目次

タイトルおよび著作権情報

はじめに

• 対象読者
• ドキュメントのアクセシビリティについて
• 関連ドキュメント
• 表記規則

このリリースでの『Oracle Database Advanced Securityガイド』の変更点

• Oracle Database Advanced Security 12c リリース1 (12.1.0.2)における変更点
  • 新機能
    • データ・リダクション・ポリシーのOLS_LABEL_DOMINATESのサポート
    • Oracle Key Vaultのキーストアおよび暗号化会議管理のサポート
• Oracle Database Advanced Security 12c リリース1 (12.1.0.1)における変更点
  • 新機能
    • 透過的データ暗号化およびその他のデータベース・コンポーネント用の新しいキーストアおよびキーストア管理機能
    • 透過的データ暗号化の新しい管理権限
    • 機密データへのアクセスを制限するOracle Data Redaction
  • 非推奨となった機能
    • 透過的データ暗号化鍵を管理するPKIの使用
  • その他の変更

1 Oracle Advanced Securityの概要

• 透過的データ暗号化
• Oracle Data Redaction

第I部 透過的データ暗号化の使用

2 透過的データ暗号化の概要

• 透過的データ暗号化とは
• 透過的データ暗号化を使用する利点
• 透過的データ暗号化を構成できる者
• 透過的データ暗号化のタイプおよびコンポーネント
  • 透過的データ暗号化のタイプおよびコンポーネントについて
  • 透過的データ暗号化列暗号化の動作
  • 透過的データ暗号化表領域暗号化の動作
  • TDEマスター暗号化鍵の格納用のキーストアの動作
    • TDEマスター暗号化鍵のキーストア格納について
    • キーストア格納フレームワークの利点
    • キーストアのタイプ
  • サポートされる暗号化と整合性のアルゴリズム

3 透過的データ暗号化の構成

• ソフトウェア・キーストアの構成
  • ソフトウェア・キーストアの構成について
  • 手順1: sqlnet.oraファイルでのソフトウェア・キーストアの場所の設定
    • sqlnet.oraファイルでのキーストアの場所について
    • ソフトウェア・キーストアの場所用のsqlnet.oraファイルの構成
    • 例: 通常のファイル・システム用のソフトウェア・キーストアの構成
    • 例: 複数のデータベースでsqlnet.oraファイルを共有する場合のソフトウェア・キーストアの構成
    • 例: Oracle Automatic Storage Management用のソフトウェア・キーストアの構成
    • 例: Oracle Automatic Storage Managementディスク・グループ用のソフトウェア・キーストアの構成
  • 手順2: ソフトウェア・キーストアの作成
    • ソフトウェア・キーストアを作成することについて
    • パスワードベースのソフトウェア・キーストアの作成
    • 自動ログイン・ソフトウェア・キーストアまたはローカル自動ログイン・ソフトウェア・キーストアの作成
  • 手順3: ソフトウェア・キーストアを開く
    • ソフトウェア・キーストアを開くことについて
    • ソフトウェア・キーストアを開く
  • 手順4: ソフトウェアTDEマスター暗号化鍵の設定
    • ソフトウェアTDEマスター暗号化鍵の設定について
    • ソフトウェア・キーストアのTDEマスター暗号化鍵の設定
  • 手順5: データの暗号化
• ハードウェア・キーストアの構成
  • (外部の)ハードウェア・キーストアの構成について
  • 手順1: sqlnet.oraファイルでのハードウェア・キーストアのタイプの設定
  • 手順2: ハードウェア・セキュリティ・モジュールの構成
  • 手順3: ハードウェア・キーストアを開く
    • ハードウェア・キーストアを開くことについて
    • ハードウェア・キーストアを開く
  • 手順4: ハードウェア・キーストアのTDEマスター暗号化鍵の設定
    • ハードウェア・キーストアのTDEマスター暗号化鍵の設定について
    • まだ構成していない場合のTDEマスター暗号化鍵の設定
    • 前に構成したTDEマスター暗号化鍵の移行
  • 手順5: データの暗号化
• 表の列の暗号化
  • 表の列の暗号化について
  • TDE列暗号化で暗号化できるデータ型
  • 透過的データ暗号化列暗号化の使用に関する制限
  • 暗号化列を含む表の作成
    • 暗号化列を含む表の作成について
    • デフォルト・アルゴリズムを使用する暗号化列を含む表の作成
    • アルゴリズムを使用しないまたは非デフォルト・アルゴリズムを使用する暗号化列を含む表の作成
    • NOMACパラメータを使用したディスク領域の節約およびパフォーマンスの向上
    • 例: CREATE TABLE文でのNOMACパラメータの使用
    • 例: 表の整合性アルゴリズムの変更
    • 外部表への暗号化列の作成
  • 既存の表にある列の暗号化
    • 既存の表にある列の暗号化について
    • 既存の表への暗号化列の追加
    • 暗号化されていない列の暗号化
    • 列の暗号化の無効化
  • 暗号化列に対する索引の作成
  • 暗号化列へのSaltの追加
  • 暗号化列からのSaltの削除
  • 暗号化列を含む表に対する暗号化鍵またはアルゴリズムの変更
• 表領域の暗号化
  • 透過的データ暗号化表領域暗号化の使用に関する制限
  • 手順1: 表領域暗号化のCOMPATIBLE初期化パラメータの設定
    • 表領域暗号化のためのCOMPATIBLE初期化パラメータの設定について
    • 表領域暗号化のためのCOMPATIBLE初期化パラメータの設定
  • 手順2: 表領域TDEマスター暗号化鍵の設定
  • 手順3: 暗号化された表領域の作成
    • 暗号化された表領域の作成について
    • 暗号化された表領域の作成
    • 例: 3DES168を使用する暗号化された表領域の作成
    • 例: デフォルト・アルゴリズムを使用する暗号化された表領域の作成
• 透過的データ暗号化のデータの動的ビューおよびデータ・ディクショナリ・ビュー

