プライマリ・コンテンツに移動
Oracle® Database Advanced Securityガイド
12
c
リリース1 (12.1)
B71313-13
索引
次
目次
タイトルおよび著作権情報
はじめに
対象読者
ドキュメントのアクセシビリティについて
関連ドキュメント
表記規則
このリリースでの『Oracle Database Advanced Securityガイド』の変更点
Oracle Database Advanced Security 12
c
リリース1 (12.1.0.2)における変更点
新機能
データ・リダクション・ポリシーのOLS_LABEL_DOMINATESのサポート
Oracle Key Vaultのキーストアおよび暗号化会議管理のサポート
Oracle Database Advanced Security 12
c
リリース1 (12.1.0.1)における変更点
新機能
透過的データ暗号化およびその他のデータベース・コンポーネント用の新しいキーストアおよびキーストア管理機能
透過的データ暗号化の新しい管理権限
機密データへのアクセスを制限するOracle Data Redaction
非推奨となった機能
透過的データ暗号化鍵を管理するPKIの使用
その他の変更
1
Oracle Advanced Securityの概要
透過的データ暗号化
Oracle Data Redaction
第I部 透過的データ暗号化の使用
2
透過的データ暗号化の概要
透過的データ暗号化とは
透過的データ暗号化を使用する利点
透過的データ暗号化を構成できる者
透過的データ暗号化のタイプおよびコンポーネント
透過的データ暗号化のタイプおよびコンポーネントについて
透過的データ暗号化列暗号化の動作
透過的データ暗号化表領域暗号化の動作
TDEマスター暗号化鍵の格納用のキーストアの動作
TDEマスター暗号化鍵のキーストア格納について
キーストア格納フレームワークの利点
キーストアのタイプ
サポートされる暗号化と整合性のアルゴリズム
3
透過的データ暗号化の構成
ソフトウェア・キーストアの構成
ソフトウェア・キーストアの構成について
手順1: sqlnet.oraファイルでのソフトウェア・キーストアの場所の設定
sqlnet.oraファイルでのキーストアの場所について
ソフトウェア・キーストアの場所用のsqlnet.oraファイルの構成
例: 通常のファイル・システム用のソフトウェア・キーストアの構成
例: 複数のデータベースでsqlnet.oraファイルを共有する場合のソフトウェア・キーストアの構成
例: Oracle Automatic Storage Management用のソフトウェア・キーストアの構成
例: Oracle Automatic Storage Managementディスク・グループ用のソフトウェア・キーストアの構成
手順2: ソフトウェア・キーストアの作成
ソフトウェア・キーストアを作成することについて
パスワードベースのソフトウェア・キーストアの作成
自動ログイン・ソフトウェア・キーストアまたはローカル自動ログイン・ソフトウェア・キーストアの作成
手順3: ソフトウェア・キーストアを開く
ソフトウェア・キーストアを開くことについて
ソフトウェア・キーストアを開く
手順4: ソフトウェアTDEマスター暗号化鍵の設定
ソフトウェアTDEマスター暗号化鍵の設定について
ソフトウェア・キーストアのTDEマスター暗号化鍵の設定
手順5: データの暗号化
ハードウェア・キーストアの構成
(外部の)ハードウェア・キーストアの構成について
手順1: sqlnet.oraファイルでのハードウェア・キーストアのタイプの設定
手順2: ハードウェア・セキュリティ・モジュールの構成
手順3: ハードウェア・キーストアを開く
ハードウェア・キーストアを開くことについて
ハードウェア・キーストアを開く
手順4: ハードウェア・キーストアのTDEマスター暗号化鍵の設定
ハードウェア・キーストアのTDEマスター暗号化鍵の設定について
まだ構成していない場合のTDEマスター暗号化鍵の設定
前に構成したTDEマスター暗号化鍵の移行
手順5: データの暗号化
表の列の暗号化
表の列の暗号化について
TDE列暗号化で暗号化できるデータ型
透過的データ暗号化列暗号化の使用に関する制限
暗号化列を含む表の作成
暗号化列を含む表の作成について
デフォルト・アルゴリズムを使用する暗号化列を含む表の作成
アルゴリズムを使用しないまたは非デフォルト・アルゴリズムを使用する暗号化列を含む表の作成
NOMACパラメータを使用したディスク領域の節約およびパフォーマンスの向上
例: CREATE TABLE文でのNOMACパラメータの使用
例: 表の整合性アルゴリズムの変更
外部表への暗号化列の作成
既存の表にある列の暗号化
既存の表にある列の暗号化について
既存の表への暗号化列の追加
暗号化されていない列の暗号化
列の暗号化の無効化
暗号化列に対する索引の作成
暗号化列へのSaltの追加
