プライマリ・コンテンツに移動
Oracle® Key Vault管理者ガイド
リリース12.2 BP11
E76998-09
目次へ移動
目次
索引へ移動
索引

前
次

2 Oracle Key Vaultの概念

Oracle Key Vaultを正常にデプロイするには、デプロイメント・アーキテクチャ、ユースケース、アクセス制御、管理ロールおよびエンドポイントについて概念的に理解することが必要となります。

2.1 Oracle Key Vaultの概念の概要

Oracle Key Vaultのエンドポイントは、データベース・サーバー、アプリケーション・サーバーおよび他の情報システムなどのコンピュータ・システムで、ここではキーおよび資格証明を使用して、暗号化データおよび他のシステムにアクセスします。これらのシステムでは、暗号化キーを効率的に格納および管理する必要があるため、データはセキュアでアクセスしやすく、企業の日常のアクティビティに対応できます。既存のキーがあるか、これらを生成する機能があるエンドポイントでは、Oracle Key Vaultをセキュアな外部の長期のストレージとして使用できます。

Oracle Key Vaultと通信するには、エンドポイントを登録およびエンロールする必要があります。エンロール済のエンドポイントは、キーをアップロードしてこれらを他のエンドポイントと共有し、これらをダウンロードしてデータにアクセスできます。Oracle Key Vaultは、エンロール済のエンドポイントをすべて追跡します。

Oracle Key Vaultでは、セキュリティ・オブジェクトを1つの仮想ウォレットにグループ化できます。仮想ウォレットの主な目的は、関連するセキュリティ・オブジェクトをグループ化して、それらをまとめて簡単にピア間で共有できるようにすることです。すべてのユーザーは、仮想ウォレットを作成してこの空のウォレットにキーを追加し、他のユーザー、エンドポイント、ユーザー・グループおよびエンドポイント・グループにウォレットへの様々なアクセス・レベルを付与できます。ユーザーは、他のユーザーに同じセキュリティ・オブジェクトに対するアクセス権を付与する前に、自分自身がこのセキュリティ・オブジェクトに対するアクセス権を持っている必要があります。付与できるアクセス・レベルは自分自身と同等以下のものとなります。組織の、変化する複数のニーズを満たすために、このような柔軟な設計となっています。

セキュリティ・オブジェクトの所有者はセキュリティ・オブジェクトを作成したエンティティであり、セキュリティ・オブジェクトに対する完全な読取り、書込みおよび変更アクセス権を持ちます。所有者は、任意の数のウォレットにセキュリティ・オブジェクトを追加して、様々なアクセス・レベルで他のユーザーと共有できます。

エンドポイントがKey Vaultに登録されている場合は、エンドポイントのデフォルト・ウォレットを指定できます。デフォルト・ウォレットの主な目的は、指定がない場合にキーのアップロード先となる仮想ウォレットを提供することです。エンドポイントによって生成およびアップロードされたすべてのキーは、このエンドポイントに関連付けられているデフォルト・ウォレットに自動的に追加されます。

複数のエンドポイントが共通のデフォルト・ウォレットを持つことができます。このデフォルト・ウォレットの内容は、すべてのエンドポイントで共有され、これらのエンドポイントをエンドポイント・グループに追加する必要はありません。この機能を使用すると、複数のエンドポイントでキーを作成したり、Oracle Walletをデフォルト・ウォレットに直接アップロードすることができます。

Oracle Key Vaultでは、ユーザーとエンドポイントが実行するすべてのアクションが監査されます。

2.2 Oracle Key Vaultのデプロイメント・アーキテクチャ

Oracle Key Vaultは、サーバーにデプロイされ、格納および管理するセキュリティ・オブジェクトがあるエンドポイントに接続します。

Oracle Key Vaultは、ソフトウェア・アプライアンスとしてパッケージ化されています。オペレーティング・システムとデータベースの強化ベスト・プラクティスに応じて、セキュリティ面の強化が行われています。不要なパッケージとソフトウェアは削除されており、使用されないサービスとポートは無効にされています。オペレーティング・システム、データベース、およびOracle Key Vaultアプリケーションそのものに対してあらかじめ構成されているため、個々のコンポーネントをインストールして構成する必要がありません。

