| Oracle Enterprise Managerポリシー・リファレンス・マニュアル 10gリリース2(10.2) B28458-01 |
|
 戻る |
 次へ |
この章では、各データベース・インスタンス・ポリシーについて、次の情報を提供します。
ポリシーの概要
ポリシーの主要プロパティのサマリー
ポリシーのデフォルト値: パラメータとそのデフォルト値、およびデフォルトでは除外されるオブジェクト
ポリシー違反の影響
違反が発生した際に実行する処理
データベース・インスタンス・ポリシーは、次のように分類されます。
データベース・インスタンス・ターゲットの構成ポリシーは、次のとおりです。
このポリシーは、STATISTICS_LEVEL初期化パラメータがBASICに設定されているかどうかをチェックします。
STATISTICS_LEVEL初期化パラメータの有効な設定には、TYPICAL、ALL、BASICの3つがあります。
デフォルト設定のTYPICALを使用すると、データベースの自己管理に必要なすべての主要統計と機能が確実に収集され、全体的な最良のパフォーマンスが提供されます。このデフォルト値は、ほとんどの環境に適しています。
パラメータをALLに設定すると、TYPICALに設定した場合と同じ統計がすべて収集され、それに加えて指定時間に動作するOSと計画実行統計も収集されます。
パラメータをBASICに設定すると、Oracleデータベースの機能に必要な多くの重要な統計の収集が無効になります。
ポリシー・サマリー
次の表に、ポリシーの主要プロパティを示します。
| 重大度 | カテゴリ | ターゲット・タイプ | 影響のあるバージョン | ポリシー・ルールの評価脚注 1 | 自動的に有効化されるか | アラート・メッセージ |
|---|---|---|---|---|---|---|
| クリティカル | 構成 | データベース・インスタンス | Oracleサーバー10gリリース | 基礎となるメトリックは、24時間に1度の頻度で収集を行います。 | はい | データベースがBASICに設定されています。Oracleデータベースの機能に必要な多くの重要な統計が無効になっています。 |
デフォルト
パラメータとそのデフォルト値
STATISTICS_LEVEL: TYPICAL
デフォルトで除外されるオブジェクト
該当なし
違反の影響
自動統計収集は、オプティマイザによる正確な実行計画の生成を可能にし、またパフォーマンスの問題を特定および修正する場合に必要です。STATISTICS_LEVELは、デフォルトでTYPICALに設定されます。STATISTICS_LEVEL初期化パラメータをBASICに設定すると、Oracleデータベースの機能に必要な多くの重要な統計の収集が無効になります。
処理
STATISTICS_LEVEL初期化パラメータをTYPICALに設定します。
このポリシーは、Data Guard Brokerの使用時に、プライマリ・データベースの強制ロギングが無効になっていないかをチェックします。
ポリシー・サマリー
次の表に、ポリシーの主要プロパティを示します。
| 重大度 | カテゴリ | ターゲット・タイプ | 影響のあるバージョン | ポリシー・ルールの評価脚注 1 | 自動的に有効化されるか | アラート・メッセージ |
|---|---|---|---|---|---|---|
| 情報 | 構成 | データベース・インスタンス、クラスタ・データベース | Oracleサーバー9iリリース2以上 | 基礎となるメトリックは、24時間に1度の頻度で収集を行います。 | はい | プライマリ・データベースが強制ロギング・モードではありません。そのため、ログに記録されないプライマリ・データベースへの直接書込みはスタンバイ・データベースに伝播されません。 |
デフォルト
パラメータとそのデフォルト値
該当なし
デフォルトで除外されるオブジェクト
該当なし
違反の影響
プライマリ・データベースが強制ロギング・モードではありません。そのため、ログに記録されないプライマリ・データベースへの直接書込みはスタンバイ・データベースに伝播されません。
処理
ALTER DATABASE FORCE LOGGINGパラメータを使用して、プライマリ・データベースを強制ロギング・モードに設定します。
ネイティブでコンパイルされた(NCOMP)クラスを実行することによりJava仮想マシンのパフォーマンスを向上させる、JAccelerator(NCOMP)のインストールの有無をチェックします。
ポリシー・サマリー
次の表に、ポリシーの主要プロパティを示します。
| 重大度 | カテゴリ | ターゲット・タイプ | 影響のあるバージョン | ポリシー・ルールの評価脚注 1 | 自動的に有効化されるか | アラート・メッセージ |
|---|---|---|---|---|---|---|
| 情報 | 構成 | データベース・インスタンス、クラスタ・データベース | すべて | 基礎となるメトリックは、24時間に1度の頻度で収集を行います。 | はい | JAccelerator(NCOMP)がインストールされていません。JAcceleratorがない場合、Java VMのパフォーマンスは最適ではなくなります。 |
デフォルト
パラメータとそのデフォルト値
パラメータのデフォルト値は、Oracle Databaseターゲットのバージョンによって異なります。パラメータとそのデフォルト値については、データベース・ターゲットの各バージョンのOracle Databaseドキュメントを参照してください。
デフォルトで除外されるオブジェクト
該当なし
違反の影響
Java VMのパフォーマンスが最適ではなくなります。
処理
Java仮想マシンのパフォーマンスを向上させるために、ネイティブにコンパイルされた(NCOMP)クラスを通常含んでいるJAccelerator(NCOMP)をインストールします。
このポリシーは、単一の制御ファイルを使用していないかどうかをチェックします。
ポリシー・サマリー
次の表に、ポリシーの主要プロパティを示します。
| 重大度 | カテゴリ | ターゲット・タイプ | 影響のあるバージョン | ポリシー・ルールの評価脚注 1 | 自動的に有効化されるか | アラート・メッセージ |
|---|---|---|---|---|---|---|
| クリティカル | 構成 | データベース・インスタンス、クラスタ・データベース | すべて | 基礎となるメトリックは、24時間に1度の頻度で収集を行います。 | はい | データベースに十分な制御ファイルがありません。メディア・エラーによって1つしかない制御ファイルが失われると、不要な停止時間その他のリスクが発生します。 |
デフォルト
パラメータとそのデフォルト値
パラメータのデフォルト値は、Oracle Databaseターゲットのバージョンによって異なります。パラメータとそのデフォルト値については、データベース・ターゲットの各バージョンのOracle Databaseドキュメントを参照してください。
デフォルトで除外されるオブジェクト
該当なし
違反の影響
制御ファイルは、Oracleデータベースで最も重要なファイルの1つです。このファイルには、データベースに関する多くの物理特性と重要なリカバリ情報が記載されています。メディア・エラーによって1つしかない制御ファイルが失われると、不要な停止時間その他のリスクが発生します。
処理
異なるディスク上に多重化された2つ以上の制御ファイルを使用します。
このポリシーは、使用しているREDOログが2つ以下でないかをチェックします。
ポリシー・サマリー
次の表に、ポリシーの主要プロパティを示します。
| 重大度 | カテゴリ | ターゲット・タイプ | 影響のあるバージョン | ポリシー・ルールの評価脚注 1 | 自動的に有効化されるか | アラート・メッセージ |
|---|---|---|---|---|---|---|
| 警告 | 構成 | データベース・インスタンス、クラスタ・データベース | すべて | 基礎となるメトリックは、24時間に1度の頻度で収集を行います。 | はい | データベースのREDOログ・ファイルの数が不足しています。オンラインREDOログのサイズと数が不足すると、LGWRはログを上書きする前に、ARCHがアーカイブ済ログ保存先への書込みを完了するのを待ちます。このような動作は、アクティビティがピークに達する期間には著しくパフォーマンスを低下させる原因となります。 |
デフォルト
パラメータとそのデフォルト値
パラメータのデフォルト値は、Oracle Databaseターゲットのバージョンによって異なります。パラメータとそのデフォルト値については、データベース・ターゲットの各バージョンのOracle Databaseドキュメントを参照してください。
デフォルトで除外されるオブジェクト
該当なし
違反の影響
オンラインREDOログ・ファイルは、リカバリに備えてデータベースにおける変更を記録するために使用されます。アーカイブが有効な場合、オンラインREDOログを再利用する前にアーカイブする必要があります。各データベースでは、最低でも2つのオンラインREDOログ・グループが実行中である必要があります。オンラインREDOログのサイズと数が不足すると、LGWRはログを上書きする前に、ARCHがアーカイブ済ログ保存先への書込みを完了するのを待ちます。このような動作は、アクティビティがピークに達する期間には著しくパフォーマンスを低下させる原因となります。
処理
少なくとも3つのオンラインREDOログ・グループと、各グループに少なくとも2つのメンバーを用意することをお薦めします。同じグループのメンバーは、異なるディスク・ドライブ上にある必要があります。
このポリシーは、PGA_AGGREGATE_TARGET初期化パラメータの値が0であるかどうか、またはWORKAREA_SIZE_POLICYの値がMANUALであるかどうかをチェックします。
このパラメータは、ソートとハッシュ結合に割り当てられるメモリーの量を自動的に制御します。ソートまたはハッシュ結合に大量のメモリーが割り当てられると、これらの操作のオプティマイザ・コストが減少します。
OLTPシステムでは、通常、使用可能な全メモリーのうちPGAメモリーが占める割合はわずかで(たとえば20%)、残りの80%をSGAが占めます。
大量のメモリーを使用して大規模な問合せを実行するDSSシステムでは、通常、PGAメモリーは合計量の70%まで(この例では2.2GBまで)を使用します。
パラメータPGA_AGGREGATE_TARGETの適切な初期値は、次のとおりです。
OLTPの場合: PGA_AGGREGATE_TARGET =(total_mem * 80%)* 20%
DSSの場合: PGA_AGGREGATE_TARGET =(total_mem * 80%)* 50%(total_memはシステムで使用可能な物理メモリーの合計量)
ポリシー・サマリー
次の表に、ポリシーの主要プロパティを示します。
| 重大度 | カテゴリ | ターゲット・タイプ | 影響のあるバージョン | ポリシー・ルールの評価脚注 1 | 自動的に有効化されるか | アラート・メッセージ |
|---|---|---|---|---|---|---|
| 警告 | 構成 | データベース・インスタンス | Oracleサーバー9i以上 | 基礎となるメトリックは、24時間に1度の頻度で収集を行います。 | はい | データベースで自動PGAメモリー管理を使用していません。これは、PGAメモリーの割当て方法を簡略化および改善します。 |
デフォルト
パラメータとそのデフォルト値
PGA_AGGREGATE_TARGET: 0
WORKAREA_SIZE_POLICY: MANUAL
デフォルトで除外されるオブジェクト
該当なし
違反の影響
自動PGAメモリー管理は、PGAメモリーの割当て方法を簡略化および改善します。有効にすると、DBAが設定したPGA_AGGREGATE_TARGET制限を保持したまま、作業領域専用のPGAメモリーの一部がOracleによって動的に調整できるようになります。
処理
自動PGAメモリー管理を有効にし、PGA_AGGREGATE_TARGET初期化パラメータをゼロ以外に設定します。Oracle PGAアドバイスを使用すると、PGA_AGGREGATE_TARGETを最適なサイズに簡単に設定できます。
このポリシーは、SGA_TARGET初期化パラメータの値がゼロであるかどうかをチェックします。
SGA_TARGETをSGAの目的のサイズに設定すると、共有プール(SHARED_POOL_SIZE)、ラージ・プール(LARGE_POOL_SIZE)、Javaプール(JAVA_POOL_SIZE)およびバッファ・キャッシュ(DB_CACHE_SIZE)のサイズが、Oracleによって自動的に管理されます。そのため、4つの初期化パラメータを設定するかわりに、1つの初期化パラメータを設定するだけで済みます。ただし、アプリケーションでこれらのプールのサイズに対して最低要件が設定されている場合は例外です。この場合、初期化パラメータの設定は可能ですが、設定したパラメータは最低要件として処理されます。
ポリシー・サマリー
次の表に、ポリシーの主要プロパティを示します。
| 重大度 | カテゴリ | ターゲット・タイプ | 影響のあるバージョン | ポリシー・ルールの評価脚注 1 | 自動的に有効化されるか | アラート・メッセージ |
|---|---|---|---|---|---|---|
| 情報 | 構成 | データベース・インスタンス | Oracleサーバー10gリリース1以上 | 基礎となるメトリックは、24時間に1度の頻度で収集を行います。 | はい | SGAの構成を簡略化する自動共有メモリー管理がデータベースで使用されていません。 |
デフォルト
パラメータとそのデフォルト値
パラメータのデフォルト値は、Oracle Databaseターゲットのバージョンによって異なります。パラメータとそのデフォルト値については、データベース・ターゲットの各バージョンのOracle Databaseドキュメントを参照してください。
デフォルトで除外されるオブジェクト
該当なし
違反の影響
SGA_TARGET初期化パラメータがゼロに設定されています。この状態では、すべてのSGAメモリー管理を手動で行う必要があります。ゼロ以外のSGA_TARGETを指定して、SHARED_POOL_SIZE、LARGE_POOL_SIZE、JAVA_POOL_SIZEおよびDB_CACHE_SIZEを自動的に管理できるようにしてください。
SGA_TARGETを設定すると、これらのパラメータがゼロに設定され、Oracleが動的な調整を行うためにSGA_TARGETのサイズ全体を使用できるようになります。SGA_TARGETを設定する前に、いずれかのプール・サイズで、アプリケーション・レベルの最小プール・サイズ要件をサポートするための設定が必要かどうかを判断してください。
処理
自動共有メモリー管理は、SGAの構成を簡略化し、推奨されるメモリー構成です。自動共有メモリー管理を使用するには、SGA_TARGET初期化パラメータをSGA専用とするメモリーの量に設定します。この値はSGA_MAX_SIZE初期化パラメータの値以下に設定できます。SGA_TARGET初期化パラメータを設定した後、STATISTICS_LEVEL初期化パラメータがTYPICALに設定されていることを確認します。
統計レベルのリンクをクリックすると、「初期化パラメータ」ページが表示され、検索条件にstatistics_levelが自動入力されます。sga_targetのリンクをクリックすると、メモリー・パラメータSGAページが表示され、「管理」タブから自動共有メモリー管理を有効にできます。
このポリシーは、自動UNDO領域管理が使用されていないことをチェックします。
ポリシー・サマリー
次の表に、ポリシーの主要プロパティを示します。
| 重大度 | カテゴリ | ターゲット・タイプ | 影響のあるバージョン | ポリシー・ルールの評価脚注 1 | 自動的に有効化されるか | アラート・メッセージ |
|---|---|---|---|---|---|---|
| クリティカル | 構成 | データベース・インスタンス | Oracleサーバー9.2以上 | 基礎となるメトリックは、24時間に1度の頻度で収集を行います。 | はい | データベースで自動UNDO管理を使用していません。このため、不要な競合とパフォーマンスの問題が発生する場合があります。 |
デフォルト
パラメータとそのデフォルト値
パラメータのデフォルト値は、Oracle Databaseターゲットのバージョンによって異なります。パラメータとそのデフォルト値については、データベース・ターゲットの各バージョンのOracle Databaseドキュメントを参照してください。
デフォルトで除外されるオブジェクト
なし
違反の影響
自動UNDO管理を使用しないと、データベースで不要な競合とパフォーマンスの問題が発生します。特に、ロールバック・セグメントのヘッダー・ブロックに対する競合は、バッファ・ビジー待機の形で発生し、ORA-1555(スナップショットが古すぎます。)のエラーが発生する確率が高くなります。
処理
手動UNDOまたはロールバック・セグメントではなく、自動UNDO領域管理を使用します。
このポリシーは、OPTIMIZER_FEATURES_ENABLEの値が、最新のオプティマイザのバージョンより小さいかどうかをチェックします。
ポリシー・サマリー
次の表に、ポリシーの主要プロパティを示します。
| 重大度 | カテゴリ | ターゲット・タイプ | 影響のあるバージョン | ポリシー・ルールの評価脚注 1 | 自動的に有効化されるか | アラート・メッセージ |
|---|---|---|---|---|---|---|
| 警告 | 構成 | データベース・インスタンス | すべて | 基礎となるメトリックは、24時間に1度の頻度で収集を行います。 | はい | データベースでオプティマイザの最新バージョンを使用していません。新しいバージョンのオプティマイザには、より適切な情報があり、SQL文を実行する最も効率的な方法の決定に役立てられます。 |
デフォルト
パラメータとそのデフォルト値
パラメータのデフォルト値は、Oracle Databaseターゲットのバージョンによって異なります。パラメータとそのデフォルト値については、データベース・ターゲットの各バージョンのOracle Databaseドキュメントを参照してください。
デフォルトで除外されるオブジェクト
該当なし
違反の影響
古いバージョンのオプティマイザを使用すると、実行計画または問合せパフォーマンスの問題が発生する可能性があります。Oracleオプティマイザは、バージョンごとに異なる決定を行います。バージョンが新しいオプティマイザには、より正確な情報が含まれているため、SQL文の最も効率的な実行方法の決定に役立ちます。
処理
OPTIMIZER_FEATURES_ENABLEパラメータを最新のバージョンに設定します。これによって、オプティマイザが最新の機能を使用できるようになります。以前のバージョンのオプティマイザ用にチューニングされ、実行計画または問合せパフォーマンスの問題が発生しているすべての問合せは、その都度修正する必要があります。
OPTIMIZER_FEATURES_ENABLEのリンクをクリックすると、「初期化パラメータ」ページが表示され、検索条件にOPTIMIZER_FEATURES_ENABLEが自動入力されます。このページから、OPTIMIZER_FEATURES_ENABLEの設定を最新のバージョンに変更できます。
このポリシーは、SPFILE(サーバー・パラメータ・ファイル)が使用されていないことをチェックします。
ポリシー・サマリー
次の表に、ポリシーの主要プロパティを示します。
| 重大度 | カテゴリ | ターゲット・タイプ | 影響のあるバージョン | ポリシー・ルールの評価脚注 1 | 自動的に有効化されるか | アラート・メッセージ |
|---|---|---|---|---|---|---|
| クリティカル | 構成 | データベース・インスタンス | Oracleサーバー9i以上 | 基礎となるメトリックは、24時間に1度の頻度で収集を行います。 | はい | データベースでSPFILEを使用していません。ALTER SYSTEMコマンドを使用して行った変更は維持されません。 |
デフォルト
パラメータとそのデフォルト値
パラメータのデフォルト値は、Oracle Databaseターゲットのバージョンによって異なります。パラメータとそのデフォルト値については、データベース・ターゲットの各バージョンのOracle Databaseドキュメントを参照してください。
デフォルトで除外されるオブジェクト
該当なし
違反の影響
SPFILE(サーバー・パラメータ・ファイル)を使用すると、ALTER SYSTEMコマンドによって行ったOracle初期化パラメータへの動的な変更を永続させることができます。この永続性は、データベースのシャットダウン後にも維持されます。データベースでSPFILEが構成されている場合、対応する変更をOracle初期化ファイルに反映させる必要はありません。また、ALTER SYSTEMコマンドによって行われたすべての変更は、シャットダウンと再起動の後でも失われません。
処理
サーバー・パラメータ・ファイルを使用して、変更を動的に更新します。
このポリシーは、DB_RECOVERY_FILE_DEST初期化パラメータが設定されているかチェックします。