暗号化列からのSaltの削除
暗号化列を含む表に対する暗号化鍵またはアルゴリズムの変更
表領域の暗号化
透過的データ暗号化表領域暗号化の使用に関する制限
手順1: 表領域暗号化のCOMPATIBLE初期化パラメータの設定
表領域暗号化のためのCOMPATIBLE初期化パラメータの設定について
表領域暗号化のためのCOMPATIBLE初期化パラメータの設定
手順2: 表領域TDEマスター暗号化鍵の設定
手順3: 暗号化された表領域の作成
暗号化された表領域の作成について
暗号化された表領域の作成
例: 3DES168を使用する暗号化された表領域の作成
例: デフォルト・アルゴリズムを使用する暗号化された表領域の作成
透過的データ暗号化のデータの動的ビューおよびデータ・ディクショナリ・ビュー
4
キーストアおよびTDEマスター暗号化鍵の管理
キーストアの管理
パスワードベースのソフトウェア・キーストアのパスワードの変更
パスワードベースのソフトウェア・キーストアのパスワードの変更について
パスワードベースのソフトウェア・キーストアのパスワードの変更
ハードウェア・キーストアのパスワードの変更
パスワードベースのソフトウェア・キーストアのバックアップ
パスワードベースのソフトウェア・キーストアのバックアップについて
バックアップ・キーストアのバックアップ識別子文字列の作成
V$ENCRYPTION_WALLETビューによるバックアップ操作の解釈方法
パスワードベースのソフトウェア・キーストアのバックアップ
ハードウェア・キーストアのバックアップ
ソフトウェア・キーストアのマージ
ソフトウェア・キーストアのマージについて
2つのソフトウェア・キーストアから3つ目の新しいキーストアへのマージ
1つのソフトウェア・キーストアの既存のソフトウェア・キーストアへのマージ
自動ログイン・ソフトウェア・キーストアの既存のパスワードベースのソフトウェア・キーストアへのマージ
ソフトウェア・キーストア・マージ操作の取消し
新しいロケーションへのソフトウェア・キーストアの移動
自動ストレージ管理からのソフトウェア・キーストアの移動
ソフトウェア・パスワード・キーストアとハードウェア・キーストア間の移行
パスワードベースのソフトウェア・キーストアからハードウェア・キーストアへの移行
手順1: ハードウェア・キーストアとともに開くためにソフトウェア・キーストアを変換する
手順2: パスワードベースのソフトウェア・キーストアの移行のためにsqlnet.oraを構成する
手順3: ハードウェア・キーストアの移行を実行する
ハードウェア・キーストアからパスワードベースのソフトウェア・キーストアへの移行
ハードウェア・キーストアからの再移行について
手順1: 逆移行用にsqlnet.oraを構成する
手順2: 逆移行用にキーストアを構成する
手順3: ソフトウェア・キーストアとともに開くようにハードウェア・キーストアを構成する
移行後のキーストアの順序
キーストアとOracle Key Vault間の移行
キーストアを閉じる
キーストアを閉じるについて
ソフトウェア・キーストアを閉じる
ハードウェア・キーストアを閉じる
ASMボリュームに存在するソフトウェア・キーストアの使用
暗号化されたデータのバックアップおよびリカバリ
キーストアの削除
TDEマスター暗号化鍵の管理
後で使用するためのTDEマスター暗号化鍵の作成
後で使用するためのTDEマスター暗号化鍵の作成について
後で使用するためのTDEマスター暗号化鍵の作成
例: 1つのデータベースでのTDEマスター暗号化鍵の作成
例: すべてのPDBでのTDEマスター暗号化鍵の作成
TDEマスター暗号化鍵のアクティブ化
TDEマスター暗号化鍵のアクティブ化について
TDEマスター暗号化鍵のアクティブ化
例: TDEマスター暗号化鍵のアクティブ化
TDEマスター暗号化鍵の属性管理
TDEマスター暗号化鍵の属性
使用中のTDEマスター暗号化鍵の検出
レポート用のTDEマスター暗号化鍵のカスタム属性の作成
カスタム属性タグの作成について
カスタム属性タグの作成
キーストアのTDEマスター暗号化鍵の設定および再設定
キーストアのTDEマスター暗号化鍵の設定およびローテーションについて
TDEマスター暗号化鍵の作成とバックアップおよびタグの適用
TDEマスター暗号化鍵のローテーションについて
TDEマスター暗号化鍵のローテーション
TDEマスター暗号化鍵のエクスポートおよびインポート
TDEマスター暗号化鍵のエクスポートおよびインポートについて
TDEマスター暗号化鍵のエクスポートについて
TDEマスター暗号化鍵のエクスポート
例: 副問合せを使用したTDEマスター暗号化鍵識別子のエクスポート
例: ファイルへのTDEマスター暗号化鍵識別子のリストのエクスポート
例: データベースのすべてのTDEマスター暗号化鍵のエクスポート
TDEマスター暗号化鍵のインポートについて
TDEマスター暗号化鍵のインポート
例: TDEマスター暗号化鍵のインポート
