この章の内容は次のとおりです。
Oracle Database 12cリリース1 (12.1.0.2)の『Oracle Databaseセキュリティ・ガイド』の変更は、次のとおりです。
このリリースの新機能は次のとおりです。
Oracle Database 12cリリース1 (12.1.0.2)は、SHA-512暗号ハッシュを使用して、12C
パスワード・バージョンを生成します。また、Oracle Call Interface (OCI)およびシンJDBCクライアントの両方で、認証用の12C
パスワード・バージョンがサポートされるようになりました。ネットワーク・チェックサムのSHA-256、SHA-384およびSHA-512ハッシュ関数を使用できます。SHA-256、SHA-384およびSHA-512ハッシュ・ダイジェストを計算するには、DBMS_CRYPTO
PL/SQLパッケージを使用します。
内容は次のとおりです。
DBMS_CRYPTO PL/SQLパッケージのSHA-2サポートの詳細は、『Oracle Database PL/SQLパッケージ・プロシージャおよびタイプ・リファレンス』を参照してください。
以前のリリースでは、Oracle DatabaseにほとんどのSHA-2暗号ハッシュ関数のサポートが含まれていました。
ネットワーク・チェックサム(SHA-256およびSHA-384関数)およびDBMS_CRYPTO
PL/SQLパッケージ以外に、これらの関数を次の分野に使用できます。
データベースのパスワード・ベースの認証に使用されるベリファイア(SHA-512関数)
ネットワーク・チェックサム(SHA-256、SHA-384およびSHA-512関数)
パスワード・ファイル(SHA-512関数)
「パスワードのセキュリティへの脅威からの12Cパスワード・バージョンによる保護」を参照してください。
コード・ベース・アクセス制御のプログラム・ユニットへの付与を行うユーザーは、以前のリリースでの要件に加え、GRANT ANY ROLE
権限を持つか、プログラム・ユニットに付与するロールに対してADMIN
またはDELEGATE
オプションを持つことが必要になりました。
この機能によって、これらのプログラム・ユニットが他のユーザーによって実行される場合、セキュリティのレイヤーが追加されます。
詳細は、「定義者権限および実行者権限のコード・ベース・アクセス制御の使用」を参照してください。
以前のリリースでは、監査証跡クリーン・アップは読取り/書込みデータベースでのみ使用できました。このリリース以降、読取り専用データベースでも使用できます。この機能向上に対応するために、次の変更が行われました。
DBMS_AUDIT_MGMT.SET_LAST_ARCHIVE_TIMESTAMP
およびDBMS_AUDIT_MGMT.CLEAN_AUDIT_TRAIL
プロシージャが読取り/書込みおよび読取り専用の両方のデータベースに対して機能するようになりました。
DBMS_AUDIT_MGMT.SET_AUDIT_TRAIL_PROPERTY
プロシージャも読取り/書込みおよび読取り専用の両方のデータベースに対して機能します。読取り専用データベースの場合、このプロシージャはSGAで値を直接設定します。また、読取り専用データベースの場合、構成パラメータCLEANUP_INTERVAL
およびDB_DELETE_BATCH_SIZE
を設定できません。
DBMS_AUDIT_MGMT.GET_AUDIT_TRAIL_PROPERTY_VALUE
ファンクションが追加されました。このファンクションは、ユーザーによる構成パラメータのインメモリーの値の表示を可能にし、読取り/書込みおよび読取り専用の両方のデータベースに使用できます。
読取り専用データベースでタイムスタンプ構成を取得するDBMS_AUDIT.MGMT.GET_LAST_ARCHIVE_TIMESTAMP
ファンクションが追加されました。
AUD$
およびFGA_LOG$
システム表を変更できないため、DBMS_AUDIT_MGMT.AUDIT_TRAIL_TYPE
パラメータの次のパラメータは読取り専用データベースに適用されません。
AUDIT_TRAIL_AUD_STD
AUDIT_TRAIL_FGA_STD
AUDIT_TRAIL_DB_STD
AUDIT_TRAIL_ALL
読取り専用データベースの監査証跡の削除情報は、DBA_AUDIT_MGMT_CLEAN_EVENTS
データ・ディクショナリ・ビューではなく、データベース・インスタンスのアラート・ログに書き込まれます。
監査証跡クリーン・アップ機能の詳細は、「監査証跡レコードの削除」を参照してください。
このリリースでは、2つの事前定義の新しい統合監査ポリシーを利用できます。パラメータは次のとおりです。
ORA_CIS_RECOMMENDATIONS
