プライマリ・コンテンツに移動
Oracle® Databaseセキュリティ・ガイド
12
c
リリース1 (12.1)
B71285-10
索引
次
目次
表一覧
タイトルおよび著作権情報
はじめに
対象読者
ドキュメントのアクセシビリティについて
関連ドキュメント
表記規則
Oracle Databaseセキュリティ・ガイドのこのリリースの変更
Oracle Database Security 12cリリース1 (12.1.0.2)の変更
新機能
12Cパスワード・バージョンのSHA-2サポート
SHA-2暗号ハッシュ関数のサポート
コード・ベース・アクセス制御ユーザー・ロールの付与に対するADMINおよびDELEGATEオプションの使用
読取り専用データベースでの監査証跡クリーン・アップのサポート
事前定義の新しい統合監査ポリシー
統合監査セッションIDを取得するUSERENVネームスペースのUNIFIED_AUDIT_SESSIONIDパラメータ
SELECT操作に対する新しいREADオブジェクト権限およびREAD ANY TABLEシステム権限
FIPS認定の暗号化モジュール
AES256アルゴリズムの使用目的でOracleウォレットを変換するための新しいorapkiコマンド
Oracle Database Security 12
c
リリース1 (12.1.0.1)の変更
新機能
データのカテゴリを保護する透過的機密データ保護
新しいパスワード検証関数
ロールをプログラム・ユニットに付加する機能
プロシージャのコール側の権限を使用できるかどうかを制御する機能
参照されるビューの実行者権限の動作に対応する機能
外部プロシージャのセキュリティの強化
SHA-2暗号ハッシュ関数のサポート
Kerberosの機能強化
さらなる業務分離の権限の変更
RESOURCEロールはUNLIMITED TABLESPACE権限を付与しなくなりました
SELECT ANY DICTIONARY権限は一部のSYSデータ・ディクショナリ表にアクセスしなくなりました
Oracle Virtual Private Database状況依存ポリシーの評価の制御
仮想プライベート・データベースのDBMS_RLSパッケージおよびビューの長い識別子のサポート
サービスおよびウォレットへのファイングレイン・アクセスの構成の変更
監査機能の大幅な再設計
高速な監査パフォーマンス
統合監査データ証跡
統合監査証跡の新しいスキーマ
監査管理の業務分離
名前付きの統合監査ポリシーを作成する機能
ロールを監査する機能
監査アクションの強制的な記録
Oracle ACFS監査およびOracle Audit Vault Serverに監査データをインポートするためのサポート
Oracleマルチテナント・オプション用のユーザー、権限およびロールのサポート
自動ストレージ管理のパスワード・ファイルを使用する機能
新しいSecure Sockets Layer暗号スイート
非推奨機能
SQLNET.ALLOWED_LOGON_VERSIONパラメータの非推奨
ORAPWDユーティリティのIGNORECASE引数の非推奨
SEC_CASE_SENSITIVE_LOGON初期化パラメータの非推奨
非推奨のDBMS_NETWORK_ACL_ADMINパッケージ・プロシージャおよびビュー
DELETE_CATALOG_ROLEロールの非推奨
サポート対象外となった機能
サポート対象外となったSecure Sockets Layer暗号スイート
その他の変更
1
Oracle Databaseセキュリティの概要
Oracle Databaseセキュリティの概要
その他のOracle Databaseセキュリティ・リソース
第I部 ユーザー認証および認可の管理
2
Oracle Databaseユーザーのセキュリティの管理
ユーザー・セキュリティの概要
ユーザー・アカウントの作成
共通ユーザーおよびローカル・ユーザーについて
共通ユーザーについて
PDBへの接続による共通ユーザーへの影響
ローカル・ユーザーについて
ユーザー・アカウントの作成者とは
最小限のデータベース権限を持つ新しいユーザー・アカウントの作成
新しいアカウントのユーザー名の作成に関する制限事項
ユーザー名の一意性
マルチテナント環境のユーザー名
ユーザー名の大/小文字の区別
ユーザーへのパスワードの割当て
ユーザーのデフォルト表領域
ユーザーに対するデフォルト表領域の割当てについて
デフォルト表領域を割り当てるためのDEFAULT TABLESPACE句
ユーザーへの表領域の割当て制限
ユーザーへの表領域の割当て制限の割当てについて
表領域の割当て制限を割り当てるためのCREATE USER文
表領域でのユーザー・オブジェクトに対する割当て限度の制限
ユーザーへのUNLIMITED TABLESPACEシステム権限の付与
ユーザーの一時表領域
ユーザーに対する一時表領域の割当てについて
一時表領域を割り当てるためのTEMPORARY TABLESPACE句
ユーザーのプロファイル
共通ユーザーまたはローカル・ユーザーの作成
共通ユーザー・アカウントの作成について
共通ユーザー・アカウントを作成するためのCREATE USER文
ローカル・ユーザー・アカウントの作成について
ローカル・ユーザー・アカウントを作成するためのCREATE USER文
ユーザーのデフォルト・ロールの作成
ユーザー・アカウントの変更
ユーザー・アカウントの変更について
共通またはローカル・ユーザー・アカウントを変更するためのALTER USER文
SYS以外のユーザー・パスワードの変更
SYS以外のユーザーのパスワードの変更について
PASSWORDコマンドまたはALTER USER文を使用したパスワードの変更
SYSユーザー・パスワードの変更
SYSユーザーのパスワードの変更について
SYSユーザーのパスワードを変更するためのORAPWDユーティリティ
ユーザー・リソース制限の構成
ユーザー・リソース制限の概要
システム・リソースのタイプと制限
ユーザー・セッション・レベルの制限
データベース・コール・レベルの制限
CPU時間の制限
論理読取りの制限
その他のリソースの制限
プロファイルのリソース制限の値
プロファイルによるリソースの管理
プロファイルについて
プロファイルの作成
ユーザーへのプロファイルの割当て
プロファイルの削除
ユーザー・アカウントの削除
ユーザー・アカウントの削除について
ユーザー・セッションの終了
ユーザーがデータベースから切断した後のユーザーの削除について
スキーマにオブジェクトが含まれるユーザーの削除
データベース・ユーザーおよびプロファイルのデータ・ディクショナリ・ビュー
ユーザーとプロファイルに関する情報を表示するデータ・ディクショナリ・ビュー
すべてのユーザーと関連情報を検索する問合せ
すべての表領域の割当て制限を表示する問合せ
すべてのプロファイルと割り当てられている制限を表示する問合せ
各ユーザー・セッションのメモリー使用量を表示する問合せ
3
認証の構成
認証の概要
パスワード保護の構成
Oracle Databaseの組込みパスワード保護の概要
パスワードの最低要件
IDENTIFIED BY句を使用したパスワードの作成
パスワード管理ポリシーの使用
パスワード管理の概要
デフォルト・パスワードが設定されているユーザー・アカウントの検索
デフォルト・プロファイルのパスワード設定
ALTER PROFILE文を使用したプロファイル制限の設定
デフォルトのパスワード・セキュリティ設定の有効化および無効化
ログイン失敗後のユーザー・アカウントの自動ロック
例: CREATE PROFILE文を使用したアカウントのロック
ユーザー・アカウントの明示的ロック
ユーザーによる以前のパスワードの再利用の制御
パスワード・エイジングおよび期限切れの制御について
CREATE PROFILE文またはALTER PROFILE文を使用したパスワード存続期間の設定
ユーザー・アカウントのステータスの確認
パスワード変更のライフ・サイクル
PASSWORD_LIFE_TIMEプロファイル・パラメータの低い値
パスワードの複雑度の管理
パスワードの複雑度検証の概要
Oracle Databaseによるパスワードの複雑度のチェック方法
パスワード複雑度ファンクションを使用できるユーザー
verify_function_11G関数のパスワード要件
ora12c_verify_functionのパスワード要件
ora12c_strong_verify_function関数のパスワード要件
パスワード複雑度検証のカスタマイズについて
パスワード複雑度検証の有効化
パスワードでの大/小文字の区別の管理
SEC_CASE_SENSITIVE_LOGONパラメータおよびパスワードの大/小文字の区別
ALTER SYSTEM文を使用したパスワードの大/小文字の区別の有効化
安全性の高いロール・パスワードの大/小文字の区別の管理
ユーザーのパスワード・バージョンの管理
10Gパスワード・バージョンを使用するユーザーのパスワードの確認と再設定
大/小文字の区別がパスワード・ファイルに与える影響
大/小文字の区別がデータベース・リンク接続で使用されるパスワードに与える影響
パスワードのセキュリティへの脅威からの12Cパスワード・バージョンによる保護
12Cバージョンのパスワード・ハッシュについて
Oracle Database 12Cパスワード・バージョン構成のガイドライン
12Cパスワード・バージョンを排他的に使用するためのOracle Databaseの構成
12Cパスワード・バージョンを排他的に使用するためのOracle Databaseクライアントの構成
パスワード資格証明用の安全性の高い外部パスワード・ストアの管理
安全性の高い外部パスワード・ストアの概要
外部パスワード・ストアの機能
外部パスワード・ストアの使用を目的とするクライアントの構成について
外部パスワード・ストアの使用を目的とするクライアントの構成
例: ウォレット・パラメータが設定されたサンプルSQLNET.ORAファイル
外部パスワード・ストア資格証明の管理
外部パスワード・ストアの内容のリスト表示
外部パスワード・ストアへの資格証明の追加
外部パスワード・ストアの資格証明の変更
外部パスワード・ストアからの資格証明の削除
データベース管理者の認証
データベース管理者の認証について
管理者の厳密認証と集中管理
データベース管理者の厳密認証について
管理ユーザーのディレクトリ認証の構成
管理ユーザーのKerberos認証の構成
管理ユーザーのSecure Sockets Layer認証の構成
オペレーティング・システムを使用したデータベース管理者の認証
パスワードを使用したデータベース管理者の認証
データベース管理者認証のパスワード・ファイルを使用するリスク