キーストアのマージとTDEマスター暗号化鍵のエクスポートまたはインポートの相違点
Oracle Key Vaultを使用したTDEマスター暗号化鍵の管理
Oracle Databaseで使用するシークレットの格納
キーストアへのOracle Databaseのシークレットの格納について
ソフトウェア・キーストアへのOracle Databaseのシークレットの格納
例: ソフトウェア・キーストアへのHSMパスワードの追加
例: ソフトウェア・キーストアにシークレットとして格納されているHSMパスワードの変更
例: ソフトウェア・キーストアにシークレットとして格納されているHSMパスワードの削除
ハードウェア・キーストアへのOracle Databaseのシークレットの格納
例: ハードウェア・キーストアへのOracle Databaseのシークレットの追加
例: ハードウェア・キーストアでのOracle Databaseのシークレットの変更
例: ハードウェア・キーストアでのOracle Databaseのシークレットの削除
自動ログイン・ハードウェア・セキュリティ・モジュールの構成
自動ログイン・ハードウェア・セキュリティ・モジュールの構成について
自動ログイン・ハードウェア・セキュリティ・モジュールの構成
キーストアへのOracle GoldenGateのシークレットの格納
キーストアへのOracle GoldenGateのシークレットの格納について
Oracle GoldenGate Extractのクラシック・キャプチャ・モードのTDE要件
Oracle GoldenGate用のTDEキーストア・サポートの構成
手順1: キーストアの共有シークレットを決定する
手順2: TDEによるOracle GoldenGateのサポートのためにOracle Databaseを構成する
手順3: TDE GoldenGate共有シークレットをキーストアに格納する
手順4: TDE Oracle GoldenGate共有シークレットをExtractプロセスに設定する
5
透過的データ暗号化を使用する場合の一般的な考慮事項
暗号化データの圧縮とデータ重複除外
透過的データ暗号化のセキュリティに関する考慮事項
透過的データ暗号化のセキュリティに関する一般的なアドバイス
透過的データ暗号化の列暗号化固有のアドバイス
平文の断片のセキュリティの管理
透過的データ暗号化のパフォーマンスと記憶域のオーバーヘッド
透過的データ暗号化のパフォーマンスのオーバーヘッド
透過的データ暗号化の記憶域のオーバーヘッド
透過的データ暗号化と組み合せて使用するためのアプリケーションの変更
ALTER SYSTEMおよびorapkiとADMINISTER KEY MANAGEMENTとの対応
PKI暗号化での透過的データ暗号化の使用
ソフトウェア・マスター暗号化鍵とPKI鍵ペアとの併用
PKI暗号化とTDEの表領域およびハードウェア・キーストア
PKI鍵ペアのバックアップおよびリカバリ
6
他のOracle機能における透過的データ暗号化の使用
透過的データ暗号化とエクスポートおよびインポート操作の連携
暗号化データされたデータのエクスポートおよびインポートについて
暗号化された列のある表のエクスポートおよびインポート
Oracle Data Pumpを使用してダンプ・セット全体を暗号化
透過的データ暗号化とOracle Data Guardとの連携
透過的データ暗号化とOracle Real Application Clustersとの連携
Oracle Real Application Clustersでの透過的データ暗号化の使用について
非共有ファイル・システムを使用したOracle RACへのソフトウェア・キーストアの格納
透過的データ暗号化とSecureFilesとの連携
透過的データ暗号化およびSecureFilesについて
例: 特定の暗号化アルゴリズムを使用したSecureFiles LOBの作成
例: 列パスワードを指定したSecureFiles LOBの作成
透過的データ暗号化のマルチテナント環境での使用
マルチテナント環境における透過的データ暗号化の使用について
rootで実行される必要がある操作
rootまたはPDBで実行可能な操作
PDB向けのTDEマスター暗号化鍵のエクスポートおよびインポート
PDB向けのTDEマスター暗号化鍵のエクスポートおよびインポートについて
PDB向けのTDEマスター暗号化鍵のエクスポートまたはインポート
例: PDBからTDEマスター暗号化鍵をエクスポート
例: PDBにTDEマスター暗号化鍵をインポート
暗号化データのあるPDBをCDBでプラグおよびアンプラグ
暗号化データを含むPDBのアンプラグ
暗号化データを含むPDBのCDBへのプラグイン
HSMに格納されたマスター鍵を含むPDBのアンプラグ
HSMに格納されたマスター鍵を含むPDBのプラグ
マルチテナント環境でのキーストアの開閉操作の機能
マルチテナント環境のすべてのPDBのキーストアのステータスの確認