は、Center for Internet Security (CIS)で推奨される監査を実行します。
ORA_DV_AUDPOL
は、Oracle Database VaultのDVSYS
およびDVF
スキーマ・オブジェクトと、Oracle Label SecurityのLBACSYS
スキーマ・オブジェクトに対して実行されるアクションを監査します。
詳細は、次の各項を参照してください。
現在のユーザー・セッションの統合監査セッションIDを追跡する新しいUSERENV
ネームスペースのUNIFIED_AUDIT_SESSION
パラメータを使用できます。
このパラメータは混合モード監査用に設計されています。混合モード監査環境では、SESSIONID
パラメータがUNIFIED_AUDIT_SESSIONID
とは異なる値を返すためです。完全な統合監査では、これらの値は両方とも同じです。
条件付き統合監査ポリシーの作成の詳細は、「統合監査ポリシーの条件の作成」を参照してください。
READ
オブジェクト権限を使用して、ユーザーはデータベースの表、ビュー、マテリアライズド・ビューおよびシノニムの問合せを行えるようになりました。引き続きSELECT
オブジェクト権限を使用できますが、SELECT
オブジェクト権限では、ユーザーはオブジェクトの問合せ以外に次の操作を実行でき、表の行のロックが可能になることに注意してください。
LOCK TABLE
table_name
IN EXCLUSIVE MODE;
SELECT ... FROM
table_name
FOR UPDATE;
READ
オブジェクト権限では、これらの追加権限は提供されません。セキュリティの強化のためには、ユーザーの操作を問合せの実行のみに制限する場合、ユーザーにREAD
オブジェクト権限を付与します。
READ
オブジェクト権限以外に、READ ANY TABLE
権限を付与してユーザーがデータベースの任意の表の問合せを行えるようにすることもできます。
READ
オブジェクト権限が付与されたユーザーが問合せを実行する場合、ユーザーは引き続きSELECT
文を使用する必要があります。READ
オブジェクト権限に対応するREAD
SQL文はありません。
GRANT ALL PRIVILEGES TO
user
SQL文にはREAD ANY TABLE
システム権限が含まれています。GRANT ALL PRIVILEGES ON
object
TO
user
文にはREAD
オブジェクト権限が含まれています。
詳細は、次の各項を参照してください。
このリリースより、FIPS_140初期化パラメータをTRUEに設定して、透過的データ暗号化およびDBMS_CRYPTO
PL/SQLパッケージ・プログラム・ユニットでFederal Information Processing Standard (FIPS) 140-2モードを有効にしたり、無効にできます。
FALSE
に設定した場合、Oracle Databaseをインストールしたプラットフォームに応じて異なる標準を使用してデータが保護されます。
詳細は、「Oracle Database FIPS 140の設定」を参照してください。
このリリース以降では、Oracleウォレット(キーストアとも呼ばれる)を3DESアルゴリズムからAES256アルゴリズム(3DESアルゴリズムよりも強力)に変換できます。
詳細は、「AES256アルゴリズムの使用を目的としたOracleウォレットの変換」を参照してください。
Oracle Database 12cリリース1 (12.1.0.1)の『Oracle Databaseセキュリティ・ガイド』の変更は、次のとおりです。
このリリースの新機能は次のとおりです。
データのカテゴリ全体を保護する透過的機密データ保護ポリシーを作成できます。
透過的機密データ保護により、機密データ(クレジット・カードや社会保障番号など)を保持するデータベースのすべての表の列を確認し、このデータを分類して、指定されたクラスのこのデータ全体を保護するポリシーを作成できます。この機能では、所属している組織全体のデータの均一なポリシーを作成できます。
詳細は、「透過的機密データ保護の使用」を参照してください。
以前のリリースで、Oracle Databaseは、スクリプトutlpwdmg.sql
のパスワード検証関数verify_function_11G
を用意していました。このリリースでは、スクリプトは、より強力なレベルのパスワード検証を提供する次の2つの新しい追加の関数で強化されました。
ora12c_verify_function
関数は、以前に設定したパスワードと異なるパスワードの最小文字数などの要件をチェックします。
ora12c_strong_verify_function