4 キーストアおよびTDEマスター暗号化鍵の管理

• キーストアの管理
  • パスワードベースのソフトウェア・キーストアのパスワードの変更
    • パスワードベースのソフトウェア・キーストアのパスワードの変更について
    • パスワードベースのソフトウェア・キーストアのパスワードの変更
  • ハードウェア・キーストアのパスワードの変更
  • パスワードベースのソフトウェア・キーストアのバックアップ
    • パスワードベースのソフトウェア・キーストアのバックアップについて
    • バックアップ・キーストアのバックアップ識別子文字列の作成
    • V$ENCRYPTION_WALLETビューによるバックアップ操作の解釈方法
    • パスワードベースのソフトウェア・キーストアのバックアップ
  • ハードウェア・キーストアのバックアップ
  • ソフトウェア・キーストアのマージ
    • ソフトウェア・キーストアのマージについて
    • 2つのソフトウェア・キーストアから3つ目の新しいキーストアへのマージ
    • 1つのソフトウェア・キーストアの既存のソフトウェア・キーストアへのマージ
    • 自動ログイン・ソフトウェア・キーストアの既存のパスワードベースのソフトウェア・キーストアへのマージ
    • ソフトウェア・キーストア・マージ操作の取消し
  • 新しいロケーションへのソフトウェア・キーストアの移動
  • 自動ストレージ管理からのソフトウェア・キーストアの移動
  • ソフトウェア・パスワード・キーストアとハードウェア・キーストア間の移行
    • パスワードベースのソフトウェア・キーストアからハードウェア・キーストアへの移行
      • 手順1: ハードウェア・キーストアとともに開くためにソフトウェア・キーストアを変換する
      • 手順2: パスワードベースのソフトウェア・キーストアの移行のためにsqlnet.oraを構成する
      • 手順3: ハードウェア・キーストアの移行を実行する
    • ハードウェア・キーストアからパスワードベースのソフトウェア・キーストアへの移行
      • ハードウェア・キーストアからの再移行について
      • 手順1: 逆移行用にsqlnet.oraを構成する
      • 手順2: 逆移行用にキーストアを構成する
      • 手順3: ソフトウェア・キーストアとともに開くようにハードウェア・キーストアを構成する
    • 移行後のキーストアの順序
  • キーストアとOracle Key Vault間の移行
  • キーストアを閉じる
    • キーストアを閉じるについて
    • ソフトウェア・キーストアを閉じる
    • ハードウェア・キーストアを閉じる
  • ASMボリュームに存在するソフトウェア・キーストアの使用
  • 暗号化されたデータのバックアップおよびリカバリ
  • キーストアの削除
• TDEマスター暗号化鍵の管理
  • 後で使用するためのTDEマスター暗号化鍵の作成
    • 後で使用するためのTDEマスター暗号化鍵の作成について
    • 後で使用するためのTDEマスター暗号化鍵の作成
    • 例: 1つのデータベースでのTDEマスター暗号化鍵の作成
    • 例: すべてのPDBでのTDEマスター暗号化鍵の作成
  • TDEマスター暗号化鍵のアクティブ化
    • TDEマスター暗号化鍵のアクティブ化について
    • TDEマスター暗号化鍵のアクティブ化
    • 例: TDEマスター暗号化鍵のアクティブ化
  • TDEマスター暗号化鍵の属性管理
