32拡張データ・セキュリティ
この章の内容は次のとおりです。
拡張データ・セキュリティ
拡張データ・セキュリティでは、2つのタイプのデータ保護が追加されています。Database Vaultは高度な権限を持つユーザーによるアクセスからデータを保護し、Transparent Data Encryptionは保存データを暗号化します。拡張データ・セキュリティは、Break-Glassサービスにサブスクライブすることにより、Oracle Applications Cloudで使用できます。
Oracle Database Vault
Database Vaultは、データベース管理者やシステム管理者など、高度な権限を持つユーザーがアプリケーション・データにアクセスして閲覧するリスクを削減します。この機能は、アプリケーション・テーブルやSOAオブジェクトなど、特定のデータベース・オブジェクトへのアクセスを制限します。
管理者は通常のデータベース保守アクティビティを実行できますが、アプリケーション・テーブルから選択することはできません。DBAがアプリケーション・テーブルにアクセスする必要がある場合、Oracle Fusionスキーマへの一時アクセスをリクエストしてください。リクエストすると、キーストローク監査が有効になります。
Transparent Data Encryption
Transparent Data Encryption (TDE)は、ファイル・システムに保存されているOracle Fusion Applicationsデータの読取りと使用を防止します。データベース・ファイル(DBF)が暗号化されているため、DBFのデータは保護されます。バックアップと一時ファイルのデータは保護されます。暗号化された表領域のすべてのデータは、UNDO表領域、REDOログおよび一時表領域に書き込まれるときに自動的に暗号化されます。
拡張セキュリティでは、アプリケーション・データが含まれるすべての表領域において表領域レベルで暗号化が有効になります。これには、退避済みのペイロードとアプリケーション・データが格納されている場合があるSOA表領域が含まれます。
暗号化キーはOracle Walletに格納されます。Oracle Walletはデータベースの外部にある暗号化されたコンテナであり、パスワード、TDEマスター・キー、PKI非公開キー、証明書、Secure Sockets Layer (SSL)で必要な信頼できる証明書など、認証および署名資格証明が格納されます。表領域キーは、表領域のヘッダーと、表領域を構成する各オペレーティング・システム(OS)ファイルのヘッダーに格納されます。これらのキーは、Oracle Walletに格納されているマスター・キーによって暗号化されます。表領域キーはAES128ビット暗号で、TDEマスター・キーは常にAES256ビット暗号です。