関数では、Department of Defense Database Security Technical Implementation Guideで推奨されている要件をチェックします。
詳細は、次の各項を参照してください。
データベース・ロールをプログラム・ユニットの関数、プロシージャおよびPL/SQLパッケージに付加できるようになりました。
この機能により、ロールを直接コードの実行者に付与しないでPL/SQLコードの権限を一時的に昇格できます。この機能の利点は、アプリケーションのセキュリティが強化され、最低限の権限の原則を規定できることです。
詳細は、次の各項を参照してください。
ユーザーが実行者権限プロシージャ(またはプログラム・ユニット)を実行する場合、実行するユーザーの権限で実行されます。
プロシージャが実行されると、プロシージャの所有者は、実行するユーザーの権限に一時的にアクセスできます。プロシージャ所有者が実行するユーザーより少ない権限の状況では、プロシージャ所有者がプロシージャを変更して実行するユーザーの権限を使用し、所有者が意図しないまたは禁止されている操作を実行できる可能性があります。
以前のリリースでは、実行するユーザーは、実行者権限プロシージャを実行する場合、このアクセスが可能なユーザーを制御できませんでした。このリリース以降、実行者権限プロシージャ・コールは、プロシージャの所有者が実行者のINHERIT PRIVILEGES
権限を持つ場合またはプロシージャの所有者がINHERIT ANY PRIVILEGES
権限を持つ場合に実行者の権限でのみ実行できます。
この機能の利点は、実行者権限プロシージャを実行するか、またはBEQUEATH CURRENT_USER
ビューに問い合せる場合、権限にアクセスできるユーザーの制御が実行するユーザーに付与されることです。
詳細は、次の各項を参照してください。
以前のリリースのOracle Databaseでは、ユーザー作成ビューで参照される実行者権限関数は、ビューを定義したユーザーの権限、つまり定義者権限として機能するビューで実行されました。
このリリース以降、ビューを構成して、定義者権限または実行者権限として機能するビューでこれらの関数を実行できます。
内容は次のとおりです。
詳細は、「ビューの定義者権限および実行者権限」を参照してください。
この機能に関連付けられている新しいReal Application Security関連関数の使用の詳細は、『Oracle Database Real Application Security管理者および開発者ガイド』を参照してください。
このリリースでは、extproc
エージェントを構成して、リスナー・ユーザーまたはOracleサーバー・プロセスのオペレーティング・システム権限を使用するかわりに指定されたオペレーティング・システム資格証明として実行できます。
安全上の理由のため、Oracle外部プロシージャは、Oracleデータベースと物理的に異なるプロセスで実行されます。外部プロシージャを起動する場合、Oracle Databaseは、データベース・インスタンスのリスナーを開始したユーザーのオペレーティング・システム権限を使用して、extproc
オペレーティング・システム・プロセス(またはエージェント)を作成します。
指定されたオペレーティング・システム資格証明として実行するようにextproc
エージェントを構成できると、extproc
プロセスに関連付けられる資格証明を定義でき、ユーザー定義の共有ライブラリをロードして関数を実行する前に認証および偽装(つまり、指定したユーザー資格証明のかわりに実行)できます。extproc
ユーザー資格証明を構成するには、新しいPL/SQLパッケージDBMS_CREDENTIAL
を使用します。この新しいリリースの一部として、CREATE LIBRARY
文が強化されて、extproc
ユーザー資格証明とライブラリを関連付けることができます。
内容は次のとおりです。
DBMS_CREDENTIALパッケージを使用したextprocプロセスの構成の詳細は、『Oracle Database PL/SQLパッケージおよびタイプ・リファレンス』を参照してください。
CREATE LIBRARY文の詳細は、『Oracle Database SQL言語リファレンス』を参照してください。
Oracle Databaseは、ほとんどのSHA-2暗号ハッシュ関数をサポートするようになりました。
次の領域でこれらの関数を使用できます。
ネットワーク・チェックサム(SHA-256およびSHA-384関数)
DBMS_CRYPTO
PL/SQLパッケージ
Oracle Advanced Security Kerberosアダプタの機能が強化され、よりセキュアになり、簡単に使用できるようになりました。新しいKerberosアダプタでは、次の機能を使用できます。
MIT Kerberosリリース1.8ディストリビューションで導入されたセキュリティ機能強化