    • TDEマスター暗号化鍵の属性
    • 使用中のTDEマスター暗号化鍵の検出
  • レポート用のTDEマスター暗号化鍵のカスタム属性の作成
    • カスタム属性タグの作成について
    • カスタム属性タグの作成
  • キーストアのTDEマスター暗号化鍵の設定および再設定
    • キーストアのTDEマスター暗号化鍵の設定およびローテーションについて
    • TDEマスター暗号化鍵の作成とバックアップおよびタグの適用
    • TDEマスター暗号化鍵のローテーションについて
    • TDEマスター暗号化鍵のローテーション
  • TDEマスター暗号化鍵のエクスポートおよびインポート
    • TDEマスター暗号化鍵のエクスポートおよびインポートについて
    • TDEマスター暗号化鍵のエクスポートについて
    • TDEマスター暗号化鍵のエクスポート
    • 例: 副問合せを使用したTDEマスター暗号化鍵識別子のエクスポート
    • 例: ファイルへのTDEマスター暗号化鍵識別子のリストのエクスポート
    • 例: データベースのすべてのTDEマスター暗号化鍵のエクスポート
    • TDEマスター暗号化鍵のインポートについて
    • TDEマスター暗号化鍵のインポート
    • 例: TDEマスター暗号化鍵のインポート
    • キーストアのマージとTDEマスター暗号化鍵のエクスポートまたはインポートの相違点
  • Oracle Key Vaultを使用したTDEマスター暗号化鍵の管理
• Oracle Databaseで使用するシークレットの格納
  • キーストアへのOracle Databaseのシークレットの格納について
  • ソフトウェア・キーストアへのOracle Databaseのシークレットの格納
  • 例: ソフトウェア・キーストアへのHSMパスワードの追加
  • 例: ソフトウェア・キーストアにシークレットとして格納されているHSMパスワードの変更
  • 例: ソフトウェア・キーストアにシークレットとして格納されているHSMパスワードの削除
  • ハードウェア・キーストアへのOracle Databaseのシークレットの格納
  • 例: ハードウェア・キーストアへのOracle Databaseのシークレットの追加
  • 例: ハードウェア・キーストアでのOracle Databaseのシークレットの変更
  • 例: ハードウェア・キーストアでのOracle Databaseのシークレットの削除
  • 自動ログイン・ハードウェア・セキュリティ・モジュールの構成
    • 自動ログイン・ハードウェア・セキュリティ・モジュールの構成について
    • 自動ログイン・ハードウェア・セキュリティ・モジュールの構成
• キーストアへのOracle GoldenGateのシークレットの格納
  • キーストアへのOracle GoldenGateのシークレットの格納について
  • Oracle GoldenGate Extractのクラシック・キャプチャ・モードのTDE要件
  • Oracle GoldenGate用のTDEキーストア・サポートの構成
    • 手順1: キーストアの共有シークレットを決定する
    • 手順2: TDEによるOracle GoldenGateのサポートのためにOracle Databaseを構成する
    • 手順3: TDE GoldenGate共有シークレットをキーストアに格納する
    • 手順4: TDE Oracle GoldenGate共有シークレットをExtractプロセスに設定する

