Oracle Database Vaultを有効にすると、デフォルトのユーザー権限などのいくつかのOracle Databaseセキュリティ機能が、より強力なセキュリティ制限を提供するように変更されます。
内容は次のとおりです。
関連項目:
Oracle Database構成におけるセキュリティの管理に関するガイドラインは、「Oracle Database Vaultセキュリティ・ガイドライン」を参照してください
Oracle Database Vaultの構成は、デーベース構成のセキュリティを強化するために、いくつかのデータベース初期化パラメータ設定を変更します。
これらの変更が組織のプロセスやデータベースのメンテナンス手順に影響した場合、問題を解決するには、Oracleサポートにご連絡ください。
表2-1で、Oracle Database Vaultにより変更される初期化パラメータ設定を説明します。初期化パラメータは、init.ora
初期化パラメータ・ファイルに格納されます。UNIXおよびLinuxでは、このファイルは$ORACLE_HOME/dbs
にあります。Windowsでは、このファイルは$ORACLE_HOME/database
にあります。このファイルの詳細は、Oracle Databaseリファレンスを参照してください。
表2-1 変更されるデータベース初期化パラメータ設定
パラメータ | データベースのデフォルト値 | Database Vaultにより設定される新しい値 | 変更の影響 |
---|---|---|---|
|
|
|
ユーザー
|
|
未構成。 |
|
オペレーティング・システムによる、ユーザーへのロールの付与と取消しの完全な管理を無効にします。以前に
|
|
|
|
フラッシュバック・ドロップ機能のオン/オフを制御します。 関連項目:
|
|
|
|
Oracle Databaseがパスワード・ファイルをチェックするかどうかを指定します。
|
|
|
|
ユーザーに ユーザーに(
|
Oracle Database構成には、追加的な管理データベース・アカウント名がさらに2つ必要です。
また、データベース・ロールが複数作成されます。これらのアカウントは、Oracle Database Vaultにより実現される職務分離の一部です。複数の大企業に影響を与えている共通の監査問題の1つは、データベース管理者による本番インスタンス内での新規データベース・アカウントの不正な作成です。Oracle Database Vaultのインストール時に、Oracle Database Vaultアカウント・マネージャ、またはOracle Database Vaultアカウント・マネージャ・ロールを付与されたユーザー以外はデータベース内にユーザーを作成することができなくなります。
関連項目:
職務分離の管理に関するガイドラインは、「職務分離のガイドライン」を参照してください
Oracle Database Vaultの構成は、法規、プライバシー、その他のコンプライアンス要件を満たすことができるように、職務分離の概念を実現します。
Oracle Database Vaultでは、アカウント管理の職責、データ・セキュリティの職責およびデータベース管理の職責がデータベース内で明確に分離されます。つまり、データとシステム構成の両方についてすべての権限を持つユーザーがいないよう、多くの権限を持つユーザー(DBA
など)という概念が複数の新しいデータベース・ロールに分割されています。Oracle Database Vaultでは、特権ユーザー(DBA
とその他の特権ロールおよびシステム権限があるユーザー)が、レルムという指定され保護されたデータベース領域にアクセスできないようになっています。Oracle Database Vault所有者(DV_OWNER
)およびOracle Database Vaultアカウント・マネージャ(DV_ACCTMGR
)と呼ばれる新しいデータベース・ロールも導入されています。これらの新規データベース・ロールにより、データ・セキュリティとアカウント管理が従来のDBA
ロールから分離されます。これらのロールは、組織内の別々のセキュリティの専門家にマップします。
関連項目:
サイトの職務分離の管理に関する注意事項は、「職務分離のガイドライン」を参照してください
Oracle Database Vaultのインストール中に作成されるロールの詳細は、「Oracle Database Vaultロール」を参照してください
作成されるデフォルトのアカウントと、追加作成するアカウントに関する注意事項については、「登録中に作成されるOracle Database Vaultアカウント」を参照してください
作成されるデフォルトのアカウントと、追加作成するアカウントに関する注意事項については、「登録中に作成されるOracle Database Vaultアカウント」を参照してください
DV_OWNER
およびDV_ACCTMGR
アカウントのバックアップ・アカウントの作成に関するアドバイスは、「バックアップOracle Database Vaultアカウント」を参照してください
Oracle Database Vault構成は、Oracle Databaseで提供されている複数のユーザーおよびロールの権限を取り消します。
表2-2に、Oracle Database Vaultによって、Oracle Databaseで提供されている複数のユーザーおよびロールから取り消される権限の一覧を示します。Oracle Database Vaultを無効にすると、これらの権限は取り消されたままになるので注意してください。アプリケーションがこれらの権限に依存する場合は、アプリケーションの所有者に権限を直接付与します。
表2-2 Oracle Database Vaultで取り消される権限
ユーザーまたはロール | 取り消される権限 |
---|---|
|
|
|
|
|
|
|
|
|
|
脚注1
Oracle Data Pumpを使用してデータをエクスポートおよびインポートするようユーザーに認可を与えるには、「Oracle Database VaultでのOracle Data Pumpの使用」を参照してください。
脚注2
データベース・ジョブをスケジュールするようユーザーに認可を与えるには、「Oracle Database VaultでのOracle Schedulerの使用」を参照してください。
注意:
SYS
およびSYSTEM
ユーザーは両方とも、デフォルト・パスワードを使用するユーザー・アカウントを示すDBA_USERS_WITH_DEFPWD
データ・ディクショナリ・ビューに対するSELECT
権限を保持します。他のユーザーにこのビューへのアクセス権を付与するには、SELECT
権限を付与します。
Oracle Database Vaultの構成は、すべてのユーザーおよびロールに付与されている権限の一部を無効化します。この対象には、SYS
ユーザーとSYSTEM
ユーザーも含まれます。
DV_ACCTMGR
ロールには、職務分離に対する次の権限があります。
ALTER PROFILE
ALTER USER
CREATE PROFILE
CREATE USER
DROP PROFILE
DROP USER
セキュリティの強化および職務分離規定の維持のために、SYS
ユーザーやSYSTEM
ユーザーにはユーザー・アカウントを作成または管理する権限を与えないでください。
Oracle Database Vaultを構成する際に統合監査を使用しない場合、Database Vaultは複数のAUDIT
文を構成します。
詳細は、「Oracle Database Vault用に作成されるOracle Database監査設定」を参照してください。