ポリシー・サマリー
次の表に、ポリシーの主要プロパティを示します。
| 重大度 | カテゴリ | ターゲット・タイプ | 影響のあるバージョン | ポリシー・ルールの評価脚注 1 | 自動的に有効化されるか | アラート・メッセージ |
|---|---|---|---|---|---|---|
| 情報 | 構成 | データベース・インスタンス、クラスタ・データベース | Oracleサーバー10gリリース1以上 | 基礎となるメトリックは、24時間に1度の頻度で収集を行います。 | はい | リカバリ領域の場所が設定されていません。リカバリ領域の場所を設定すると、すべてのリカバリ・コンポーネントに対して統合された記憶域の場所が提供されます。 |
デフォルト
パラメータとそのデフォルト値
該当なし
デフォルトで除外されるオブジェクト
該当なし
違反の影響
リカバリ領域の場所を設定しないと、すべてのリカバリ・コンポーネントに対する記憶域の場所が分割されます。
処理
リカバリ領域の場所を設定し、すべてのリカバリ・コンポーネントに対して統合された記憶域の場所を提供します。
このポリシーは、STATISTICS_LEVEL初期化パラメータがALLに設定されているかどうかをチェックします。
ポリシー・サマリー
次の表に、ポリシーの主要プロパティを示します。
| 重大度 | カテゴリ | ターゲット・タイプ | 影響のあるバージョン | ポリシー・ルールの評価脚注 1 | 自動的に有効化されるか | アラート・メッセージ |
|---|---|---|---|---|---|---|
| 情報 | 構成 | データベース・インスタンス | Oracleサーバー10gリリース1以上 | 基礎となるメトリックは、24時間に1度の頻度で収集を行います。 | はい | 指定時間に動作するOSと計画実行統計が不必要に収集されています。これにより、システム上で付加的なオーバーヘッドが発生します。 |
デフォルト
パラメータとそのデフォルト値
パラメータのデフォルト値は、Oracle Databaseターゲットのバージョンによって異なります。パラメータとそのデフォルト値については、データベース・ターゲットの各バージョンのOracle Databaseドキュメントを参照してください。
デフォルトで除外されるオブジェクト
該当なし
違反の影響
データベースで必要以上の統計が収集されると、システムで付加的なオーバーヘッドが発生します。
処理
必要な統計のみを収集します。
このポリシーは、標準以外の初期化パラメータの使用状況をチェックします。
ポリシー・サマリー
次の表に、ポリシーの主要プロパティを示します。
| 重大度 | カテゴリ | ターゲット・タイプ | 影響のあるバージョン | ポリシー・ルールの評価脚注 1 | 自動的に有効化されるか | アラート・メッセージ |
|---|---|---|---|---|---|---|
| 情報 | 構成 | データベース・インスタンス | すべて | 基礎となるメトリックは、24時間に1度の頻度で収集を行います。 | はい | データベースで標準以外の初期化パラメータ%INIT_PARAM_NAME%を使用しています。標準以外の初期化パラメータを使用すると、診断が困難なデータベースの問題が発生する場合があります。 |
デフォルト
パラメータとそのデフォルト値
パラメータのデフォルト値は、Oracle Databaseターゲットのバージョンによって異なります。パラメータとそのデフォルト値については、データベース・ターゲットの各バージョンのOracle Databaseドキュメントを参照してください。
デフォルトで除外されるオブジェクト
2つのアンダースコア(__)で始まるパラメータ。これらは特別なパラメータで、Oracle Database用に予約されています。
違反の影響
標準以外の初期化パラメータが使用されています。これらのパラメータは、適切でないアドバイスや誤った推定に基づいて使用された可能性があります。特に、ラッチのSPIN_COUNTおよびドキュメントに記載されていないオプティマイザ機能に関連するパラメータは、多くの確認作業を必要とする大きな問題となる可能性があります。
処理
標準以外の初期化パラメータの使用を避けます。
UNIXのデータベース・インスタンス・ターゲットのセキュリティ・ポリシーは、次のとおりです。
このポリシーは、ALL_SOURCEビューへのアクセスが制限されていることを確認します。
ポリシー・サマリー
次の表に、ポリシーの主要プロパティを示します。
| 重大度 | カテゴリ | ターゲット・タイプ | 影響のあるバージョン | ポリシー・ルールの評価脚注 1 | 自動的に有効化されるか | アラート・メッセージ |
|---|---|---|---|---|---|---|
| 情報 | セキュリティ | データベース・インスタンス、クラスタ・データベース | Oracleサーバー8以上 | 基礎となるメトリックは、24時間に1度の頻度で収集を行います。 | いいえ | データベースはセキュアな状態ではありません。ユーザーUser %grantee%はALL_SOURCEビューの%privilege%権限を持っています。 |
デフォルト
パラメータとそのデフォルト値
該当なし
デフォルトで除外されるオブジェクト
該当なし
違反の影響
ALL_SOURCEビューにはデータベースにあるすべてのストアド・パッケージのソースが含まれています。
処理
SYS以外のデータベース・ユーザーからALL_SOURCEビューへのアクセスを取り消します。
このポリシーは、DBA_ROLE_PRIVSビューへのアクセスが制限されていることを確認します。
ポリシー・サマリー
次の表に、ポリシーの主要プロパティを示します。
| 重大度 | カテゴリ | ターゲット・タイプ | 影響のあるバージョン | ポリシー・ルールの評価脚注 1 | 自動的に有効化されるか | アラート・メッセージ |
|---|---|---|---|---|---|---|
| 情報 | セキュリティ | データベース・インスタンス、クラスタ・データベース | Oracleサーバー8以上 | 基礎となるメトリックは、24時間に1度の頻度で収集を行います。 | いいえ | データベースはセキュアな状態ではありません。ユーザー%grantee%はDBA_ROLE_PRIVSビューの%privilege%権限を持っています。 |
デフォルト
パラメータとそのデフォルト値
該当なし
デフォルトで除外されるオブジェクト
該当なし
違反の影響
DBA_ROLE_PRIVSビューにはユーザーに付与されたロールおよびその他のロールがリストされています。データベース内のロールの構造に関する情報は、悪質なユーザーに利用される可能性があります。
処理
DBA_ROLE_PRIVSビューへのアクセスを制限します。
このポリシーは、DBA_ROLESビューへのアクセスが制限されていることを確認します。
ポリシー・サマリー
次の表に、ポリシーの主要プロパティを示します。
| 重大度 | カテゴリ | ターゲット・タイプ | 影響のあるバージョン | ポリシー・ルールの評価脚注 1 | 自動的に有効化されるか | アラート・メッセージ |
|---|---|---|---|---|---|---|
| 情報 | セキュリティ | データベース・インスタンス、クラスタ・データベース | Oracleサーバー8以上 | 基礎となるメトリックは、24時間に1度の頻度で収集を行います。 | いいえ | データベースはセキュアな状態ではありません。ユーザー%grantee%はDBA_ROLESビューの%privilege%権限を持っています。 |
デフォルト
パラメータとそのデフォルト値
該当なし
デフォルトで除外されるオブジェクト
該当なし
違反の影響
DBA_ROLESビューには、データベース内のすべてのロールに関する詳細が含まれています。データベース内のロールの構造に関する情報は、悪質なユーザーに利用される可能性があります。たとえば、パブリックにSELECT権限を設定すると、DoS攻撃の可能性が増加します。
処理
DBA_ROLESビューへのアクセスを制限します。
このポリシーは、DBA_SYS_PRIVSビューへのアクセスが制限されていることを確認します。
ポリシー・サマリー
次の表に、ポリシーの主要プロパティを示します。
| 重大度 | カテゴリ | ターゲット・タイプ | 影響のあるバージョン | ポリシー・ルールの評価脚注 1 | 自動的に有効化されるか | アラート・メッセージ |
|---|---|---|---|---|---|---|
| 情報 | セキュリティ | データベース・インスタンス、クラスタ・データベース | Oracleサーバー8以上 | 基礎となるメトリックは、24時間に1度の頻度で収集を行います。 | いいえ | データベースはセキュアな状態ではありません。ユーザー%grantee%はDBA_SYS_PRIVSビューの%privilege%権限を持っています。 |
デフォルト
パラメータとそのデフォルト値
該当なし
デフォルトで除外されるオブジェクト
該当なし
違反の影響
DBA_SYS_PRIVSビューに問い合せて、ロールおよびユーザーに付与されたシステム権限を検索できます。データベース内のロールの構造に関する情報は、悪質なユーザーに利用される可能性があります。
処理
DBA_SYS_PRIVSビューへのアクセスを制限します。
このポリシーは、DBA_TAB_PRIVSビューへのアクセスが制限されていることを確認します。
ポリシー・サマリー
次の表に、ポリシーの主要プロパティを示します。
| 重大度 | カテゴリ | ターゲット・タイプ | 影響のあるバージョン | ポリシー・ルールの評価脚注 1 | 自動的に有効化されるか | アラート・メッセージ |
|---|---|---|---|---|---|---|
| 情報 | セキュリティ | データベース・インスタンス、クラスタ・データベース | Oracleサーバー8以上 | 基礎となるメトリックは、24時間に1度の頻度で収集を行います。 | いいえ | ユーザー%grantee%がDBA_TAB_PRIVSビューの%privilege%権限を持っているため、データベースがセキュアな状態ではない可能性があります。 |
デフォルト
パラメータとそのデフォルト値
該当なし
デフォルトで除外されるオブジェクト
該当なし
違反の影響
ユーザーまたはロールに付与された、データベース内のオブジェクトに対する権限がリストされています。データベース内のロールの構造に関する情報は、悪質なユーザーに利用される可能性があります。
処理
DBA_TAB_PRIVSビューへのアクセスを制限します。
このポリシーは、DBA_USERSビューへのアクセスが制限されていることを確認します。
ポリシー・サマリー
次の表に、ポリシーの主要プロパティを示します。
| 重大度 | カテゴリ | ターゲット・タイプ | 影響のあるバージョン | ポリシー・ルールの評価脚注 1 | 自動的に有効化されるか | アラート・メッセージ |
|---|---|---|---|---|---|---|
| 情報 | セキュリティ | データベース・インスタンス、クラスタ・データベース | Oracleサーバー8以上 | 基礎となるメトリックは、24時間に1度の頻度で収集を行います。 | いいえ | データベースはセキュアな状態ではありません。ユーザー%grantee%はDBA_USERSビューの%privilege%権限を持っています。 |
デフォルト
パラメータとそのデフォルト値
該当なし
デフォルトで除外されるオブジェクト
該当なし
違反の影響
ユーザー名、パスワード・ハッシュおよびその他のアカウント情報が含まれています。この情報にアクセスすると、データベースへの総当たり攻撃を開始できます。
処理
DBA_USERSビューへのアクセスを制限します。
このポリシーは、ROLE_ROLE_PRIVSビューへのアクセスが制限されていることを確認します。
ポリシー・サマリー
次の表に、ポリシーの主要プロパティを示します。
| 重大度 | カテゴリ | ターゲット・タイプ | 影響のあるバージョン | ポリシー・ルールの評価脚注 1 | 自動的に有効化されるか | アラート・メッセージ |
|---|---|---|---|---|---|---|
| 情報 | セキュリティ | データベース・インスタンス、クラスタ・データベース | Oracleサーバー8以上 | 基礎となるメトリックは、24時間に1度の頻度で収集を行います。 | いいえ | データベースはセキュアな状態ではありません。ユーザー%grantee%はROLE_ROLE_PRIVSビューの%privilege%権限を持っています。 |
デフォルト
パラメータとそのデフォルト値
該当なし
デフォルトで除外されるオブジェクト
該当なし
違反の影響
他のロールに付与されたロールがリストされています。データベース内のロールの構造に関する情報は、悪質なユーザーに利用される可能性があります。
処理
ROLE_ROLE_PRIVSビューへのアクセスを制限します。
このポリシーは、STATS$SQL_SUMMARY表へのアクセスが制限されていることを確認します。
ポリシー・サマリー
次の表に、ポリシーの主要プロパティを示します。
| 重大度 | カテゴリ | ターゲット・タイプ | 影響のあるバージョン | ポリシー・ルールの評価脚注 1 | 自動的に有効化されるか | アラート・メッセージ |
|---|---|---|---|---|---|---|
| 情報 | セキュリティ | データベース・インスタンス、クラスタ・データベース | Oracleサーバー8以上 | 基礎となるメトリックは、24時間に1度の頻度で収集を行います。 | いいえ | データベースはセキュアな状態ではありません。ユーザー%grantee%はSTATS$SQL_SUMMARY表の%privilege%権限を持っています。 |
デフォルト
パラメータとそのデフォルト値
該当なし
デフォルトで除外されるオブジェクト
該当なし
違反の影響
サーバーに対して発行されたほとんどのリソース集約コマンドを表すSQLテキストの最初の数行が含まれています。バインド変数なしで実行されたSQL文がここに表示され、機密情報が公開される可能性があります。
処理
STATS$SQL_SUMMARY表へのアクセスを制限します。
このポリシーは、STATS$SQLTEXT表へのアクセスが制限されていることを確認します。
ポリシー・サマリー
次の表に、ポリシーの主要プロパティを示します。
| 重大度 | カテゴリ | ターゲット・タイプ | 影響のあるバージョン | ポリシー・ルールの評価脚注 1 | 自動的に有効化されるか | アラート・メッセージ |
|---|---|---|---|---|---|---|
| 情報 | セキュリティ | データベース・インスタンス、クラスタ・データベース | Oracleサーバー8以上 | 基礎となるメトリックは、24時間に1度の頻度で収集を行います。 | いいえ | データベースはセキュアな状態ではありません。ユーザー%grantee%はSTATS$SQLTEXT表の%privilege%権限を持っています。 |
デフォルト
パラメータとそのデフォルト値
該当なし
デフォルトで除外されるオブジェクト
該当なし
違反の影響
STATS$SQLTEXT表には最近実行されたSQL文の完全なテキストが記載されています。SQL文から機密情報が公開される可能性があります。
処理
STATS$SQLTEXT表へのアクセスを制限します。
このポリシーは、SYS.AUD$表へのアクセスが制限されていることを確認します。
ポリシー・サマリー
次の表に、ポリシーの主要プロパティを示します。
| 重大度 | カテゴリ | ターゲット・タイプ | 影響のあるバージョン | ポリシー・ルールの評価脚注 1 | 自動的に有効化されるか | アラート・メッセージ |
|---|---|---|---|---|---|---|
| 情報 | セキュリティ | データベース・インスタンス、クラスタ・データベース | Oracleサーバー8以上 | 基礎となるメトリックは、24時間に1度の頻度で収集を行います。 | いいえ | データベースはセキュアな状態ではありません。ユーザー%grantee%はSYS.AUD$表の%privilege%権限を持っています。 |
デフォルト
パラメータとそのデフォルト値
該当なし
デフォルトで除外されるオブジェクト
該当なし
違反の影響
SYS.AUD$表はシステム監査表です。パラメータAUDIT_TRAILをDBに設定すると、すべての監査済アクティビティがSYS.AUD$表に書き込まれます。そのため、悪質なユーザーが機密監査情報にアクセスできます。
処理
DBA/SYS以外のデータベース・ユーザーからSYS.AUD$表へのアクセスを取り消します。
このポリシーは、SYS.LINK$表へのアクセスが制限されていることを確認します。
ポリシー・サマリー
次の表に、ポリシーの主要プロパティを示します。
| 重大度 | カテゴリ | ターゲット・タイプ | 影響のあるバージョン | ポリシー・ルールの評価脚注 1 | 自動的に有効化されるか | アラート・メッセージ |
|---|---|---|---|---|---|---|
| 情報 | セキュリティ | データベース・インスタンス、クラスタ・データベース | Oracleサーバー8以上 | 基礎となるメトリックは、24時間に1度の頻度で収集を行います。 | いいえ | データベースはセキュアな状態ではありません。ユーザー%grantee%はLINK$表の%privilege%権限を持っています。 |
デフォルト
パラメータとそのデフォルト値
該当なし
デフォルトで除外されるオブジェクト
該当なし
違反の影響
悪質なユーザーが、SYS.LINK$表からユーザー名およびパスワードへアクセスできます。
処理
SYS.LINK$表へのアクセスを取り消します。
このポリシーは、SYS.SOURCE$表へのアクセスが制限されていることを確認します。
ポリシー・サマリー
次の表に、ポリシーの主要プロパティを示します。
| 重大度 | カテゴリ | ターゲット・タイプ | 影響のあるバージョン | ポリシー・ルールの評価脚注 1 | 自動的に有効化されるか | アラート・メッセージ |
|---|---|---|---|---|---|---|
| 情報 | セキュリティ | データベース・インスタンス、クラスタ・データベース | Oracleサーバー8以上 | 基礎となるメトリックは、24時間に1度の頻度で収集を行います。 | いいえ | データベースはセキュアな状態ではありません。ユーザー%grantee%はSOURCE$表の%privilege%権限を持っています。 |
デフォルト
パラメータとそのデフォルト値
該当なし
デフォルトで除外されるオブジェクト
該当なし
違反の影響
悪質なユーザーが、データベースにあるすべてのストアド・パッケージのソースへアクセスできます。
処理
SYS/DBA以外のデータベース・ユーザーからSYS.SOURCE$表へのアクセスを取り消します。
このポリシーは、SYS.USER$表へのアクセスが制限されていることを確認します。
ポリシー・サマリー
次の表に、ポリシーの主要プロパティを示します。
| 重大度 | カテゴリ | ターゲット・タイプ | 影響のあるバージョン | ポリシー・ルールの評価脚注 1 | 自動的に有効化されるか | アラート・メッセージ |
|---|---|---|---|---|---|---|
| 情報 | セキュリティ | データベース・インスタンス、クラスタ・データベース | Oracleサーバー8以上 | 基礎となるメトリックは、24時間に1度の頻度で収集を行います。 | いいえ | データベースはセキュアな状態ではありません。ユーザー%grantee%はUSER$表の%privilege%権限を持っています。 |
デフォルト
パラメータとそのデフォルト値
該当なし
デフォルトで除外されるオブジェクト
該当なし
違反の影響
ユーザー名およびパスワード・ハッシュがSYS.USER$表から読み取られるため、悪質なユーザーによるデータベースへの総当たり攻撃が可能になります。
処理
SYS.USER$表へのアクセスを制限します。
このポリシーは、SYS.USER_HISTORY$表へのアクセスが制限されていることを確認します。
ポリシー・サマリー
次の表に、ポリシーの主要プロパティを示します。
| 重大度 | カテゴリ | ターゲット・タイプ | 影響のあるバージョン | ポリシー・ルールの評価脚注 1 | 自動的に有効化されるか | アラート・メッセージ |
|---|---|---|---|---|---|---|
| 情報 | セキュリティ | データベース・インスタンス、クラスタ・データベース | Oracleサーバー8以上 | 基礎となるメトリックは、24時間に1度の頻度で収集を行います。 | いいえ | データベースはセキュアな状態ではありません。ユーザー%grantee%はSYS.USER_HISTORY$表の%privilege%権限を持っています。 |
デフォルト
パラメータとそのデフォルト値
該当なし
デフォルトで除外されるオブジェクト
該当なし
違反の影響
ユーザー名およびパスワード・ハッシュがSYS.USER_HISTORY$表から読み取られるため、悪質なユーザーによる総当たり攻撃が可能になります。
処理