5 透過的データ暗号化を使用する場合の一般的な考慮事項

• 暗号化データの圧縮とデータ重複除外
• 透過的データ暗号化のセキュリティに関する考慮事項
  • 透過的データ暗号化のセキュリティに関する一般的なアドバイス
  • 透過的データ暗号化の列暗号化固有のアドバイス
  • 平文の断片のセキュリティの管理
• 透過的データ暗号化のパフォーマンスと記憶域のオーバーヘッド
  • 透過的データ暗号化のパフォーマンスのオーバーヘッド
  • 透過的データ暗号化の記憶域のオーバーヘッド
• 透過的データ暗号化と組み合せて使用するためのアプリケーションの変更
• ALTER SYSTEMおよびorapkiとADMINISTER KEY MANAGEMENTとの対応
• PKI暗号化での透過的データ暗号化の使用
  • ソフトウェア・マスター暗号化鍵とPKI鍵ペアとの併用
  • PKI暗号化とTDEの表領域およびハードウェア・キーストア
  • PKI鍵ペアのバックアップおよびリカバリ

6 他のOracle機能における透過的データ暗号化の使用

• 透過的データ暗号化とエクスポートおよびインポート操作の連携
  • 暗号化データされたデータのエクスポートおよびインポートについて
  • 暗号化された列のある表のエクスポートおよびインポート
  • Oracle Data Pumpを使用してダンプ・セット全体を暗号化
• 透過的データ暗号化とOracle Data Guardとの連携
• 透過的データ暗号化とOracle Real Application Clustersとの連携
  • Oracle Real Application Clustersでの透過的データ暗号化の使用について
  • 非共有ファイル・システムを使用したOracle RACへのソフトウェア・キーストアの格納
• 透過的データ暗号化とSecureFilesとの連携
  • 透過的データ暗号化およびSecureFilesについて
  • 例: 特定の暗号化アルゴリズムを使用したSecureFiles LOBの作成
  • 例: 列パスワードを指定したSecureFiles LOBの作成
• 透過的データ暗号化のマルチテナント環境での使用
  • マルチテナント環境における透過的データ暗号化の使用について
  • rootで実行される必要がある操作
  • rootまたはPDBで実行可能な操作
  • PDB向けのTDEマスター暗号化鍵のエクスポートおよびインポート
    • PDB向けのTDEマスター暗号化鍵のエクスポートおよびインポートについて
    • PDB向けのTDEマスター暗号化鍵のエクスポートまたはインポート
    • 例: PDBからTDEマスター暗号化鍵をエクスポート
    • 例: PDBにTDEマスター暗号化鍵をインポート
  • 暗号化データのあるPDBをCDBでプラグおよびアンプラグ
    • 暗号化データを含むPDBのアンプラグ
    • 暗号化データを含むPDBのCDBへのプラグイン
    • HSMに格納されたマスター鍵を含むPDBのアンプラグ
    • HSMに格納されたマスター鍵を含むPDBのプラグ
  • マルチテナント環境でのキーストアの開閉操作の機能
  • マルチテナント環境のすべてのPDBのキーストアのステータスの確認
• 透過的データ暗号化とOracle Call Interfaceとの連携
• 透過的データ暗号化とエディションとの連携
• マルチデータベース環境で機能するように透過的データ暗号化を構成