KDCおよびKerberosレルムの自動検出による簡略化されたKerberosクライアント構成
様々なホスト・オペレーティング・システム上のKerberosサーバーとの最新かつ広範な互換性
Kerberosの機能向上の詳細およびsqlnet.ora
パラメータの新しく更新されたリストについては、「Kerberos認証の構成」を参照してください。
業務分離を強化するために、Oracle Databaseは、Oracle Recovery Manager (Oracle RMAN)、Oracle Data Guardおよび透過的データ暗号化の標準管理業務を処理するタスク固有の権限を提供するようになりました。
新しい権限は、ユーザーに特定の関数を実行するために絶対に必要な権限のみ付与される最低限の権限の原則に基づきます。この機能により、多くのタスクのSYSDBA
管理権限を不必要に付与する必要が軽減されます。
管理権限の管理の詳細は、「管理権限の管理」を参照してください。
このリリース以降、RESOURCE
ロールがデフォルトでUNLIMITED TABLESPACE
システム権限を付与しなくなりました。このシステム権限をユーザーに付与する場合、手動で付与する必要があります。
デフォルトのロールの詳細は、「Oracle Databaseのインストールで事前に定義されているロール」を参照してください。
セキュリティを強化するために、SELECT ANY DICTIONARY
システム権限でSYS
スキーマ・システム表DEFAULT_PWD$
、ENC$
、LINK$
、USER$
、USER_HISTORY$
、CDB_LOCAL_ADMINAUTH$
およびXS$VERIFIERS
の問合せが許可されなくなりました。ユーザーSYS
のみこれらの表にアクセスできますが、ユーザーSYS
はオブジェクト権限(GRANT SELECT ON USER$ TO sec_admin
など)を他のユーザーに付与できます。
システムおよびオブジェクト権限の詳細は、『Oracle Database SQL言語リファレンス』を参照してください。
以前のリリースでは、Oracle Virtual Private Database (VPD)状況依存ポリシーを作成した場合、Oracle Databaseは、アプリケーション・コンテキスト属性がVPD状況依存ポリシーに影響しない場合でも、状況の属性が変更されるたびにポリシーを評価しました。
このリリース以降、関連付けられているアプリケーション・コンテキスト属性を変更する場合のみ、Oracle DatabaseによってVPD状況依存ポリシーを評価できます。アプリケーション・コンテキストおよびその属性を特定のVPDポリシーに関連付けることができ、関連付けられているアプリケーション・コンテキスト属性が変更される場合のみ、VPDポリシーで新しい述語を生成できます。
詳細は、「変更されるアプリケーション・コンテキスト属性の状況依存ポリシー」を参照してください。
以前のリリースのOracle Databaseでは、Oracle Virtual Private Database DBMS_RLS
PL/SQLパッケージ・プロシージャおよびこのパッケージの関連ビューで指定されたオブジェクト名(表、スキーマ、ポリシーや関数の名前など)の最大長は30バイトでした。このリリース以降、最大長は128バイトです。
Oracle Virtual Private Databaseの詳細は、「Oracle Virtual Private Databaseを使用したデータ・アクセスの制御」を参照してください。
このリリースでは、外部ネットワーク・サービスおよびOracleウォレットへのファイングレイン・アクセスを構成するプロシージャが簡略化されました。
DBMS_NETWORK_ACL_ADMIN
PL/SQLパッケージが次のように変更されました。
以前のDBMS_NETWORK_ACL_ADMINプロシージャ | 新しい同等のプロシージャ |
---|---|
|
|
N/A |
|
N/A |
|
|
|
|
なし |
|
なし |
N/A |
|
N/A |
|
これらの変更されたプロシージャに対応するため、次の新しいデータ・ディクショナリ・ビューがこのリリースで導入されています。
DBA_HOST_ACLS
DBA_HOST_ACES
USER_HOST_ACES
詳細は、次の各項を参照してください。
このリリースでは、監査機能が以前のリリースで使用された機能から大幅に再設計されました。新しいリリース12のOracleデータベースをインストールすると、すべての監査強化機能(統合監査)を自動的に取得できます。以前のリリースからアップグレードする場合、一部の新しい監査機能およびアップグレード元のリリースの監査機能を使用するオプションが提供されます。すべての最新の監査機能に移行することをお薦めします。