DBA/SYS以外のデータベース・ユーザーからSYS.USER_HISTORY$表へのアクセスを取り消します。
このポリシーは、USER_ROLE_PRIVSビューへのアクセスが制限されていることを確認します。
ポリシー・サマリー
次の表に、ポリシーの主要プロパティを示します。
| 重大度 | カテゴリ | ターゲット・タイプ | 影響のあるバージョン | ポリシー・ルールの評価脚注 1 | 自動的に有効化されるか | アラート・メッセージ |
|---|---|---|---|---|---|---|
| 情報 | セキュリティ | データベース・インスタンス、クラスタ・データベース | Oracleサーバー8以上 | 基礎となるメトリックは、24時間に1度の頻度で収集を行います。 | いいえ | データベースはセキュアな状態ではありません。ユーザー%grantee%はUSER_ROLE_PRIVSビューの%privilege%権限を持っています。 |
デフォルト
パラメータとそのデフォルト値
該当なし
デフォルトで除外されるオブジェクト
該当なし
違反の影響
現行ユーザーに付与されたロールがリストされています。データベース内のロールの構造に関する情報は、悪質なユーザーに利用される可能性があります。
処理
USER_ROLE_PRIVSビューへのアクセスを制限します。
このポリシーは、USER_TAB_PRIVS表へのアクセスが制限されていることを確認します。
ポリシー・サマリー
次の表に、ポリシーの主要プロパティを示します。
| 重大度 | カテゴリ | ターゲット・タイプ | 影響のあるバージョン | ポリシー・ルールの評価脚注 1 | 自動的に有効化されるか | アラート・メッセージ |
|---|---|---|---|---|---|---|
| 情報 | セキュリティ | データベース・インスタンス、クラスタ・データベース | Oracleサーバー8以上 | 基礎となるメトリックは、24時間に1度の頻度で収集を行います。 | いいえ | データベースはセキュアな状態ではありません。ユーザー%grantee%はUSER_TAB_PRIVSビューの%privilege%権限を持っています。 |
デフォルト
パラメータとそのデフォルト値
該当なし
デフォルトで除外されるオブジェクト
該当なし
違反の影響
ユーザーが所有者、権限付与者または権限受領者のオブジェクトに対する権限がリストされています。データベース内の権限に関する情報は、悪質なユーザーに利用される可能性があります。
処理
USER_TAB_PRIVSビューへのアクセスを制限します。
このポリシーにより、監査ファイル・ディレクトリへのアクセス権がOracleソフトウェア・セットの所有者とDBAグループに制限されます。
ポリシー・サマリー
次の表に、ポリシーの主要プロパティを示します。
| 重大度 | カテゴリ | ターゲット・タイプ | 影響のあるバージョン | ポリシー・ルールの評価脚注 1 | 自動的に有効化されるか | アラート・メッセージ |
|---|---|---|---|---|---|---|
| クリティカル | セキュリティ | データベース・インスタンス | Oracleサーバー8以上 | 基礎となるメトリックは、24時間に1度の頻度で収集を行います。 | はい | 監査ファイル・ディレクトリにセキュアでない権限があります。監査ファイル・ディレクトリ(%dir_name%)の権限は%permission%です。 |
デフォルト
パラメータとそのデフォルト値
該当なし
デフォルトで除外されるオブジェクト
該当なし
違反の影響
AUDIT_FILE_DEST初期化パラメータは、Oracle監査機能で監査ファイルを作成するディレクトリを指定します。このディレクトリに対するパブリック読取り権限を付与すると、起動、停止および優先接続のログ情報などの重要な情報が公開される可能性があります。
処理
監査ファイル・ディレクトリに対する権限を、次のみに制限します。
Oracleソフトウェア・セットの所有者
DBAグループ
読取り権限、書込み権限および実行権限をパブリックに提供しないでください。
このポリシーにより、トレース・ファイル・ディレクトリへのアクセス権がOracleソフトウェア・セットの所有者とDBAグループに制限されます。
ポリシー・サマリー
次の表に、ポリシーの主要プロパティを示します。
| 重大度 | カテゴリ | ターゲット・タイプ | 影響のあるバージョン | ポリシー・ルールの評価脚注 1 | 自動的に有効化されるか | アラート・メッセージ |
|---|---|---|---|---|---|---|
| クリティカル | セキュリティ | データベース・インスタンス | Oracleサーバー8以上 | 基礎となるメトリックは、24時間に1度の頻度で収集を行います。 | はい | バックグラウンド・ダンプ・ディレクトリにセキュアでない権限があります。バックグラウンド・ダンプ・ディレクトリ(%dir_name%)の権限は%permission%です。 |
デフォルト
パラメータとそのデフォルト値
該当なし
デフォルトで除外されるオブジェクト
該当なし
違反の影響
ログ・ライター・プロセスやデータベース・ライター・プロセスなどのバックグラウンド・プロセスは、データベース操作の状態変化および例外やエラーの記録にトレース・ファイルを使用します。トレース・ファイルは、BACKGROUND_DUMP_DEST初期化パラメータで指定されたディレクトリに保存されます。このディレクトリに対するパブリック読取り権限を付与すると、データベースおよびアプリケーションに関する内部の重要な機密情報の詳細が公開される可能性があります。
処理
バックグラウンド・ダンプ・ディレクトリに対する権限を、次のみに制限します。
Oracleソフトウェア・セットの所有者
DBAグループ
読取り権限、書込み権限および実行権限をパブリックに提供しないでください。
このポリシーにより、制御ファイル・ディレクトリへのアクセス権がOracleソフトウェア・セットの所有者とDBAグループに制限されます。
ポリシー・サマリー
次の表に、ポリシーの主要プロパティを示します。
| 重大度 | カテゴリ | ターゲット・タイプ | 影響のあるバージョン | ポリシー・ルールの評価脚注 1 | 自動的に有効化されるか | アラート・メッセージ |
|---|---|---|---|---|---|---|
| クリティカル | セキュリティ | データベース・インスタンス、クラスタ・データベース | Oracleサーバー8 | 基礎となるメトリックは、24時間に1度の頻度で収集を行います。 | はい | データベースはセキュアな状態ではありません。制御ファイル(%file_name%)の権限は%permission%です。 |
デフォルト
パラメータとそのデフォルト値
該当なし
デフォルトで除外されるオブジェクト
該当なし
違反の影響
制御ファイルとは、データファイルへのアクセスを制御するバイナリ構成ファイルです。制御ファイルは、CONTROL_FILES初期化パラメータで指定されたディレクトリに保存されます。このディレクトリに対するパブリック書込み権限があると、セキュリティ上の重大な問題を引き起こす可能性があります。
処理
制御ファイルに対する権限は、次のユーザーに制限します。
Oracleソフトウェア・インストールの所有者
DBAグループ
読取り権限および書込み権限をパブリックに提供しないでください。
このポリシーは、コア・ダンプ・ファイル・ディレクトリへのアクセスが、Oracleソフトウェア・セットの所有者およびDBAグループに制限されていることを確認します。
ポリシー・サマリー
次の表に、ポリシーの主要プロパティを示します。
| 重大度 | カテゴリ | ターゲット・タイプ | 影響のあるバージョン | ポリシー・ルールの評価脚注 1 | 自動的に有効化されるか | アラート・メッセージ |
|---|---|---|---|---|---|---|
| クリティカル | セキュリティ | データベース・インスタンス | Oracleサーバー8以上 | 基礎となるメトリックは、24時間に1度の頻度で収集を行います。 | はい | コア・ダンプ・ディレクトリにセキュアでない権限があります。コア・ダンプ・ディレクトリ(%dir_name%)の権限は%permission%です。 |
デフォルト
パラメータとそのデフォルト値
該当なし
デフォルトで除外されるオブジェクト
該当なし
違反の影響
コア・ダンプ・ファイルは、CORE_DUMP_DEST初期化パラメータで指定されたディレクトリに保存されます。このディレクトリに対するパブリック読取り権限があると、コア・ダンプ・ファイルから機密情報が公開される可能性があります。
処理
コア・ダンプ・ディレクトリに対する権限を、次のみに制限します。
Oracleソフトウェア・セットの所有者
DBAグループ
読取り権限、書込み権限および実行権限をパブリックに提供しないでください。
このポリシーは、既知のアカウントにデフォルト・パスワードがないことを確認します。
ポリシー・サマリー
次の表に、ポリシーの主要プロパティを示します。
| 重大度 | カテゴリ | ターゲット・タイプ | 影響のあるバージョン | ポリシー・ルールの評価脚注 1 | 自動的に有効化されるか | アラート・メッセージ |
|---|---|---|---|---|---|---|
| 警告 | セキュリティ | データベース・インスタンス、クラスタ・データベース | Oracleサーバー8以上 | 基礎となるメトリックは、24時間に1度の頻度で収集を行います。 | はい | データベースはセキュアな状態ではありません。アカウント%dbaccount%のデフォルト・パスワードが変更されませんでした。 |
デフォルト
パラメータとそのデフォルト値
該当なし
デフォルトで除外されるオブジェクト
該当なし
違反の影響
デフォルト・パスワードを使用して、悪質なユーザーがデータベースにアクセスすることが可能です。
処理
すべてのデフォルト・パスワードを変更します。
このポリシーは、SYSTEMまたはSYSAUXがデフォルト表領域としてユーザーに割り当てられていないことを確認します。
ポリシー・サマリー
次の表に、ポリシーの主要プロパティを示します。
| 重大度 | カテゴリ | ターゲット・タイプ | 影響のあるバージョン | ポリシー・ルールの評価脚注 1 | 自動的に有効化されるか | アラート・メッセージ |
|---|---|---|---|---|---|---|
| 警告 | セキュリティ | データベース・インスタンス | Oracleサーバー8以上 | 基礎となるメトリックは、24時間に1度の頻度で収集を行います。 | はい | データベースはセキュアな状態ではありません。表領域tablespace%tablespace%は、ユーザーdbuser%dbuser%のデフォルトの一時表領域です。 |
デフォルト
パラメータとそのデフォルト値
該当なし
デフォルトで除外されるオブジェクト
該当なし
違反の影響
ユーザー・オブジェクトはデフォルト表領域に作成されます。ユーザーのデフォルト表領域を正しく設定しない(SYSTEMまたはSYSAUX)と、使用可能な領域をすべて消費するため、データベースが停止する可能性があります。
デフォルトの表領域としてSYSTEMが割り当てられたユーザーは、この領域をすべて使用する可能性があり、データベースの応答停止の原因となります。また、DoS行為を招く可能性もあります。SYSTEM表領域には、常にデータベース全体のデータ・ディクショナリ表が含まれます。
ストアドPL/SQLプログラム・ユニット(プロシージャ、ファンクション、パッケージおよびトリガー)のかわりに格納されたすべてのデータは、SYSTEM表領域に存在します。
処理
SYSTEMまたはSYSAUXがデフォルト表領域として定義されているユーザーの表領域を割り当てなおします。
このポリシーにより、ログイン試行失敗の許容回数は10に制限されます。
FAILED_LOGIN_ATTEMPTSパラメータにより、アカウントのステータスがロックに変更される前に連続して失敗できるログイン試行数が定義されます。これにより、アカウントのパスワードを推測しようとする悪質なユーザーから保護されます。
ポリシー・サマリー
次の表に、ポリシーの主要プロパティを示します。
| 重大度 | カテゴリ | ターゲット・タイプ | 影響のあるバージョン | ポリシー・ルールの評価脚注 1 | 自動的に有効化されるか | アラート・メッセージ |
|---|---|---|---|---|---|---|
| クリティカル | セキュリティ | データベース・インスタンス、クラスタ・データベース | Oracleサーバー8以上 | 基礎となるメトリックは、24時間に1度の頻度で収集を行います。 | はい | データベースはセキュアな状態ではありません。プロファイル%profile%のFAILED_LOGIN_ATTEMPTSが%limit%に設定されています。 |
デフォルト
パラメータとそのデフォルト値
最大FAILED_LOGIN_ATTEMPTS: 10(試行失敗回数)
デフォルトで除外されるオブジェクト
なし
違反の影響
悪質なユーザーによる手動および自動のパスワード推測を許可してしまいます。
パラメータをUNLIMITEDに設定すると、悪質なユーザーは指定のプロファイルを付与されるすべてのアカウントのパスワードの推測を無制限に試行できます。ただし、値の設定を小さくしすぎると、有効なユーザーがパスワードを誤って入力したときにアカウントをロックしてしまいます。
処理
ユーザー・プロファイルで、FAILED_LOGIN_ATTEMPTS設定の値を10に設定します。
強力なパッケージ(UTL_HTTP、UTL_TCPおよびUTL_SMTP)に対するEXECUTE権限を持っているPUBLICをチェックします。
ポリシー・サマリー
次の表に、ポリシーの主要プロパティを示します。
| 重大度 | カテゴリ | ターゲット・タイプ | 影響のあるバージョン | ポリシー・ルールの評価脚注 1 | 自動的に有効化されるか | アラート・メッセージ |
|---|---|---|---|---|---|---|
| クリティカル | セキュリティ | データベース・インスタンス、クラスタ・データベース | Oracleサーバー8以上 | 基礎となるメトリックは、24時間に1度の頻度で収集を行います。 | はい | データベースはセキュアな状態ではありません。パッケージ%package%のEXECUTE権限がPUBLICに付与されています。 |
デフォルト
パラメータとそのデフォルト値
該当なし
デフォルトで除外されるオブジェクト
該当なし
違反の影響
PUBLICロールに付与された権限は、自動的にすべてのユーザーに適用されます。EXECUTE権限を使用して、悪質なユーザーが電子メール、ネットワークおよびhttpモジュールにアクセスすることが可能です。
処理
強力なパッケージに対するEXECUTE権限を取り消します。
このポリシーは、PUBLICロールにUTL_FILEパッケージに対するEXECUTE権限がないことを確認します。
ポリシー・サマリー
次の表に、ポリシーの主要プロパティを示します。
| 重大度 | カテゴリ | ターゲット・タイプ | 影響のあるバージョン | ポリシー・ルールの評価脚注 1 | 自動的に有効化されるか | アラート・メッセージ |
|---|---|---|---|---|---|---|
| クリティカル | セキュリティ | データベース・インスタンス、クラスタ・データベース | Oracleサーバー8以上 | 基礎となるメトリックは、24時間に1度の頻度で収集を行います。 | はい | データベースはセキュアな状態ではありません。UTL_FILEパッケージのEXECUTE権限がPUBLICに付与されています。 |
デフォルト
パラメータとそのデフォルト値
該当なし
デフォルトで除外されるオブジェクト
該当なし
違反の影響
PUBLICロールに付与された権限は、自動的にすべてのユーザーに適用されます。UTL_FILE権限を付与すると、悪質なユーザーがシステム内の任意のファイルを読取り/書込みできるようになります。
処理
PUBLICに付与されたUTL_FILEパッケージに対するEXECUTE権限を取り消します。
このポリシーは、IFILEパラメータによって参照されるファイルへのアクセスが、Oracleソフトウェア・セットの所有者およびDBAグループに制限されていることを確認します。
ポリシー・サマリー
次の表に、ポリシーの主要プロパティを示します。
| 重大度 | カテゴリ | ターゲット・タイプ | 影響のあるバージョン | ポリシー・ルールの評価脚注 1 | 自動的に有効化されるか | アラート・メッセージ |
|---|---|---|---|---|---|---|
| クリティカル | セキュリティ | データベース・インスタンス | Oracleサーバー8以上 | 基礎となるメトリックは、24時間に1度の頻度で収集を行います。 | はい | データベースはセキュアな状態ではありません。IFILEパラメータの参照ファイル(%file_name%)の権限は%permission%です。 |
デフォルト
パラメータとそのデフォルト値
該当なし
デフォルトで除外されるオブジェクト
該当なし
違反の影響
IFILE初期化パラメータを使用すると、他の初期化パラメータ・ファイルの内容を現在の初期化パラメータ・ファイルに埋め込むことができます。初期化パラメータ・ファイルがパブリックからアクセス可能な場合、機密情報に関する初期化パラメータがスキャンされ、データベースのセキュリティ・ポリシーが公開される可能性があります。初期化パラメータ・ファイルを検索してOracleデータベース構成の設定の脆弱性を見つけることもできます。
処理
IFILE初期化パラメータに参照されるファイルに対する権限を、次のみに制限します。
Oracleソフトウェア・インストールの所有者
DBAグループ
読取り権限、書込み権限および実行権限をパブリックに提供しないでください。
このポリシーは、初期化パラメータ・ファイルへのアクセスが、Oracleソフトウェア・セットの所有者およびDBAグループに制限されていることを確認します。
ポリシー・サマリー
次の表に、ポリシーの主要プロパティを示します。
| 重大度 | カテゴリ | ターゲット・タイプ | 影響のあるバージョン | ポリシー・ルールの評価脚注 1 | 自動的に有効化されるか | アラート・メッセージ |
|---|---|---|---|---|---|---|
| 警告 | セキュリティ | データベース・インスタンス | Oracleサーバー8以上 | 基礎となるメトリックは、24時間に1度の頻度で収集を行います。 | はい | データベースはセキュアな状態ではありません。テキストの初期化パラメータ・ファイル(%file_name%)の権限は%permission%です。 |
デフォルト
パラメータとそのデフォルト値
該当なし
デフォルトで除外されるオブジェクト
該当なし
違反の影響
従来、Oracleではテキストの初期化パラメータ・ファイルに初期化パラメータが格納されます。初期化パラメータ・ファイルがパブリックからアクセス可能な場合、機密情報に関する初期化パラメータがスキャンされ、データベースのセキュリティ・ポリシーが公開される可能性があります。IFILEを検索してOracleデータベース構成の設定の脆弱性を見つけることもできます。
処理
初期化パラメータ・ファイルへのアクセスを、次のみに制限します。
Oracleソフトウェア・インストールの所有者
DBAグループ
読取り権限および書込み権限をパブリックに提供しないでください。
このポリシーは、サーバーのアーカイブ・ログ・ディレクトリがOracleソフトウェアの所有者が所有する有効なディレクトリであり、パブリックには権限がないことを確認します。
ポリシー・サマリー
次の表に、ポリシーの主要プロパティを示します。
| 重大度 | カテゴリ | ターゲット・タイプ | 影響のあるバージョン | ポリシー・ルールの評価脚注 1 | 自動的に有効化されるか | アラート・メッセージ |
|---|---|---|---|---|---|---|
| クリティカル | セキュリティ | データベース・インスタンス | Oracleサーバー8以上 | 基礎となるメトリックは、24時間に1度の頻度で収集を行います。 | はい | LOG_ARCHIVE_DESTパラメータで指定したディレクトリ(%dir_name%)が%owner%に所有されているため、データベースはセキュアな状態ではありません。 |
デフォルト
パラメータとそのデフォルト値
なし
デフォルトで除外されるオブジェクト
なし
違反の影響
LOG_ARCHIVE_DESTパラメータ(init.oraファイル内)で指定されたディレクトリがOracleソフトウェア・インストールの所有者に所有されていないか、このディレクトリに対する権限が他のユーザーに付与されている場合、LogMinerを使用するとデータベース情報をアーカイブ・ログから抽出できます。
つまり、LOG_ARCHIVE_DEST初期化パラメータによって指定されたパスまたはデバイス名が、Oracleソフトウェア・インストールの所有者によって所有されていない場合は、LogMinerを使用して、アーカイブ・ログからデータベース情報を抽出することが可能になります。
処理
Oracleソフトウェア・セットを、LOG_ARCHIVE_DESTパラメータによって指定されたディレクトリの所有者にします。