7 透過的データ暗号化に関するよくある質問

• 透過的データ暗号化に関する透過の質問
• 透過的データ暗号化に関するパフォーマンスの質問

第II部 Oracle Data Redactionの使用

8 Oracle Data Redactionの概要

• Oracle Data Redactionとは
• Oracle Data Redactionを使用する状況
• Oracle Data Redactionを使用する利点
• Oracle Data Redactionのターゲットのユースケース
  • データベース・アプリケーションにおけるOracle Data Redactionの使用
  • 非定型データベース問合せにおけるOracle Data Redactionの考慮事項

9 Oracle Data Redactionの特徴と機能

• 全データをリダクションする完全データ・リダクション
• データのセクションをリダクションする部分データ・リダクション
• データのパターンをリダクションする正規表現
• ランダム値を生成するランダム・データ・リダクション
• データ型に基づいた完全、部分およびランダム・リダクションの比較
  • Oracle組込みデータ型のリダクション機能
  • ANSIデータ型のリダクション機能
  • ユーザー定義データ型またはオラクル社提供の型のリダクション機能
• テストを目的にリダクションしない場合

10 Oracle Data Redactionポリシーの構成

• Oracle Data Redactionポリシーについて
• Oracle Data Redactionポリシーを作成できるユーザーは?
• データ・リダクション・ポリシーの計画
• DBMS_REDACT.ADD_POLICYプロシージャの一般的な構文
• データ・リダクション・ポリシーの条件を定義する式の使用
  • データ・リダクション・ポリシーでの式の使用について
  • ユーザー環境に基づくリダクション・ポリシーの適用
  • データベース・ロールに基づくリダクション・ポリシーの適用
  • Oracle Label Securityラベル優位に基づくリダクション・ポリシーの適用
  • Application Expressセッション・ステートに基づくリダクション・ポリシーの適用
  • すべてのユーザーへのリダクション・ポリシーの適用
• 完全データ・ポリシーの作成と完全リダクション値の変更
  • 完全リダクション・ポリシーの作成
    • 完全データ・リダクション・ポリシーの作成について
    • 完全リダクション・ポリシーを作成する構文
    • 例: 完全リダクション・ポリシー
    • 例: 完全にリダクションされた文字値
  • デフォルトの完全データ・リダクション値の変更
    • デフォルトの完全データ・リダクション値の変更について
    • DBMS_REDACT.UPDATE_FULL_REDACTION_VALUESプロシージャの構文
    • デフォルトの完全データ・リダクション値の変更
• 部分リダクション・ポリシーの作成
  • 部分リダクション・ポリシーの作成について
  • 部分リダクション・ポリシーを作成する構文
  • 固定文字形式を使用した部分リダクション・ポリシーの作成
    • 固定文字形式の設定
    • 例: 固定文字形式を使用した部分リダクション・ポリシー
  • 文字データ型を使用した部分リダクション・ポリシーの作成
    • 文字データ型の設定
    • 例: 文字データ型を使用した部分リダクション・ポリシー
  • 数値データ型を使用した部分リダクション・ポリシーの作成
    • 数値データ型の設定
    • 例: 数値データ型を使用した部分リダクション・ポリシー
  • 日時データ型を使用した部分リダクション・ポリシーの作成
    • 日時データ型の設定
    • 例: 日時データ型を使用した部分リダクション・ポリシー
• 正規表現ベースのリダクション・ポリシーの作成
  • 正規表現ベースのリダクション・ポリシーの作成について
  • 正規表現ベースのリダクション・ポリシーを作成する構文
  • 形式を使用した正規表現ベースのリダクション・ポリシー
    • 正規表現の形式
    • 例: 形式を使用した正規表現リダクション・ポリシー
  • カスタム正規表現リダクション・ポリシー
    • カスタム正規表現の設定
    • 例: カスタム正規表現リダクション・ポリシー
• ランダム・リダクション・ポリシーの作成
  • ランダム・リダクション・ポリシーを作成する構文
  • 例: ランダム・リダクション・ポリシー
• リダクションを使用しないポリシーの作成
  • リダクションを使用しないポリシーの作成の構文
  • 例: リダクションを実行しない
• Oracle Data Redactionポリシーからのユーザーの除外
• Oracle Data Redactionポリシーの変更
  • Oracle Data Redactionポリシーの変更について
  • DBMS_REDACT.ALTER_POLICYプロシージャの構文
  • DBMS_REDACT.ALTER_POLICY操作に必要なパラメータ
  • チュートリアル: Oracle Data Redactionポリシーの変更
• 複数列のリダクション
  • 1つの表またはビューのデータ・リダクション・ポリシーへの列の追加
  • 例: 複数列のリダクション
• Oracle Data Redactionポリシーの有効化と無効化
  • Oracle Data Redactionポリシーの無効化
  • Oracle Data Redactionポリシーの有効化
• Oracle Data Redactionポリシーの削除
• チュートリアル: SQL式を使用したリダクションされた値を含むレポートの作成
• Oracle Data Redactionポリシーのデータ・ディクショナリ・ビュー