ユーザーのデータベース認証
データベース認証の概要
データベース認証の利点
データベースで認証されるユーザーの作成
ユーザーのオペレーティング・システム認証
ユーザーのネットワーク認証
Secure Sockets Layerを使用した認証
サード・パーティ・サービスを使用した認証
サード・パーティ・サービスを使用した認証について
Kerberosを使用した認証
RADIUSを使用した認証
ディレクトリベース・サービスを使用した認証
公開鍵インフラストラクチャを使用した認証
ユーザーのグローバル認証とグローバル認可
グローバルなユーザー認証と認可の構成について
ディレクトリ・サービスで認可されるユーザーの構成
プライベート・スキーマを持つグローバル・ユーザーの作成
スキーマを共有する複数のエンタープライズ・ユーザーの作成
グローバル認証とグローバル認可の利点
ユーザーとパスワード認証のための外部サービスの構成
外部認証の概要
外部認証の利点
外部認証の有効化
外部認証されるユーザーの作成
オペレーティング・システムを使用したユーザー・ログインの認証
ネットワーク認証を使用したユーザー・ログインの認証
複数層の認証と認可
クライアント、アプリケーション・サーバーおよびデータベース・サーバーの管理とセキュリティ
複数層環境でのユーザー識別情報の保持
プロキシ認証に対する中間層サーバーの使用
プロキシ認証の概要
プロキシ認証の利点
プロキシ・ユーザー・アカウントの作成者とは
プロキシ・ユーザー・アカウントの作成のガイドライン
プロキシ・ユーザー・アカウントと、そのアカウントを介して接続するユーザーの認可
プロキシ・ユーザー・アカウントの作成と、作成したプロキシ・ユーザー・アカウントを介したユーザー接続の認可
安全性の高い外部パスワード・ストアとプロキシ認証の使用
プロキシ認証を使用した実際のユーザーの識別情報の引渡し
中間層の権限の制限
ユーザーのプロキシとして機能し、ユーザーを認証する中間層を認可する方法
他の方式で認証されたユーザーのプロキシとして機能するために、中間層を認可する方法
中間層を介したデータベースへのユーザーの再認証
パスワード・ベースのプロキシ認証の使用
エンタープライズ・ユーザーでのプロキシ認証の使用
データベースに認識されないアプリケーション・ユーザーの識別でのクライアント識別子の使用
クライアント識別子について
中間層システムでのクライアント識別子の使用方法
CLIENT_IDENTIFIER属性を使用したユーザー識別情報の保持
グローバル・アプリケーション・コンテキストから独立したCLIENT_IDENTIFIERの使用
グローバル・アプリケーション・コンテキストから独立したCLIENT_IDENTIFIERの設定
DBMS_SESSION PL/SQLパッケージを使用したクライアント識別子の設定と消去
システム全体でのCLIENTID_OVERWRITEイベントの有効化
現在のセッションに対するCLIENTID_OVERWRITEイベントの有効化
CLIENTID_OVERWRITEイベントの無効化
ユーザー認証のデータ・ディクショナリ・ビュー
4
権限とロール認可の構成
権限とロールの概要
権限付与の対象者
Oracleマルチテナント・オプションが権限に影響を与えるしくみ
管理権限の管理
管理権限について
ユーザーへの管理権限の付与
通常のデータベース操作のためのSYSDBAおよびSYSOPER管理権限
バックアップおよびリカバリ操作のSYSBACKUP管理権限
Oracle Data Guard操作のSYSDG管理権限
透過的データ暗号化のSYSKM管理権限
システム権限の管理
システム権限の概要
システム権限を制限することが重要な理由
システム権限の制限の重要性について
データ・ディクショナリの保護によるシステム権限の制限
SYSスキーマのオブジェクトへのユーザー・アクセス
システム権限の付与と取消し
システム権限を付与したり、取り消すことができるユーザー
ANY権限とPUBLICロールの概要
共通およびローカルに付与される権限の管理
共通およびローカルに付与される権限について
共通に付与されるシステム権限の使用方法
共通に付与されるオブジェクト権限の使用方法
PDBへのアクセス権限の付与または取消し
例: マルチテナント環境での権限の付与
共通ユーザーによるCONTAINER_DATAオブジェクトの情報の表示
ルートに接続中のルート、CDBおよびPDBに関するデータの表示
特定のPDBのデータを問い合せる共通ユーザーの有効化
共通ロールおよびローカル・ロールの管理
共通ロールおよびローカル・ロールの管理について
共通ロールの使用方法
マルチテナント環境でPUBLICロールが機能するしくみ
共通ロールの作成、変更または削除に必要な権限
共通ロールの作成の規則
共通ロールの作成
ローカル・ロールの作成の規則
ローカル・ロールの作成
共通ユーザーとローカル・ユーザーに対するロールの付与と取消し
ユーザー・ロールの管理
ユーザー・ロールの概要
ユーザー・ロールの概要
ロールの機能
ロールの特性とそのメリット
ロールの通常の使用
アプリケーション・ロールの一般的な使用方法
ユーザー・ロールの一般的な使用方法
ロールがユーザーの権限範囲に与える影響
PL/SQLブロックでのロールの機能
定義者権限を持つ名前付きブロックで使用されるロール
実行者権限を持つ名前付きブロックおよび無名PL/SQLブロックで使用されるロール
ロールによるDDL使用の支援または制限
オペレーティング・システムによるロールの支援方法
分散環境でのロールの機能
Oracle Databaseのインストールで事前に定義されているロール
ロールの作成
ロールの作成について
パスワードを使用して認証されるロールの作成
パスワード認証のないロールの作成
外部またはグローバルのロールの作成
ロールの変更
ロール認可のタイプの指定
データベースを使用したロールの認可
アプリケーションを使用したロールの認可
外部ソースを使用したロールの認可
オペレーティング・システムを使用したロールの認可
ネットワーク・クライアントを使用したロールの認可
エンタープライズ・ディレクトリ・サービスによるグローバル・ロールの認可
ロールの付与と取消し
ロールの付与と取消しについて
ロールを付与したり、取り消すことができるユーザー
プログラム・ユニットに対するロールの付与と取消し
ロールの削除
SQL*Plusユーザーによるデータベース・ロール使用の制限
セキュリティに関する潜在的な問題となる非定型ツールの使用
PRODUCT_USER_PROFILEシステム表がロールを制限できるしくみ
ストアド・プロシージャがビジネス・ロジックをカプセル化できるしくみ
ロール権限およびセキュア・アプリケーション・ロール
オブジェクト権限の管理
オブジェクト権限の概要
オブジェクト権限を付与できるユーザー
オブジェクト権限の付与と取消し
オブジェクト権限の付与と取消しについて
ALL句がすべての使用可能なオブジェクト権限を付与または取り消すしくみ
READオブジェクト権限とSELECTオブジェクト権限
READおよびSELECTオブジェクト権限の管理について
データベース内の任意の表を問い合せるためのREADオブジェクト権限の使用のユーザーへの許可
READおよびREAD ANY TABLE権限に対する制限
シノニムでのオブジェクト権限の使用
表権限
表に対する権限がデータ操作言語操作に与える影響
表に対する権限がデータ定義言語操作に与える影響
表示権限
ビューの作成に必要な権限
ビューの使用による表セキュリティの強化
プロシージャ権限
プロシージャ権限に対するEXECUTE権限の使用
プロシージャの実行とセキュリティ・ドメイン
プロシージャの作成または置換に必要なシステム権限
プロシージャのコンパイルに必要なシステム権限
プロシージャに対する権限がパッケージおよびパッケージ・オブジェクトに与える影響
プロシージャに対する権限がパッケージおよびパッケージ・オブジェクトに与える影響について
例: 1つのパッケージ内で使用されるプロシージャ権限
例: プロシージャ権限およびパッケージ・オブジェクト
タイプ権限
名前付きの型に対するシステム権限
名前付きの型のオブジェクト権限
名前付きの型のメソッド実行モデル
型の作成と型を使用した表の作成に必要な権限
例: 型の作成と型を使用した表の作成に必要な権限
型アクセスとオブジェクト・アクセスの権限
型の依存性
ユーザーへの権限とロールの付与
ユーザーおよびロールへのシステム権限とロールの付与
ユーザーおよびロールへのシステム権限とロールの付与のための権限
例: ユーザーへのシステム権限とロールの付与
例: ディレクトリ・オブジェクトに対するEXECUTE権限の付与
権限受領ユーザーによる権限付与を可能にするADMINオプションの使用
GRANT文を使用した新規ユーザーの作成
ユーザーおよびロールへのオブジェクト権限の付与
ユーザーおよびロールへのオブジェクト権限の付与について
WITH GRANT OPTION句が機能するしくみ
オブジェクト所有者にかわるオブジェクト権限の付与
列に対する権限の付与
行レベルのアクセス制御
ユーザーからの権限とロールの取消し
システム権限とロールの取消し
オブジェクト権限の取消し
オブジェクト権限の取消しについて
複数のオブジェクト権限の取消し
オブジェクト所有者にかわるオブジェクト権限の取消し
列を選択するオブジェクト権限の取消し
REFERENCESオブジェクト権限の取消し
権限の取消しによる連鎖的な影響
システム権限の取消しによる連鎖的な影響
オブジェクト権限の取消しによる連鎖的な影響
PUBLICロールに対する権限の付与と取消し
オペレーティング・システムまたはネットワークを使用したロールの付与
オペレーティング・システムまたはネットワークを使用したロールの付与の概要
オペレーティング・システムのロール識別機能
オペレーティング・システムのロール管理機能
OS_ROLESがTRUEに設定されている場合のロールの付与と取消し
OS_ROLESがTRUEに設定されている場合のロールの有効化と無効化
オペレーティング・システムによるロール管理使用時のネットワーク接続
SET ROLEおよびデフォルト・ロールの設定による権限の付与と取消しの機能
権限の付与と取消しが有効になるとき
SET ROLE文が付与と取消しに与える影響
ユーザーのデフォルト・ロールの指定
ユーザーが使用可能にできるロールの最大数
ユーザー権限およびロールのデータ・ディクショナリ・ビュー
権限およびロール付与の情報を確認するデータ・ディクショナリ・ビュー
すべてのシステム権限の付与を表示する問合せ
すべてのロール付与を表示する問合せ
ユーザーに付与されているオブジェクト権限を表示する問合せ