透過的データ暗号化とOracle Call Interfaceとの連携
透過的データ暗号化とエディションとの連携
マルチデータベース環境で機能するように透過的データ暗号化を構成
7
透過的データ暗号化に関するよくある質問
透過的データ暗号化に関する透過の質問
透過的データ暗号化に関するパフォーマンスの質問
第II部 Oracle Data Redactionの使用
8
Oracle Data Redactionの概要
Oracle Data Redactionとは
Oracle Data Redactionを使用する状況
Oracle Data Redactionを使用する利点
Oracle Data Redactionのターゲットのユースケース
データベース・アプリケーションにおけるOracle Data Redactionの使用
非定型データベース問合せにおけるOracle Data Redactionの考慮事項
9
Oracle Data Redactionの特徴と機能
全データをリダクションする完全データ・リダクション
データのセクションをリダクションする部分データ・リダクション
データのパターンをリダクションする正規表現
ランダム値を生成するランダム・データ・リダクション
データ型に基づいた完全、部分およびランダム・リダクションの比較
Oracle組込みデータ型のリダクション機能
ANSIデータ型のリダクション機能
ユーザー定義データ型またはオラクル社提供の型のリダクション機能
テストを目的にリダクションしない場合
10
Oracle Data Redactionポリシーの構成
Oracle Data Redactionポリシーについて
Oracle Data Redactionポリシーを作成できるユーザーは?
データ・リダクション・ポリシーの計画
DBMS_REDACT.ADD_POLICYプロシージャの一般的な構文
データ・リダクション・ポリシーの条件を定義する式の使用
データ・リダクション・ポリシーでの式の使用について
ユーザー環境に基づくリダクション・ポリシーの適用
データベース・ロールに基づくリダクション・ポリシーの適用
Oracle Label Securityラベル優位に基づくリダクション・ポリシーの適用
Application Expressセッション・ステートに基づくリダクション・ポリシーの適用
すべてのユーザーへのリダクション・ポリシーの適用
完全データ・ポリシーの作成と完全リダクション値の変更
完全リダクション・ポリシーの作成
完全データ・リダクション・ポリシーの作成について
完全リダクション・ポリシーを作成する構文
例: 完全リダクション・ポリシー
例: 完全にリダクションされた文字値
デフォルトの完全データ・リダクション値の変更
デフォルトの完全データ・リダクション値の変更について
DBMS_REDACT.UPDATE_FULL_REDACTION_VALUESプロシージャの構文
デフォルトの完全データ・リダクション値の変更
部分リダクション・ポリシーの作成
部分リダクション・ポリシーの作成について
部分リダクション・ポリシーを作成する構文
固定文字形式を使用した部分リダクション・ポリシーの作成
固定文字形式の設定
例: 固定文字形式を使用した部分リダクション・ポリシー
文字データ型を使用した部分リダクション・ポリシーの作成
文字データ型の設定
例: 文字データ型を使用した部分リダクション・ポリシー
数値データ型を使用した部分リダクション・ポリシーの作成
数値データ型の設定
例: 数値データ型を使用した部分リダクション・ポリシー
日時データ型を使用した部分リダクション・ポリシーの作成
日時データ型の設定
例: 日時データ型を使用した部分リダクション・ポリシー
正規表現ベースのリダクション・ポリシーの作成
正規表現ベースのリダクション・ポリシーの作成について
正規表現ベースのリダクション・ポリシーを作成する構文
形式を使用した正規表現ベースのリダクション・ポリシー
正規表現の形式
例: 形式を使用した正規表現リダクション・ポリシー
カスタム正規表現リダクション・ポリシー
カスタム正規表現の設定
例: カスタム正規表現リダクション・ポリシー
ランダム・リダクション・ポリシーの作成
ランダム・リダクション・ポリシーを作成する構文
例: ランダム・リダクション・ポリシー
リダクションを使用しないポリシーの作成
リダクションを使用しないポリシーの作成の構文
例: リダクションを実行しない
Oracle Data Redactionポリシーからのユーザーの除外
Oracle Data Redactionポリシーの変更
Oracle Data Redactionポリシーの変更について
DBMS_REDACT.ALTER_POLICYプロシージャの構文
DBMS_REDACT.ALTER_POLICY操作に必要なパラメータ
チュートリアル: Oracle Data Redactionポリシーの変更
複数列のリダクション