新しい監査機能への移行の詳細は、『Oracle Databaseアップグレード・ガイド』を参照してください。
関連項目:
このリリースは、以前のリリースのOracle Databaseより監査パフォーマンスが大幅に向上しています。監査レコードを監査証跡に書き込む方法、即時かメモリーにキューするかどうかも制御できます。
詳細は、「AUDSYSスキーマへの統合監査証跡レコードの書込み」を参照してください。
Oracle Databaseの以前のリリースでは、コンポーネントごとに個別の監査証跡がありました。
これらのコンポーネントは、データベース監査証跡のSYS.AUD$
、ファイングレイン監査のSYS.FGA_LOG$
、Oracle Database VaultのDVSYS.AUDIT_TRAIL$
、Oracle Label Securityなどです。このリリースでは、これらの監査証跡が1つにすべて統合され、単一インスタンス・インストールのOracle Database Real Application Clusters環境のUNIFIED_AUDIT_TRAIL
データ・ディクショナリ・ビューから表示できます。
統合監査データ証跡には多くの利点があります。これによって、分析を実行する前に1つの場所に最初に収集するのではなく、1つの操作で監査データ全体の分析レポートを実行できます。Oracle Audit Vaultなどの監査マイニング・ツールは、監査レコードを収集するために複数の場所ではなく1つの場所で参照できるようになりました。統合監査証跡は、監査情報が一貫してフォーマットされ、一貫したフィールドが含まれていることを確認します。
詳細は、「統合監査証跡の管理」を参照してください。
統合監査証跡の機能強化の一部として、統合監査証跡データ表の記憶域にのみ、新しいスキーマAUDSYS
が使用されます。AUD$
およびFGA_LOG$
システム表の既存の監査データ、監査メタデータおよび監査PL/SQLパッケージは、引き続きSYS
スキーマにあります。
詳細は、「統合監査証跡の管理」を参照してください。
業務分離を強化するために、監査構成および監査証跡管理のAUDIT_ADMIN
と監査データの表示および分析のAUDIT_VIEWER
の2つの新しいデータベース・ロールを監査で使用できるようになりました。
詳細は、「監査を実行できるユーザー」を参照してください。
名前付きの統合監査ポリシーを作成できるようになりました。統合監査ポリシーは、一連の監査オプションを含み、オブジェクトとしてデータベースに格納されます。
名前付きの統合監査ポリシーを作成する利点は、データベース監査ポリシーを作成するために必要なコマンドの数を削減し、セキュリティおよびコンプライアンスの監査構成の実装を簡略化することです。
次の新しいSQL文では、監査ポリシーを管理できます。
CREATE AUDIT POLICY
ALTER AUDIT POLICY
DROP AUDIT POLICY
また、既存のAUDIT
およびNOAUDIT
文は、統合監査ポリシーの有効化または無効化、ポリシーに対するユーザーの適用または除外および監査された動作が失敗、成功または失敗/成功した場合に監査レコードを作成するかどうかの設定を許可できます。
詳細は、「統合監査ポリシーおよびAUDIT文を使用したアクティビティの監査」を参照してください。
このリリース以降、ユーザー作成ロールを含むデータベース・ロールを監査できます。
これにより、ロールに付与されたすべてのシステム権限を監査できます。この機能の利点は、ロールに付与されたすべてのアクティビティを単一のコマンドに簡略化することです。これにより、新しいデータベース・ユーザーがデータベースに追加され、ロールが付与される場合、新しい権限でロールを更新するたびに統合監査ポリシーを更新する必要がなくなります。
詳細は、「ロールの監査」を参照してください。
このリリースでは、監査機能に関連付けられるすべてのアクションが常に監査されます。監査管理者のアクションを監査すると、セキュリティ要件およびコンプライアンス要件に対し、Oracleデータベースで実装された監査ポリシーの整合性を確認できます。
詳細は、「強制的に監査されるアクティビティ」を参照してください。
この機能により、Oracle Automatic Storage Managementクラスタ・ファイルシステム(ACFS)のセキュリティと暗号化の監査が提供されます。また、この機能では、Oracle Audit Vault Serverによってインポート可能なOracle ACFS監査証跡データを格納するXMLファイルも生成されます。これによって、Oracle ACFS監査データの記憶域およびレポートに対するOracle Audit Vault機能を利用できます。