セッションの現在の権限ドメインを表示する問合せ
データベースのロールを表示する問合せ
ロールの権限ドメイン情報を表示する問合せ
5
定義者権限および実行者権限のセキュリティの管理
定義者権限および実行者権限について
プロシージャに対する権限が定義者権限に与える影響
プロシージャに対する権限が実行者権限に与える影響
実行者権限プロシージャを作成する場合
プロシージャ・コールおよびビュー・アクセスの実行者権限の制御
スキーマの権限が実行者権限プロシージャの使用に与える影響
INHERIT [ANY] PRIVILEGES権限による権限アクセスの制御方法
他のユーザーへのINHERIT PRIVILEGES権限の付与
例: 実行するユーザーへのINHERIT PRIVILEGESの付与
例: INHERIT PRIVILEGESの取消し
他のユーザーへのINHERIT ANY PRIVILEGES権限の付与
例: 信頼できるプロシージャ所有者へのINHERIT ANY PRIVILEGESの付与
INHERIT PRIVILEGESおよびINHERIT ANY PRIVILEGESの管理
ビューの定義者権限および実行者権限
ビューの定義者権限および実行者権限の制御について
CREATE VIEW文のBEQUEATH句の使用
実行するユーザーのユーザー名またはユーザーIDの確認
BEQUEATH DEFINERおよびBEQUEATH_CURRENT_USERビューの確認
定義者権限および実行者権限のコード・ベース・アクセス制御の使用
アプリケーションのコード・ベース・アクセス制御の使用について
コード・ベースのアクセス制御ロールをプログラム・ユニットに付与できる者
コード・ベース・アクセス制御による実行者権限のプログラム・ユニットの処理方法
コード・ベース・アクセス制御による定義者権限のプログラム・ユニットの処理方法
CBAC付与のためのユーザーへのデータベース・ロールの付与
プログラム・ユニットに対するデータベース・ロールの付与と取消し
チュートリアル: コード・ベース・アクセス制御による機密データへのアクセス制御
このチュートリアルの概要
ステップ1: ユーザーを作成してHRにCREATE ROLE権限を付与
ステップ2: print_employees実行者権限プロシージャを作成
ステップ3: hr_clerkロールを作成して権限を付与
ステップ4: コード・ベース・アクセス制御HR.print_employeesプロシージャのテスト
ステップ5: view_emp_roleロールを作成して権限を付与
ステップ6: HR.print_employeesプロシージャの再テスト
手順7: このチュートリアルのコンポーネントの削除
6
PL/SQLパッケージおよびタイプでのファイングレイン・アクセスの管理
PL/SQLパッケージおよびタイプでのファイングレイン・アクセスの管理について
外部ネットワーク・サービスに対するファイングレイン・アクセス・コントロールについて
Oracleウォレットへのアクセス制御について
外部ネットワーク・サービスを使用するパッケージに依存しているアップグレードされたアプリケーション
外部ネットワーク・サービスのアクセス制御の構成
外部ネットワーク・サービスのアクセス制御の構成の構文
例: 外部ネットワーク・サービスのアクセス制御の構成
外部ネットワーク・サービスのアクセス制御権限の取消し
例: 外部ネットワーク・サービス権限の取消し
Oracleウォレットへのアクセス制御の構成
Oracleウォレットへのアクセス制御の構成について
手順1: Oracleウォレットの作成
手順2: Oracleウォレットのアクセス制御権限の構成
手順3: パスワードとクライアント証明書を使用するHTTPリクエストの作成
パスワードとクライアント証明書を使用するHTTPリクエストの作成
他のアプリケーションとセッションを共有している場合に、リクエスト・コンテキストを使用してウォレットを保留
認証にクライアント証明書のみを使用
認証にパスワードを使用
Oracleウォレットのアクセス制御権限の取消し
外部ネットワーク・サービスのアクセス制御の構成の例
例: 1つのロールおよびネットワーク接続のアクセス制御の構成
例: ユーザーおよびロールのアクセス制御の構成
例: DBA_HOST_ACESビューを使用した付与権限の表示
例: 非共有ウォレットのパスワードを使用するACLアクセスの構成
例: 共有データベース・セッションに使用するウォレットのACLアクセスの構成
ネットワーク・ホスト・コンピュータのグループの指定
複数のアクセス制御リスト割当てでのホスト・コンピュータの優先順位
ポート範囲指定によるアクセス制御リスト割当てでのホストの優先順位
ネットワーク・ホストへのユーザー・アクセスに影響を与える権限割当てのチェック
ネットワーク・ホストへのユーザー・アクセスに影響を与える権限割当てについて
ユーザーのネットワーク接続およびドメインに対する権限のチェック方法
例: 管理者によるユーザー・ネットワーク・アクセス制御権限のチェック
ユーザーによる各自のネットワーク接続およびドメインに対する権限のチェック方法
例: ユーザーによるネットワーク・アクセス制御権限のチェック
Javaデバッグ・ワイヤ・プロトコル操作のネットワーク・アクセスの構成
ユーザー・アクセス用に構成されたアクセス制御リストのデータ・ディクショナリ・ビュー
7
Enterprise Managerによるマルチテナント環境のセキュリティの管理
Enterprise Managerによるマルチテナント環境のセキュリティの管理について
Enterprise Managerによるマルチテナント環境へのログイン
CDBまたはPDBへのログイン
別のPDBへの、またはルートへの切替え
Enterprise Managerの共通ユーザーおよびローカル・ユーザーの管理
Enterprise Managerの共通ユーザー・アカウントの作成
Enterprise Managerの共通ユーザー・アカウントの編集
Enterprise Managerの共通ユーザー・アカウントの削除
Enterprise Managerのローカル・ユーザー・アカウントの作成
Enterprise Managerのローカル・ユーザー・アカウントの編集
Enterprise Managerのローカル・ユーザー・アカウントの削除
Enterprise Managerの共通およびローカル・ロールおよび権限の管理
Enterprise Managerの共通ロールの作成
Enterprise Managerの共通ロールの編集
Enterprise Managerの共通ロールの削除
Enterprise Managerの共通権限付与の取消し
Enterprise Managerのローカル・ロールの作成
Enterprise Managerのローカル・ロールの編集
Enterprise Managerのローカル・ロールの削除
Enterprise Managerのローカル権限付与の取消し
第II部 アプリケーション開発のセキュリティ
8
アプリケーション開発者のセキュリティの管理
アプリケーション・セキュリティ・ポリシーの概要
アプリケーション・ベースのセキュリティの使用に関する考慮事項
アプリケーション・ユーザーはデータベース・ユーザーでもあるか
アプリケーション内またはデータベース内でのセキュリティ規定
アプリケーション設計におけるパスワードの保護
アプリケーションでのパスワードの保護に関する一般的なガイドライン
プラットフォーム固有のセキュリティへの脅威
パスワード入力を処理するアプリケーションの設計のガイドライン
パスワードの形式と動作の構成のガイドライン
SQLスクリプトにおけるパスワードの処理のガイドライン
外部パスワード・ストアを使用したパスワードの保護
ORAPWDユーティリティを使用したパスワードの保護
例: パスワードを読み取るためのJavaコード
外部プロシージャの保護
外部プロシージャの保護について
資格証明の認証に対するextprocの構成に関する一般プロセス
extprocプロセス認証および偽装設定の予期される動作
外部プロシージャの認証の構成
レガシー・アプリケーションの外部プロシージャ
アプリケーション権限の管理
アプリケーション権限の管理にロールを使用する利点
アプリケーションへのアクセスを制御するセキュア・アプリケーション・ロールの作成
手順1: セキュア・アプリケーション・ロールの作成
手順2: アプリケーションに対するアクセス・ポリシーを定義するPL/SQLパッケージの作成
アプリケーションに対するアクセス・ポリシーを定義するPL/SQLパッケージの作成について
アプリケーションに対するアクセス・ポリシーを定義するPL/SQLパッケージまたはプロシージャの作成
セキュア・アプリケーション・ロールのテスト
権限とユーザーのデータベース・ロールとの関連付け
ユーザーの権限が現在のデータベース・ロールのみである理由
ロールを自動的に使用可能または使用禁止にするSET ROLE文の使用
スキーマを使用したデータベース・オブジェクトの保護
一意スキーマでのデータベース・オブジェクトの保護
共有スキーマでのデータベース・オブジェクトの保護
アプリケーションでのオブジェクト権限
アプリケーション開発者に必要なオブジェクト権限に関する知識
オブジェクト権限によって許可されるSQL文
データベース通信のセキュリティを強化するためのパラメータ
プロトコル・エラーによってデータベースで受信した不正パケット
不正パケット受信後のサーバー実行の制御
認証の最大試行回数の構成
データベース・バージョン・バナーの表示構成
不正なアクセスおよびユーザー・アクションの監査に関するバナーの構成
第III部 データへのアクセス制御
9
アプリケーション・コンテキストを使用したユーザー情報の取得
アプリケーション・コンテキストの概要
アプリケーション・コンテキストとは
アプリケーション・コンテキストの構成要素
アプリケーション・コンテキストの値の格納場所
アプリケーション・コンテキストを使用する利点
エディションがアプリケーション・コンテキストの値に与える影響
アプリケーション・コンテキストの種類
データベース・セッション・ベースのアプリケーション・コンテキストの使用
データベース・セッション・ベースのアプリケーション・コンテキストの概要
データベース・セッション・ベースのアプリケーション・コンテキストのコンポーネント
データベース・セッション・ベースのアプリケーション・コンテキストの作成
データベース・セッション・ベースのアプリケーション・コンテキストの作成について
データベース・セッション・ベースのアプリケーション・コンテキストの作成
