この章の内容は次のとおりです。
Oracle Database 12cリリース1 (12.1.0.2)での『Oracle Database Vault管理者ガイド』の変更点を次に示します。
内容は次のとおりです。
このリリースでは、DV_ACCTMGR
ロールを付与されているユーザーがDV_MONITOR,DV_SECANALYST
およびDV_AUDIT_CLEANUP
ロールを付与されているユーザーを管理できます。
この機能により、期限切れになることがよくあり、DV_MONITOR
などのロールを持つDBSNMP
ユーザーなどのユーザー・アカウントのパスワードを簡単に変更できるようになります。
これらのロールの詳細は次の各項を参照してください。
ルールの作成時、このリリースの新機能でもあるパブリック・スタンドアロン・ファンクションOLS_LABEL_DOMINATES
を含めることができるようになりました。
詳細は、次の各項を参照してください。
OLS_LABEL_DOMINATES
ファンクションを使用するルール式の作成方法の例は、「CREATE_RULEプロシージャ」を参照してください。
OLS_LABEL_DOMINATESファンクションの詳細は、『Oracle Label Security管理者ガイド』を参照してください。
このリリースから、PL/SQLパッケージなどのプリコンパイル済データベース・オブジェクトについて取得された権限はORA$DEPENDENCY
プロファイルに格納されます。このプロファイルは削除できません。
権限分析でどのようにプリコンパイル済データベース・オブジェクトが処理されるかの詳細は、「権限分析でのプリコンパイル済データベース・オブジェクトの処理」を参照してください。
Oracle Database 12cリリース1 (12.1.0.1)での『Oracle Database Vault管理者ガイド』の変更点を次に示します。
このリリースの新機能は次のとおりです。
以前のリリースのOracle Database Vaultでは、Oracle Database Configuration Assistant(DBCA)を使用することでDatabase Vaultをデータベースに登録(有効化)していました。CONFIGURE_DV
およびDVSYS.DBMS_MACADM.ENABLE_DV
プロシージャを使用して、Database Vaultをコマンドラインから登録できるようになりました。
詳細は、次の各項を参照してください。
このリリースでは、Oracle Database Vaultの有効と無効の切替えに使用可能な、DBMS_MACADM
の新しい2つのプロシージャ(DBMS_MACADM.ENABLE_DV
およびDBMS_MACADM.DISABLE_DV
)が導入されています。
詳細は、次の各項を参照してください。
このリリース以降では、Oracle Enterprise ManagerからDatabase Vault Administrator(DVA)にアクセスできます。DVAは、独立したアプリケーションではなくなりました。この設計のメリットとして、Oracle Databaseを操作する際に一箇所から集中してOracle Database Vaultの設定の作成、表示および変更がしやすくなる点があげられます。
また、構成関連のDBMS_MACADM
PL/SQLパッケージのプロシージャとファンクションがすべてEnterprise Managerインタフェースに組み込まれ、機能が強化されています。たとえば、インタフェースを使用して、1つのルール・セットからルールを削除できるようになりました。
詳細は、「Oracle Database Vaultへのログイン」を参照してください。
Database Vaultメタデータ(ポリシーやファクタなど)および管理パッケージはDVSYS
やDVF
スキーマに存在するため、これらのスキーマはOracle Database Vaultの整合性にとって重要になります。
このリリース以降では、これらのアカウントへの直接ログインがデフォルトでブロックされます。このデフォルトの保護を無効または再度有効にするには、DBMS_MACADM
の2つの新しいプロシージャ(DBMS_MACADM.DISABLE_DV_DICTIONARY_ACCTS
およびDBMS_MACADM.ENABLE_DV_DICTIONARY_ACCTS
)を使用します。これらのプロシージャを実行するには、DV_OWNER
ロールが必要です。
Oracle Databaseインストールが複雑でユーザー・アカウントの数が非常に多い場合でも、過度のシステム権限およびオブジェクト権限の付与またはロールおよび使用されていない権限を簡単に識別できます。権限分析は、指定した条件に従って権限の使用状況を確認します。たとえば、権限分析は、指定されたアプリケーション・モジュールの実行に使用される権限および指定されたログオン・ユーザーによって使用される権限を記録できます。権限分析の結果は、データ・ディクショナリ・ビューに格納されます。
詳細は、「権限使用を確認するための権限分析実行」を参照してください。
Oracleデフォルト・スキーマ保護レルム。このレルムは、Oracle Databaseのオプション(Oracle OLAP、Oracle SpatialおよびOracle Textなど)に関連するロールとスキーマを保護します。