詳細は、『Oracle Automatic Storage Management管理者ガイド』を参照してください。
このリリースのOracle Databaseでは、Oracle Databaseに個別のデータベースのようにユーザーおよびアプリケーションに表示されるスキーマおよびスキーマ以外のオブジェクト(エディション、ロールなど)の移植性のあるセットを含めることができるOracleマルチテナント・オプションを導入しています。これらのオブジェクトの各セットはプラガブル・データベース(PDB)と呼ばれ、これらのPDBを格納するデータベースはマルチテナント・コンテナ・データベース(CDB)と呼ばれます。
Oracle Database 12cリリース1 (12.1)は、CDBと非CDBの両方をサポートしています。このマニュアルでは、CDBおよびCDB以外のユーザー・アカウント、権限およびロールの管理方法について説明します。
内容は次のとおりです。
PDBの詳細は、『Oracle Database管理者ガイド』を参照してください。
Oracle Automatic Storage Management(ASM)は、ASMディスク・グループ内のパスワード・ファイルの格納をサポートするようになりました。
自動ストレージ管理のパスワード・ファイルの管理の詳細は、『Oracle Automatic Storage Management管理者ガイド』を参照してください。
次のSecure Sockets Layer暗号スイートは、このリリース以降利用できます。
暗号スイート | 認証 | 暗号化 | データ整合性 |
---|---|---|---|
SSL_ECDHE_ECDSA_WITH_AES_128_CBC_SHA |
ECDHE_ECDSA |
AES 128 CBC |
SHA-1 |
SSL_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256 |
ECDHE_ECDSA |
AES 128 CBC |
SHA256 (SHA-2) |
SSL_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256 |
ECDHE_ECDSA |
AES 128 GCM |
SHA256 (SHA-2) |
SSL_ECDHE_ECDSA_WITH_AES_256_CBC_SHA |
ECDHE_ECDSA |
AES 256 CBC |
SHA-1 |
SSL_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384 |
ECDHE_ECDSA |
AES 256 CBC |
SHA384 (SHA-2) |
SSL_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384 |
ECDHE_ECDSA |
AES 256 GCM |
SHA384 (SHA-2) |
SSL_RSA_WITH_AES_128_CBC_SHA256 |
RSA |
AES 128 CBC |
SHA256 (SHA-2) |
SSL_RSA_WITH_AES_128_GCM_SHA256 |
RSA |
AES 128 GCM |
SHA256 (SHA-2) |
SSL_RSA_WITH_AES_256_CBC_SHA256 |
RSA |
AES 256 CBC |
SHA256 (SHA-2) |
SSL_RSA_WITH_AES_256_GCM_SHA384 |
RSA |
AES 256 GCM |
SHA384 (SHA-2) |
サポートされているSecure Sockets Layer暗号スイートの完全なリストは、表18-1を参照してください。
このリリースの非推奨機能は次のとおりです。
このリリース以降、Oracle Net Services SQLNET.ALLOWED_LOGON_VERSION
パラメータが非推奨になります。次の2つのパラメータに置き換わります。
SQLNET.ALLOWED_LOGON_VERSION_SERVER
SQLNET.ALLOWED_LOGON_VERSION_CLIENT
SQLNET.ALLOWED_LOGON_VERSION
パラメータのサーバー・バージョンおよびクライアント・バージョンを持つと、データベース・リンクを使用するサーバーを構成する必要がある場合により柔軟性が得られます。接続されたデータベース・リンクを含む問合せを処理すると、サーバーがデータベース・リンクのターゲット・データベースへのクライアントとして機能します。たとえば、Oracle 9iデータベースに接続するOracle Database 12cリリース1 (12.1)データベースがあるとします。SQLNET.ALLOWED_LOGON_VERSION_SERVER
