このリリースでの『Oracle Database Advanced Securityガイド』の変更点

『Oracle Database Advanced Securityガイド』には、Oracle Databaseリリース1 (12.1.0.1)とリリース1 (12.1.0.2)の両方で変更点があります。

• Oracle Database Advanced Security 12c リリース1 (12.1.0.2)における変更点

• Oracle Database Advanced Security 12c リリース1 (12.1.0.1)における変更点

Oracle Database Advanced Security 12cリリース1 (12.1.0.2)における変更点

Oracle Database 12cリリース1 (12.1.0.2)の『Oracle Database Advanced Securityガイド』における変更点は次のとおりです。

• 新機能

新機能

このリリースの新機能は次のとおりです。

• データ・リダクション・ポリシーのOLS_LABEL_DOMINATESのサポート

• Oracle Key Vaultのキーストアおよび暗号化会議管理のサポート

データ・リダクション・ポリシーのOLS_LABEL_DOMINATESのサポート

このリリース以降、Oracle Data Redactionポリシーでパブリック・スタンドアロン・ファンクションOLS_LABEL_DOMINATESを使用できます。入力にVARCHAR2データ型を使用するSA_UTL.DOMINATESファンクションは、このファンクションで置き換えられます。

詳細は、「Oracle Label Securityラベル優位に基づくリダクション・ポリシーの適用」を参照してください。

Oracle Key Vaultのキーストアおよび暗号化会議管理のサポート

Oracle Key Vaultでは、企業全体でのソフトウェア・キーストアとTDE暗号化鍵、およびセキュリティ・オブジェクト(Javaキーストア(JKS)、Java Cryptography Extension (JCEKS)キーストアおよび資格証明ファイル)の集中管理が可能です。

詳細は、『Oracle Key Vault管理者ガイド』を参照してください。

Oracle Database Advanced Security 12cリリース1 (12.1.0.1)における変更点

Oracle Database 12cリリース1 (12.1.0.1)の『Oracle Database Advanced Securityガイド』における変更点は次のとおりです。

• 新機能

• 非推奨となった機能

• その他の変更

新機能

このリリースの新機能は次のとおりです。

• 透過的データ暗号化およびその他のデータベース・コンポーネント用の新しいキーストアおよびキーストア管理機能

• 透過的データ暗号化の新しい管理権限

• 機密データへのアクセスを制限するOracle Data Redaction

透過的データ暗号化およびその他のデータベース・コンポーネント用の新しいキーストアおよびキーストア管理機能

Oracle Database 12cリリース1 (12.1)では、透過的データ暗号化(TDE)およびその他のデーベース・コンポーネント用に統合鍵管理インタフェースが導入されています。これによって鍵管理タスクが簡単になり、コンプライアンスおよび追跡機能が向上するだけでなく、データベース管理者とセキュリティ管理者の職務分離性も向上します。

すべての鍵およびキーストア管理コマンドを実行するために、mkstoreまたはorapkiコマンドライン・ユーティリティ、Oracle Wallet Managerユーティリティ、およびALTER SYSTEM文にかわり、ADMINISTER KEY MANAGEMENT文を使用できるようになりました。

「透過的データ暗号化の概要」を参照してください。

透過的データ暗号化の新しい管理権限

セキュリティおよび職務権限の分離を向上するために、透過的データ暗号化の責任者にSYSKM管理権限を付与できるようになりました。

「透過的データ暗号化の概要」を参照してください。

機密データへのアクセスを制限するOracle Data Redaction

Oracle Data Redaction(データ・リダクション)により、権限の低いユーザーやアプリケーションからデータを偽装(マスク)できます。

たとえば、次のクレジット・カード番号があると仮定します。

• 5105 1051 0510 5100

• 5111 1111 1111 1118

• 5454 5454 5454 5454

データ・リダクションを使用して、先頭12桁を次のように偽装できます。

• **** **** **** 5100

• **** **** **** 1118

• **** **** **** 5454

データは起動時にリダクションされます(つまり、データは、ユーザーがデータを含むページにアクセスするときは非表示になるが、データベースでは非表示となっていない状態です)。これにより、機密データを通常どおりに処理することができ、バックエンドでの参照整合性やデータ制約は維持されます。部分的にデータをリダクションすることもでき、これにより、オリジナル・データの一部は、それ全体を固定値で置換するか、暗号化された値を持つデータで置換することで保持されます(クレジット・カード番号の末尾4桁など)。Oracle Data Redactionポリシーを企業のデータベース全体に適用することも可能です。

詳細は、「Oracle Data Redactionの概要」 を参照してください。

非推奨となった機能

次の機能は非推奨になっています。

• 透過的データ暗号化鍵を管理するPKIの使用

透過的データ暗号化鍵を管理するPKIの使用

透過的データ暗号化鍵を管理するPKIの使用は非推奨になりました。かわりに、ADMINISTER KEY MANAGEMENT SQL文を使用して、透過的データ暗号化鍵を管理します。

詳細は、「透過的データ暗号化とPKI暗号化の使用」を参照してください。

その他の変更点

可用性の向上のため、Oracle Advanced Securityが再パッケージ化されました。次の強力な認証機能は、現在Oracle Advanced Securityに含まれず、Oracle Databaseをインストールしたときにデフォルトで提供されます。

• シンJDBCクライアント・ネットワーク・サポート

• RADIUS認証

• Kerberos認証

• Secure Sockets Layer (SSL)認証

• 複数認証のサポート

これらの機能の詳細については、『Oracle Databaseセキュリティ・ガイド』を参照してください。

次の機能は、Oracle Advanced Securityに含まれており、このガイドで説明しています。

• 透過的データ暗号化

• Oracle Data Redaction

この変更に伴い、本ガイドの名前は、『Oracle Database Advanced Securityガイド』に変更されました。以前のリリースでは、『Oracle Database Advanced Security管理者ガイド』と呼ばれていました。