ヘッダーをスキップ
Oracle® Databaseセキュリティ・ガイド
12cリリース1 (12.1)
B71285-04
  目次へ移動
目次
索引へ移動
索引

前
 
次
 

Oracle Databaseセキュリティ・ガイドのこのリリースの変更

この章の内容は次のとおりです。

Oracle Database Security 12cリリース1(12.1)の変更

Oracle Database 12cリリース1(12.1)のOracle Database Securityガイドの変更は、次のとおりです。

新機能

このリリースの新機能は次のとおりです。

データのカテゴリを保護する透過的機密データ保護

データのカテゴリ全体を保護する透過的機密データ保護ポリシーを作成できます。透過的機密データ保護により、機密データ(クレジット・カードや社会保障番号など)を保持するデータベースのすべての表の列を確認し、このデータを分類して、指定されたクラスのこのデータ全体を保護するポリシーを作成できます。この機能では、所属している組織全体のデータの均一なポリシーを作成できます。

詳細は、第11章「透過的機密データ保護の使用」を参照してください。

新しいパスワード検証関数

以前のリリースで、Oracle Databaseは、スクリプトutlpwdmg.sqlのパスワード検証関数verify_function_11Gを用意していました。このリリースでは、スクリプトは、より強力なレベルのパスワード検証を提供する次の2つの新しい追加の関数で強化されました。

  • ora12c_verify_function関数は、以前に設定したパスワードと異なるパスワードの最小文字数などの要件をチェックします。

  • ora12c_strong_verify_function関数では、Department of Defense Database Security Technical Implementation Guideで推奨されている要件をチェックします。

詳細は、次の各項を参照してください。

ロールをプログラム・ユニットに付加する機能

データベース・ロールをプログラム・ユニットの関数、プロシージャおよびPL/SQLパッケージに付加できるようになりました。この機能により、ロールを直接コードの実行者に付与しないでPL/SQLコードの権限を一時的に昇格できます。この機能の利点は、アプリケーションのセキュリティが強化され、最低限の権限の原則を規定できることです。

詳細は、次の各項を参照してください。

プロシージャのコール側の権限を使用できるかどうかを制御する機能

ユーザーが実行者権限プロシージャ(またはプログラム・ユニット)を実行する場合、実行するユーザーの権限で実行されます。プロシージャが実行されると、プロシージャの所有者は、実行するユーザーの権限に一時的にアクセスできます。プロシージャ所有者が実行するユーザーより少ない権限の状況では、プロシージャ所有者がプロシージャを変更して実行するユーザーの権限を使用し、所有者が意図しないまたは禁止されている操作を実行できる可能性があります。

以前のリリースでは、実行するユーザーは、実行者権限プロシージャを実行する場合、このアクセスが可能なユーザーを制御できませんでした。このリリース以降、実行者権限プロシージャ・コールは、プロシージャの所有者が実行者のINHERIT PRIVILEGES権限を持つ場合またはプロシージャの所有者がINHERIT ANY PRIVILEGES権限を持つ場合に実行者の権限でのみ実行できます。

この機能の利点は、実行者権限プロシージャを実行するか、またはBEQUEATH CURRENT_USERビューに問い合せる場合、権限にアクセスできるユーザーの制御が実行するユーザーに付与されることです。

詳細は、次の各項を参照してください。

参照されるビューの実行者権限の動作に対応する機能

以前のリリースのOracle Databaseでは、ユーザー作成ビューで参照される実行者権限関数は、ビューを定義したユーザーの権限、つまり定義者権限として機能するビューで実行されました。このリリース以降、ビューを構成して、定義者権限または実行者権限として機能するビューでこれらの関数を実行できます。

内容は次のとおりです。

  • 詳細は、「ビューの定義者権限および実行者権限の制御」を参照してください。

  • この機能に関連付けられている新しいReal Application Security関連関数の使用の詳細は、『Oracle Database Real Application Security管理者および開発者ガイド』を参照してください。

