このドキュメントでは、Oracle サーバー、サーバーネットワークインタフェース、および接続されているネットワークスイッチを保護する際に役立つ一般的なセキュリティーガイドラインを示します。
このセクションでは、すべてのハードウェアおよびソフトウェアを使用する際に準拠するべき 4 つの基本的なセキュリティー原則 (アクセス、認証、承認、およびアカウンティング) について説明します。
アクセス
アクセスとは、ハードウェアへの物理的なアクセス、またはソフトウェアへの物理的、または仮想的なアクセスのことを指します。
ハードウェアやデータを侵入から保護するには、物理的な制御とソフトウェアの制御を行います。
ソフトウェアに付属のドキュメントを参照して、ソフトウェアで使用可能なセキュリティー機能を有効にしてください。
サーバーと関連装置は、アクセスが制限された鍵の掛かった部屋に設置してください。
鍵付きのドアがあるラックに装置を設置する場合は、ラック内のコンポーネントを保守する必要があるとき以外はドアの鍵は掛けたままにしてください。
アクセスをコネクタまたはポートに制限すると、SSH 接続よりも強力なアクセスを提供できます。システムコントローラ、配電盤 (PDU)、ネットワークスイッチなどのデバイスには、コネクタおよびポートが搭載されています。
特にホットプラグまたはホットスワップのデバイスは簡単に取り外すことができるため、これらのデバイスへのアクセスを制限してください。
予備の現場交換可能ユニット (FRU) および顧客交換可能ユニット (CRU) は、鍵の掛かったキャビネットに保管してください。鍵の掛かったキャビネットへのアクセスは、承認された人だけに制限してください。
認証
認証とは、ハードウェアまたはソフトウェアのユーザーが本人であることを保証することを指します。
ユーザーが本人であることを保証するには、プラットフォームのオペレーティングシステムにパスワードシステムなどの認証機能を設定します。
担当者がコンピュータ室に入室する際に、従業員バッジを適切に付けていることを確認してください。
ユーザーアカウントの場合、必要に応じてアクセス制御リストを使用し、延長セッションにタイムアウトを設定し、ユーザーに権限レベルを設定します。
承認
承認とは、ハードウェアやソフトウェアを操作する担当者に課せられた制限のことを指します。
トレーニングを受けて使用を認定されたハードウェアとソフトウェアの操作のみを担当者に許可します。
読み取り/書き込み/実行のアクセス権を設定して、コマンド、ディスク領域、デバイス、およびアプリケーションへのユーザーアクセスを制御します。
アカウンティング
アカウンティングとは、ログインアクティビティーのモニターおよびハードウェアインベントリの保守で使用されるソフトウェアおよびハードウェアの機能のことを指します。
ユーザーログインをモニターするには、システムログを使用します。特にシステム管理者アカウントとサービスアカウントは強力なコマンドにアクセスできるため、これらのアカウントをモニターしてください。
すべてのハードウェアのシリアル番号を記録しておいてください。システムアセットを追跡するには、コンポーネントのシリアル番号を使用します。Oracle のパーツ番号は、カード、モジュール、およびマザーボードに電子的に記録されており、インベントリの目的に使用できます。
コンポーネントを検出および追跡するには、コンピュータハードウェアのすべての主要品目 (FRU など) にセキュリティーマークを付けます。専用の紫外線ペンまたはエンボスラベルを使用してください。