11 Oracle Enterprise ManagerでのOracle Data Redactionの使用

• Oracle Enterprise ManagerでのOracle Data Redactionの使用について
• Oracle Data Redactionのワークフロー
• Enterprise Managerでの機密列タイプの管理
• Enterprise Managerを使用したOracle Data Redaction形式の管理
  • Enterprise Managerを使用したOracle Data Redaction形式の管理について
  • カスタムOracle Data Redaction形式の作成
  • カスタムOracle Data Redaction形式の編集
  • Oracle Data Redaction形式の表示
  • カスタムOracle Data Redaction形式の削除
• Enterprise Managerを使用したOracle Data Redactionポリシーの管理
  • Enterprise Managerを使用したOracle Data Redactionポリシーの管理について
  • Enterprise Managerを使用したOracle Data Redactionポリシーの作成
  • Enterprise Managerを使用したOracle Data Redactionポリシーの編集
  • Enterprise Managerを使用したOracle Data Redactionポリシーの詳細の表示
  • Enterprise ManagerでのOracle Data Redactionポリシーの有効化または無効化
  • Enterprise Managerを使用したOracle Data Redactionポリシーの削除

12 Oracle Data RedactionとOracle Database機能の併用

• Oracle Data Redactionと、DMLおよびDDL操作
• ネストした関数、インライン・ビューおよびWHERE句でのOracle Data Redaction
• Oracle Data Redactionとデータベース・リンク
• Oracle Data Redactionおよび集計関数
• Oracle Data Redactionおよびオブジェクト型
• Oracle Data RedactionおよびXML生成
• Oracle Data Redactionおよびエディション
• マルチテナント環境におけるOracle Data Redaction
• Oracle Data RedactionとOracle Virtual Private Database
• Oracle Data RedactionとOracle Database Real Application Security
• Oracle Data RedactionとOracle Database Vault
• Oracle Data RedactionとOracle Data Pump
  • Oracle Data RedactionのためのOracle Data Pumpセキュリティ・モデル
  • Oracle Data Redactionポリシーが定義されているオブジェクトのエクスポート
    • Oracle Data Pumpで使用されるタイプ名の検索
    • データ・リダクション・ポリシーに関連するデータ・ディクショナリ・メタデータのみのエクスポート
    • IMPDPのINCLUDEパラメータを使用したオブジェクトのインポート
  • EXPDPユーティリティのaccess_methodパラメータを使用したデータのエクスポート
  • Oracle Data Redactionで保護されているオブジェクトへのデータのインポート
• Oracle Data RedactionとData Masking and Subsetting Pack

13 Oracle Data Redactionのセキュリティの考慮事項

• Oracle Data Redactionの一般的な使用上のガイドライン
• Oracle Data Redactionポリシーへの管理アクセスの制限
• Oracle Data RedactionがSYS、SYSTEMおよびデフォルト・スキーマに与える影響
• SYS_CONTEXT属性を使用するポリシー式
• マテリアライズド・ビューに対するOracle Data Redactionポリシー
• ごみ箱が有効になっている場合のOracle Data Redactionポリシーの削除

用語集

索引