Oracleシステム権限およびロール管理レルム。このレルムは、データベースに対するデータのエクスポートとインポートに使用される機密ロールを保護します。また、システム権限の付与が可能なユーザーのユーザー認可も含まれます。
Oracleデフォルト・コンポーネント保護レルム。このレルムは、SYSTEM
スキーマとOUTLN
スキーマを保護します。
このリリースでは、保護機能を強化するためにいくつかのレルムが変更されています。
Oracle Database Vaultレルム。このレルムは、DVSYS
、DVF
およびLBACSYS
の各スキーマの構成とロール情報を保護します。このリリース以降では、SYS.AQ%DATAPUMP%
表とビューがこのレルムから削除されています。Oracle Streams Advanced QueuingおよびOracle Data Pumpの認可が別々に処理されるようになったため、これらのオブジェクトでレルムの保護が不要になりました。
詳細は、次の各項を参照してください。
Database Vaultアカウント管理レルム。このレルムは、データベース・アカウントとデータベース・プロファイルの作成および管理を担当する管理者を対象としています。このリリース以降では、アカウント・マネージャ(ロールDV_ACCTMGR
)は、ユーザーにCREATE SESSION
権限を付与できます。
以前のリリースのOracle Database Vaultでは、オブジェクト所有者、またはレルム内のオブジェクトに対するオブジェクト権限を持っていたユーザーは、レルムの参加者やレルムの所有者でない場合でも、引き続きこのようなオブジェクトにアクセスできていました。このリリースでは、必須レルムを使用して、このようなユーザーのオブジェクトへのアクセス権をオプションで制限できます。必須レルムでは、レルムの参加者およびレルムの所有者のみが、レルムで保護されたオブジェクトにアクセスできます。
必須レルムを使用すると、Database Vaultポリシーの作成時の柔軟性が増し、より安全に保護を実現できます。必須レルムには、ロールの認可に基づいてアクセスを達成する目的でロールが変更されることを防ぐという長所もあり、パッチのアップグレード時に便利です。必須レルムで保護されるロールは変更できません。そのため、一度必須レルムで保護されると、ロールに権限を付与したり、ロールから権限を取り消したりすることはできません。
詳細は、「レルム内オブジェクトへのアクセスを制限する必須レルム」を参照してください。
以前のリリースでは、監査証跡は、レルム強制ポリシーに対して評価された最後のレルムのみを記録していました。このリリース以降では、新しいDVSYS.DV$CONFIGURATION_AUDIT
およびDVSYS.DV$ENFORCEMENT_AUDIT
データ・ディクショナリ・ビューのACTION_OBJECT_ID
フィールドとACTION_OBJECT_NAME
フィールドは、監査オプションが「失敗時に監査」あるいは「成功時または失敗時に監査」に設定されているすべてのレルムIDとレルム名を取得します。
詳細は、次の各項を参照してください。
このリリースでは、DBMS_MACADM
PL/SQLパッケージに次のプロシージャが追加されており、さらに細かいユーザー権限の制御が可能です。
これらの機能は次のとおりです。
DBMS_MACADM.AUTHORIZE_DDL
は、指定したスキーマでデータ定義言語(DDL)文を実行する権限をユーザーに付与します。この権限を取り消すには、DBMS_MACADM.UNAUTHORIZE_DDL
プロシージャを使用します。
DBMS_MACADM.AUTHORIZE_PROXY_USER
は、他のユーザー・アカウントをプロキシする権限をユーザーに付与します。この権限を取り消すには、DBMS_MACADM.UNAUTHORIZE_PROXY_USER
プロシージャを使用します。
詳細は、次の各項を参照してください。
このリリースでは、Oracle Data PumpおよびOracle Schedulerの次のデフォルトのルール・セットが削除されています。
Oracle Data Pump操作を許可
スケジューラ・ジョブの許可
次のデータ・ディクショナリ・ビューが追加され、Database VaultでのOracle Data PumpおよびOracle Schedulerの認可に関する情報が記録されます。
DVSYS.DBA_DV_DATAPUMP_AUTH
DVSYS.DBA_DV_JOB_AUTH
PL/SQLパッケージに次のDBMS_MACADM
プロシージャが追加されました。Oracle Database Vault環境でOracle Data Pumpのトランスポータブル表領域操作を実行する権限をユーザーに付与する、またはユーザーから取り消すことができます。
詳細は、次の各項を参照してください。
Oracle Database 12cリリース1 (12.1)では、プラガブル・データベース(PDB)と呼ばれる複数のデータベースを、マルチテナント・コンテナ・データベース(CDB)と呼ばれる1つの大きなOracle Databaseに統合できるようになりました。これにより、1つ以上のOracle Databaseに組み込まれる多くのアプリケーションをさらに適切に管理できます。Oracle Database Vaultで保護されるデータベースはCDBに適応できます。
内容は次のとおりです。
マルチテナント環境の管理の詳細は、『Oracle Database管理者ガイド』
