要件への対応が促進されます。

関連項目: 「表領域全体の暗号化」

TDEによるIntel Advanced Encryption Standard New Instructions (Intel AES-NI)のサポート

透過的データ暗号化(TDE)でIntel AES-NIがサポートされるようになりました。Intel AES-NIを使用するIntel Xeon 5600シリーズ・プロセッサベースのサーバーで実行されるOracle Database 11g リリース2 (11.2)では、TDE暗号化および復号化速度の大幅な向上が示されます。

ベンチマーク結果によると、TDEでは、AES-NIを利用するIntel Xeon X5680プロセッサで、256ビット鍵を使用した場合、AES-NIを利用しないIntel Xeon X5560プロセッサと比較して、AES暗号化処理速度が10倍高速化し、復号化処理速度が8倍高速化することが示されています。

Internet Protocol Version 6(IPv6)のサポート

Oracle Advanced Securityは、Internet Protocol Version 6 (IPv6)ネットワークを完全にサポートします。

Kerberosの機能強化

Oracle Kerberos認証メカニズムでは、Microsoft Windows Server 2003の制約付き委任機能がサポートされるようになりました。中間層はKerberosアダプタを使用して、ユーザーの転送されたKerberos資格証明を提供しなくても、Oracle Databaseに対する認証を行うことができます。

ユーザーは、Kerberos以外の認証メカニズムを使用して中間層に対する認証を行うことができます。中間層は、ユーザーのかわりにKerberos認証メカニズムを使用してバックエンドOracle Databaseに対する認証を行うことができます。

関連項目: Microsoft Windows Server 2003の制約付き委任機能の詳細は、Microsoft社のドキュメントを参照してください。

Oracle Database 11g リリース1 (11.1)におけるOracle Advanced Securityの新機能

このリリースには、次の新機能があります。

• 透過的データ暗号化の拡張

• Kerberos認証の安全性と管理性の向上

透過的データ暗号化の拡張

透過的データ暗号化を使用すると、暗号化鍵を管理することなく列内のデータを暗号化できます。企業はアプリケーションを変更することなく、データベース内の機密データを保護できます。

Oracle Advanced Securityでは、AESや3DESなどの業界標準暗号化アルゴリズムを使用して、暗号化対象としてマークされた列を暗号化します。鍵管理はデータベースによって処理されます。鍵管理に対するSQLインタフェースによって暗号化の複雑さが隠されます。

表領域暗号化を使用して表領域全体を暗号化できるようになりました。暗号化されている表領域に作成されたオブジェクトはすべて自動的に暗号化されます。詳細は、「TDE表領域暗号化」を参照してください。

透過的データ暗号化では、ハードウェア・セキュリティ・モジュール(HSM)を使用してマスター暗号化鍵を格納できるようになりました。これにより、セキュリティが強化されました。詳細は、「TDEでのハードウェア・セキュリティ・モジュールの使用」を参照してください。

関連項目: サポートされている暗号化アルゴリズムの詳細は、「サポートされる暗号化アルゴリズム」を参照してください。 透過的データ暗号化の実装および使用の詳細は、第8章「透過的データ暗号化を使用した格納済データの保護」を参照してください。

Kerberos認証の安全性と管理性の向上

Kerberosの実装で、DESのかわりに3DESやAESなどの安全な暗号化アルゴリズムが使用されるようになりました。これにより、Kerberos使用の安全性が向上しています。Oracle DatabaseのKerberos認証メカニズムでは、現在次の暗号化タイプがサポートされています。

• DES3-CBC-SHA (DES3アルゴリズム、CBCモード、HMAC-SHA1チェックサム)

• AES128-CTS (128ビット鍵のAESアルゴリズム、CTSモード、HMAC-SHA1チェックサム)

• AES256-CTS (256ビット鍵のAESアルゴリズム、CTSモード、HMAC-SHA1チェックサム)

Kerberos実装は、Microsoft社の製品およびMITのKey Distribution Centersと円滑に相互運用されるように拡張されています。

Kerberosのプリンシパル名に、30を超える文字を使用できるようになりました。データベース・ユーザー名に使用できる文字数によって制限されなくなりました。

関連項目: 第12章「Kerberos認証の構成」

注意: このリリースでは、多重化および接続プーリングの機能はSSLトランスポートの機能とともに使用できません。JDBCで使用可能な暗号化サポートの詳細は、『Oracle Database JDBC開発者ガイドおよびリファレンス』を参照してください。