1つの表またはビューのデータ・リダクション・ポリシーへの列の追加
例: 複数列のリダクション
Oracle Data Redactionポリシーの有効化と無効化
Oracle Data Redactionポリシーの無効化
Oracle Data Redactionポリシーの有効化
Oracle Data Redactionポリシーの削除
チュートリアル: SQL式を使用したリダクションされた値を含むレポートの作成
Oracle Data Redactionポリシーのデータ・ディクショナリ・ビュー
11
Oracle Enterprise ManagerでのOracle Data Redactionの使用
Oracle Enterprise ManagerでのOracle Data Redactionの使用について
Oracle Data Redactionのワークフロー
Enterprise Managerでの機密列タイプの管理
Enterprise Managerを使用したOracle Data Redaction形式の管理
Enterprise Managerを使用したOracle Data Redaction形式の管理について
カスタムOracle Data Redaction形式の作成
カスタムOracle Data Redaction形式の編集
Oracle Data Redaction形式の表示
カスタムOracle Data Redaction形式の削除
Enterprise Managerを使用したOracle Data Redactionポリシーの管理
Enterprise Managerを使用したOracle Data Redactionポリシーの管理について
Enterprise Managerを使用したOracle Data Redactionポリシーの作成
Enterprise Managerを使用したOracle Data Redactionポリシーの編集
Enterprise Managerを使用したOracle Data Redactionポリシーの詳細の表示
Enterprise ManagerでのOracle Data Redactionポリシーの有効化または無効化
Enterprise Managerを使用したOracle Data Redactionポリシーの削除
12
Oracle Data RedactionとOracle Database機能の併用
Oracle Data Redactionと、DMLおよびDDL操作
ネストした関数、インライン・ビューおよびWHERE句でのOracle Data Redaction
Oracle Data Redactionとデータベース・リンク
Oracle Data Redactionおよび集計関数
Oracle Data Redactionおよびオブジェクト型
Oracle Data RedactionおよびXML生成
Oracle Data Redactionおよびエディション
マルチテナント環境におけるOracle Data Redaction
Oracle Data RedactionとOracle Virtual Private Database
Oracle Data RedactionとOracle Database Real Application Security
Oracle Data RedactionとOracle Database Vault
Oracle Data RedactionとOracle Data Pump
Oracle Data RedactionのためのOracle Data Pumpセキュリティ・モデル
Oracle Data Redactionポリシーが定義されているオブジェクトのエクスポート
Oracle Data Pumpで使用されるタイプ名の検索
データ・リダクション・ポリシーに関連するデータ・ディクショナリ・メタデータのみのエクスポート
IMPDPのINCLUDEパラメータを使用したオブジェクトのインポート
EXPDPユーティリティのaccess_methodパラメータを使用したデータのエクスポート
Oracle Data Redactionで保護されているオブジェクトへのデータのインポート
Oracle Data RedactionとData Masking and Subsetting Pack
13
Oracle Data Redactionのセキュリティの考慮事項
Oracle Data Redactionの一般的な使用上のガイドライン
Oracle Data Redactionポリシーへの管理アクセスの制限
Oracle Data RedactionがSYS、SYSTEMおよびデフォルト・スキーマに与える影響
SYS_CONTEXT属性を使用するポリシー式
マテリアライズド・ビューに対するOracle Data Redactionポリシー
ごみ箱が有効になっている場合のOracle Data Redactionポリシーの削除
用語集
索引