複数のアプリケーションのデータベース・セッション・ベースのアプリケーション・コンテキスト
データベース・セッション・ベースのアプリケーション・コンテキストを設定するためのパッケージの作成
データベース・セッション・ベースのアプリケーション・コンテキストを管理するパッケージの概要
SYS_CONTEXTファンクションを使用したセッション情報の取得
SYS_CONTEXT設定の確認
SYS_CONTEXTでの動的SQL
パラレル問合せでのSYS_CONTEXT
データベース・リンクでのSYS_CONTEXT
セッション情報を設定するためのDBMS_SESSION.SET_CONTEXT
例: アプリケーション・コンテキストの値を作成する単純なプロシージャ
データベース・セッションのアプリケーション・コンテキスト・パッケージを実行するログオン・トリガー
例: 単純なログイン・トリガーの作成
例: 本番環境用のログイン・トリガーの作成
例: 開発環境用のログイン・トリガーの作成
例: データベース・セッション・ベースのアプリケーション・コンテキストの作成と使用
手順1: ユーザー・アカウントの作成とユーザーSCOTTがアクティブであることの確認
手順2: データベース・セッション・ベースのアプリケーション・コンテキストの作成
手順3: セッション・データを取得してアプリケーション・コンテキストを設定するパッケージの作成
手順4: パッケージに対するログイン・トリガーの作成
手順5: アプリケーション・コンテキストのテスト
手順6: このチュートリアルのコンポーネントの削除
データベース・セッション・ベースのアプリケーション・コンテキストの外部での初期化
データベース・セッション・ベースのアプリケーション・コンテキストの外部による初期化について
ユーザーからのデフォルト値
他の外部リソースからの値
例: 外部化されたデータベース・セッション・ベースのアプリケーション・コンテキストの作成
中間層サーバーからのアプリケーション・コンテキスト値の初期化
データベース・セッション・ベースのアプリケーション・コンテキストのグローバルな初期化
データベース・セッション・ベースのアプリケーション・コンテキストのグローバルな初期化について
LDAPでのデータベース・セッション・ベースのアプリケーション・コンテキストの使用
グローバルに初期化されたデータベース・セッション・ベースのアプリケーション・コンテキストの動作
データベース・セッション・ベースのアプリケーション・コンテキストのグローバルな初期化
外部化されたデータベース・セッション・ベースのアプリケーション・コンテキスト
グローバル・アプリケーション・コンテキスト
グローバル・アプリケーション・コンテキストの概要
グローバル・アプリケーション・コンテキストの使用方法
グローバル・アプリケーション・コンテキストのコンポーネント
Oracle Real Application Clusters環境でのグローバル・アプリケーション・コンテキスト
グローバル・アプリケーション・コンテキストの作成
グローバル・アプリケーション・コンテキストの所有権
グローバル・アプリケーション・コンテキストの作成
グローバル・アプリケーション・コンテキストを管理するためのPL/SQLパッケージ
グローバル・アプリケーション・コンテキストを管理するパッケージの概要
エディションがグローバル・アプリケーション・コンテキストのPL/SQLパッケージの結果に与える影響
DBMS_SESSION.SET_CONTEXTのusernameおよびclient_idパラメータ
全データベース・ユーザーを対象としたグローバル・アプリケーション・コンテキスト値の共有
例: 全データベース・ユーザーを対象としてグローバル・アプリケーション値を管理するためのパッケージ
アプリケーション間を移動するデータベース・ユーザーのグローバル・コンテキスト
非データベース・ユーザーのグローバル・アプリケーション・コンテキスト
例: 非データベース・ユーザーのグローバル・アプリケーション・コンテキスト値を管理するためのパッケージ
セッションをクローズする際のセッション・データの消去
クライアント・セッションIDを管理するための中間層アプリケーションへのコールの埋込み
中間層アプリケーションを使用したクライアント・セッションIDの管理の概要
手順1: 中間層アプリケーションを使用したクライアント・セッションIDの取得
手順2: 中間層アプリケーションを使用したクライアント・セッションIDの設定
中間層アプリケーションを使用したクライアント・セッションIDの設定の概要
中間層アプリケーションを使用したクライアント・セッションIDの設定
クライアント識別子の値のチェック
手順3: 中間層アプリケーションを使用したセッション・データの消去
例: クライアント・セッションIDを使用するグローバル・アプリケーション・コンテキストの作成
このチュートリアルの概要
手順1: ユーザー・アカウントの作成
手順2: グローバル・アプリケーション・コンテキストの作成
手順3: グローバル・アプリケーション・コンテキストのパッケージの作成
手順4: 新規作成したグローバル・アプリケーション・コンテキストのテスト
手順5: セッションIDの変更とグローバル・アプリケーション・コンテキストの再テスト
手順6: このチュートリアルのコンポーネントの削除
グローバル・アプリケーション・コンテキスト・プロセス
単純なグローバル・アプリケーション・コンテキスト・プロセス
軽量ユーザー用のグローバル・アプリケーション・コンテキスト・プロセス
クライアント・セッション・ベースのアプリケーション・コンテキストの使用
クライアント・セッション・ベースのアプリケーション・コンテキストの概要
CLIENTCONTEXTネームスペースへの値の設定
CLIENTCONTEXTネームスペースの取得
例: クライアント・セッション・ベース・コンテキストのクライアント・セッションID値の取得
CLIENTCONTEXTネームスペースの設定の消去
CLIENTCONTEXTネームスペースのすべての設定の消去
アプリケーション・コンテキストのデータ・ディクショナリ・ビュー
10
Oracle Virtual Private Databaseを使用したデータ・アクセスの制御
Oracle Virtual Private Databaseの概要
Oracle Virtual Private Database
Oracle Virtual Private Databaseポリシーを使用するメリット
アプリケーションではなくデータベース・オブジェクトに基づくセキュリティ・ポリシー
Oracle Databaseによるポリシー関数の評価方法の制御
Oracle Virtual Private Databaseポリシーの作成者とは
Oracle Virtual Private Databaseポリシー関数を実行するための権限
Oracle Virtual Private Databaseでのアプリケーション・コンテキストの使用
マルチテナント環境でのOracle Virtual Private Database
Oracle Virtual Private Databaseポリシーのコンポーネント
動的なWHERE句を生成する関数
保護するオブジェクトに関数を付加するポリシー
Oracle Virtual Private Databaseのポリシーの構成
Oracle Virtual Private Databaseポリシーの概要
データベース表、ビューまたはシノニムへのポリシーの付加
例: 表への単純なOracle Virtual Private Databaseポリシーの付加
特定のSQL文に対するポリシーの規定
例: DBMS_RLS.ADD_POLICYを使用したSQL文の指定
ポリシーを使用した列データ表示の制御
列レベルOracle Virtual Private Databaseのポリシー
例: 列レベルのOracle Virtual Private Databaseポリシーの作成
問合せに関連する列の行のみの表示
機密性の高い列をNULL値で表示するための列のマスク
例: Oracle Virtual Private Databaseポリシーへの列のマスクの追加
Oracle Virtual Private Databaseのポリシー・グループ
Oracle Virtual Private Databaseポリシー・グループの概要
Oracle Virtual Private Databaseの新しいポリシー・グループの作成
SYS_DEFAULTポリシー・グループを使用したデフォルト・ポリシー・グループ
各表、ビューまたはシノニムに対する複数のポリシー
データベースへの接続に使用されるアプリケーションの検証
Oracle Virtual Private Databaseポリシー・タイプを使用したパフォーマンスの最適化
Oracle Virtual Private Databaseポリシー・タイプの概要
ポリシー関数を自動再実行するための動的ポリシー・タイプ
例: DBMS_RLS.ADD_POLICYを使用したDYNAMICポリシーの作成
ポリシー関数の問合せごとの再実行を回避するための静的ポリシー
例: DBMS_RLS.ADD_POLICYを使用した静的ポリシーの作成
例: 複数オブジェクト間でポリシーを共有するための共有の静的ポリシー
静的ポリシーおよび共有の静的ポリシーを使用する場合
変更されるアプリケーション・コンテキスト属性の状況依存ポリシー
例: DBMS_RLS.ADD_POLICYを使用した状況依存ポリシーの作成
例: VPD状況依存ポリシーのキャッシュされた文のリフレッシュ
例: 既存の状況依存ポリシーの変更
例: 共有の状況依存ポリシーの使用による複数オブジェクト間でのポリシーの共有
状況依存ポリシーおよび共有の状況依存ポリシーを使用する場合
5種類のOracle Virtual Private Databaseポリシー・タイプの要約
例: Oracle Virtual Private Databaseポリシーの作成
例: 単純なOracle Virtual Private Databaseポリシーの作成
このチュートリアルの概要
手順1: OEユーザー・アカウントがアクティブであることの確認
手順2: ポリシー関数の作成
手順3: Oracle Virtual Private Databaseポリシーの作成
手順4: ポリシーのテスト
手順5: このチュートリアルのコンポーネントの削除
チュートリアル: セッション・ベースのアプリケーション・コンテキスト・ポリシーの実装
このチュートリアルの概要
手順1: ユーザー・アカウントとサンプル表の作成