パラメータを11
、SQLNET.ALLOWED_LOGON_VERSION_CLIENT
パラメータを8
に設定して、Oracle Databaseリリース11以上を実行するクライアントのみにOracle Database 12cデータベースの接続を制限します。ただし、これらの設定では、古いOracle 9iデータベースへのクライアントとして機能するOracle Database 12cサーバーを引き続き使用できます。
内容は次のとおりです。
SQLNET.ALLOWED_LOGON_VERSION_SERVERパラメータの詳細は、『Oracle Database Net Servicesリファレンス』を参照してください。
SQLNET.ALLOWED_LOGON_VERSION_CLIENTパラメータの詳細は、『Oracle Database Net Servicesリファレンス』を参照してください。
このリリース以降、パスワード・ファイルの作成に使用されるORAPWD
ユーティリティのIGNORECASE
引数は非推奨になります。デフォルトでは、IGNORECASE
は、パスワードの大/小文字を区別するN
(no)に設定されます。
関連項目:
パスワード・ファイルの大/小文字の区別の詳細は、「大/小文字の区別がパスワード・ファイルに与える影響」を参照してください。
標準ベースのベリファイア(SHA-1)が大/小文字を区別するパスワード照合をサポートしないため、パスワードの大/小文字の区別を有効化または無効化するSEC_CASE_SENSITIVE_LOGON
初期化パラメータは非推奨です。下位互換性の理由のため、このパラメータをこのリリースで使用できます。セキュリティを強化するために、データベース・ログオン・パスワードの大/小文字を区別するため、このパラメータがTRUE
に設定されていることを確認してください。
内容は次のとおりです。
SEC_CASE_SENSITIVE_LOGONパラメータの詳細は、『Oracle Databaseリファレンス』を参照してください。
DBMS_NETWORK_ACL_ADMIN
PL/SQLパッケージの次のプロシージャが非推奨になりました。
CREATE_ACL
ADD_PRIVILEGE
DELETE_PRIVILEGE
ASSIGN_ACL
UNASSIGN_ACL
DROP_ACL
ASSIGN_WALLET_ACL
UNASSIGN_WALLET_ACL
CHECK_PRIVILEGE
CHECK_PRIVILEGE_ACLID
次のDBMS_NETWORK_ACL_ADMIN
パッケージ関連のデータ・ディクショナリ・ビューが非推奨になりました。
DBA_NETWORK_ACLS
DBA_NETWORK_ACL_PRIVILEGES
USER_NETWORK_ACL_PRIVILEGES
詳細は、次の各項を参照してください。
この項の内容は、次のとおりです。
次のSecure Sockets Layer暗号スイートはサポート対象外になりました。
暗号スイート | 認証 | 暗号化 | データ整合性 |
---|---|---|---|
SSL_DH_anon_WITH_DES_CBC_SHA |
DH anon |
DES CBC |
SHA-1 |
SSL_RSA_EXPORT_WITH_DES40_CBC_SHA |
RSA |
DES40 CBC |
SHA-1 |
SSL_RSA_EXPORT_WITH_RC4_40_MD5 |
RSA |
RC4 40 |
MD5 |
SSL_RSA_WITH_DES_CBC_SHA |
RSA |
DES CBC |
SHA-1 |
サポートされているSecure Sockets Layer暗号スイートの完全なリストは、表18-1を参照してください。
可用性の向上のため、Oracle Advanced Securityが再パッケージ化されました。次の機能は、Oracle Advanced Securityの一部ではなくなり、デフォルトのOracle Databaseのインストールで提供されます。
シンJDBCクライアント・ネットワーク・サポート
RADIUS厳密認証
Kerberos厳密認証
Secure Sockets Layer (SSL)厳密認証
複数の厳密認証サポート
これらの機能の詳細は、このマニュアルを参照してください。
次の機能はOracle Advanced Securityの一部で、『Oracle Database Advanced Securityガイド』で説明されています。
透過的データ暗号化
Oracle Data Redaction
この変更の一部として、『Oracle Database Advanced Security管理者ガイド』の名前が『Oracle Database Advanced Securityガイド』に変更されました。