『Oracle Database 2日でセキュリティ・ガイド』には、透過的データ暗号化、Oracle Database Vault、Oracle Data Redaction、Oracle Label Securityおよび監査に影響を与える更新が含まれています。
Oracle Database 12c リリース1 (12.1)の『Oracle Database 2日でセキュリティ・ガイド』の変更点は次のとおりです。
このマニュアルでは、いくつかの新機能について説明します。
トピック:
Oracle Database 12c リリース1 (12.1)では、透過的データ暗号化(TDE)およびその他のデータベース・コンポーネント用に統合鍵管理インフラストラクチャが導入されています。
これによって鍵管理タスクが簡単になり、コンプライアンスおよび追跡機能が向上するだけでなく、データベース管理者とセキュリティ管理者の職務分離性も向上します。セキュリティおよび職務分離性を向上させるには、TDEの構成を行うユーザーにSYSKM
システム権限が必要です。
このリリースでは、Oracle Database Vaultに、このマニュアルに影響を与える2つの新しい拡張機能が提供されています。
Database Vaultの有効化方法の簡素化。
Enterprise Manager Cloud Controlの各ページでDatabase Vaultのすべての機能を利用できます。この機能は、前のリリースで使用されていたDatabase Vault Administratorユーティリティに置き換わるものです。
「Oracle Database Vaultを使用したアクセスの制御」 を参照してください。
Oracle Data Redactionによって、権限の低いユーザーまたはアプリケーションからのデータが偽装(リダクト)されます。
たとえば、クレジット・カード番号5105 1051 0510 5100
が5105 **** **** ****
と表示されるようにリダクトできます。ユーザーがデータにアクセスし、そのデータでバックエンドの参照整合性制約が保持されれば、リダクションはリアルタイムで行われます。(このクレジット・カードの例のような)部分的なリダクションの他に、データ・セット全体を固定値やランダムな値に置き換えることもできます。また、Oracle Data Redactionポリシーを簡単にエンタープライズのデータベースに適用できます。
「Oracle Data Redactionを使用した機密データへのアクセスの制限」 を参照してください。
このリリースでは、多数の監査機能が強化され、そのうちの4つがこのマニュアルに影響を与えます。
統合監査証跡によって、デフォルトのデータベース・インストール、Oracle Database Vault、Oracle Label Security、Oracle Database Real Application Security、Oracle Recovery Manager、Oracle Data PumpおよびOracle SQL*Loader Direct Load Pathからの監査イベントを網羅できます。これらのイベントは、一連のデータ・ディクショナリ・ビューで統一された形式で使用可能です。
高速な監査パフォーマンス
具体的な統合監査ポリシーを作成できます。特定の条件で監査される一連のアクションを名前付きポリシーとしてグループ化することで、必要に応じて有効化したり無効化することが可能になり、監査構成が簡素化されます。これらのポリシーは、取得されるイベント・セットを定義します。
新規のロールAUDIT_ADMIN
およびAUDIT_VIEWER
によって、セキュリティおよび職務分離性が向上します。(このマニュアルでは、AUDIT_ADMIN
ロールについてのみ説明します。)
「データベース・アクティビティの監査」を参照してください。
Database Vault Administrator(DVA)は非推奨になりました。その機能は、Oracle Enterprise Manager Cloud Controlインタフェースの一部になっています。
Oracle Enterprise Manager Database Controlは、Oracleではサポートされなくなりました。このリリースにおけるサポート対象外の機能の完全なリストは、『Oracle Databaseアップグレード・ガイド』を参照してください。
このリリースのその他の変更には、Oracle Enterprise Manager Cloud Control (Cloud Control)が含まれます。
トピック:
前のリリースのOracle Databaseでは、Oracle Enterprise Manager Database Control (Database Control)を使用して、Graphical User Interfaceからデータベース・セキュリティを管理していました。
このリリースでは、Cloud ControlのGraphical User Interfaceを使用できます。Cloud Controlは、Database Controlに比べてより豊富な機能を備えています。
Cloud Controlは、Oracle Databaseとは別にインストールする必要があります。
関連項目:
Cloud Controlのインストールの詳細は、『Oracle Enterprise Manager Cloud Control基本インストレーション・ガイド』を参照してください。