手順2: データベース・セッション・ベースのアプリケーション・コンテキストの作成
手順3: アプリケーション・コンテキストを設定するPL/SQLパッケージの作成
手順4: アプリケーション・コンテキストのPL/SQLパッケージを実行するログイン・トリガーの作成
手順5: ログオン・トリガーのテスト
手順6: ユーザー・アクセスを自分の注文に制限するPL/SQLポリシー関数の作成
手順7: 新しいセキュリティ・ポリシーの作成
手順8: 新しいポリシーのテスト
手順9: このチュートリアルのコンポーネントの削除
例: Oracle Virtual Private Databaseポリシー・グループの実装
このチュートリアルの概要
手順1: この例で使用するユーザー・アカウントと他のコンポーネントの作成
手順2: 2つのポリシー・グループの作成
手順3: ポリシー・グループを制御するPL/SQLファンクションの作成
手順4: 駆動アプリケーション・コンテキストの作成
手順5: PL/SQLファンクションのポリシー・グループへの追加
手順6: ポリシー・グループのテスト
手順7: このチュートリアルのコンポーネントの削除
他のOracle機能でのOracle Virtual Private Databaseの使用
Oracle Virtual Private Databaseポリシーとエディション
VPD保護表に対するユーザーの問合せでのSELECT FOR UPDATE文
Oracle Virtual Private Databaseポリシーおよび外部結合またはANSI結合
Oracle Virtual Private Databaseセキュリティ・ポリシーおよびアプリケーション
ファイングレイン・アクセス・コントロールのポリシー関数に対する自動再解析
Oracle Virtual Private Databaseポリシーとフラッシュバック問合せ
Oracle Virtual Private DatabaseとOracle Label Security
Oracle Virtual Private Databaseを使用したOracle Label Securityポリシーの規定
Oracle Virtual Private DatabaseおよびOracle Label Securityの例外
EXPDPユーティリティのaccess_methodパラメータを使用したデータのエクスポート
ユーザー・モデルとOracle Virtual Private Database
Oracle Virtual Private Databaseのデータ・ディクショナリ・ビュー
11
透過的機密データ保護の使用
透過的機密データ保護について
透過的機密データ保護を使用する一般的な手順
透過的機密データ保護ポリシーのユースケース
透過的機密データ保護の使用に必要な権限
マルチテナント環境が透過的機密データ保護に影響を与えるしくみ
透過的機密データ保護ポリシーの作成
手順1: 機密タイプの作成
手順2: 保護する機密列の識別
手順3: ADMからデータベースへの機密列リストのインポート
手順4: 透過的機密データ保護ポリシーの作成
透過的機密データ保護ポリシーの作成について
透過的機密データ保護ポリシーの作成
Oracle Data Redactionまたは仮想プライベート・データベース機能オプションの設定
透過的機密データ保護ポリシーの条件の設定
DBMS_TSDP_PROTECT.ADD_POLICYプロシージャの指定
手順5: ポリシーと機密タイプの関連付け
手順6: 透過的機密データ保護ポリシーの有効化
保護されたソースの現在のデータベースの保護の有効化
特定の表の列の保護の有効化
特定の列タイプの保護の有効化
手順7: 他のデータベースへのポリシーのエクスポート(オプション)
透過的機密データ保護ポリシーの変更
透過的機密データ保護ポリシーの無効化
透過的機密データ保護ポリシーの削除
事前定義のREDACT_AUDITポリシーを使用したバインド値のマスク
REDACT_AUDITポリシーについて
機密列に関連付けられている変数
条件式のバインド変数および機密列
同じSELECT項目に表示されるバインド変数および機密列
INSERTまたはUPDATE操作の機密列に割り当てられる式のバインド変数
ビューでの機密列のバインド変数の動作
REDACT_AUDITポリシーの無効化
REDACT_AUDITポリシーの有効化
データ・リダクションでの透過的機密データ保護ポリシー
Oracle VPDポリシーでの透過的機密データ保護ポリシーの使用
TSDPポリシーとOracle Virtual Private Databaseポリシーの併用について
TSDPポリシーに使用されるDBMS_RLS.ADD_POLICYパラメータ
チュートリアル: 仮想プライベート・データベース保護を使用するTSDPポリシーの作成
手順1: hr_appuserユーザー・アカウントの作成
手順2: 機密列の識別
手順3: Oracle Virtual Private Database関数の作成
手順4: 透過的機密データ保護ポリシーの作成および有効化
手順5: 透過的機密データ保護ポリシーのテスト
手順6: このチュートリアルのコンポーネントの削除
透過的機密データ保護のデータ・ディクショナリ・ビュー
12
手動によるデータ暗号化
暗号化で解決しないセキュリティの問題
原則1: 暗号化はアクセス制御の問題を解決しない
原則2: 暗号化は不正な管理者からデータを保護しない
原則3: すべてのデータを暗号化してもデータは保護されない
データ暗号化の課題
暗号化され索引付けされたデータ
生成された暗号化鍵
転送された暗号化鍵
暗号化鍵の格納
暗号化鍵の格納について
データベースへの暗号化鍵の格納
オペレーティング・システムへの暗号化鍵の格納
ユーザー自身による暗号化鍵の管理
透過的データベース暗号化および表領域暗号化を使用した手動暗号化
暗号化鍵の変更の重要性
バイナリ・ラージ・オブジェクトの暗号化
DBMS_CRYPTOパッケージを使用したデータ暗号化ストレージ
OFBモードで暗号化された暗号文のOracle Databaseリリース11gでの使用
データの暗号化APIの使用例
データ暗号化プロシージャの例
AES 256ビット・データ暗号化および復号化プロシージャの例
BLOBデータの暗号化および復号化プロシージャの例
暗号化データのデータ・ディクショナリ・ビュー
第IV部 ネットワーク上のデータの保護
13
Oracle Databaseのネットワーク暗号化とデータ整合性の構成
Oracle Databaseのネットワーク暗号化とデータ整合性について
Oracleデータ・ネットワークの暗号化および整合性について
Advanced Encryption Standard
Oracle Databaseのネットワーク暗号化のデータ整合性
データの整合性アルゴリズムのサポート
Diffie-Hellmanベースの鍵交換
データの暗号化および整合性の構成
暗号化および整合性のアクティブ化について
暗号化および整合性のネゴシエーションについて
暗号化および整合性のネゴシエーションの値について
REJECTED構成パラメータ
ACCEPTED構成パラメータ
REQUESTED構成パラメータ
REQUIRED構成パラメータ
Oracle Net Managerを使用した暗号化および整合性パラメータの構成
クライアントとサーバーでの暗号化の構成
クライアントとサーバーでの整合性の構成
14
シンJDBCクライアント・ネットワークの構成
Java実装について
Java Database Connectivityのサポート
シンJDBCの機能
実装の概要
Java暗号化コードの不明瞭化
シンJDBCネットワーク実装の構成パラメータ
シンJDBCネットワーク実装の構成パラメータについて
クライアント暗号化レベルのパラメータ
クライアント暗号化選択リストのパラメータ
クライアント整合性レベルのパラメータ
クライアント整合性選択リストのパラメータ
クライアント認証サービスのパラメータ
AnoServices定数
第V部 厳密認証の管理
15
厳密認証の概要
厳密認証とは
集中化された認証とシングル・サインオン
集中化されたネットワーク認証の動作
サポートされている厳密認証方式
Kerberosについて
Remote Authentication Dial-In User Service (RADIUS)について
Secure Sockets Layerについて
Oracle Databaseネットワークの暗号化/厳密認証アーキテクチャ
厳密認証のシステム要件
Oracleネットワーク暗号化および厳密認証の制限事項
16
厳密認証の管理ツール
構成ツールと管理ツールについて
ネットワーク暗号化ツールと厳密認証構成ツール
バージョン情報
Kerberosアダプタ・コマンドライン・ユーティリティ
公開鍵インフラストラクチャ資格証明管理ツール
Oracle Wallet Managerについて
orapkiユーティリティについて
厳密認証管理者の義務
17
Kerberos認証の構成
Kerberos認証の有効化
手順1: Kerberosのインストール
手順2: Oracleデータベース・サーバーに対するサービス・プリンシパルの構成
手順3: Kerberosからのサービス・キー表の抽出
手順4: Oracleデータベース・サーバーとOracleクライアントのインストール
手順5: Oracle Net ServicesとOracle Databaseの構成
手順6: Kerberos認証の構成
手順6A: クライアントとデータベース・サーバーでのKerberosの構成
手順6B: 初期化パラメータの設定
手順6C: sqlnet.oraパラメータの設定(オプション)
手順7: Kerberosユーザーの作成
手順8: 外部認証されたOracleユーザーの作成
手順9: Kerberos/Oracleユーザーの初期チケットの取得
Kerberos認証アダプタのユーティリティ
初期チケットを取得するためのokinitユーティリティ・オプション
資格証明を表示するためのoklistユーティリティ・オプション
キャッシュ・ファイルからの資格証明の削除
Kerberosによって認証されたOracle Databaseサーバーへの接続
Windows 2008ドメイン・コントローラKDCとの相互運用性の構成
手順1: Windows 2008ドメイン・コントローラのためのOracle Kerberosクライアントの構成
手順1A: クライアントKerberos構成ファイルの作成
手順1B: sqlnet.oraファイルでのOracle構成パラメータの指定
手順1C: リスニング・ポート番号の指定