外部プロシージャのセキュリティの強化

安全上の理由のため、Oracle外部プロシージャは、Oracleデータベースと物理的に異なるプロセスで実行されます。外部プロシージャを起動する場合、Oracle Databaseは、データベース・インスタンスのリスナーを開始したユーザーのオペレーティング・システム権限を使用して、extprocオペレーティング・システム・プロセス(またはエージェント)を作成します。

このリリースでは、extprocエージェントを構成して、リスナー・ユーザーまたはOracleサーバー・プロセスのオペレーティング・システム権限を使用するかわりに指定されたオペレーティング・システム資格証明として実行できます。この機能では、extprocプロセスに関連付けられる資格証明を定義でき、ユーザー定義の共有ライブラリをロードして関数を実行する前に認証および偽装(つまり、指定したユーザー資格証明のかわりに実行)できます。extprocユーザー資格証明を構成するには、新しいPL/SQLパッケージDBMS_CREDENTIALを使用します。この新しいリリースの一部として、CREATE LIBRARY文が強化されて、extprocユーザー資格証明とライブラリを関連付けることができます。

内容は次のとおりです。

  • 「外部プロシージャの保護」

  • DBMS_CREDENTIALパッケージを使用したextprocプロセスの構成の詳細は、『Oracle Database PL/SQLパッケージおよびタイプ・リファレンス』を参照してください。

  • CREATE LIBRARY文の詳細は、『Oracle Database SQL言語リファレンス』を参照してください。

SHA-2暗号ハッシュ関数のサポート

Oracle Databaseは、ほとんどのSHA-2暗号ハッシュ関数をサポートするようになりました。次の領域でこれらの関数を使用できます。

  • ネットワーク・チェックサム(SHA-256およびSHA-384関数)

  • DBMS_CRYPTO PL/SQLパッケージ

Kerberosの機能強化

強化され、より安全で使いやすくなりました。新しいKerberosアダプタでは、次の機能を使用できます。

さらなる業務分離の権限の変更

業務分離を強化するために、Oracle Databaseは、Oracle Recovery Manager (Oracle RMAN)、Oracle Data Guardおよび透過的データ暗号化の標準管理業務を処理するタスク固有の権限を提供するようになりました。新しい権限は、ユーザーに特定の関数を実行するために絶対に必要な権限のみ付与される最低限の権限の原則に基づきます。この機能により、多くのタスクのSYSDBA管理権限を不必要に付与する必要が軽減されます。

管理権限の管理の詳細は、「管理権限の管理」を参照してください。

RESOURCEロールはUNLIMITED TABLESPACE権限を付与しなくなりました

このリリース以降、RESOURCEロールがデフォルトでUNLIMITED TABLESPACEシステム権限を付与しなくなりました。このシステム権限をユーザーに付与する場合、手動で付与する必要があります。

デフォルトのロールの詳細は、「Oracle Databaseのインストールで事前に定義されているロール」を参照してください。

SELECT ANY DICTIONARY権限は一部のSYSデータ・ディクショナリ表にアクセスしなくなりました

セキュリティを強化するために、SELECT ANY DICTIONARYシステム権限でSYSスキーマ・システム表DEFAULT_PWD$ENC$LINK$USER$USER_HISTORY$CDB_LOCAL_ADMINAUTH$およびXS$VERIFIERSの問合せが許可されなくなりました。ユーザーSYSのみこれらの表にアクセスできますが、ユーザーSYSはオブジェクト権限(GRANT SELECT ON USER$ TO sec_adminなど)を他のユーザーに付与できます。

システムおよびオブジェクト権限の詳細は、『Oracle Database SQL言語リファレンス』を参照してください。

Oracle Virtual Private Database状況依存ポリシーの評価の制御

以前のリリースでは、Oracle Virtual Private Database (VPD)状況依存ポリシーを作成した場合、Oracle Databaseは、アプリケーション・コンテキスト属性がVPD状況依存ポリシーに影響しない場合でも、状況の属性が変更されるたびにポリシーを評価しました。このリリース以降、関連付けられているアプリケーション・コンテキスト属性を変更する場合のみ、Oracle DatabaseによってVPD状況依存ポリシーを評価できます。アプリケーション・コンテキストおよびその属性を特定のVPDポリシーに関連付けることができ、関連付けられているアプリケーション・コンテキスト属性が変更される場合のみ、VPDポリシーで新しい述語を生成できます。