LOG_ARCHIVE_DEST初期化パラメータの読取り権限をパブリックに付与しないでください。LOG_ARCHIVE_DEST初期化パラメータによって参照されるパスまたはデバイス名へのアクセスを、Oracleソフトウェア・インストールの所有者に制限します。
このポリシーは、サーバーのアーカイブ・ログにパブリックからアクセスできないことを確認します。
ポリシー・サマリー
次の表に、ポリシーの主要プロパティを示します。
| 重大度 | カテゴリ | ターゲット・タイプ | 影響のあるバージョン | ポリシー・ルールの評価脚注 1 | 自動的に有効化されるか | アラート・メッセージ |
|---|---|---|---|---|---|---|
| クリティカル | セキュリティ | データベース・インスタンス | Oracleサーバー8以上 | 基礎となるメトリックは、24時間に1度の頻度で収集を行います。 | はい | データベースはセキュアな状態ではありません。LOG_ARCHIVE_DESTパラメータで指定したディレクトリ(%dir_name%)には不適当な権限%permission%があります |
デフォルト
パラメータとそのデフォルト値
なし
デフォルトで除外されるオブジェクト
なし
違反の影響
LOG_ARCHIVE_DESTパラメータ(init.oraファイル内)で指定されたディレクトリがOracleソフトウェア・インストールの所有者に所有されていないか、このディレクトリに対する権限が他のユーザーに付与されている場合、LogMinerを使用するとデータベース情報をアーカイブ・ログから抽出できます。
処理
LOG_ARCHIVE_DESTパラメータで指定されたディレクトリに対する権限を、Oracleソフトウェア・セットの所有者およびDBAグループに制限します。パブリックには付与しないでください。
このポリシーは、サーバーのアーカイブ・ログ・ディレクトリがOracleソフトウェアの所有者が所有する有効なディレクトリであり、パブリックには権限がないことを確認します。
ポリシー・サマリー
次の表に、ポリシーの主要プロパティを示します。
| 重大度 | カテゴリ | ターゲット・タイプ | 影響のあるバージョン | ポリシー・ルールの評価脚注 1 | 自動的に有効化されるか | アラート・メッセージ |
|---|---|---|---|---|---|---|
| クリティカル | セキュリティ | データベース・インスタンス | Oracleサーバー8以上 | 基礎となるメトリックは、24時間に1度の頻度で収集を行います。 | はい | LOG_ARCHIVE_DUPLEX_DESTパラメータで指定したディレクトリ(%dir_name%)が%owner%に所有されているため、データベースはセキュアな状態ではありません。 |
デフォルト
パラメータとそのデフォルト値
該当なし
デフォルトで除外されるオブジェクト
該当なし
違反の影響
LOG_ARCHIVE_DUPLEX_DESTパラメータ(init.oraファイル内)で指定されたディレクトリがOracleソフトウェア・インストールの所有者に所有されていないか、このディレクトリに対する権限が他のユーザーに付与されている場合、LogMinerを使用するとデータベース情報をアーカイブ・ログから抽出できます。
つまり、LOG_ARCHIVE_DUPLIEX_DEST初期化パラメータによって指定されたパスまたはデバイス名が、Oracleソフトウェア・インストールの所有者によって所有されていない場合は、LogMinerを使用して、アーカイブ・ログからデータベース情報を抽出することが可能になります。
処理
Oracleソフトウェア・セットを、LOG_ARCHIVE_DUPLEX_DESTパラメータによって指定されたディレクトリの所有者にします。
このポリシーは、サーバーのアーカイブ・ログにパブリックからアクセスできないことを確認します。
ポリシー・サマリー
次の表に、ポリシーの主要プロパティを示します。
| 重大度 | カテゴリ | ターゲット・タイプ | 影響のあるバージョン | ポリシー・ルールの評価脚注 1 | 自動的に有効化されるか | アラート・メッセージ |
|---|---|---|---|---|---|---|
| クリティカル | セキュリティ | データベース・インスタンス | Oracleサーバー8以上 | 基礎となるメトリックは、24時間に1度の頻度で収集を行います。 | はい | データベースはセキュアな状態ではありません。LOG_ARCHIVE_DUPLEX_DESTパラメータで指定したディレクトリ(%dir_name%)には不適当な権限%permission%があります |
デフォルト
パラメータとそのデフォルト値
該当なし
デフォルトで除外されるオブジェクト
該当なし
違反の影響
LOG_ARCHIVE_DUPLEX_DESTパラメータ(init.oraファイル内)で指定されたディレクトリがOracleソフトウェア・インストールの所有者に所有されていないか、このディレクトリに対する権限が他のユーザーに付与されている場合、LogMinerを使用するとデータベース情報をアーカイブ・ログから抽出できます。
処理
LOG_ARCHIVE_DUPLEX_DESTパラメータで指定されたディレクトリに対する権限を、Oracleソフトウェア・セットの所有者、およびDBAグループに制限します。パブリックには付与しないでください。
このポリシーは、データベース・リンクの名前が、リモート・データベース名と同じであることを確認します。
ポリシー・サマリー
次の表に、ポリシーの主要プロパティを示します。
| 重大度 | カテゴリ | ターゲット・タイプ | 影響のあるバージョン | ポリシー・ルールの評価脚注 1 | 自動的に有効化されるか | アラート・メッセージ |
|---|---|---|---|---|---|---|
| 警告 | セキュリティ | データベース・インスタンス | Oracleサーバー8以上 | 基礎となるメトリックは、24時間に1度の頻度で収集を行います。 | はい | データベースはセキュアな状態ではありません。GLOBAL_NAMESパラメータが%:value%に設定されています。 |
デフォルト
パラメータとそのデフォルト値
該当なし
デフォルトで除外されるオブジェクト
該当なし
違反の影響
データベース・リンク名が接続するデータベースのグローバル名と一致しない場合、テスト・サーバーまたは開発サーバーから本番サーバーへのアクセスを管理者が誤って許可してしまう可能性があります。この情報は、悪質なユーザーがターゲット・データベースにアクセスする際に使用されます。
処理
分散処理を使用中または計画中の場合、ネットワーク化された環境でデータベースとリンクの一貫したネーミング規則を確実に使用するために、GLOBAL_NAMES初期化パラメータをTRUEに設定することをお薦めします。
このポリシーにより、データファイルへのアクセス権がOracleソフトウェア・セットの所有者とDBAグループに制限されます。
ポリシー・サマリー
次の表に、ポリシーの主要プロパティを示します。
| 重大度 | カテゴリ | ターゲット・タイプ | 影響のあるバージョン | ポリシー・ルールの評価脚注 1 | 自動的に有効化されるか | アラート・メッセージ |
|---|---|---|---|---|---|---|
| クリティカル | セキュリティ | データベース・インスタンス、クラスタ・データベース | Oracleサーバー8以上 | 基礎となるメトリックは、24時間に1度の頻度で収集を行います。 | はい | データベースはセキュアな状態ではありません。データファイル(%file_name%)の権限は%permission%です。 |
デフォルト
パラメータとそのデフォルト値
該当なし
デフォルトで除外されるオブジェクト
該当なし
違反の影響
データファイルにはすべてのデータベース・データが含まれています。パブリックからデータファイルの読取りが可能な場合、このデータに対するデータベース権限のないユーザーがデータファイルを読み取ることができます。
処理
データファイルに対する権限は、次のユーザーに制限します。
Oracleソフトウェア・セットの所有者
DBAグループ
読取り権限および書込み権限をパブリックに提供しないでください。
このポリシーは、ORACLE_HOME/binフォルダ内のすべてのファイルおよびディレクトリの所有者がOracleソフトウェア・インストールの所有者と同じであることを確認します。
ポリシー・サマリー
次の表に、ポリシーの主要プロパティを示します。
| 重大度 | カテゴリ | ターゲット・タイプ | 影響のあるバージョン | ポリシー・ルールの評価脚注 1 | 自動的に有効化されるか | アラート・メッセージ |
|---|---|---|---|---|---|---|
| クリティカル | セキュリティ | データベース・インスタンス | Oracleサーバー8以上 | 基礎となるメトリックは、24時間に1度の頻度で収集を行います。 | はい | データベースはセキュアな状態ではありません。(%file_name%)の所有者は、Oracleソフトウェア・インストールの所有者ではない%owner%です。 |
デフォルト
パラメータとそのデフォルト値
該当なし
デフォルトで除外されるオブジェクト
該当なし
違反の影響
ファイル・アクセス権が適切でないOracleファイルがある場合、セキュリティ上の重要な問題が発生する可能性があります。たとえば、ユーザーが誤って実行してしまう可能性がある悪質なスクリプトによって、SQL*Plusが置き換えられる可能性があります。
処理
ORACLE_HOME/binフォルダ内のファイルおよびディレクトリの所有者が、Oracleソフトウェア・インストールの所有者と同じでない場合は、所有者をインストールの所有者に変更します。
このポリシーは、ORACLE_HOME/binフォルダ内の全ファイルの権限が0751以下に設定されていることを確認します。
Oracle9iリリース2では、権限を0755に設定する必要があります。つまり、グループおよびその他には、読取り権限と実行権限のみが付与され、書込み権限はありません。
ポリシー・サマリー
次の表に、ポリシーの主要プロパティを示します。
| 重大度 | カテゴリ | ターゲット・タイプ | 影響のあるバージョン | ポリシー・ルールの評価脚注 1 | 自動的に有効化されるか | アラート・メッセージ |
|---|---|---|---|---|---|---|
| 警告 | セキュリティ | データベース・インスタンス | Oracleサーバー8以上 | 基礎となるメトリックは、24時間に1度の頻度で収集を行います。 | はい | データベースはセキュアな状態ではありません。ファイル(%file_name%)の権限は%permission%です。 |
デフォルト
パラメータとそのデフォルト値
該当なし
デフォルトで除外されるオブジェクト
該当なし
違反の影響
ファイル・アクセス権が適切でないOracleファイルがある場合、セキュリティ上の重要な問題が発生する可能性があります。
処理
ORACLE_HOME/binフォルダ内の、ファイル権限が0751以下に設定されていないファイルについて、権限を0751以下に変更します。
Oracle9iリリース2では、権限を0755に設定します。
このポリシーは、ORACLE_HOMEディレクトリ(ORACLE_HOME/binを除く)の全ファイルの権限が0750以下に設定されていることを確認します。
通常、Oracleホーム・ディレクトリにある実行可能以外のファイルは、所有者およびDBAグループのメンバーのみが使用できるようにします。
ポリシー・サマリー
次の表に、ポリシーの主要プロパティを示します。
| 重大度 | カテゴリ | ターゲット・タイプ | 影響のあるバージョン | ポリシー・ルールの評価脚注 1 | 自動的に有効化されるか | アラート・メッセージ |
|---|---|---|---|---|---|---|
| 警告 | セキュリティ | データベース・インスタンス | Oracleサーバー8以上 | 基礎となるメトリックは、24時間に1度の頻度で収集を行います。 | はい | データベースはセキュアな状態ではありません。ファイル(%file_name%)の権限は%permission%です。 |
デフォルト
パラメータとそのデフォルト値
該当なし
デフォルトで除外されるオブジェクト
該当なし
違反の影響
ファイル・アクセス権が適切でないOracleファイルがある場合、セキュリティ上の重要な問題が発生する可能性があります。
処理
$ORACLE_HOMEディレクトリにあるすべてのファイル($ORACLE_HOME/binを除く)の権限を、0750以下に設定します。
このポリシーは、すべてのプロファイルでPASSWORD_GRACE_TIMEが適切な日数に設定されていることを確認します。
ポリシー・サマリー
次の表に、ポリシーの主要プロパティを示します。
| 重大度 | カテゴリ | ターゲット・タイプ | 影響のあるバージョン | ポリシー・ルールの評価脚注 1 | 自動的に有効化されるか | アラート・メッセージ |
|---|---|---|---|---|---|---|
| クリティカル | セキュリティ | データベース・インスタンス、クラスタ・データベース | Oracleサーバー8以上 | 基礎となるメトリックは、24時間に1度の頻度で収集を行います。 | はい | データベースはセキュアな状態ではありません。プロファイル%profile%のPASSWORD_GRACE_TIMEが%limit%日に設定されています。 |
デフォルト
パラメータとそのデフォルト値
MAX_PASSWORD_GRACE_TIME = 3
デフォルトで除外されるオブジェクト
該当なし
違反の影響
PASSWORD_GRACE_TIMEパラメータの値が高く設定されていると、ユーザーが同じパスワードを長時間使用できるため、データベースのセキュリティ上の重大な問題が発生する可能性があります。
処理
すべてのプロパティでPASSWORD_GRACE_TIMEパラメータを3日以内に設定します。
このポリシーは、すべてのプロファイルでPASSWORD_LIFE_TIMEが適切な日数に設定されていることを確認します。
ポリシー・サマリー
次の表に、ポリシーの主要プロパティを示します。
| 重大度 | カテゴリ | ターゲット・タイプ | 影響のあるバージョン | ポリシー・ルールの評価脚注 1 | 自動的に有効化されるか | アラート・メッセージ |
|---|---|---|---|---|---|---|
| 警告 | セキュリティ | データベース・インスタンス、クラスタ・データベース | Oracleサーバー8以上 | 基礎となるメトリックは、24時間に1度の頻度で収集を行います。 | はい | データベースはセキュアな状態ではありません。プロファイル%profile%のPASSWORD_LIFE_TIMEが%limit%日に設定されています。 |
デフォルト
パラメータとそのデフォルト値
MAX_PASSWORD_LIFE_TIME = 90
デフォルトで除外されるオブジェクト
該当なし
違反の影響
パスワード存続期間が長ければ、悪質なユーザーが時間をかけてパスワードを突き止めることができます。そのため、データベースのセキュリティ上の重大な問題が発生する可能性があります。
処理
すべてのプロパティでPASSWORD_LIFE_TIMEパラメータを90日以内に設定します。
このポリシーは、すべてのプロファイルでPASSWORD_LOCK_TIMEが適切な日数に設定されていることを確認します。
ポリシー・サマリー
次の表に、ポリシーの主要プロパティを示します。
| 重大度 | カテゴリ | ターゲット・タイプ | 影響のあるバージョン | ポリシー・ルールの評価脚注 1 | 自動的に有効化されるか | アラート・メッセージ |
|---|---|---|---|---|---|---|
| クリティカル | セキュリティ | データベース・インスタンス、クラスタ・データベース | Oracleサーバー8以上 | 基礎となるメトリックは、24時間に1度の頻度で収集を行います。 | はい | データベースはセキュアな状態ではありません。プロファイル%profile%のPASSWORD_LOCK_TIMEが%limit%日に設定されています。 |
デフォルト
パラメータとそのデフォルト値
MIN_PASSWORD_LOCK_TIME = 1
デフォルトで除外されるオブジェクト
該当なし
違反の影響
PASSWORD_LOCK_TIMEリソースは、FAILED_LOGIN_ATTEMPTS(別の関連リソース)で指定された回数より多くログインの試行に失敗した後に、アカウントがロックされる日数に関連します。このリソースの値が低いと、DoS攻撃の可能性が増加します。
処理
すべてのプロパティでPASSWORD_LOCK_TIMEパラメータを1以上に設定します。
このポリシーは、すべてのプロファイルでPASSWORD_REUSE_MAXが適切な回数に設定されていることを確認します。
ポリシー・サマリー
次の表に、ポリシーの主要プロパティを示します。
| 重大度 | カテゴリ | ターゲット・タイプ | 影響のあるバージョン | ポリシー・ルールの評価脚注 1 | 自動的に有効化されるか | アラート・メッセージ |
|---|---|---|---|---|---|---|
| クリティカル | セキュリティ | データベース・インスタンス、クラスタ・データベース | Oracleサーバー8以上 | 基礎となるメトリックは、24時間に1度の頻度で収集を行います。 | はい | データベースはセキュアな状態ではありません。プロファイル%profile%のPASSWORD_REUSE_MAXが%limit%回に設定されています。 |
デフォルト
パラメータとそのデフォルト値
MAX_PASSWORD_REUSE_MAX = 20
デフォルトで除外されるオブジェクト
該当なし
違反の影響
PASSWORD_REUSE_MAXパラメータは、現在のパスワードが再使用可能になるまでのパスワードの変更回数を指定します。現在のパスワードを推測する場合、旧パスワードが通常最も多く使用されます。PASSWORD_REUSE_MAXパラメータの値が低いと、ユーザーが旧パスワードを何度も使用できるため、データベースのセキュリティ上の重大な問題が発生する可能性があります。このリソースに適切な値を設定してユーザーによるパスワードの再使用を抑制することは、セキュアなパスワードの使用につながります。
処理
すべてのプロパティでPASSWORD_REUSE_MAXパラメータを20回以上に設定します。
このポリシーは、すべてのプロファイルでPASSWORD_REUSE_TIMEが適切な日数に設定されていることを確認します。
ポリシー・サマリー
次の表に、ポリシーの主要プロパティを示します。
| 重大度 | カテゴリ | ターゲット・タイプ | 影響のあるバージョン | ポリシー・ルールの評価脚注 1 | 自動的に有効化されるか | アラート・メッセージ |
|---|---|---|---|---|---|---|
| クリティカル | セキュリティ | データベース・インスタンス、クラスタ・データベース | Oracleサーバー8以上 | 基礎となるメトリックは、24時間に1度の頻度で収集を行います。 | はい | データベースはセキュアな状態ではありません。プロファイル%profile%のPASSWORD_REUSE_TIMEが%limit%に設定されています。 |
デフォルト
パラメータとそのデフォルト値
MAX_PASSWORD_REUSE_TIME = 2147483647
デフォルトで除外されるオブジェクト
該当なし
違反の影響
PASSWORD_REUSE_TIMEパラメータは、パスワードの再使用が可能になるまでの日数を定義します。パスワード再使用期間の値が低く設定されていると、すでに漏えいしているパスワードによって、データベースのセキュリティ上の重大な問題が発生する可能性があります。
このリソースに適切な値を設定してユーザーによるパスワードの再使用を抑制することは、セキュアなパスワードの使用につながります。
処理
すべてのプロパティでPASSWORD_REUSE_TIMEパラメータをUNLIMITEDに設定します。
このポリシーにより、ログイン試行失敗の許容回数は10に制限されます。
FAILED_LOGIN_ATTEMPTSパラメータにより、アカウントのステータスがロックに変更される前に連続して失敗できるログイン試行数が定義されます。これにより、アカウントのパスワードを推測しようとする悪質なユーザーから保護されます。
ポリシー・サマリー
次の表に、ポリシーの主要プロパティを示します。
| 重大度 | カテゴリ | ターゲット・タイプ | 影響のあるバージョン | ポリシー・ルールの評価脚注 1 | 自動的に有効化されるか | アラート・メッセージ |
|---|---|---|---|---|---|---|
| クリティカル | セキュリティ | データベース・インスタンス、クラスタ・データベース | Oracleサーバー8以上 | 基礎となるメトリックは、24時間に1度の頻度で収集を行います。 | はい | データベースはセキュアな状態ではありません。プロファイル%profile%のFAILED_LOGIN_ATTEMPTSが%limit%に設定されています。 |
