| Oracle® Databaseセキュリティ・ガイド 12c リリース1 (12.1) B71285-10 |
|
 前 |
 次 |
Oracle Databaseには、デフォルトのセキュリティ機能が豊富に用意されています。これらを使用して、ユーザー・アカウント、認証、権限、アプリケーション・セキュリティ、暗号化、ネットワーク・トラフィックおよび監査を管理できます。
内容は次のとおりです。
デフォルトのOracle Database機能を使用すると、Oracle Databaseインストールのいくつかの領域でセキュリティを構成できます。
セキュリティを構成できる領域は次のとおりです。
ユーザー・アカウント。作成したユーザー・アカウントは様々な方法で保護できます。サイトのパスワード・ポリシーを強化するために、パスワード・プロファイルを作成することもできます。Oracle Databaseユーザーのセキュリティの管理では、ユーザー・アカウントの管理方法について説明します。
認証方式。Oracle Databaseには、ユーザーおよびデータベース管理者用の認証を構成する方法がいくつかあります。たとえば、ユーザーは、データベース・レベル、オペレーティング・システムおよびネットワークで認証できます。認証の構成では、Oracle Databaseにおける認証の機能について説明します。
権限とロール。権限とロールを使用すると、データに対するユーザー・アクセスを制限できます。次の章では、権限およびロールを管理する方法について説明します。
アプリケーション・セキュリティ。データベース・アプリケーションを作成する最初のステップは、データベース・アプリケーションが適切に保護されるようにすることです。アプリケーション開発者のセキュリティの管理では、アプリケーション・セキュリティをアプリケーション・セキュリティ・ポリシーに組み込む方法について説明します。
アプリケーション・コンテキストを使用したユーザー・セッション情報。アプリケーション・コンテキストは、セッション情報を保持する名前と値のペアです。この情報に基づいて、ユーザーの名前や端末などのユーザーに関するセッション情報を取得し、そのユーザーのデータベース・アクセスおよびアプリケーション・アクセスを制限できます。「アプリケーション・コンテキストを使用したユーザー情報の取得」では、アプリケーション・コンテキストの使用方法について説明します。
仮想プライベート・データベースを使用した行および列レベルでのデータベース・アクセス。仮想プライベート・データベース・ポリシーは、ユーザーが発行したSQL文にWHERE述語を動的に埋め込みます。Oracle Virtual Private Databaseを使用したデータ・アクセスの制御では、仮想プライベート・データベース・ポリシーの作成方法と管理方法について説明します。
異なるカテゴリのデータの分類および保護。機密データ(クレジット・カードや社会保障番号など)を保持するデータベースのすべての表の列を確認し、このデータを分類して、指定されたクラスのこのデータ全体を保護するポリシーを作成できます。透過的機密データ保護の使用では、透過的機密データ保護ポリシーの作成方法について説明します。
ネットワーク・データの暗号化。手動によるデータ暗号化では、ネットワーク・データへの不正アクセスを防止するために、DBMS_CRYPTO PL/SQLパッケージを使用して、ネットワーク・データを暗号化する方法について説明します。「Oracle Databaseのネットワーク・データ暗号化とデータ整合性の構成」で説明するように、サーバーとクライアントの両方でOracle Net Servicesのネイティブなデータの暗号化と整合性を構成できます。
シンJDBCクライアント・ネットワーク構成。シンJava Database Connectivity (JDBC)クライアントを構成して、Oracleデータベースに安全に接続できます。シンJDBCクライアント・ネットワークの構成では、詳細情報について示します。
厳密認証。データベースを構成して、デジタル証明書を使用するSSLを含む様々なサード・パーティ認証サービスをサポートするOracle認証アダプタを使用した厳密認証を使用できます。Oracle Databaseには、次の厳密認証サポートが用意されています。
集中化された認証とシングル・サインオン。
Kerberos
Remote Authentication Dial-in User Service(RADIUS)
Secure Sockets Layer (SSL)
次の章では、厳密認証を扱います。
データベース・アクティビティの監査。データベース・アクティビティは、すべてのSQL文、SQL権限、スキーマ・オブジェクト、ネットワーク・アクティビティの監査など、一般的な条件で監査できます。または、社内ネットワーク外部のIPアドレスが使用されているような場合は、きめ細かい方法で監査できます。この章では、データベース監査証跡の削除方法についても説明します。次の章では、データベース監査の構成および管理方法について説明します。
さらに、Oracle Databaseの安全性の維持では、Oracle Databaseインストールを保護する際に従う必要のあるガイドラインを示します。
このマニュアルで説明するセキュリティ・リソース以外に、Oracle Databaseには、他のいくつかのデータベース・セキュリティ製品が用意されています。
これらの製品は次のとおりです。
Oracle Advanced Security。透過的データ暗号化およびOracle Data Redactionの詳細は、『Oracle Database Advanced Securityガイド』を参照してください。
Oracle Label Security。Oracle Label Securityは、分類ラベルをデータに適用して、行レベルのデータのユーザー・アクセスをフィルタ処理できます。Oracle Label Securityの詳細は、『Oracle Label Security管理者ガイド』を参照してください。
Oracle Database Vault。Oracle Database Vaultには、権限を持つユーザーからのデータ保護など、機密データに対するファイングレイン・アクセス・コントロールが用意されています。Oracle Database Vaultの使用方法は、『Oracle Database Vault管理者ガイド』を参照してください。
Oracle Audit Vault and Database Firewall。Oracle Audit Vault and Database Firewallでは、Oracle Databaseの監査証跡表、データベース・オペレーティング・システム監査ファイル、データベースのREDOログなどのソースからデータベース監査データを収集します。Oracle Audit Vault and Database Firewallを使用すると、不審なアクティビティに対するアラートを作成したり、権限を持つユーザーの変更、スキーマの変更およびデータ・レベルのアクセスに関する履歴のレポートを作成できます。『Oracle Audit Vault and Database Firewall管理者ガイド』では、Oracle Audit Vault and Database Firewallの管理方法について説明しています。
Oracle Enterprise User Security。Oracle Enterprise User Securityを使用すると、ユーザー・セキュリティをエンタープライズ・レベルで管理できます。Oracle Enterprise User Securityの構成方法は、『Oracle Databaseエンタープライズ・ユーザー・セキュリティ管理者ガイド』を参照してください。
Oracle Enterprise Manager Data Masking and Subsetting Pack。Data Masking and Subsetting Packを使用すると、元の機密データを架空のデータに不可逆的に置き換え、本番データをIT開発者またはオフショア・ビジネス・パートナと安全に共有できるようにすることで、このようなリスクを低減できます。詳細は、Oracle Database Testingガイドを参照してください。
これらの製品に加えて、新製品およびセキュリティ・パッチやアラートに関する重要な情報など、Oracle Databaseセキュリティに関する最新情報を入手するには、Oracle Technology Networkの「Security Technology Center」を参照してください。次の場所でアクセスできます。
http://www.oracle.com/technetwork/topics/security/whatsnew/index.html