詳細は、「変更されるアプリケーション・コンテキスト属性の状況依存ポリシーの使用」を参照してください。

仮想プライベート・データベースのDBMS_RLSパッケージおよびビューの長い識別子のサポート

以前のリリースのOracle Databaseでは、Oracle Virtual Private Database DBMS_RLS PL/SQLパッケージ・プロシージャおよびこのパッケージの関連ビューで指定されたオブジェクト名(表、スキーマ、ポリシーや関数の名前など)の最大長は30バイトでした。このリリース以降、最大長は128バイトです。

Oracle Virtual Private Databaseの詳細は、第10章「Oracle Virtual Private Databaseを使用したデータ・アクセスの制御」を参照してください。

サービスおよびウォレットへのファイングレイン・アクセスの構成の変更

このリリースでは、外部ネットワーク・サービスおよびOracleウォレットへのファイングレイン・アクセスを構成するプロシージャが簡略化されました。DBMS_NETWORK_ACL_ADMIN PL/SQLパッケージが次のように変更されました。

以前のDBMS_NETWORK_ACL_ADMINプロシージャ 新しい同等のプロシージャ
CREATE_ACL

ADD_PRIVILEGE

ASSIGN_ACL

ASSIGN_WALLET_ACL

APPEND_HOST_ACE

APPEND_WALLET_ACE

N/A APPEND_HOST_ACL
N/A APPEND_WALLET_ACL
DELETE_PRIVILEGE

DROP_ACL

UNASSIGN_ACL

UNASSIGN_WALLET_ACL

REMOVE_HOST_ACE

REMOVE_WALLET_ACE

CHECK_PRIVILEGE なし
CHECK_PRIVILEGE_ACLID なし
N/A SET_HOST_ACL
N/A SET_WALLET_ACL

これらの変更されたプロシージャに対応するため、次の新しいデータ・ディクショナリ・ビューがこのリリースで導入されています。

  • DBA_HOST_ACLS

  • DBA_HOST_ACES

  • USER_HOST_ACES

詳細は、次の各項を参照してください。

監査機能の大幅な再設計

このリリースでは、監査機能が以前のリリースで使用された機能から大幅に再設計されました。新しいリリース12のOracleデータベースをインストールすると、すべての監査強化機能(統合監査)を自動的に取得できます。以前のリリースからアップグレードする場合、一部の新しい監査機能およびアップグレード元のリリースの監査機能を使用するオプションが提供されます。すべての最新の監査機能に移行することをお薦めします。

新しい監査機能への移行の詳細は、『Oracle Databaseアップグレード・ガイド』を参照してください。

高速な監査パフォーマンス

このリリースは、以前のリリースのOracle Databaseより監査パフォーマンスが大幅に向上しています。監査レコードを監査証跡に書き込む方法、即時かメモリーにキューするかどうかも制御できます。

詳細は、「AUDSYSスキーマへの統合監査証跡レコードの書込み」を参照してください。

統合監査データ証跡

以前のリリースのOracle Databaseでは、データベース監査証跡のSYS.AUD$、ファイングレイン監査のSYS.FGA_LOG$、Oracle Database VaultのDVSYS.AUDIT_TRAIL$、Oracle Label Securityなど、コンポーネントごとに個別の監査証跡がありました。このリリースでは、これらの監査証跡が1つにすべて統合され、単一インスタンス・インストールのOracle Database Real Application Clusters環境のUNIFIED_AUDIT_TRAILデータ・ディクショナリ・ビューから表示できます。