デフォルト
パラメータとそのデフォルト値
最大FAILED_LOGIN_ATTEMPTS: 10(試行失敗回数)
デフォルトで除外されるオブジェクト
該当なし
違反の影響
悪質なユーザーによる手動および自動のパスワード推測を許可してしまいます。
パラメータをUNLIMITEDに設定すると、悪質なユーザーは指定のプロファイルを付与されるすべてのアカウントのパスワードの推測を無制限に試行できます。ただし、値の設定を小さくしすぎると、有効なユーザーがパスワードを誤って入力したときにアカウントをロックしてしまいます。
処理
ユーザー・プロファイルで、FAILED_LOGIN_ATTEMPTS設定の値を10に設定します。
このポリシーは、DBMS_JOBパッケージに対するEXECUTE権限がPUBLICに付与されていないことを確認します。
ポリシー・サマリー
次の表に、ポリシーの主要プロパティを示します。
| 重大度 | カテゴリ | ターゲット・タイプ | 影響のあるバージョン | ポリシー・ルールの評価脚注 1 | 自動的に有効化されるか | アラート・メッセージ |
|---|---|---|---|---|---|---|
| 警告 | セキュリティ | データベース・インスタンス、クラスタ・データベース | Oracleサーバー8以上 | 基礎となるメトリックは、24時間に1度の頻度で収集を行います。 | はい | データベースはセキュアな状態ではありません。DBMS_JOBパッケージにPUBLICのEXECUTE権限があります。 |
デフォルト
パラメータとそのデフォルト値
該当なし
デフォルトで除外されるオブジェクト
該当なし
違反の影響
DBMS_JOBパッケージに対するEXECUTE権限をPUBLICに付与すると、ユーザーがデータベースに対してジョブをスケジュールできるようになります。
処理
DBMS_JOBパッケージに対するEXECUTE権限をPUBLICに付与しないでください。
このポリシーは、DBMS_LOBパッケージに対するEXECUTE権限がPUBLICグループに付与されていないことを確認します。
ポリシー・サマリー
次の表に、ポリシーの主要プロパティを示します。
| 重大度 | カテゴリ | ターゲット・タイプ | 影響のあるバージョン | ポリシー・ルールの評価脚注 1 | 自動的に有効化されるか | アラート・メッセージ |
|---|---|---|---|---|---|---|
| クリティカル | セキュリティ | データベース・インスタンス、クラスタ・データベース | Oracleサーバー8以上 | 基礎となるメトリックは、24時間に1度の頻度で収集を行います。 | はい | データベースはセキュアな状態ではありません。DBMS_LOBパッケージにPUBLICのEXECUTE権限があります。 |
デフォルト
パラメータとそのデフォルト値
該当なし
デフォルトで除外されるオブジェクト
該当なし
違反の影響
DBMS_LOBパッケージを使用すると、Oracleソフトウェア・インストールの所有者としてシステム上のファイルにアクセスできます。
処理
PUBLICグループからDBMS_LOBパッケージに対するEXECUTE権限を取り消します。
このポリシーは、DBMS_SYS_SQLパッケージに対するEXECUTE権限がPUBLICに付与されていないことを確認します。
ポリシー・サマリー
次の表に、ポリシーの主要プロパティを示します。
| 重大度 | カテゴリ | ターゲット・タイプ | 影響のあるバージョン | ポリシー・ルールの評価脚注 1 | 自動的に有効化されるか | アラート・メッセージ |
|---|---|---|---|---|---|---|
| クリティカル | セキュリティ | データベース・インスタンス、クラスタ・データベース | Oracleサーバー8以上 | 基礎となるメトリックは、24時間に1度の頻度で収集を行います。 | はい | データベースはセキュアな状態ではありません。DBMS_SYS_SQLパッケージにPUBLICのEXECUTE権限があります。 |
デフォルト
パラメータとそのデフォルト値
該当なし
デフォルトで除外されるオブジェクト
該当なし
違反の影響
DBMS_SYS_SQLパッケージを使用すると、PL/SQLおよびSQLをコール元ではなくプロシージャの所有者として実行できます。
処理
PUBLICグループからDBMS_SYS_SQLパッケージに対するEXECUTE権限を取り消します。
このポリシーは、データベース・トレース・ファイルがパブリックから読取り不可能であることを確認します。
ポリシー・サマリー
次の表に、ポリシーの主要プロパティを示します。
| 重大度 | カテゴリ | ターゲット・タイプ | 影響のあるバージョン | ポリシー・ルールの評価脚注 1 | 自動的に有効化されるか | アラート・メッセージ |
|---|---|---|---|---|---|---|
| クリティカル | セキュリティ | データベース・インスタンス、クラスタ・データベース | Oracleサーバー8以上 | 基礎となるメトリックは、24時間に1度の頻度で収集を行います。 | はい | データベースはセキュアな状態ではありません。_TRACE_FILES_PUBLIC初期化パラメータが%value%に設定されています。 |
デフォルト
パラメータとそのデフォルト値
該当なし
デフォルトで除外されるオブジェクト
該当なし
違反の影響
トレース・ファイルをPUBLICグループに対して読取り可能にすると、悪質なユーザーがトレース・ファイルを読み取ろうとする可能性があります。その結果、機密情報(たとえば、表領域の作成や削除に関する情報)が公開される可能性があります。
処理
初期化パラメータ_TRACE_FILES_PUBLICをFALSEに設定します。
このポリシーは、REMOTE_OS_AUTHENT初期化パラメータがFALSEに設定されていることを確認します。
ポリシー・サマリー
次の表に、ポリシーの主要プロパティを示します。
| 重大度 | カテゴリ | ターゲット・タイプ | 影響のあるバージョン | ポリシー・ルールの評価脚注 1 | 自動的に有効化されるか | アラート・メッセージ |
|---|---|---|---|---|---|---|
| クリティカル | セキュリティ | データベース・インスタンス | Oracleサーバー8以上 | 基礎となるメトリックは、24時間に1度の頻度で収集を行います。 | はい | データベースはセキュアな状態ではありません。REMOTE_OS_AUTHENT初期化パラメータが%remote_os_auth%に設定されています。 |
デフォルト
パラメータとそのデフォルト値
該当なし
デフォルトで除外されるオブジェクト
該当なし
違反の影響
リモートOS認証が許可されている場合、悪質なユーザーがデータベースにアクセスする可能性があります。この機能は、(リモートOSによって認証されている)外部のユーザーがデータベースによるパスワード認証を受けずにデータベースに接続することを許可します。
処理
REMOTE_OS_AUTHENT初期化パラメータをFALSEに設定して、この機能を無効にします。
このポリシーは、REMOTE_OS_ROLES初期化パラメータがFALSEに設定されていることを確認します。
ポリシー・サマリー
次の表に、ポリシーの主要プロパティを示します。
| 重大度 | カテゴリ | ターゲット・タイプ | 影響のあるバージョン | ポリシー・ルールの評価脚注 1 | 自動的に有効化されるか | アラート・メッセージ |
|---|---|---|---|---|---|---|
| クリティカル | セキュリティ | データベース・インスタンス | Oracleサーバー8以上 | 基礎となるメトリックは、24時間に1度の頻度で収集を行います。 | はい | データベースはセキュアな状態ではありません。REMOTE_OS_ROLES初期化パラメータが%value%に設定されています。 |
デフォルト
パラメータとそのデフォルト値
該当なし
デフォルトで除外されるオブジェクト
該当なし
違反の影響
リモート・ユーザーに権限のあるロールを付与できる場合、悪質なユーザーがデータベースにアクセスする可能性があります。
処理
REMOTE_OS_ROLES初期化パラメータをFALSEに設定して、この機能を無効にします。
このポリシーは、REMOTE_LOGIN_PASSWORDFILE初期化パラメータがEXCLUSIVEに設定されていることを確認します。
ポリシー・サマリー
次の表に、ポリシーの主要プロパティを示します。
| 重大度 | カテゴリ | ターゲット・タイプ | 影響のあるバージョン | ポリシー・ルールの評価脚注 1 | 自動的に有効化されるか | アラート・メッセージ |
|---|---|---|---|---|---|---|
| 警告 | セキュリティ | データベース・インスタンス | Oracleサーバー8以上 | 基礎となるメトリックは、24時間に1度の頻度で収集を行います。 | はい | データベースはセキュアな状態ではありません。REMOTE_LOGIN_PASSWORDFILE初期化パラメータが%value%に設定されています。 |
デフォルト
パラメータとそのデフォルト値
該当なし
デフォルトで除外されるオブジェクト
該当なし
違反の影響
リモート・パスワード・ファイルが許可されている場合、悪質なユーザーがデータベースにアクセスする可能性があります。
処理
RAC以外の構成では、REMOTE_LOGIN_PASSWORDFILEをEXCLUSIVEモードに設定します。これにより、特定のユーザーにSYSDBA/SYSOPER権限を割り当ててデータベースを管理できます。
このポリシーは、UNIXシステムでOSレベルの監査が有効な場合、AUDIT_SYSLOG_LEVELがデフォルト以外の値に設定されていることを確認します。
ポリシー・サマリー
次の表に、ポリシーの主要プロパティを示します。
| 重大度 | カテゴリ | ターゲット・タイプ | 影響のあるバージョン | ポリシー・ルールの評価脚注 1 | 自動的に有効化されるか | アラート・メッセージ |
|---|---|---|---|---|---|---|
| 警告 | セキュリティ | データベース・インスタンス | Oracleサーバー8以上 | 基礎となるメトリックは、24時間に1度の頻度で収集を行います。 | はい | データベースはセキュアな状態ではありません。AUDIT_SYSLOG_LEVEL初期化パラメータが%logLevel%に設定されています。 |
デフォルト
パラメータとそのデフォルト値
なし
デフォルトで除外されるオブジェクト
なし
違反の影響
AUDIT_SYSLOG_LEVEL初期化パラメータをデフォルト値(NONE)に設定すると、DBAがOS監査レコードにアクセスできるようになります。
処理
オペレーティング・システム監査が有効な場合、AUDIT_SYSLOG_LEVEL初期化パラメータを有効な値に設定し、Oracle OS監査レコードが別のファイルに書き込まれるように/etc/syslog.confを構成します。
このポリシーは、サーバー・パラメータ・ファイル(SPFILE)へのアクセスが、Oracleソフトウェア・セットの所有者およびDBAグループに制限されていることを確認します。
ポリシー・サマリー
次の表に、ポリシーの主要プロパティを示します。
| 重大度 | カテゴリ | ターゲット・タイプ | 影響のあるバージョン | ポリシー・ルールの評価脚注 1 | 自動的に有効化されるか | アラート・メッセージ |
|---|---|---|---|---|---|---|
| クリティカル | セキュリティ | データベース・インスタンス | Oracleサーバー8以上 | 基礎となるメトリックは、24時間に1度の頻度で収集を行います。 | はい | データベースはセキュアな状態ではありません。サーバー・パラメータ・ファイル(%file_name%)の権限は%permission%です。 |
デフォルト
パラメータとそのデフォルト値
該当なし
デフォルトで除外されるオブジェクト
該当なし
違反の影響
サーバー・パラメータ・ファイル(SPFILE)を使用すると、初期化パラメータをサーバー側ディスク・ファイルで永続的に保存および管理できます。SPFILEがパブリックからアクセス可能な場合、機密情報に関する初期化パラメータがスキャンされ、データベースのセキュリティ・ポリシーが公開される可能性があります。SPFILEを検索してOracleデータベース構成の設定の脆弱性を見つけることもできます。
処理
サーバー・パラメータ・ファイル(SPFILE)に対する権限を、次のみに制限します。
Oracleソフトウェア所有者
Oracleグループ
読取り権限および書込み権限をパブリックに提供しないでください。
このポリシーは、PUBLICにSYSTEM権限が付与されていないことを確認します。
ポリシー・サマリー
次の表に、ポリシーの主要プロパティを示します。
| 重大度 | カテゴリ | ターゲット・タイプ | 影響のあるバージョン | ポリシー・ルールの評価脚注 1 | 自動的に有効化されるか | アラート・メッセージ |
|---|---|---|---|---|---|---|
| クリティカル | セキュリティ | データベース・インスタンス、クラスタ・データベース | Oracleサーバー8以上 | 基礎となるメトリックは、24時間に1度の頻度で収集を行います。 | はい | データベースはセキュアな状態ではありません。システム権限%privilege%がPUBLICに割り当てられています。 |
デフォルト
パラメータとそのデフォルト値
該当なし
デフォルトで除外されるオブジェクト
該当なし
違反の影響
PUBLICロールに付与された権限は、自動的にすべてのユーザーに適用されます。すべてのユーザーにSYSTEM権限が付与されることになるため、セキュリティ上のリスクがあります。
処理
PUBLICロールのSYSTEM権限を取り消します。
このポリシーは、データベース・ユーザーに対する表領域の割当てが制限されていることを確認します。
ポリシー・サマリー
次の表に、ポリシーの主要プロパティを示します。
| 重大度 | カテゴリ | ターゲット・タイプ | 影響のあるバージョン | ポリシー・ルールの評価脚注 1 | 自動的に有効化されるか | アラート・メッセージ |
|---|---|---|---|---|---|---|
| 警告 | セキュリティ | データベース・インスタンス、クラスタ・データベース | Oracleサーバー8以上 | 基礎となるメトリックは、24時間に1度の頻度で収集を行います。 | はい | データベースはセキュアな状態ではありません。ユーザー%dbuser%が無制限の表領域割当てを持っています。 |
デフォルト
パラメータとそのデフォルト値
該当なし
デフォルトで除外されるオブジェクト
該当なし
違反の影響
表領域を無制限に割り当てると、割当て済ディスク領域がすべて使用される可能性があります。また、これによってデータベースが応答しなくなる可能性があります。
処理
表領域を無制限に割り当てられているユーザーに対して、表領域の割当てを制限します。
このポリシーは、UNIXシステムで、パブリックがログ・ファイルおよびトレース・ファイルにアクセスできないことを確認します。
ポリシー・サマリー
次の表に、ポリシーの主要プロパティを示します。
| 重大度 | カテゴリ | ターゲット・タイプ | 影響のあるバージョン | ポリシー・ルールの評価脚注 1 | 自動的に有効化されるか | アラート・メッセージ |
|---|---|---|---|---|---|---|
| 警告 | セキュリティ | データベース・インスタンス | Oracleサーバー8以上 | 基礎となるメトリックは、24時間に1度の頻度で収集を行います。 | はい | データベースはセキュアな状態ではありません。Oracleソフトウェアの所有者のumaskが%umask%に設定されています。 |
デフォルト
パラメータとそのデフォルト値
該当なし
デフォルトで除外されるオブジェクト
該当なし
違反の影響
umaskが適切な値(022など)に設定されていない場合、ログ・ファイルまたはトレース・ファイルがパブリックからアクセスできるようになり、機密情報が公開される可能性があります。
処理
Oracleソフトウェアの所有者に対して、umaskを022に設定します。
このポリシーは、REDOログのアーカイブが自動的に行われ、REDOログがいっぱいになってもインスタンス操作が一時停止しないことを確認します。データベースがARCHIVELOGモードの場合にのみ適用されます。
ポリシー・サマリー
次の表に、ポリシーの主要プロパティを示します。
| 重大度 | カテゴリ | ターゲット・タイプ | 影響のあるバージョン | ポリシー・ルールの評価脚注 1 | 自動的に有効化されるか | アラート・メッセージ |
|---|---|---|---|---|---|---|
| クリティカル | セキュリティ | データベース・インスタンス | Oracleサーバー8以上 | 基礎となるメトリックは、24時間に1度の頻度で収集を行います。 | はい | データベースはセキュアな状態ではありません。LOG_ARCHIVE_START初期化パラメータが%value%に設定されています。 |
デフォルト
パラメータとそのデフォルト値
該当なし
デフォルトで除外されるオブジェクト
該当なし
違反の影響
LOG_ARCHIEVE_START初期化パラメータをTRUEに設定すると、REDOログのアーカイブが自動的に行われ、REDOログがいっぱいになってもインスタンス操作が一時停止しません。この機能は、データベースがARCHIVELOGモードの場合にのみ適用されます。
LOG_ARCHIVE_START初期化パラメータをFALSEに設定すると、REDOログ・ファイルは自動的にアーカイブされず、REDOログがいっぱいになるとインスタンス操作が一時停止します。
処理
LOG_ARCHIVE_START初期化パラメータの値をTRUEに設定します。
このポリシーは、基本監査機能が有効化されていることを確認します。
ポリシー・サマリー
次の表に、ポリシーの主要プロパティを示します。
| 重大度 | カテゴリ | ターゲット・タイプ | 影響のあるバージョン | ポリシー・ルールの評価脚注 1 | 自動的に有効化されるか | アラート・メッセージ |
|---|---|---|---|---|---|---|
| 情報 | セキュリティ | データベース・インスタンス | Oracleサーバー8以上 | 基礎となるメトリックは、24時間に1度の頻度で収集を行います。 | はい | データベースはセキュアな状態ではありません。AUDIT_TRAIL初期化パラメータが%value%に設定されています。 |
デフォルト
パラメータとそのデフォルト値
該当なし
デフォルトで除外されるオブジェクト
該当なし
違反の影響
基本監査機能を無効にすると、気付かないうちにDoS攻撃を受ける可能性が増加します。
処理
AUDIT_TRAIL初期化パラメータの値をNONEおよびFALSE以外に設定して、監査を有効にします。値をOSに設定すると最もセキュアになります。
クリアテキスト・パスワードを使用するデータベース・リンクが使用されていないこと、つまりパスワードがハッシュまたは暗号化されていることを確認します。
ポリシー・サマリー
次の表に、ポリシーの主要プロパティを示します。
| 重大度 | カテゴリ | ターゲット・タイプ | 影響のあるバージョン | ポリシー・ルールの評価脚注 1 | 自動的に有効化されるか | アラート・メッセージ |
|---|---|---|---|---|---|---|
| 警告 | セキュリティ | データベース・インスタンス、クラスタ・データベース | Oracleサーバー9i以下 | 基礎となるメトリックは、24時間に1度の頻度で収集を行います。 | はい | データベースはセキュアな状態ではありません。データベース・リンク%link%がクリアテキスト・パスワードを使用しています。 |
デフォルト
パラメータとそのデフォルト値
該当なし
デフォルトで除外されるオブジェクト
該当なし
違反の影響
SYS.LINK$表にはデータベース・リンクで使用されるクリアテキスト・パスワードが含まれています。悪質なユーザーがSYS.LINK$表からクリアテキスト・パスワードを読み取り、望ましくない結果になる可能性があります。
処理
固定されたユーザー・データベース・リンクを作成しないようにします。
このポリシーは、データベース・インスタンスとは別のリモート・マシンでリスナー・インスタンスを使用していないことを確認します。
ポリシー・サマリー
次の表に、ポリシーの主要プロパティを示します。
| 重大度 | カテゴリ | ターゲット・タイプ | 影響のあるバージョン | ポリシー・ルールの評価脚注 1 | 自動的に有効化されるか | アラート・メッセージ |
|---|---|---|---|---|---|---|
| 警告 | セキュリティ | データベース・インスタンス、クラスタ・データベース | Oracleサーバー8以上 | 基礎となるメトリックは、24時間に1度の頻度で収集を行います。 | はい | REMOTE_LISTENER初期化パラメータが%value%に設定されているため、データベースがセキュアな状態ではない可能性があります。 |