Oracle Database Vault環境でORADEBUG
ユーティリティの使用の有効と無効を切り替えることができます。
この機能拡張により、重要なORADEBUG
の機能(内部構造の操作やダンプ、他のユーザーに対するSQLトレースの有効と無効の切替え、Database Vaultが有効なデータベースでの集中プロセスの停止など)を誤って使用しないようにすることができます。
詳細は、「Oracle Database Vault環境でのORADEBUGユーティリティの使用」を参照してください。
このリリースでは、統合監査証跡が導入され、各種Oracle Database監査証跡(Database VaultおよびOracle Label Security監査証跡の他に標準監査証跡、ファイングレイン監査証跡など)が1つの監査証跡に統合されます。新しいインストールでは、統合監査証跡が有効になっています。以前のリリースからアップグレードする場合、統合または非統合監査環境の中から選択できます。統合監査の使用を選択する場合、Oracle Database Vault監査レコードは、SYS
スキーマのDatabase Vault AUDIT_TRAIL$
表ではなく、Oracle Database AUDSYS
スキーマの表に格納されます。
各種監査証跡を一箇所にすることで、データベースの異なる領域から生じたすべての監査を一元的に表示できます。統合監査レコードは、一貫した統合形式で表示されます。これにより、たとえば分析レポートの実行が容易になります。
Oracle Database Vaultの統合監査レコードの取得方法については、『Oracle Databaseセキュリティ・ガイド』を参照してください。
このリリース以降では、Oracle Database Vaultは、Database Vault管理者が実行するすべてのアクションを監査できます。
Database Vaultコンポーネント(レルムやファクタなど)に加えられる構成の変更はすべて、監査証跡に書き込まれるようになりました。この監査は、ほとんどのDatabase Vault強制の作成、変更および削除の他に、Oracle Data PumpやOracle SchedulerなどのコンポーネントのDatabase Vault認可を取得します。ただし、Database Vaultが保護するロール(DV_OWNER
およびDV_ADMIN
など)の付与や取消しをデフォルトで監査しません。このタイプの監査は、関連するOracle Database Vaultレルムの監査構成に依存します。
監査についての詳細は、「Oracle Database Vaultの監査」を参照してください。
このリリースには、統合監査に固有の次の新しいデータ・ディクショナリ・ビューがあります。
DVSYS.DV$CONFIGURATION_AUDIT
により、Database Vault管理者が行うDatabase Vault構成の変更に関する情報が提供されます。詳細は、「DVSYS.DV$CONFIGURATION_AUDITビュー」を参照してください。
DVSYS.DV$ENFORCEMENT_AUDIT
により、Database Vault強制ポリシーに影響を与えるユーザー・アクティビティに関する情報が提供されます。詳細は、「DVSYS.DV$ENFORCEMENT_AUDITビュー」を参照してください。
次の機能は、今回のリリースで非推奨となり、今後のリリースでサポートされません。
非推奨となったレルム:
Oracleデータ・ディクショナリ・レルム: 以前のリリースでは、Oracleデータ・ディクショナリ・レルムは、多くのオブジェクト(そのすべてが機密性が高いとみなされていた)を保護していました。ただし、義務の基準をより適切に分離する目的では、このような大量のオブジェクトの場合、ファイングレイン認可の実現が難しくなっていました。このリリース以降では、Oracleデータ・ディクショナリ・レルムが非推奨になっています。かわりに、Oracleデータ・ディクショナリ・レルムで以前に保護されていたオブジェクトは、この項で説明する新しいレルムに移行されています。
代替案の詳細は、「デフォルトのレルム」を参照してください。
非推奨になったデフォルトのルール・セット:
「Oracle Data Pump操作を許可」ルール・セット: Database Vault環境でデータ・ポンプ操作を実行するようにユーザーを認可した後、このリリースの新機能であるDVSYS.DBA_DV_DATAPUMP_AUTH
データ・ディクショナリ・ビューに問い合せることで、ユーザーの認可を確認できます。
「スケジューラ・ジョブの許可」ルール・セット: Oracle Scheduler操作を実行するようにユーザーを認可した後、このリリースの新機能であるDVSYS.DBA_DV_JOB_AUTH
ビューに問い合せることで、このユーザーの認可を確認できます。
デフォルトのルール・セットの詳細は、「デフォルトのルール・セット」を参照してください。
DBMS_MACADM.SYNC_RULES
プロシージャは、その機能がルール作成機能に組み込まれたため、非推奨となりました。
Database Vault Administrator(DVA)は非推奨になりました。その機能は、Oracle Enterprise Manager Cloud Controlインタフェースの一部になっています。
詳細は、「Oracle Database Vaultへのログイン」を参照してください。