手順2: OracleクライアントのためのWindows 2008ドメイン・コントローラKDCの構成
手順2A: ユーザー・アカウントの作成
手順2B: Oracleデータベースのプリンシパル・ユーザー・アカウントの作成
手順3: Windows 2008ドメイン・コントローラKDCのためのOracleデータベースの構成
手順3A: sqlnet.oraファイルでの構成パラメータの設定
手順3B: 外部認証されたOracleユーザーの作成
手順4: Kerberos/Oracleユーザーの初期チケットの取得
Kerberos認証フォールバック動作の構成
Oracle Kerberos認証の構成のトラブルシューティング
18
Secure Sockets Layer認証の構成
Secure Sockets LayerおよびTransport Layer Security
Oracle DatabaseでのSecure Sockets Layerを使用した認証
Oracle環境におけるSecure Sockets Layerの機能: SSLハンドシェイク
Oracle環境における公開鍵インフラストラクチャ
公開鍵の暗号化について
Oracle環境における公開鍵インフラストラクチャ・コンポーネント
認証局
証明書
証明書失効リスト
ウォレット
ハードウェア・セキュリティ・モジュール
Secure Sockets Layerと他の認証方式の併用
アーキテクチャ: Oracle DatabaseとSecure Sockets Layer
Secure Sockets Layerと他の認証方式の併用
Secure Sockets Layerとファイアウォール
Secure Sockets Layer使用時の問題
Secure Sockets Layerの有効化
手順1: サーバーでのSecure Sockets Layerの構成
手順1A: サーバーでのウォレット作成の確認
手順1B: サーバーでのデータベース・ウォレット・ロケーションの指定
手順1C: サーバーでのSecure Sockets Layer暗号スイートの設定(オプション)
Secure Sockets Layer暗号スイートについて
SSL暗号スイートの認証、暗号化、整合性およびTLSバージョン
データベース・サーバーのSecure Sockets暗号スイートの指定
手順1D: サーバーでの必要なSecure Sockets Layerバージョンの設定(オプション)
手順1E: サーバーでのSSLクライアント認証の設定(オプション)
手順1F: サーバーでの認証サービスとしてのSSLの設定(オプション)
手順1G: SSL付きTCP/IPを使用するリスニング・エンドポイントのサーバーでの作成
手順2: クライアントでのSecure Sockets Layerの構成
手順2A: クライアント・ウォレット作成の確認
手順2B: サーバーDNの構成とクライアントのSSL付きTCP/IPの使用
サーバーDNSの構成およびクライアントでのSSL付きTCP/IPの使用について
サーバーDNSの構成およびクライアントでのSSL付きTCP/IPの使用
手順2C: 必要なクライアントSSL構成の指定(ウォレット・ロケーション)
手順2D: クライアントのSecure Sockets Layer暗号スイートの設定(オプション)
クライアントのSecure Sockets Layer暗号スイートの設定について
クライアントのSecure Sockets Layer暗号スイートの設定
手順2E: 必要なSSLバージョンのクライアントでの設定(オプション)
手順2F: クライアントにおける認証サービスとしてのSSLの設定(オプション)
SQLNET.AUTHENTICATION_SERVICESパラメータについて
SQLNET.AUTHENTICATION_SERVICESパラメータの設定
手順2G: クライアントでの認証に使用する証明書の指定(オプション)
SQLNET.SSL_EXTENDED_KEY_USAGEパラメータについて
SQLNET.SSL_EXTENDED_KEY_USAGEパラメータの設定
手順3: データベース・インスタンスへのログイン
Secure Sockets Layer構成のトラブルシューティング
証明書失効リストによる証明書の検証
証明書失効リストによる証明書検証について
使用するCRLの選択方法
CRLチェックの動作の仕組み
証明書失効リストによる証明書検証の構成
証明書失効リストによる証明書検証の構成について
クライアントまたはサーバー用の証明書失効ステータス・チェックの有効化
証明書失効ステータス・チェックの無効化
証明書失効リストの管理
証明書失効リストの管理について
CRLを管理するコマンドのorapkiヘルプの表示
証明書検証用ハッシュ値によるCRLの名前変更
Oracle Internet DirectoryへのCRLのアップロード
Oracle Internet Directoryに格納されているCRLの一覧表示
Oracle Internet DirectoryでのCRLの表示
Oracle Internet DirectoryからのCRLの削除
CRL証明書検証のトラブルシューティング
証明書検証に関連するOracle Netトレース・ファイルのエラー・メッセージ
ハードウェア・セキュリティ・モジュールを使用するためのシステムの構成
SSLでハードウェア・セキュリティ・モジュールを使用するための一般的なガイドライン
nCipherハードウェア・セキュリティ・モジュールを使用するためのシステムの構成
nCipherハードウェア・セキュリティ・モジュールを使用するためのシステムの構成について
nCipherハードウェア・セキュリティ・モジュールに必要なOracleコンポーネント
nCipherハードウェア・セキュリティ・モジュールをインストールするためのディレクトリ・パス要件
SafeNETハードウェア・セキュリティ・モジュールを使用するためのシステムの構成
SafeNETハードウェア・セキュリティ・モジュールを使用するためのシステムの構成について
SafeNET Luna SAハードウェア・セキュリティ・モジュールに必要なOracleコンポーネント
SafeNETハードウェア・セキュリティ・モジュールをインストールするためのディレクトリ・パス要件
ハードウェア・セキュリティ・モジュールの使用時のトラブルシューティング
Oracle Netトレース・ファイルのエラー
ハードウェア・セキュリティ・モジュールの使用に関連するエラー・メッセージ
19
RADIUS認証の構成
RADIUS認証の構成について
RADIUSの構成要素
RADIUS認証モード
同期認証モード
同期認証モードの順序
例: SecurIDトークン・カードによる同期認証
チャレンジ・レスポンス(非同期)認証モード
チャレンジ・レスポンス(非同期)認証モードの順序
例: スマートカードによる非同期認証
例: ActivCardトークンによる非同期認証
RADIUS認証、認可およびアカウンティングの有効化
手順1: RADIUS認証の構成
手順1A: OracleクライアントでのRADIUSの構成
手順1B: Oracleデータベース・サーバーでのRADIUSの構成
手順1B(1): Oracleデータベース・サーバーでのRADIUS秘密鍵ファイルの作成
手順1B(2): サーバー(sqlnet.oraファイル)でのRADIUSパラメータの構成
手順1B(3): Oracleデータベース・サーバー初期化パラメータの設定
手順1C: その他のRADIUS機能の構成
手順1C(1): デフォルト設定の変更
手順1C(2): チャレンジ・レスポンス・モードの構成
手順1C(3): 代替RADIUSサーバーのパラメータの設定
手順2: ユーザーの作成とアクセス権の付与
手順3: 外部RADIUS認可の構成(オプション)
手順3A:Oracle Server (RADIUSクライアント)の構成
手順3B: Oracleクライアント(ユーザーがログインする場所)の構成
手順3C: RADIUSサーバーの構成
手順4: RADIUSアカウンティングの構成
手順4A: Oracleデータベース・サーバーでのRADIUSアカウンティングの設定
Step 4B: RADIUSアカウンティング・サーバーの構成
手順5: RADIUSクライアント名のRADIUSサーバー・データベースへの追加
手順6: RADIUSとともに使用する認証サーバーの構成
手順7: 認証サーバーとともに使用するRADIUSサーバーの構成
手順8: マッピング・ロールの構成
RADIUSを使用したデータベースへのログイン
RSA ACE/Server構成チェックリスト
20
厳密認証の使用のカスタマイズ
厳密認証を使用したデータベースへの接続
厳密認証およびネットワーク暗号化の無効化
複数の認証方式の構成
外部認証のためのOracle Databaseの構成
sqlnet.oraでのSQLNET.AUTHENTICATION_SERVICESパラメータの設定
OS_AUTHENT_PREFIXのNull値への設定
第VI部 監査を使用したデータベース・アクティビティの管理
21
監査の概要
監査とは
監査を使用する理由
監査のベスト・プラクティス
統合監査とは
統合監査証跡の利点
データベースが統合監査に移行したかどうかの確認
混合モードの監査
混合モードの監査について
有効にした監査のタイプがデータベースの作成でどのように決定されるか
混合モードの監査の機能
監査の実行者
マルチテナント環境での監査
分散データベースでの監査
22
監査ポリシーの構成
監査タイプの選択
SQL文、権限および他の一般アクティビティの監査
一般的に使用されるセキュリティ関連アクティビティの監査
特定のファイングレイン・アクティビティの監査
統合監査ポリシーおよびAUDIT文を使用したアクティビティの監査
統合監査ポリシーおよびAUDITを使用したアクティビティの監査について
統合監査ポリシーの作成のベスト・プラクティス
統合監査ポリシーの作成の構文
ロールの監査
ロールの監査について
ロールの統合監査ポリシーの構成
例: マルチテナント環境でのDBAロールの監査
システム権限の監査
システム権限監査について
監査できるシステム権限
監査できないシステム権限
システム権限の使用を取得するための統合監査ポリシーの構成
例: ANY権限を持つユーザーの監査
例: 条件を使用するシステム権限の監査
監査証跡でのシステム権限の統合監査ポリシーの表示方法
管理ユーザーの監査
監査可能な管理ユーザー・アカウント
管理者アクティビティを取得するための統合監査ポリシーの構成
例: SYSユーザーの監査
オブジェクト・アクションの監査