デフォルト
パラメータとそのデフォルト値
該当なし
デフォルトで除外されるオブジェクト
該当なし
違反の影響
REMOTE_LISTENER初期化パラメータを使用すると、リモート・マシン上のリスナーがデータベースにアクセスできます。マルチマスター・レプリケーション環境またはRAC環境では、このパラメータ設定によりロード・バランシング・メカニズムがリスナーに提供されるため、このパラメータは適用できません。
処理
REMOTE_LISTENERをNULL文字列("")に設定します。マルチマスター・レプリケーション環境またはRAC環境では、このパラメータ設定によりロード・バランシング・メカニズムがリスナーに提供されるため、このパラメータは適用できません。
このポリシーは、SQL92セキュリティ機能が使用されていることを確認します。
ポリシー・サマリー
次の表に、ポリシーの主要プロパティを示します。
| 重大度 | カテゴリ | ターゲット・タイプ | 影響のあるバージョン | ポリシー・ルールの評価脚注 1 | 自動的に有効化されるか | アラート・メッセージ |
|---|---|---|---|---|---|---|
| 警告 | セキュリティ | データベース・インスタンス、クラスタ・データベース | Oracleサーバー9i以下 | 基礎となるメトリックは、24時間に1度の頻度で収集を行います。 | はい | データベースはセキュアな状態ではありません。SQL92セキュリティ機能が有効になっていません。 |
デフォルト
パラメータとそのデフォルト値
該当なし
デフォルトで除外されるオブジェクト
該当なし
違反の影響
SQL92セキュリティ機能を無効にすると、表に対するSELECT権限がなくても、ユーザーがWHERE句を使用してUPDATE文またはDELETE文を実行できる可能性があります。
処理
初期化パラメータSQL92_SECURITYをTRUEに設定して、SQL92セキュリティ機能を有効にします。
このポリシーにより、トレース・ファイル・ディレクトリへのアクセス権がOracleソフトウェア・セットの所有者とDBAグループに制限されます。
ポリシー・サマリー
次の表に、ポリシーの主要プロパティを示します。
| 重大度 | カテゴリ | ターゲット・タイプ | 影響のあるバージョン | ポリシー・ルールの評価脚注 1 | 自動的に有効化されるか | アラート・メッセージ |
|---|---|---|---|---|---|---|
| クリティカル | セキュリティ | データベース・インスタンス | Oracleサーバー8以上 | 基礎となるメトリックは、24時間に1度の頻度で収集を行います。 | はい | ユーザー・ダンプ・ディレクトリにセキュアでない権限があります。ユーザー・ダンプ・ディレクトリ(%dir_name%)の権限は%permission%です。 |
デフォルト
パラメータとそのデフォルト値
該当なし
デフォルトで除外されるオブジェクト
該当なし
違反の影響
サーバー・プロセスのトレース・ファイルは、USER_DUMP_DEST初期化パラメータで指定されたディレクトリに保存されます。このディレクトリに対するパブリック読取り権限を付与すると、データベースおよびアプリケーションに関する内部の重要な機密情報の詳細が公開される可能性があります。
処理
ユーザー・ダンプ・ディレクトリに対する権限を、次のみに制限します。
Oracleソフトウェア・セットの所有者
DBAグループ
読取り権限、書込み権限および実行権限をパブリックに提供しないでください。
このポリシーは、SYSTEMまたはSYSAUXが一時表領域としてユーザーに割り当てられていないことを確認します。
ポリシー・サマリー
次の表に、ポリシーの主要プロパティを示します。
| 重大度 | カテゴリ | ターゲット・タイプ | 影響のあるバージョン | ポリシー・ルールの評価脚注 1 | 自動的に有効化されるか | アラート・メッセージ |
|---|---|---|---|---|---|---|
| 警告 | セキュリティ | データベース・インスタンス | Oracleサーバー8以上 | 基礎となるメトリックは、24時間に1度の頻度で収集を行います。 | はい | データベースはセキュアな状態ではありません。表領域tablespace%tablespace%は、ユーザーdbuser%dbuser%のデフォルトの一時表領域です。 |
デフォルト
パラメータとそのデフォルト値
該当なし
デフォルトで除外されるオブジェクト
該当なし
違反の影響
ユーザーの一時オブジェクトは一時表領域に作成されます。ユーザーの一時表領域を正しく設定しない(SYSTEMまたはSYSAUX)と、使用可能な領域をすべて消費するため、データベースが停止する可能性があります。
デフォルトの表領域としてSYSTEMが割り当てられたユーザーは、この領域をすべて使用する可能性があり、データベースの応答停止の原因となります。また、DoS行為を招く可能性もあります。SYSTEM表領域には、常にデータベース全体のデータ・ディクショナリ表が含まれます。
ストアドPL/SQLプログラム・ユニット(プロシージャ、ファンクション、パッケージおよびトリガー)のかわりに格納されたすべてのデータは、SYSTEM表領域に存在します。
処理
SYSTEMまたはSYSAUXがデフォルトの一時表領域として定義されているユーザーの表領域を割り当てなおします。
このポリシーは、OS_AUTHENT_PREFIXの値がOPS$およびNULL文字列("")以外に設定されていることを確認します。
ポリシー・サマリー
次の表に、ポリシーの主要プロパティを示します。
| 重大度 | カテゴリ | ターゲット・タイプ | 影響のあるバージョン | ポリシー・ルールの評価脚注 1 | 自動的に有効化されるか | アラート・メッセージ |
|---|---|---|---|---|---|---|
| 警告 | セキュリティ | データベース・インスタンス | Oracleサーバー8以上 | 基礎となるメトリックは、24時間に1度の頻度で収集を行います。 | はい | データベースはセキュアな状態ではありません。オペレーティング・システム認証の接頭辞が%value%に設定されています。 |
デフォルト
パラメータとそのデフォルト値
該当なし
デフォルトで除外されるオブジェクト
該当なし
違反の影響
このように設定した場合、ユーザーの作成時にIDENTIFIED EXTERNALLYを指定することが、アカウントを外部で使用可能にする唯一の方法になります。
処理
外部識別のアプローチは、開発データベースおよびテスト・データベースに対してのみ使用します。本番システムでは、ユーザーがオペレーティング・システム・レベルにアクセスできないことを確認します。
このポリシーは、ユーティリティ・ファイル・ディレクトリ(UTL_FILE_DIR)初期化パラメータが、アスタリスク(*)、ピリオド(.)およびコア・ダンプ・トレース・ファイルの場所のいずれにも設定されていないことを確認します。
ポリシー・サマリー
次の表に、ポリシーの主要プロパティを示します。
| 重大度 | カテゴリ | ターゲット・タイプ | 影響のあるバージョン | ポリシー・ルールの評価脚注 1 | 自動的に有効化されるか | アラート・メッセージ |
|---|---|---|---|---|---|---|
| クリティカル | セキュリティ | データベース・インスタンス | Oracleサーバー8 | 基礎となるメトリックは、24時間に1度の頻度で収集を行います。 | はい | データベースはセキュアな状態ではありません。UTL_FILE_DIRパラメータが%dir_name%に設定されています。 |
デフォルト
パラメータとそのデフォルト値
該当なし
デフォルトで除外されるオブジェクト
該当なし
違反の影響
UTL_FILEパッケージがアクセス可能なディレクトリを指定します。パラメータをアスタリスク(*)、ピリオド(.)または機密情報ディレクトリに設定すると、UTL_FILEパッケージに対する実行権限のあるすべてのユーザーに機密情報が公開される可能性があります。
処理
UTL_FILE_DIR初期化パラメータを、アスタリスク(*)、ピリオド(.)およびコア・ダンプ・トレースの場所以外の値に変更します。
このポリシーは、UTL_FILE_DIR初期化パラメータがOracle9iリリース1以上で使用されていないことを確認します。
ポリシー・サマリー
次の表に、ポリシーの主要プロパティを示します。
| 重大度 | カテゴリ | ターゲット・タイプ | 影響のあるバージョン | ポリシー・ルールの評価脚注 1 | 自動的に有効化されるか | アラート・メッセージ |
|---|---|---|---|---|---|---|
| クリティカル | セキュリティ | データベース・インスタンス | Oracleサーバー9i以上 | 基礎となるメトリックは、24時間に1度の頻度で収集を行います。 | はい | データベースはセキュアな状態ではありません。UTL_FILE_DIRパラメータ(%dir_name%に設定)が9i以上のサーバーに使用されています。 |
デフォルト
パラメータとそのデフォルト値
該当なし
デフォルトで除外されるオブジェクト
該当なし
違反の影響
UTL_FILEパッケージがアクセス可能なディレクトリを指定します。パラメータをアスタリスク(*)、ピリオド(.)または機密情報ディレクトリに設定すると、UTL_FILEパッケージに対する実行権限のあるすべてのユーザーに機密情報が公開される可能性があります。
UTL_FILEパッケージを使用すると、utl_file_dirで設定されたディレクトリにアクセスするためのプログラムを記述できます(ユーザーがこのパッケージの実行権限を持つ場合)。このプログラムを使用して、読取り不可であるべきファイルやデータが読み取られる可能性があります。
処理
Oracle 9iリリース1以上では、UTL_FILE_DIR初期化パラメータを削除します。かわりに、CREATE DIRECTORY機能を使用します。
このポリシーは、Well Knownアカウントが期限切れでロックされていることを確認します。
ポリシー・サマリー
次の表に、ポリシーの主要プロパティを示します。
| 重大度 | カテゴリ | ターゲット・タイプ | 影響のあるバージョン | ポリシー・ルールの評価脚注 1 | 自動的に有効化されるか | アラート・メッセージ |
|---|---|---|---|---|---|---|
| 警告 | セキュリティ | データベース・インスタンス、クラスタ・データベース | Oracleサーバー8以上 | 基礎となるメトリックは、24時間に1度の頻度で収集を行います。 | はい | データベースはセキュアな状態ではありません。アカウント%dbaccount%はロックされておらず、期限切れではありません。 |
デフォルト
パラメータとそのデフォルト値
該当なし
デフォルトで除外されるオブジェクト
該当なし
違反の影響
悪質なユーザーが、Well Knownアカウントを使用してデータベースへアクセスできます。
処理
Well Knownアカウントを期限切れにしてロックします。
このポリシーは、Well Knownアカウントが期限切れでロックされていることを確認します。
ポリシー・サマリー
次の表に、ポリシーの主要プロパティを示します。
| 重大度 | カテゴリ | ターゲット・タイプ | 影響のあるバージョン | ポリシー・ルールの評価脚注 1 | 自動的に有効化されるか | アラート・メッセージ |
|---|---|---|---|---|---|---|
| 警告 | セキュリティ | データベース・インスタンス、クラスタ・データベース | Oracleサーバー8以上 | 基礎となるメトリックは、24時間に1度の頻度で収集を行います。 | はい | データベースはセキュアな状態ではありません。アカウント%dbaccount%はロックされておらず、期限切れではありません。 |
デフォルト
パラメータとそのデフォルト値
該当なし
デフォルトで除外されるオブジェクト
該当なし
違反の影響
悪質なユーザーが、Well Knownアカウントを使用してデータベースへアクセスできます。
処理
Well Knownアカウントを期限切れにしてロックします。
Windowsのデータベース・インスタンス・ターゲットのセキュリティ・ポリシーは、次のとおりです。
このポリシーにより、監査ファイル・ディレクトリへのアクセス権がOracleソフトウェア・セットの所有者とDBAグループに制限されます。Windows NTベースのプラットフォームに対しては、DELETE、WRITE_DAC、WRITE_OWNER、CHANGE、ADDおよびFULLの権限はクリティカルと判断されます。ポリシーは、前述の権限を付与されたユーザーまたはユーザー・グループ数を示し、ユーザーとユーザー・グループをカッコ囲みでリストします。
ポリシー・サマリー
次の表に、ポリシーの主要プロパティを示します。
| 重大度 | カテゴリ | ターゲット・タイプ | 影響のあるバージョン | ポリシー・ルールの評価脚注 1 | 自動的に有効化されるか | アラート・メッセージ |
|---|---|---|---|---|---|---|
| クリティカル | セキュリティ | データベース・インスタンス | Oracleサーバー8以上 | 基礎となるメトリックは、24時間に1度の頻度で収集を行います。 | はい | 監査ファイル・ディレクトリにセキュアでない権限があります。ユーザー%users%に、監査ファイル・ディレクトリ(%dir_name%)に対するクリティカルな権限があります。 |
デフォルト
パラメータとそのデフォルト値
該当なし
デフォルトで除外されるオブジェクト
該当なし
違反の影響
AUDIT_FILE_DEST初期化パラメータは、Oracle監査機能で監査ファイルを作成するディレクトリを指定します。このディレクトリに対するパブリック読取り権限を付与すると、起動、停止および優先接続のログ情報などの重要な情報が公開される可能性があります。
処理
監査ファイル・ディレクトリに対する権限を、次のみに制限します。
Oracleソフトウェア・セットの所有者
DBAグループ
読取り権限、書込み権限および実行権限をパブリックに提供しないでください。
このポリシーは、トレース・ファイル・ディレクトリへのアクセスが、Oracleソフトウェア・セットの所有者およびDBAグループに制限されていることを確認します。Windows NTベースのプラットフォームでは、DELETE、WRITE_DAC、WRITE_OWNER、CHANGE、ADDおよびFULLの各権限は、クリティカルとみなされます。ポリシーは、前述の権限を付与されたユーザーまたはユーザー・グループ数を示し、ユーザーとユーザー・グループをカッコ囲みでリストします。
ポリシー・サマリー
次の表に、ポリシーの主要プロパティを示します。
| 重大度 | カテゴリ | ターゲット・タイプ | 影響のあるバージョン | ポリシー・ルールの評価脚注 1 | 自動的に有効化されるか | アラート・メッセージ |
|---|---|---|---|---|---|---|
| クリティカル | セキュリティ | データベース・インスタンス | Oracleサーバー8以上 | 基礎となるメトリックは、24時間に1度の頻度で収集を行います。 | はい | バックグラウンド・ダンプ・ディレクトリにセキュアでない権限があります。ユーザー%users%に、バックグラウンド・ダンプ・ディレクトリ(%dir_name%)に対するクリティカルな権限があります。 |
デフォルト
パラメータとそのデフォルト値
該当なし
デフォルトで除外されるオブジェクト
該当なし
違反の影響
ログ・ライター・プロセスやデータベース・ライター・プロセスなどのバックグラウンド・プロセスは、データベース操作の状態変化および例外やエラーの記録にトレース・ファイルを使用します。トレース・ファイルは、BACKGROUND_DUMP_DEST初期化パラメータで指定されたディレクトリに保存されます。このディレクトリに対するパブリック読取り権限を付与すると、データベースおよびアプリケーションに関する内部の重要な機密情報の詳細が公開される可能性があります。
処理
バックグラウンド・ダンプ・ディレクトリに対する権限を、次のみに制限します。
Oracleソフトウェア・セットの所有者
DBAグループ
読取り権限、書込み権限および実行権限をパブリックに提供しないでください。
このポリシーにより、制御ファイル・ディレクトリへのアクセス権がOracleソフトウェア・セットの所有者とDBAグループに制限されます。Windows NTベースのプラットフォームに対しては、DELETE、WRITE_DAC、WRITE_OWNER、CHANGE、ADDおよびFULLの権限はクリティカルと判断されます。ポリシーは、前述の権限を付与されたユーザーまたはユーザー・グループ数を示し、ユーザーとユーザー・グループをカッコ囲みでリストします。
ポリシー・サマリー
次の表に、ポリシーの主要プロパティを示します。
| 重大度 | カテゴリ | ターゲット・タイプ | 影響のあるバージョン | ポリシー・ルールの評価脚注 1 | 自動的に有効化されるか | アラート・メッセージ |
|---|---|---|---|---|---|---|
| クリティカル | セキュリティ | データベース・インスタンス、クラスタ・データベース | Oracleサーバー8 | 基礎となるメトリックは、24時間に1度の頻度で収集を行います。 | はい | データベースはセキュアな状態ではありません。ユーザー%users%に、制御ファイル(%file_name%)に対するクリティカルな権限があります。 |
デフォルト
パラメータとそのデフォルト値
該当なし
デフォルトで除外されるオブジェクト
該当なし
違反の影響
制御ファイルとは、データファイルへのアクセスを制御するバイナリ構成ファイルです。制御ファイルは、CONTROL_FILES初期化パラメータで指定されたディレクトリに保存されます。このディレクトリに対するパブリック書込み権限があると、セキュリティ上の重大な問題を引き起こす可能性があります。
処理
制御ファイルに対する権限は、次のユーザーに制限します。
Oracleソフトウェア・インストールの所有者
DBAグループ
読取り権限および書込み権限をパブリックに提供しないでください。
このポリシーは、コア・ダンプ・ファイル・ディレクトリへのアクセスが、Oracleソフトウェア・セットの所有者およびDBAグループに制限されていることを確認します。Windows NTベースのプラットフォームに対しては、DELETE、WRITE_DAC、WRITE_OWNER、CHANGE、ADDおよびFULLの権限はクリティカルと判断されます。ポリシーは、前述の権限を付与されたユーザーまたはユーザー・グループ数を示し、ユーザーとユーザー・グループをカッコ囲みでリストします。
ポリシー・サマリー
次の表に、ポリシーの主要プロパティを示します。
| 重大度 | カテゴリ | ターゲット・タイプ | 影響のあるバージョン | ポリシー・ルールの評価脚注 1 | 自動的に有効化されるか | アラート・メッセージ |
|---|---|---|---|---|---|---|
| クリティカル | セキュリティ | データベース・インスタンス | Oracleサーバー8以上 | 基礎となるメトリックは、24時間に1度の頻度で収集を行います。 | はい | コア・ダンプ・ディレクトリにセキュアでない権限があります。ユーザー%users%に、コア・ダンプ・ディレクトリ(%dir_name%)に対するクリティカルな権限があります。 |
デフォルト
パラメータとそのデフォルト値
該当なし
デフォルトで除外されるオブジェクト
該当なし
違反の影響
コア・ダンプ・ファイルは、CORE_DUMP_DEST初期化パラメータで指定されたディレクトリに保存されます。このディレクトリに対するパブリック読取り権限があると、コア・ダンプ・ファイルから機密情報が公開される可能性があります。
処理
コア・ダンプ・ディレクトリに対する権限を、次のみに制限します。
Oracleソフトウェア・セットの所有者
DBAグループ
読取り権限、書込み権限および実行権限をパブリックに提供しないでください。
このポリシーは、IFILEパラメータによって参照されるファイルへのアクセスが、Oracleソフトウェア・セットの所有者およびDBAグループに制限されていることを確認します。Windows NTベースのプラットフォームに対しては、DELETE、WRITE_DAC、WRITE_OWNER、CHANGE、ADDおよびFULLの権限はクリティカルと判断されます。ポリシーは、前述の権限を付与されたユーザーまたはユーザー・グループ数を示し、ユーザーとユーザー・グループをカッコ囲みでリストします。
ポリシー・サマリー
次の表に、ポリシーの主要プロパティを示します。
| 重大度 | カテゴリ | ターゲット・タイプ | 影響のあるバージョン | ポリシー・ルールの評価脚注 1 | 自動的に有効化されるか | アラート・メッセージ |
|---|---|---|---|---|---|---|