統合監査データ証跡には多くの利点があります。これによって、分析を実行する前に1つの場所に最初に収集するのではなく、1つの操作で監査データ全体の分析レポートを実行できます。Oracle Audit Vaultなどの監査マイニング・ツールは、監査レコードを収集するために複数の場所ではなく1つの場所で参照できるようになりました。統合監査証跡は、監査情報が一貫してフォーマットされ、一貫したフィールドが含まれていることを確認します。

詳細は、「統合監査証跡の管理」を参照してください。

統合監査証跡の新しいスキーマ

統合監査証跡の機能強化の一部として、統合監査証跡データ表の記憶域にのみ、新しいスキーマAUDSYSが使用されます。AUD$およびFGA_LOG$システム表の既存の監査データ、監査メタデータおよび監査PL/SQLパッケージは、引き続きSYSスキーマにあります。

詳細は、「統合監査証跡の管理」を参照してください。

監査管理の業務分離

業務分離を強化するために、監査構成および監査証跡管理のAUDIT_ADMINと監査データの表示および分析のAUDIT_VIEWERの2つの新しいデータベース・ロールを監査で使用できるようになりました。

詳細は、「監査を実行できるユーザー」を参照してください。

名前付きの統合監査ポリシーを作成する機能

名前付きの統合監査ポリシーを作成できるようになりました。統合監査ポリシーは、一連の監査オプションを含み、オブジェクトとしてデータベースに格納されます。名前付きの統合監査ポリシーを作成する利点は、データベース監査ポリシーを作成するために必要なコマンドの数を削減し、セキュリティおよびコンプライアンスの監査構成の実装を簡略化することです。

次の新しいSQL文では、監査ポリシーを管理できます。

  • CREATE AUDIT POLICY

  • ALTER AUDIT POLICY

  • DROP AUDIT POLICY

また、既存のAUDITおよびNOAUDIT文は、統合監査ポリシーの有効化または無効化、ポリシーに対するユーザーの適用または除外および監査された動作が失敗、成功または失敗/成功した場合に監査レコードを作成するかどうかの設定を許可できます。

詳細は、「統合監査ポリシーおよびAUDIT文を使用したアクティビティの監査」を参照してください。

ロールを監査する機能

このリリース以降、ユーザー作成ロールを含むデータベース・ロールを監査できます。これにより、ロールに付与されたすべてのシステム権限を監査できます。この機能の利点は、ロールに付与されたすべてのアクティビティを単一のコマンドに簡略化することです。これにより、新しいデータベース・ユーザーがデータベースに追加され、ロールが付与される場合、新しい権限でロールを更新するたびに統合監査ポリシーを更新する必要がなくなります。

詳細は、「ロールの監査」を参照してください。

監査アクションの強制的な記録

このリリースでは、監査機能に関連付けられるすべてのアクションが常に監査されます。監査管理者のアクションを監査すると、セキュリティ要件およびコンプライアンス要件に対し、Oracleデータベースで実装された監査ポリシーの整合性を確認できます。

詳細は、「強制的に監査されるアクティビティ」を参照してください。

Oracle ACFS監査およびOracle Audit Vault Serverに監査データをインポートするためのサポート

この機能により、Oracle Automatic Storage Managementクラスタ・ファイルシステム(ACFS)のセキュリティと暗号化の監査が提供されます。また、この機能では、Oracle Audit Vault Serverによってインポート可能なOracle ACFS監査証跡データを格納するXMLファイルも生成されます。これによって、Oracle ACFS監査データの記憶域およびレポートに対するOracle Audit Vault機能を利用できます。

詳細は、『Oracle Automatic Storage Management管理者ガイド』を参照してください。

Oracleマルチテナント・オプション用のユーザー、権限およびロールのサポート

このリリースのOracle Databaseでは、Oracle Databaseに個別のデータベースのようにユーザーおよびアプリケーションに表示されるスキーマおよびスキーマ以外のオブジェクト(エディション、ロールなど)の移植性のあるセットを含めることができるOracleマルチテナント・オプションを導入しています。これらのオブジェクトの各セットはプラガブル・データベース(PDB)と呼ばれ、これらのPDBを格納するデータベースはマルチテナント・コンテナ・データベース(CDB)と呼ばれます。