オブジェクト・アクションの監査について
監査できるオブジェクト・アクション
オブジェクト・アクションの統合監査ポリシーの構成
例: SYSオブジェクトでのアクションの監査
例: 1つのオブジェクトでの複数のアクションの監査
例: オブジェクトでのアクションと権限の両方の監査
例: 表でのすべてのアクションの監査
例: データベースでのすべてのアクションの監査
監査証跡でのオブジェクト・アクションの統合監査ポリシーの表示方法
ファンクション、プロシージャ、パッケージおよびトリガーの監査
Oracle Virtual Private Databaseポリシー関数の監査ポリシー
統合監査とエディション付きオブジェクト
SELECT、READ ANY TABLEまたはSELECT ANY TABLEの監査
SELECT文およびREAD ANY TABLEシステム権限の監査について
READオブジェクト権限操作を取得する統合監査ポリシーの作成
統合監査証跡でのREAD ANY TABLEおよびSELECT ANY TABLEの取得方法
複数層環境におけるSQL文および権限の監査
統合監査ポリシーの条件の作成
統合監査ポリシーについて
条件を使用した統合監査ポリシーの構成
例: SQL*Plusへのアクセスの監査
例: 特定のホストにはないアクションの監査
例: システム全体のアクションおよびスキーマ固有のアクションの両方の監査
例: 文の発生ごとの条件の監査
例: 現在の管理ユーザー・セッションの統合監査セッションID
例: 現在の非管理ユーザー・セッションの統合監査セッションID
監査証跡での条件からの監査レコードの表示方法
アプリケーション・コンテキスト値の監査
アプリケーション・コンテキスト値の監査について
アプリケーション・コンテキストの監査設定の構成
アプリケーション・コンテキストの監査設定の無効化
例: デフォルト・データベースでのアプリケーション・コンテキスト値の監査
例: Oracle Label Securityのアプリケーション・コンテキスト値の監査
監査証跡での監査対象のアプリケーション・コンテキストの表示方法
Oracle Database Real Application Securityイベントの監査
Oracle Database Real Application Securityイベントの監査について
Oracle Database Real Application Securityの監査可能なイベント
Oracle Database Real Application Securityのユーザーおよびロールの監査イベント
Oracle Database Real Application Securityのセキュリティ・クラスおよびACLの監査イベント
Oracle Database Real Application Securityのセッションの監査イベント
Oracle Database Real Application SecurityのALLイベント
Oracle Database Real Application Securityの統合監査ポリシーの構成
例: Real Application Securityのユーザー・アカウントの変更の監査
例: Real Application Securityの統合監査ポリシーでの条件の使用
監査証跡でのOracle Database Real Application Securityイベントの表示方法
Oracle Recovery Managerイベントの監査
Oracle Recovery Managerイベントの監査について
Oracle Recovery Managerの統合監査証跡イベント
監査証跡でのOracle Recovery Managerの監査イベントの表示方法
Oracle Database Vaultイベントの監査
Oracle Database Vaultイベントの監査について
Oracle Database Vaultの監査者
Oracle Database Vaultの統合監査証跡イベントについて
Oracle Database Vaultのレルムの監査イベント
Oracle Database Vaultのルール・セットおよびルールの監査イベント
Oracle Database Vaultのコマンド・ルールの監査イベント
Oracle Database Vaultのファクタの監査イベント
Oracle Database Vaultのセキュア・アプリケーション・ロールの監査イベント
Oracle Database Vault Oracle Label Securityの監査イベント
Oracle Database Vault Oracle Data Pumpの監査イベント
Oracle Database Vaultの有効および無効な監査イベント
Oracle Database Vaultの統合監査ポリシーの構成
例: 2つのOracle Database Vaultイベントの監査
例: Oracle Database Vaultのファクタの監査
監査証跡でのOracle Database Vaultの監査イベントの表示方法
Oracle Label Securityイベントの監査
Oracle Label Securityイベントの監査について
Oracle Label Securityの統合監査証跡イベント
Oracle Label Securityの監査可能なユーザー・セッション・ラベル
Oracle Label Securityの統合監査ポリシーの構成
例: Oracle Label Securityのセッション・ラベル属性の監査
例: Oracle Label Securityポリシーからのユーザーの除外
例: Oracle Label Securityのポリシー・アクションの監査
例: 監査済のOLSセッション・ラベルの問合せ
監査証跡でのOracle Label Securityの監査イベントの表示方法
Oracle Data Miningイベントの監査
Oracle Data Miningイベントの監査について
Oracle Data Miningの統合監査証跡イベント
Oracle Data Miningの統合監査ポリシーの構成
例: ユーザーによる複数のOracle Data Mining操作の監査
例: ユーザーによる失敗したすべてのOracle Data Mining操作の監査
監査証跡でのOracle Data Miningイベントの表示方法
Oracle Data Pumpイベントの監査
Oracle Data Pumpイベントの監査について
Oracle Data Pumpの統合監査証跡イベント
Oracle Data Pumpの統合監査ポリシーの構成
例: Oracle Data Pumpのインポート操作の監査
例: Oracle Data Pumpのすべての操作の監査
監査証跡でのOracle Data Pumpの監査イベントの表示方法
Oracle SQL*Loaderダイレクト・ロード・パス・イベントの監査
Oracle SQL*Loaderダイレクト・パス・ロード・イベントの監査について
Oracle SQL*Loaderダイレクト・ロード・パスの統合監査証跡イベント
Oracle SQL*Loaderダイレクト・パス・イベントの統合監査証跡ポリシーの構成
例: Oracle SQL*Loaderダイレクト・パス・ロード操作の監査
監査証跡でのSQL*Loaderダイレクト・パス・ロードの監査イベントの表示方法
マルチテナント環境での統合監査ポリシーまたはAUDIT設定の使用
ローカルおよび共通監査ポリシーについて
マルチテナント環境での従来の監査
ローカル統合監査ポリシーまたは共通統合監査ポリシーの構成
例: ローカル統合監査ポリシー
例: CDB共通統合監査ポリシー
監査証跡でのローカルまたは共通監査ポリシーまたは設定の表示方法
統合監査ポリシーの変更
統合監査ポリシーの変更について
統合監査ポリシーの変更
例: 統合監査ポリシーの条件の変更
例: 統合監査ポリシーでのOracle Label Securityコンポーネントの変更
例: 統合監査ポリシーのロールの変更
例: 統合監査ポリシーからの条件の削除
ユーザーに対する統合監査ポリシーの有効化
統合監査ポリシーの有効化について
統合監査ポリシーの有効化
例: 統合監査ポリシーの有効化
統合監査ポリシーの無効化
統合監査ポリシーの無効化について
統合監査ポリシーの無効化
例: 統合監査ポリシーの無効化
統合監査ポリシーの削除
統合監査ポリシーの削除について
統合監査ポリシーの削除
例: 統合監査ポリシーの無効化および削除
例: 非データベース・ユーザーの監査
手順1: ユーザー・アカウントの作成とユーザーOEがアクティブであることの確認
手順2: 統合監査ポリシーの作成
手順3: ポリシーのテスト
手順4: このチュートリアルのコンポーネントの削除
事前定義の統合監査ポリシーを使用したアクティビティの監査
ログオン失敗の事前定義の統合監査ポリシー
セキュア・オプションの事前定義の統合監査ポリシー
Oracle Databaseパラメータ変更の事前定義の統合監査ポリシー
ユーザー・アカウントおよび権限管理の事前定義の統合監査ポリシー
Center for Internet Securityで推奨される事前定義の統合監査ポリシー
Oracle Database Real Application Securityの事前定義の監査ポリシー
システム管理者操作の事前定義の統合監査ポリシー
セッション操作の事前定義の統合監査ポリシー
Oracle Database Vaultの事前定義の統合監査ポリシー
ファイングレイン監査を使用した特定のアクティビティの監査
ファイングレイン監査の概要
ファイングレイン監査レコードが格納される場所
ファイングレイン監査の実行者
Oracle VPDポリシーがある表またはビューでのファイングレイン監査
マルチテナント環境でのファイングレイン監査
ファイングレイン監査ポリシーとエディション
DBMS_FGA PL/SQLパッケージを使用したファイングレイン監査ポリシーの管理
DBMS_FGA PL/SQL PL/SQLパッケージについて
DBMS_FGA PL/SQLパッケージとエディション
マルチテナント環境でのDBMS_FGA PL/SQLパッケージ
ファイングレイン監査ポリシーの作成
ファイングレイン監査ポリシーの作成について
ファイングレイン監査ポリシーの作成の構文
特定の列および行の監査
例: DBMS_FGA.ADD_POLICYを使用してファイングレイン監査ポリシーを作成する方法
ファイングレイン監査ポリシーを使用禁止にする方法
ファイングレイン監査ポリシーを使用可能にする方法