| クリティカル | セキュリティ | データベース・インスタンス | Oracleサーバー8以上 | 基礎となるメトリックは、24時間に1度の頻度で収集を行います。 | はい | データベースはセキュアな状態ではありません。ユーザー%users%に、IFILEパラメータの参照ファイル(%file_name%)に対するクリティカルな権限があります。 |
デフォルト
パラメータとそのデフォルト値
該当なし
デフォルトで除外されるオブジェクト
該当なし
違反の影響
IFILE初期化パラメータを使用すると、他の初期化パラメータ・ファイルの内容を現在の初期化パラメータ・ファイルに埋め込むことができます。初期化パラメータ・ファイルがパブリックからアクセス可能な場合、機密情報に関する初期化パラメータがスキャンされ、データベースのセキュリティ・ポリシーが公開される可能性があります。初期化パラメータ・ファイルを検索してOracleデータベース構成の設定の脆弱性を見つけることもできます。
処理
IFILE初期化パラメータに参照されるファイルに対する権限を、次のみに制限します。
Oracleソフトウェア・インストールの所有者
DBAグループ
読取り権限、書込み権限および実行権限をパブリックに提供しないでください。
このポリシーは、初期化パラメータ・ファイルへのアクセスが、Oracleソフトウェア・セットの所有者およびDBAグループに制限されていることを確認します。Windows NTベースのプラットフォームに対しては、DELETE、WRITE_DAC、WRITE_OWNER、CHANGE、ADDおよびFULLの権限はクリティカルと判断されます。ポリシーは、前述の権限を付与されたユーザーまたはユーザー・グループ数を示し、ユーザーとユーザー・グループをカッコ囲みでリストします。
ポリシー・サマリー
次の表に、ポリシーの主要プロパティを示します。
| 重大度 | カテゴリ | ターゲット・タイプ | 影響のあるバージョン | ポリシー・ルールの評価脚注 1 | 自動的に有効化されるか | アラート・メッセージ |
|---|---|---|---|---|---|---|
| 警告 | セキュリティ | データベース・インスタンス | Oracleサーバー8以上 | 基礎となるメトリックは、24時間に1度の頻度で収集を行います。 | はい | データベースはセキュアな状態ではありません。ユーザー%users%に、テキストの初期化パラメータ・ファイル(%file_name%)に対するクリティカルな権限があります。 |
デフォルト
パラメータとそのデフォルト値
該当なし
デフォルトで除外されるオブジェクト
該当なし
違反の影響
従来、Oracleではテキストの初期化パラメータ・ファイルに初期化パラメータが格納されます。初期化パラメータ・ファイルがパブリックからアクセス可能な場合、機密情報に関する初期化パラメータがスキャンされ、データベースのセキュリティ・ポリシーが公開される可能性があります。IFILEを検索してOracleデータベース構成の設定の脆弱性を見つけることもできます。
処理
初期化パラメータ・ファイルへのアクセスを、次のみに制限します。
Oracleソフトウェア・インストールの所有者
DBAグループ
読取り権限および書込み権限をパブリックに提供しないでください。
このポリシーは、サーバーのアーカイブ・ログにパブリックからアクセスできないことを確認します。Windows NTベースのプラットフォームでは、DELETE、WRITE_DAC、WRITE_OWNER、CHANGE、ADDおよびFULLの各権限は、クリティカルとみなされます。ポリシーは、前述の権限を付与されたユーザーまたはユーザー・グループ数を示し、ユーザーとユーザー・グループをカッコ囲みでリストします。
ポリシー・サマリー
次の表に、ポリシーの主要プロパティを示します。
| 重大度 | カテゴリ | ターゲット・タイプ | 影響のあるバージョン | ポリシー・ルールの評価脚注 1 | 自動的に有効化されるか | アラート・メッセージ |
|---|---|---|---|---|---|---|
| クリティカル | セキュリティ | データベース・インスタンス | Oracleサーバー8以上 | 基礎となるメトリックは、24時間に1度の頻度で収集を行います。 | はい | データベースはセキュアな状態ではありません。ユーザー%users%に、LOG_ARCHIVE_DESTパラメータで指定したディレクトリ(%dir_name%)に対するクリティカルな権限があります。 |
デフォルト
パラメータとそのデフォルト値
該当なし
デフォルトで除外されるオブジェクト
該当なし
違反の影響
LOG_ARCHIVE_DESTパラメータ(init.oraファイル内)で指定されたディレクトリがOracleソフトウェア・インストールの所有者に所有されていないか、このディレクトリに対する権限が他のユーザーに付与されている場合、LogMinerを使用するとデータベース情報をアーカイブ・ログから抽出できます。
処理
LOG_ARCHIVE_DESTパラメータで指定されたディレクトリに対する権限を、Oracleソフトウェア・セットの所有者およびDBAグループに制限します。パブリックには付与しないでください。
このポリシーは、サーバーのアーカイブ・ログにパブリックからアクセスできないことを確認します。Windows NTベースのプラットフォームに対しては、DELETE、WRITE_DAC、WRITE_OWNER、CHANGE、ADDおよびFULLの権限はクリティカルと判断されます。ポリシーは、前述の権限を付与されたユーザーまたはユーザー・グループ数を示し、ユーザーとユーザー・グループをカッコ囲みでリストします。
ポリシー・サマリー
次の表に、ポリシーの主要プロパティを示します。
| 重大度 | カテゴリ | ターゲット・タイプ | 影響のあるバージョン | ポリシー・ルールの評価脚注 1 | 自動的に有効化されるか | アラート・メッセージ |
|---|---|---|---|---|---|---|
| クリティカル | セキュリティ | データベース・インスタンス | Oracleサーバー8以上 | 基礎となるメトリックは、24時間に1度の頻度で収集を行います。 | はい | データベースはセキュアな状態ではありません。ユーザー%users%に、LOG_ARCHIVE_DUPLEX_DESTパラメータで指定したディレクトリ(%dir_name%)に対するクリティカルな権限があります。 |
デフォルト
パラメータとそのデフォルト値
該当なし
デフォルトで除外されるオブジェクト
該当なし
違反の影響
LOG_ARCHIVE_DUPLEX_DESTパラメータ(init.oraファイル内)で指定されたディレクトリがOracleソフトウェア・インストールの所有者に所有されていないか、このディレクトリに対する権限が他のユーザーに付与されている場合、LogMinerを使用するとデータベース情報をアーカイブ・ログから抽出できます。
処理
LOG_ARCHIVE_DUPLEX_DESTパラメータで指定されたディレクトリに対する権限を、Oracleソフトウェア・セットの所有者、およびDBAグループに制限します。パブリックには付与しないでください。
このポリシーにより、データファイルへのアクセス権がOracleソフトウェア・セットの所有者とDBAグループに制限されます。Windows NTベースのプラットフォームに対しては、DELETE、WRITE_DAC、WRITE_OWNER、CHANGE、ADDおよびFULLの権限はクリティカルと判断されます。ポリシーは、前述の権限を付与されたユーザーまたはユーザー・グループ数を示し、ユーザーとユーザー・グループをカッコ囲みでリストします。
ポリシー・サマリー
次の表に、ポリシーの主要プロパティを示します。
| 重大度 | カテゴリ | ターゲット・タイプ | 影響のあるバージョン | ポリシー・ルールの評価脚注 1 | 自動的に有効化されるか | アラート・メッセージ |
|---|---|---|---|---|---|---|
| クリティカル | セキュリティ | データベース・インスタンス、クラスタ・データベース | Oracleサーバー8以上 | 基礎となるメトリックは、24時間に1度の頻度で収集を行います。 | はい | データベースはセキュアな状態ではありません。ユーザー%users%に、データファイル(%file_name%)に対するクリティカルな権限があります。 |
デフォルト
パラメータとそのデフォルト値
該当なし
デフォルトで除外されるオブジェクト
該当なし
違反の影響
データファイルにはすべてのデータベース・データが含まれています。パブリックからデータファイルの読取りが可能な場合、このデータに対するデータベース権限のないユーザーがデータファイルを読み取ることができます。
処理
データファイルに対する権限は、次のユーザーに制限します。
Oracleソフトウェア・セットの所有者
DBAグループ
読取り権限および書込み権限をパブリックに提供しないでください。
このポリシーは、ORACLE_HOME/binフォルダ内の全ファイルに適切な権限が設定されていることを確認します。Windows NTベースのプラットフォームに対しては、DELETE、WRITE_DAC、WRITE_OWNER、CHANGE、ADDおよびFULLの権限はクリティカルと判断されます。ポリシーは、前述の権限を付与されたユーザーまたはユーザー・グループ数を示し、ユーザーとユーザー・グループをカッコ囲みでリストします。
ポリシー・サマリー
次の表に、ポリシーの主要プロパティを示します。
| 重大度 | カテゴリ | ターゲット・タイプ | 影響のあるバージョン | ポリシー・ルールの評価脚注 1 | 自動的に有効化されるか | アラート・メッセージ |
|---|---|---|---|---|---|---|
| 警告 | セキュリティ | データベース・インスタンス | Oracleサーバー8以上 | 基礎となるメトリックは、24時間に1度の頻度で収集を行います。 | はい | データベースはセキュアな状態ではありません。ユーザー%users%に、ファイル(%file_name%)に対するクリティカルな権限があります。 |
デフォルト
パラメータとそのデフォルト値
該当なし
デフォルトで除外されるオブジェクト
該当なし
違反の影響
ファイル・アクセス権が適切でないOracleファイルがある場合、セキュリティ上の重要な問題が発生する可能性があります。
処理
ORACLE_HOME/binフォルダ内のファイルについて、ユーザーまたはユーザー・グループに付与した不要な権限を取り消します。
このポリシーは、ORACLE_HOMEディレクトリ(ORACLE_HOME/binを除く)の全ファイルの権限が適切に設定されていることを確認します。Windows NTベースのプラットフォームに対しては、DELETE、WRITE_DAC、WRITE_OWNER、CHANGE、ADDおよびFULLの権限はクリティカルと判断されます。ポリシーは、前述の権限を付与されたユーザーまたはユーザー・グループ数を示し、ユーザーとユーザー・グループをカッコ囲みでリストします。
通常、Oracleホーム・ディレクトリにある実行可能以外のファイルは、所有者およびDBAグループのメンバーのみが使用できるようにします。
ポリシー・サマリー
次の表に、ポリシーの主要プロパティを示します。
| 重大度 | カテゴリ | ターゲット・タイプ | 影響のあるバージョン | ポリシー・ルールの評価脚注 1 | 自動的に有効化されるか | アラート・メッセージ |
|---|---|---|---|---|---|---|
| 警告 | セキュリティ | データベース・インスタンス | Oracleサーバー8以上 | 基礎となるメトリックは、24時間に1度の頻度で収集を行います。 | はい | データベースはセキュアな状態ではありません。ユーザー%users%に、ファイル(%file_name%)に対するクリティカルな権限があります。 |
デフォルト
パラメータとそのデフォルト値
該当なし
デフォルトで除外されるオブジェクト
該当なし
違反の影響
ファイル・アクセス権が適切でないOracleファイルがある場合、セキュリティ上の重要な問題が発生する可能性があります。
処理
$ORACLE_HOMEディレクトリのすべてのファイルの権限を適切に設定します。
このポリシーは、サーバー・パラメータ・ファイル(SPFILE)へのアクセスが、Oracleソフトウェア・セットの所有者およびDBAグループに制限されていることを確認します。Windows NTベースのプラットフォームに対しては、DELETE、WRITE_DAC、WRITE_OWNER、CHANGE、ADDおよびFULLの権限はクリティカルと判断されます。ポリシーは、前述の権限を付与されたユーザーまたはユーザー・グループ数を示し、ユーザーとユーザー・グループをカッコ囲みでリストします。
ポリシー・サマリー
次の表に、ポリシーの主要プロパティを示します。
| 重大度 | カテゴリ | ターゲット・タイプ | 影響のあるバージョン | ポリシー・ルールの評価脚注 1 | 自動的に有効化されるか | アラート・メッセージ |
|---|---|---|---|---|---|---|
| クリティカル | セキュリティ | データベース・インスタンス | Oracleサーバー8以上 | 基礎となるメトリックは、24時間に1度の頻度で収集を行います。 | はい | データベースはセキュアな状態ではありません。ユーザー%users%に、サーバー・パラメータ・ファイル(%file_name%)に対するクリティカルな権限があります。 |
デフォルト
パラメータとそのデフォルト値
該当なし
デフォルトで除外されるオブジェクト
該当なし
違反の影響
サーバー・パラメータ・ファイル(SPFILE)を使用すると、初期化パラメータをサーバー側ディスク・ファイルで永続的に保存および管理できます。SPFILEがパブリックからアクセス可能な場合、機密情報に関する初期化パラメータがスキャンされ、データベースのセキュリティ・ポリシーが公開される可能性があります。SPFILEを検索してOracleデータベース構成の設定の脆弱性を見つけることもできます。
処理
サーバー・パラメータ・ファイル(SPFILE)に対する権限を、次のみに制限します。
Oracleソフトウェア所有者
Oracleグループ
読取り権限および書込み権限をパブリックに提供しないでください。
このポリシーは、外部で識別されたユーザーが接続中にドメインを指定していることを確認します。
ポリシー・サマリー
次の表に、ポリシーの主要プロパティを示します。
| 重大度 | カテゴリ | ターゲット・タイプ | 影響のあるバージョン | ポリシー・ルールの評価脚注 1 | 自動的に有効化されるか | アラート・メッセージ |
|---|---|---|---|---|---|---|
| クリティカル | セキュリティ | データベース・インスタンス | Oracleサーバー8以上 | 基礎となるメトリックは、24時間に1度の頻度で収集を行います。 | はい | データベースはセキュアな状態ではありません。OSAUTH_PREFIX_DOMAINがTRUEに設定されていません。 |
デフォルト
パラメータとそのデフォルト値
該当なし
デフォルトで除外されるオブジェクト
該当なし
違反の影響
アカウントを外部で識別する必要がある場合、レジストリでOSAUTH_PREFIX_DOMAINをTRUEに設定すると、アカウントにドメインの指定を義務付けます。このため、異なるドメインまたはローカル・システムからのユーザー・アクセスのなりすましを防ぐことができます。
処理
Windowsシステムの場合、外部で識別するユーザーに対してはOSAUTH_PREFIX_DOMAIN初期化パラメータをTRUEに設定します。
このポリシーにより、トレース・ファイル・ディレクトリへのアクセス権がOracleソフトウェア・セットの所有者とDBAグループに制限されます。Windows NTベースのプラットフォームに対しては、DELETE、WRITE_DAC、WRITE_OWNER、CHANGE、ADDおよびFULLの権限はクリティカルと判断されます。ポリシーは、前述の権限を付与されたユーザーまたはユーザー・グループ数を示し、ユーザーとユーザー・グループをカッコ囲みでリストします。
ポリシー・サマリー
次の表に、ポリシーの主要プロパティを示します。
| 重大度 | カテゴリ | ターゲット・タイプ | 影響のあるバージョン | ポリシー・ルールの評価脚注 1 | 自動的に有効化されるか | アラート・メッセージ |
|---|---|---|---|---|---|---|
| クリティカル | セキュリティ | データベース・インスタンス | Oracleサーバー8以上 | 基礎となるメトリックは、24時間に1度の頻度で収集を行います。 | はい | ユーザー・ダンプ・ディレクトリにセキュアでない権限があります。ユーザー%users%に、ユーザー・ダンプ・ディレクトリ(%dir_name%)に対するクリティカルな権限があります。 |
デフォルト
パラメータとそのデフォルト値
該当なし
デフォルトで除外されるオブジェクト
該当なし
違反の影響
サーバー・プロセスのトレース・ファイルは、USER_DUMP_DEST初期化パラメータで指定されたディレクトリに保存されます。このディレクトリに対するパブリック読取り権限を付与すると、データベースおよびアプリケーションに関する内部の重要な機密情報の詳細が公開される可能性があります。
処理
ユーザー・ダンプ・ディレクトリに対する権限を、次のみに制限します。
Oracleソフトウェア・セットの所有者
DBAグループ
読取り権限、書込み権限および実行権限をパブリックに提供しないでください。
データベース・インスタンス・ターゲットの記憶域ポリシーは、次のとおりです。
このポリシーは、DEFAULT_PERMANENT_TABLESPACEデータベース・プロパティがシステム以外の表領域に設定されていることを検証します。データベースのデフォルトの永続表領域は、永続表領域が明示的に割り当てられていないすべてのユーザーの永続表領域として使用されます。DBAによって変更されるまで、デフォルトの永続表領域はシステム表領域になります。
ポリシー・サマリー
次の表に、ポリシーの主要プロパティを示します。
| 重大度 | カテゴリ | ターゲット・タイプ | 影響のあるバージョン | ポリシー・ルールの評価脚注 1 | 自動的に有効化されるか | アラート・メッセージ |
|---|---|---|---|---|---|---|
| 警告 | 記憶域 | データベース・インスタンス、クラスタ・データベース | Oracleサーバー10gリリース1以上 | 基礎となるメトリックは、24時間に1度の頻度で収集を行います。 | はい | デフォルトの永続表領域が明示的に設定されていないため、デフォルトでSYSTEM表領域になります。 |
デフォルト
パラメータとそのデフォルト値
SYSTEM
デフォルトで除外されるオブジェクト
該当なし
違反の影響
明示的に指定されていない場合、DEFAULT_PERMANENT_TABLESPACEはデフォルトでSYSTEM表領域になります。これは推奨の設定ではありません。データベースのデフォルトの永続表領域は、永続表領域が明示的に割り当てられていないSYSTEM以外のすべてのユーザーの永続表領域として使用されます。データベースのデフォルトの永続表領域がシステム表領域に設定されている場合、表領域が明示的に割り当てられていないすべてのユーザーによって、システム表領域が使用されます。SYSTEM以外のユーザーがデータの格納にシステム表領域を使用することはお薦めしません。このように使用すると、データベースのパフォーマンスが低下する可能性があります。
処理
DEFAULT_PERMANENT_TABLESPACEをシステム以外の表領域に設定します。表領域を作成または編集して、デフォルトの永続表領域として設定します。
DEFAULT_PERMANENT_TABLESPACEのリンクをクリックすると、表領域の検索ページが表示されます。このページから表領域を作成または編集して、デフォルトの永続表領域として設定します。
このデータベース・インスタンスの「管理」プロパティ・ページで、「記憶域」オプションの下にある「表領域」をクリックします。資格証明を入力した後、永続表領域を作成または編集して、デフォルトの永続表領域として設定します。
このポリシーは、DEFAULT_TEMP_TABLESPACEデータベース・プロパティがシステム以外の表領域に設定されていることを検証します。データベースのデフォルトの一時表領域は、一時表領域が明示的に割り当てられていないすべてのユーザーの一時表領域として使用されます。DBAによって変更されるまで、デフォルトの一時表領域はSYSTEM表領域になります。
ポリシー・サマリー
次の表に、ポリシーの主要プロパティを示します。
| 重大度 | カテゴリ | ターゲット・タイプ | 影響のあるバージョン | ポリシー・ルールの評価脚注 1 | 自動的に有効化されるか | アラート・メッセージ |
|---|---|---|---|---|---|---|
| 警告 | 記憶域 | データベース・インスタンス、クラスタ・データベース | Oracleサーバー9i以上 | 基礎となるメトリックは、24時間に1度の頻度で収集を行います。 | はい | デフォルトの一時表領域が明示的に設定されていないため、デフォルトでSYSTEM表領域になります。 |
デフォルト
パラメータとそのデフォルト値