Oracle Database 12cリリース1 (12.1)は、CDBと非CDBの両方をサポートしています。このマニュアルでは、CDBおよびCDB以外のユーザー・アカウント、権限およびロールの管理方法について説明します。

内容は次のとおりです。

自動ストレージ管理のパスワード・ファイルを使用する機能

Oracle Automatic Storage Management(ASM)は、ASMディスク・グループ内のパスワード・ファイルの格納をサポートするようになりました。

自動ストレージ管理のパスワード・ファイルの管理の詳細は、『Oracle Automatic Storage Management管理者ガイド』を参照してください。

新しいSecure Sockets Layer暗号スイート

次のSecure Sockets Layer暗号スイートは、このリリース以降利用できます。

暗号スイート 認証 暗号化 データ整合性
SSL_ECDHE_ECDSA_WITH_AES_128_CBC_SHA ECDHE_ECDSA AES 128 CBC SHA-1
SSL_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256 ECDHE_ECDSA AES 128 CBC SHA256 (SHA-2)
SSL_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256 ECDHE_ECDSA AES 128 GCM SHA256 (SHA-2)
SSL_ECDHE_ECDSA_WITH_AES_256_CBC_SHA ECDHE_ECDSA AES 256 CBC SHA-1
SSL_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384 ECDHE_ECDSA AES 256 CBC SHA384 (SHA-2)
SSL_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384 ECDHE_ECDSA AES 256 GCM SHA384 (SHA-2)
SSL_RSA_WITH_AES_128_CBC_SHA256 RSA AES 128 CBC SHA256 (SHA-2)
SSL_RSA_WITH_AES_128_GCM_SHA256 RSA AES 128 GCM SHA256 (SHA-2)
SSL_RSA_WITH_AES_256_CBC_SHA256 RSA AES 256 CBC SHA256 (SHA-2)
SSL_RSA_WITH_AES_256_GCM_SHA384 RSA AES 256 GCM SHA384 (SHA-2)

サポートされているSecure Sockets Layer暗号スイートの完全なリストは、表18-1を参照してください。

非推奨機能

このリリースの非推奨機能は次のとおりです。

SQLNET.ALLOWED_LOGON_VERSIONパラメータの非推奨

このリリース以降、Oracle Net Services SQLNET.ALLOWED_LOGON_VERSIONパラメータが非推奨になります。次の2つのパラメータに置き換わります。

  • SQLNET.ALLOWED_LOGON_VERSION_SERVER

  • SQLNET.ALLOWED_LOGON_VERSION_CLIENT

SQLNET.ALLOWED_LOGON_VERSIONパラメータのサーバー・バージョンおよびクライアント・バージョンを持つと、データベース・リンクを使用するサーバーを構成する必要がある場合により柔軟性が得られます。接続されたデータベース・リンクを含む問合せを処理すると、サーバーがデータベース・リンクのターゲット・データベースへのクライアントとして機能します。たとえば、Oracle 9iデータベースに接続するOracle Database 12cリリース1 (12.1)データベースがあるとします。SQLNET.ALLOWED_LOGON_VERSION_SERVERパラメータを11SQLNET.ALLOWED_LOGON_VERSION_CLIENTパラメータを8に設定して、Oracle Databaseリリース11以上を実行するクライアントのみにOracle Database 12cデータベースの接続を制限します。ただし、これらの設定では、古いOracle 9iデータベースへのクライアントとして機能するOracle Database 12cサーバーを引き続き使用できます。

内容は次のとおりです。

  • 「SHA-2暗号ハッシュ関数のサポート」

  • SQLNET.ALLOWED_LOGON_VERSION_SERVERパラメータの詳細は、『Oracle Database Net Servicesリファレンス』を参照してください。