ファイングレイン監査ポリシーの削除
例: ファイングレイン監査ポリシーへの電子メール・アラートの追加
このチュートリアルの概要
手順1: UTL_MAIL PL/SQLパッケージのインストールおよび構成
手順2: ユーザー・アカウントの作成
手順3: ネットワーク・サービスに対するアクセス制御リスト・ファイルの構成
手順4: 電子メール・セキュリティ・アラートPL/SQLプロシージャの作成
手順5: ファイングレイン監査ポリシー設定の作成とテスト
手順6: アラートのテスト
手順7: このチュートリアルのコンポーネントの削除
監査ポリシーのデータ・ディクショナリ・ビュー
23
監査証跡の管理
統合監査証跡の管理
監査レコードが作成される場合
強制的に監査されるアクティビティ
カーソルが監査に与える影響
AUDSYSスキーマへの統合監査証跡レコードの書込み
AUDSYSへの統合監査証跡レコードの書込みについて
統合監査証跡レコードでの書込みモードの設定
キュー書込みモードでの監査証跡への監査レコードの手動フラッシュ
現行データベース・インスタンスでのディスクへのレコードの書込み
Oracle RAC環境間でのディスクへのレコードの書込み
マルチテナント環境でのディスクへのレコードの書込み
統合監査証跡へのオペレーティング・システムの監査レコードの移動
統合監査の無効化
監査証跡のアーカイブ
従来のオペレーティング・システム監査証跡のアーカイブ
統合監査証跡および従来のデータベースの監査証跡のアーカイブ
監査証跡レコードの削除
監査証跡レコードの削除の概要
監査証跡の削除方法の選択
スケジュールに基づいた監査証跡の定期的なパージ
指定時間での監査証跡の手動パージ
監査証跡の自動削除ジョブのスケジューリング
自動削除ジョブのスケジューリングについて
手順1: オンラインREDOログとアーカイブREDOログのサイズのチューニング(必要に応じて)
手順2: タイムスタンプおよびアーカイブ方針の計画
手順3: 監査レコードのアーカイブ・タイムスタンプの設定(必要に応じて)
手順4: 削除ジョブの作成とスケジューリング
監査証跡の手動削除
監査証跡の手動削除について
DBMS_AUDIT_MGMT.CLEAN_AUDIT_TRAILを使用した監査証跡の手動パージ
他の監査証跡削除操作
監査証跡の削除ジョブを使用可能または使用禁止にする方法
指定した削除ジョブに対するデフォルトの監査証跡削除ジョブの間隔の設定
監査証跡の削除ジョブの削除
アーカイブ・タイムスタンプ設定の消去
例: 統合監査証跡の削除操作の直接コール
監査証跡管理のデータ・ディクショナリ・ビュー
付録
A
Oracle Databaseの安全性の維持
Oracle Databaseセキュリティ・ガイドラインについて
セキュリティ・パッチのダウンロードと脆弱性についてのOracleへの連絡
セキュリティ・パッチと回避ソリューションのダウンロード
Oracle Databaseの脆弱性に関するOracleのセキュリティ窓口への連絡
ユーザー・アカウントと権限の保護に関するガイドライン
ロールの保護に関するガイドライン
パスワードの保護に関するガイドライン
データの保護に関するガイドライン
ORACLE_LOADERアクセス・ドライバの保護に関するガイドライン
データベースのインストールと構成の保護に関するガイドライン
ネットワークの保護に関するガイドライン
クライアント接続のセキュリティ
ネットワーク接続のセキュリティ
Secure Sockets Layer接続のセキュリティ
外部プロシージャの保護に関するガイドライン
監査に関するガイドライン
監査情報の管理の容易性
通常のデータベース・アクティビティの監査
疑わしいデータベース・アクティビティの監査
監査の推奨設定
CONNECTロール変更への対処
CONNECTロールが変更された理由
CONNECTロール変更がアプリケーションに与える影響
CONNECTロール変更がデータベース・アップグレードに与える影響
CONNECTロール変更がアカウント・プロビジョニングに与える影響
CONNECTロール変更が新規のデータベースを使用するアプリケーションに与える影響
CONNECTロール変更がユーザーに与える影響
CONNECTロール変更が一般ユーザーに与える影響
CONNECTロール変更がアプリケーション開発者に与える影響
CONNECTロール変更がクライアント・サーバー・アプリケーションに与える影響
CONNECTロール変更に対処する方法
新しいデータベース・ロールの作成
CONNECT権限のリストア
CONNECT権限受領者を表示するデータ・ディクショナリ・ビュー
最低限の権限の分析調査
B
データ暗号化および整合性パラメータ
データ暗号化と整合性のためのsqlnet.oraの使用について
サンプルsqlnet.oraファイル
データ暗号化および整合性パラメータ
データ暗号化および整合性パラメータについて
SQLNET.ENCRYPTION_SERVER
SQLNET.ENCRYPTION_CLIENT
SQLNET.CRYPTO_CHECKSUM_SERVER
SQLNET.CRYPTO_CHECKSUM_CLIENT
SQLNET.ENCRYPTION_TYPES_SERVER
SQLNET.ENCRYPTION_TYPES_CLIENT
SQLNET.CRYPTO_CHECKSUM_TYPES_SERVER
SQLNET.CRYPTO_CHECKSUM_TYPES_CLIENT
C
Kerberos、SSLおよびRADIUS認証パラメータ
Kerberos認証を使用するクライアントとサーバーのパラメータ
Secure Sockets Layerを使用するクライアントとサーバーのパラメータ
クライアントとサーバーのSecure Sockets Layer認証パラメータ
Secure Sockets Layerの暗号スイート・パラメータ
サポートされているSecure Sockets Layer暗号スイート
Secure Sockets Layerバージョン・パラメータ
Secure Sockets Layerクライアント認証パラメータ
Secure Sockets Layer X.509サーバー照合パラメータ
SSL_SERVER_DN_MATCH
SSL_SERVER_CERT_DN
Oracleウォレット・ロケーション
RADIUS認証を使用するクライアントとサーバーのパラメータ
sqlnet.oraファイルのパラメータ
SQLNET.AUTHENTICATION_SERVICES
SQLNET.RADIUS_AUTHENTICATION
SQLNET.RADIUS_AUTHENTICATION_PORT
SQLNET.RADIUS_AUTHENTICATION_TIMEOUT
SQLNET.RADIUS_AUTHENTICATION_RETRIES
SQLNET.RADIUS_SEND_ACCOUNTING
SQLNET.RADIUS_SECRET
SQLNET.RADIUS_ALTERNATE
SQLNET.RADIUS_ALTERNATE_PORT
SQLNET.RADIUS_ALTERNATE_TIMEOUT
SQLNET.RADIUS_ALTERNATE_RETRIES
SQLNET.RADIUS_CHALLENGE_RESPONSE
SQLNET.RADIUS_CHALLENGE_KEYWORD
SQLNET.RADIUS_AUTHENTICATION_INTERFACE
SQLNET.RADIUS_CLASSPATH
最小限のRADIUSパラメータ
RADIUSの初期化ファイル・パラメータ
D
RADIUSを使用した認証デバイスの統合
RADIUSチャレンジ・レスポンス・ユーザー・インタフェースについて
RADIUSチャレンジ・レスポンス・ユーザー・インタフェースのカスタマイズ
例: OracleRadiusInterfaceインタフェースの使用
E
Oracle Database FIPS 140-2の設定
Oracle Database FIPS 140-2の設定について
透過的データ暗号化およびDBMS_CRYPTO用のFIPS 140-2の構成
Secure Sockets Layerに対するFIPS 140-2の構成
Secure Sockets LayerのSSLFIPS_140パラメータの構成
FIPS 140-2用に承認されているSSL暗号スイート
FIPS 140-2のインストール後のチェック
FIPS 140-2接続の検証
F
orapkiユーティリティを使用したPKI要素の管理
orapkiユーティリティの使用
orapkiユーティリティの構文
テスト用の署名付き証明書の作成
証明書の表示
orapkiユーティリティを使用したOracleウォレットの管理
orapkiを使用したウォレットの管理について
orapkiを使用したウォレットの作成、表示および変更
PKCS#12ウォレットの作成
自動ログイン・ウォレットの作成
PKCS#12ウォレットに関連付けられた自動ログイン・ウォレットの作成
コンピュータとウォレット作成ユーザーにローカルな自動ログイン・ウォレットの作成
ウォレットの表示
ウォレットのパスワードの変更
AES256アルゴリズムの使用を目的としたOracleウォレットの変換
orapkiを使用した証明書と証明書リクエストのOracleウォレットへの追加
証明書リクエストのOracleウォレットへの追加
信頼できる証明書のOracleウォレットへの追加
ルート証明書のOracleウォレットへの追加
ユーザー証明書のOracleウォレットへの追加
PKCS#11ウォレットを使用したハードウェア・デバイス上の資格証明の検証
PKCS#11情報のOracleウォレットへの追加
orapkiを使用した証明書と証明書リクエストのOracleウォレットからのエクスポート
orapkiユーティリティを使用した証明書失効リスト(CRL)の管理
orapkiの使用方法
例: 自己署名証明書を含むウォレットおよび証明書のエクスポート
例: ウォレットおよびユーザー証明書の作成
orapkiユーティリティ・コマンドのサマリー
orapki cert create
orapki cert display
orapki crl deleteコマンド
orapki crl display
orapki crl hash
orapki crl list
orapki crl upload
orapki wallet add
orapki wallet convert
orapki wallet create
orapki wallet display
orapki wallet export
G
統合監査の移行による各監査機能への影響
用語集
索引