パラメータのデフォルト値は、Oracle Databaseターゲットのバージョンによって異なります。パラメータとそのデフォルト値については、データベース・ターゲットの各バージョンのOracle Databaseドキュメントを参照してください。
デフォルトで除外されるオブジェクト
該当なし
違反の影響
明示的に指定されていない場合、DEFAULT_TEMP_TABLESPACEはデフォルトでSYSTEM表領域になります。これは推奨の設定ではありません。デフォルトの一時表領域は、一時表領域が明示的に割り当てられていないすべてのユーザーの一時表領域として使用されます。データベースのデフォルトの一時表領域がシステム表領域に設定されている場合、一時表領域が明示的に割り当てられていないすべてのユーザーによって、システム表領域が一時表領域として使用されます。一時データの格納にシステム表領域を使用することはお薦めしません。このように使用すると、データベースのパフォーマンスが低下する可能性があります。
処理
DEFAULT_TEMP_TABLESPACEをシステム以外の一時表領域に設定します。Oracle Database 10gリリース1(10.1)以上では、さらに、DEFAULT_TEMP_TABLESPACEを一時表領域グループに設定できます。一時表領域または一時表領域グループを作成するか編集して、デフォルトの一時表領域に設定します。
DEFAULT_TEMP_TABLESPACEのリンクをクリックすると、表領域の検索ページが表示されます。このページから一時表領域を作成または編集して、デフォルトの一時表領域として設定します。
このデータベース・インスタンスの「管理」プロパティ・ページで、「記憶域」オプションの下にある「表領域」をクリックします。資格証明を入力した後、一時表領域を作成または編集して、デフォルトの一時表領域として設定します。
このポリシーは、ディクショナリ管理表領域が使用されているかどうかを確認します。ローカル管理表領域を使用する必要があります。
ポリシー・サマリー
次の表に、ポリシーの主要プロパティを示します。
| 重大度 | カテゴリ | ターゲット・タイプ | 影響のあるバージョン | ポリシー・ルールの評価脚注 1 | 自動的に有効化されるか | アラート・メッセージ |
|---|---|---|---|---|---|---|
| 情報 | 記憶域 | データベース・インスタンス、クラスタ・データベース | すべて | 基礎となるメトリックは、24時間に1度の頻度で収集を行います。 | はい | 表領域%TABLESPACE_NAME%はディクショナリ管理されています。パフォーマンスの向上および領域管理の簡略化のために、自動セグメント領域管理を使用して、ローカル管理表領域を使用することをお薦めします。 |
デフォルト
パラメータとそのデフォルト値
該当なし
デフォルトで除外されるオブジェクト
該当なし
違反の影響
これらの表領域はディクショナリ管理されています。パフォーマンスの向上および領域管理の簡略化のために、自動セグメント領域管理を使用して、ローカル管理表領域を使用することをお薦めします。
処理
表領域がローカルで管理されるように再定義します。
このポリシーは、SMALL_REDO_LOGSパラメータを使用して、1MB未満のREDOログ・ファイルをチェックします。
ポリシー・サマリー
次の表に、ポリシーの主要プロパティを示します。
| 重大度 | カテゴリ | ターゲット・タイプ | 影響のあるバージョン | ポリシー・ルールの評価脚注 1 | 自動的に有効化されるか | アラート・メッセージ |
|---|---|---|---|---|---|---|
| クリティカル | 記憶域 | データベース・インスタンス、クラスタ・データベース | すべて | 基礎となるメトリックは、24時間に1度の頻度で収集を行います。 | はい | データベースのREDOログのサイズが小さすぎます。 |
デフォルト
パラメータとそのデフォルト値
パラメータのデフォルト値は、Oracle Databaseターゲットのバージョンによって異なります。パラメータとそのデフォルト値については、データベース・ターゲットの各バージョンのOracle Databaseドキュメントを参照してください。
デフォルトで除外されるオブジェクト
該当なし
違反の影響
REDOログのサイズが小さいと、システム・チェックポイントでバッファ・キャッシュとI/Oシステムに継続的に高負荷がかかります。
処理
REDOログのサイズを少なくとも1MBに増やします。
ローカル管理されるセグメントを含む表領域を再定義するか、または「次のエクステント」値に「初期エクステント」の倍数を指定し、増加率の値を0に設定して、これらのセグメントを再定義します。
ポリシー・サマリー
次の表に、ポリシーの主要プロパティを示します。
| 重大度 | カテゴリ | ターゲット・タイプ | 影響のあるバージョン | ポリシー・ルールの評価脚注 1 | 自動的に有効化されるか | アラート・メッセージ |
|---|---|---|---|---|---|---|
| 情報 | 記憶域 | データベース・インスタンス、クラスタ・データベース | すべて | 基礎となるメトリックは、24時間に1度の頻度で収集を行います。 | はい | セグメント%OBJECT%は、システム表領域%TABLESPACE_NAME%に格納されているシステム以外のユーザーに属しています。これにより、これらのデータ・セグメントの管理がより困難になり、システム表領域のパフォーマンス低下とセキュリティ上の問題が発生する場合があります。 |
デフォルト
パラメータとそのデフォルト値
パラメータのデフォルト値は、Oracle Databaseターゲットのバージョンによって異なります。パラメータとそのデフォルト値については、データベース・ターゲットの各バージョンのOracle Databaseドキュメントを参照してください。
デフォルトで除外されるオブジェクト
クラスタ・オブジェクト・タイプ(オブジェクトの再編成ウィザードでサポートされないため)。
デフォルトでOracle DatabaseまたはEnterprise Managerの一部であるすべてのユーザー・アカウント。たとえば、SYS、SYSTEM、SYSMAN、CTXSYS、SCOTT、ADAMSなど。
違反の影響
システム・ユーザー以外に属するこれらのセグメントは、システム表領域(SYSTEMまたはSYSAUX)に格納されています。この違反状態では、これらのデータ・セグメントの管理がより困難になり、システム表領域のパフォーマンス低下の原因となる場合があります。システム・ユーザーには、SYSおよびSYSTEMなどのDBMSの一部であるユーザーや、CTXSYS、SYSMANおよびOLAPSYSなど、Oracleが提供する機能の一部であるユーザーが含まれます。
処理
システム以外のセグメントをシステム以外の表領域に再配置します。
デフォルト・エクステント・サイズが不均一な表領域がないかどうかをチェックします。
ポリシー・サマリー
次の表に、ポリシーの主要プロパティを示します。
| 重大度 | カテゴリ | ターゲット・タイプ | 影響のあるバージョン | ポリシー・ルールの評価脚注 1 | 自動的に有効化されるか | アラート・メッセージ |
|---|---|---|---|---|---|---|
| 情報 | 記憶域 | データベース・インスタンス、クラスタ・データベース | すべて | 基礎となるメトリックは、24時間に1度の頻度で収集を行います。 | はい | 表領域%TABLESPACE_NAME%で不均一なエクステントを使用しています。均一エクステントを使用すると、表領域内の空きエクステントをいつでもセグメントに使用できます。 |
デフォルト
パラメータとそのデフォルト値
パラメータのデフォルト値は、Oracle Databaseターゲットのバージョンによって異なります。パラメータとそのデフォルト値については、データベース・ターゲットの各バージョンのOracle Databaseドキュメントを参照してください。
デフォルトで除外されるオブジェクト
SYSTEM表領域。このポリシーは、PERMANENT DICTIONARY表領域にのみ適用されます。
違反の影響
均一でないデフォルト・エクステント・サイズを使用している表領域が存在します。1つの表領域内のエクステントは同じサイズにする必要があります。これにより、表領域内の空きエクステントをいつでもセグメントに使用できます。
処理
エクステント・サイズが均一になるように、NEXT値をINITIAL値と等しい値かINITIAL値の倍数にし、PCTINCREASE値をゼロに設定して、各表領域にデフォルトのSTORAGE句を設定します。STORAGE句は、セグメント・レベルでは決して明示的に指定しないでください。セグメントの記憶域の値は、表領域のデフォルトSTORAGE句から継承されるようにします。
SYSTEM表領域にロールバックが含まれているかどうかをチェックします。
ポリシー・サマリー
次の表に、ポリシーの主要プロパティを示します。
| 重大度 | カテゴリ | ターゲット・タイプ | 影響のあるバージョン | ポリシー・ルールの評価脚注 1 | 自動的に有効化されるか | アラート・メッセージ |
|---|---|---|---|---|---|---|
| 情報 | 記憶域 | データベース・インスタンス、クラスタ・データベース | すべて | 下の表を参照 | はい | SYSTEM表領域にロールバック・セグメント%RBS_NAME%が含まれています。SYSTEM表領域は、Oracleデータ・ディクショナリとその関連オブジェクト専用に確保しておく必要があります。 |
次の表に、ポリシーの基礎となるメトリックを示します。
| 基礎となるメトリック | 収集の頻度 |
|---|---|
| db_init_params | 24時間ごと |
| db_rollback_segs | 24時間ごと |
デフォルト
パラメータとそのデフォルト値
パラメータのデフォルト値は、Oracle Databaseターゲットのバージョンによって異なります。パラメータとそのデフォルト値については、データベース・ターゲットの各バージョンのOracle Databaseドキュメントを参照してください。
デフォルトで除外されるオブジェクト
該当なし
違反の影響
SYSTEM表領域は、Oracleデータ・ディクショナリとその関連オブジェクト専用に確保しておく必要があります。ユーザー表、ユーザー索引、ユーザー・ビュー、ロールバック・セグメント、UNDOセグメントおよび一時セグメントなど他のオブジェクトの格納には使用しないでください。
処理
SYSTEM表領域ではなく、UNDO専用の表領域を使用します。
このポリシーは、SEG_EXT_GROWTH_VIOパラメータを使用して、エクステント・サイズが不適切であるか、または増加率が0以外に設定されている(あるいはその両方の)ディクショナリ管理表領域のセグメントをチェックします。
ポリシー・サマリー
次の表に、ポリシーの主要プロパティを示します。
| 重大度 | カテゴリ | ターゲット・タイプ | 影響のあるバージョン | ポリシー・ルールの評価脚注 1 | 自動的に有効化されるか | アラート・メッセージ |
|---|---|---|---|---|---|---|
| 情報 | 記憶域 | データベース・インスタンス、クラスタ・データベース | すべて | 基礎となるメトリックは、24時間に1度の頻度で収集を行います。 | はい | 表領域%TABLESPACE_NAME%のセグメント%OBJECT%は、エクステント・サイズが不適切であるか、増加率がゼロ以外に設定されているか、あるいはその両方です。この状態では領域が適切に再利用されず、フラグメンテーションの問題が発生することがあります。 |
デフォルト
パラメータとそのデフォルト値
パラメータのデフォルト値は、Oracle Databaseターゲットのバージョンによって異なります。パラメータとそのデフォルト値については、データベース・ターゲットの各バージョンのOracle Databaseドキュメントを参照してください。
デフォルトで除外されるオブジェクト
該当なし
違反の影響
これらのセグメントには、サイズが初期エクステントの倍数ではない、または増加率がゼロ以外に設定されている(あるいはその両方の)エクステントが含まれています。この状態では領域が適切に再利用されず、フラグメンテーションの問題が発生することがあります。
処理
ローカル管理されるセグメントを含む表領域を再定義するか、または「次のエクステント」値に「初期エクステント」の倍数を指定し、増加率の値を0に設定して、これらのセグメントを再定義します。
このポリシーは、MANUALセグメント領域管理を使用しているローカル管理表領域をチェックします。
セグメント領域管理の設定には、MANUALとAUTOの2種類があります。
MANUALセグメント領域管理では、空きリストを使用して、セグメント内の空き領域が管理されます。空きリストは、行の挿入に使用できる領域を持つデータ・ブロックのリストです。このような形式のセグメント領域管理では、表領域内で作成されたスキーマ・オブジェクトのPCTUSED、FREELISTSおよびFREELIST GROUPS記憶域パラメータを指定してチューニングする必要があります。
AUTOセグメント領域管理では、ビットマップを使用して、セグメント内の空き領域が管理されます。このビットマップは、行の挿入に使用できるブロック内の領域の大きさに対する、セグメント内の各データ・ブロックのステータスを示します。ビットマップを使用することで、データベースによる空き領域の自動管理が可能になります。
ポリシー・サマリー
次の表に、ポリシーの主要プロパティを示します。
| 重大度 | カテゴリ | ターゲット・タイプ | 影響のあるバージョン | ポリシー・ルールの評価脚注 1 | 自動的に有効化されるか | アラート・メッセージ |
|---|---|---|---|---|---|---|
| 情報 | 記憶域 | データベース・インスタンス、クラスタ・データベース | Oracleサーバー9.2以上 | 基礎となるメトリックは、24時間に1度の頻度で収集を行います。 | はい | 表領域%TABLESPACE_NAME%では自動セグメント領域管理を使用していません。 |
デフォルト
パラメータとそのデフォルト値
パラメータのデフォルト値は、Oracle Databaseターゲットのバージョンによって異なります。パラメータとそのデフォルト値については、データベース・ターゲットの各バージョンのOracle Databaseドキュメントを参照してください。
デフォルトで除外されるオブジェクト
該当なし
違反の影響
自動セグメント領域管理は、セグメント内の領域を管理する、より簡単で効率的な方法です。これを使用すると、表領域内で作成されたスキーマ・オブジェクトのPCTUSED、FREELISTSおよびFREELIST GROUPS記憶域パラメータを指定してチューニングする必要が完全になくなります。
RAC環境では、空きリスト・グループを使用する場合の領域の難しいパーティション化を回避できるという利点もあります。
処理
すべての永続ローカル管理表領域のセグメント領域管理をAUTOに変更します。
リストに含まれる各表領域の名前をクリックすると、その表領域が選択された状態でオブジェクトの再編成ウィザードが起動します。このウィザードを使用して、表領域のセグメント領域管理をMANUALからAUTOに変更できます。
このポリシーは、TBSP_MIXED_SEGSパラメータを使用して、ロールバック・セグメントとデータ・セグメントの両方を含む表領域がないかどうかをチェックします。
ポリシー・サマリー
次の表に、ポリシーの主要プロパティを示します。
| 重大度 | カテゴリ | ターゲット・タイプ | 影響のあるバージョン | ポリシー・ルールの評価脚注 1 | 自動的に有効化されるか | アラート・メッセージ |
|---|---|---|---|---|---|---|
| 情報 | 記憶域 | データベース・インスタンス、クラスタ・データベース | すべて | 基礎となるメトリックは、24時間に1度の頻度で収集を行います。 | はい | 表領域%TABLESPACE_NAME%には、ロールバック・セグメントとデータ・セグメントの両方が含まれています。このようにタイプの異なるセグメントを混在させると、領域管理がより困難になり、表領域のパフォーマンスが低下することもあります。 |
デフォルト
パラメータとそのデフォルト値
パラメータのデフォルト値は、Oracle Databaseターゲットのバージョンによって異なります。パラメータとそのデフォルト値については、データベース・ターゲットの各バージョンのOracle Databaseドキュメントを参照してください。
デフォルトで除外されるオブジェクト
SYSTEM表領域
違反の影響
これらの表領域には、ロールバック・セグメントとデータ・セグメントの両方が含まれています。このようにタイプの異なるセグメントを混在させると、領域管理がより困難になり、表領域のパフォーマンスが低下することもあります。ロールバック・セグメント専用の表領域を使用すれば、可用性とパフォーマンスが向上します。
処理
自動UNDO管理(Oracleサーバーのリリース9.0.1以上)を使用して、次のいずれかを行います。
この表領域からロールバック・セグメントを削除する。
ロールバック・セグメント専用に1つ以上の表領域を作成して、この表領域からロールバック・セグメントを削除する。
この表領域をロールバック・セグメント専用とし、データ・セグメントを他の表領域に移動する。
このポリシーは、SYSTEM_AS_DEFAULT_TBSPパラメータを使用して、システム表領域がデフォルトの表領域に設定されているユーザーをチェックします。
ポリシー・サマリー
次の表に、ポリシーの主要プロパティを示します。
| 重大度 | カテゴリ | ターゲット・タイプ | 影響のあるバージョン | ポリシー・ルールの評価脚注 1 | 自動的に有効化されるか | アラート・メッセージ |
|---|---|---|---|---|---|---|
| 情報 | 記憶域 | データベース・インスタンス、クラスタ・データベース | すべて | 基礎となるメトリックは、24時間に1度の頻度で収集を行います。 | はい | ユーザー%USER_NAME%がSYSTEM表領域をデフォルト表領域として使用しています。SYSTEM表領域にシステム以外のデータ・セグメントが追加されるため、SYSTEM表領域のパフォーマンスが低下します。 |
デフォルト
パラメータとそのデフォルト値
パラメータのデフォルト値は、Oracle Databaseターゲットのバージョンによって異なります。パラメータとそのデフォルト値については、データベース・ターゲットの各バージョンのOracle Databaseドキュメントを参照してください。
デフォルトで除外されるオブジェクト
クラスタ・オブジェクト・タイプ(オブジェクトの再編成ウィザードでサポートされないため)。
デフォルトでOracle DatabaseまたはEnterprise Managerの一部であるすべてのユーザー・アカウント。たとえば、SYS、SYSTEM、SYSMAN、CTXSYS、SCOTT、ADAMSなど。
違反の影響
これらのユーザーが、システム表領域をデフォルト表領域として使用しています。この違反状態では、システム以外のデータ・セグメントがシステム表領域に追加されるため、これらのデータ・セグメントの管理がより困難になり、システム表領域のパフォーマンス低下の原因となります。
処理
これらのユーザーのデフォルト表領域を変更し、システム以外の表領域を指定します。
このポリシーは、PERM_AS_TEMP_TBSPパラメータを使用して、永続表領域が一時表領域として使用されているかどうかを検出します。
ポリシー・サマリー
次の表に、ポリシーの主要プロパティを示します。
| 重大度 | カテゴリ | ターゲット・タイプ | 影響のあるバージョン | ポリシー・ルールの評価脚注 1 | 自動的に有効化されるか | アラート・メッセージ |
|---|---|---|---|---|---|---|
| 情報 | 記憶域 | データベース・インスタンス、クラスタ・データベース | Oracleサーバー9.2以上 | 基礎となるメトリックは、24時間に1度の頻度で収集を行います。 | はい | ユーザー%USER_NAME%が永続表領域%TABLESPACE_NAME%を一時表領域として使用しています。永続表領域を一時表領域として使用すると、特にReal Application Clustersではパフォーマンスが低下します。 |
デフォルト
パラメータとそのデフォルト値
パラメータのデフォルト値は、Oracle Databaseターゲットのバージョンによって異なります。パラメータとそのデフォルト値については、データベース・ターゲットの各バージョンのOracle Databaseドキュメントを参照してください。
デフォルトで除外されるオブジェクト
該当なし
違反の影響
これらのユーザーは、永続表領域を一時表領域として使用しています。一時表領域を使用すれば、ソート操作の領域管理をさらに効率的にできます。ソート操作に永続表領域を使用した場合、特にReal Application Clustersではパフォーマンス低下の原因になることがあります。
処理
これらのユーザーの一時表領域を変更し、タイプがTEMPORARYの表領域を指定します。