  • SQLNET.ALLOWED_LOGON_VERSION_CLIENTパラメータの詳細は、『Oracle Database Net Servicesリファレンス』を参照してください。

ORAPWDユーティリティのIGNORECASE引数の非推奨

このリリース以降、パスワード・ファイルの作成に使用されるORAPWDユーティリティのIGNORECASE引数は非推奨になります。デフォルトでは、IGNORECASEは、パスワードの大/小文字を区別するN(no)に設定されます。セキュリティの強化のために、IGNORECASENに設定されていることを確認するか、全体を省略できます。


関連項目:

パスワード・ファイルの大/小文字の区別の詳細は、「大/小文字の区別がパスワード・ファイルに与える影響」を参照してください。

SEC_CASE_SENSITIVE_LOGON初期化パラメータの非推奨

標準ベースのベリファイア(SHA-1)が大/小文字を区別するパスワード照合をサポートしないため、パスワードの大/小文字の区別を有効化または無効化するSEC_CASE_SENSITIVE_LOGON初期化パラメータは非推奨です。下位互換性の理由のため、このパラメータをこのリリースで使用できます。セキュリティを強化するために、データベース・ログオン・パスワードの大/小文字を区別するため、このパラメータがTRUEに設定されていることを確認してください。

内容は次のとおりです。

非推奨のDBMS_NETWORK_ACL_ADMINパッケージ・プロシージャおよびビュー

DBMS_NETWORK_ACL_ADMIN PL/SQLパッケージの次のプロシージャが非推奨になりました。

  • CREATE_ACL

  • ADD_PRIVILEGE

  • DELETE_PRIVILEGE

  • ASSIGN_ACL

  • UNASSIGN_ACL

  • DROP_ACL

  • ASSIGN_WALLET_ACL

  • UNASSIGN_WALLET_ACL

  • CHECK_PRIVILEGE

  • CHECK_PRIVILEGE_ACLID

次のDBMS_NETWORK_ACL_ADMINパッケージ関連のデータ・ディクショナリ・ビューが非推奨になりました。

  • DBA_NETWORK_ACLS

  • DBA_NETWORK_ACL_PRIVILEGES

  • USER_NETWORK_ACL_PRIVILEGES

詳細は、次の各項を参照してください。

DELETE_CATALOG_ROLEロールの非推奨

Oracle Database 12cリリース1 (12.1)では、DELETE_CATALOG_ROLEロールは非推奨です。

サポート対象外となった機能

この項の内容は、次のとおりです。

サポート対象外となったSecure Sockets Layer暗号スイート

次のSecure Sockets Layer暗号スイートはサポート対象外になりました。

暗号スイート 認証 暗号化 データ整合性
SSL_DH_anon_WITH_DES_CBC_SHA DH anon DES CBC SHA-1
SSL_RSA_EXPORT_WITH_DES40_CBC_SHA RSA DES40 CBC SHA-1
SSL_RSA_EXPORT_WITH_RC4_40_MD5 RSA RC4 40 MD5
SSL_RSA_WITH_DES_CBC_SHA RSA DES CBC SHA-1

サポートされているSecure Sockets Layer暗号スイートの完全なリストは、表18-1を参照してください。

その他の変更

可用性の向上のため、Oracle Advanced Securityが再パッケージ化されました。次の機能は、Oracle Advanced Securityの一部ではなくなり、デフォルトのOracle Databaseのインストールで提供されます。

  • シンJDBCクライアント・ネットワーク・サポート

  • RADIUS厳密認証

  • Kerberos厳密認証

  • Secure Sockets Layer (SSL)厳密認証

  • 複数の厳密認証サポート

これらの機能の詳細は、このマニュアルを参照してください。

次の機能はOracle Advanced Securityの一部で、『Oracle Database Advanced Securityガイド』で説明されています。

  • 透過的データ暗号化

  • Oracle Data Redaction

この変更の一部として、『Oracle Database Advanced Security管理者ガイド』の名前が『Oracle Database Advanced Securityガイド』に変更されました。