エンドポイントは、OASIS Key Management Interoperability Protocol (KMIP)を使用して相互に認証されたトランスポート層セキュリティ(TLS)接続を介してOracle Key Vaultと通信します。

管理者は、ユーザーIDとパスワードを使用して、ブラウザ・ベースのKey Vault管理コンソールのGUIにログインします。

Oracle Key Vaultの高可用性構成では、1台のプライマリ・アプライアンスと1台のスタンバイ・アプライアンスが定義されます。プライマリ・アプライアンスはアクティブで、エンドポイントからのリクエストにサービスを提供します。プライマリからスタンバイへの通信に失敗した時間が、構成された時間のしきい値を超えた場合は、スタンバイ・アプライアンスがプライマリを引き継ぎます。プライマリ・アプライアンスとスタンバイの間のデータ・レプリケーションに関連する通信は、相互認証TLSです。

次の図に、Oracle Key Vaultのデプロイメント・アーキテクチャを示します。

図2-1 Oracle Key Vaultのデプロイメント・アーキテクチャ

図2-1の説明が続きます。
図2-1「Oracle Key Vaultのデプロイメント・アーキテクチャ」の説明

2.3 Oracle Key Vaultのユースケース

Oracle Key Vaultの最も一般的なユースケースは、セキュリティ・オブジェクトの一元保存および集中管理です。

2.3.1 Oracle WalletファイルとJavaキーストアの一元保存

Oracle WalletやJavaキーストアなどのすべてのセキュリティ・オブジェクトは、Oracle Key Vaultに集中的に格納して、これらをKey Vaultが追跡、バックアップおよびリカバリ用に提供する自動メカニズムを使用して管理できます。これにより、複数のサーバーに広く分散したセキュリティ・オブジェクトを手動で追跡および管理することに伴う、操作やセキュリティ上の数多くの問題を解決できます。

Oracle Key Vaultは、Oracle Walletファイル、Javaキーストアおよび他のセキュリティ・オブジェクトのコピーを長期保持とリカバリのために一元的に格納します。これらのセキュリティ・オブジェクトは、後で新しいウォレットまたはキーストア・ファイルにダウンロードして、信頼できるサーバー・ピア・エンドポイントと共有できます。

Oracle Key Vaultエンドポイント・ソフトウェアは、Oracle WalletファイルおよびJavaキーストアの形式を読み取り、これらの内容を個々のセキュリティ・オブジェクトの粒度で格納できます。パスワード保護されているものと自動ログインのものの両タイプのウォレットをアップロードして、ウォレットの内容をいずれかのタイプの新規のウォレットにダウンロードできます。これにより、ユーザーはセキュリティ・オブジェクトを個別に管理して、共有する仮想ウォレットにこれらを追加できます。

Oracle Key Vaultは、次に含まれるセキュリティ・オブジェクトを個別に格納および管理できます。

  • Oracle Walletファイル

    暗号化で使用される対称鍵(TDEマスター・キーなど)、パスワード(セキュアな外部パスワード・ストア)およびX.509証明書(ネットワーク暗号化)。

    すべてのサポートされているOracle DatabaseのリリースからのOracle Walletファイルがサポートされます。

  • Javaキーストア

    対称キー、非対称キー(秘密キーなど)およびX.509証明書。

    Oracle Key Vaultは、JKSおよびJCEKSタイプのJavaキーストアをサポートします。

次の図に、Oracle WalletファイルとJavaキーストアの一元保存を示します。

図2-2 Oracle WalletファイルとJavaキーストアの一元保存

図2-2の説明が続きます。
「図2-2 Oracle WalletファイルとJavaキーストアの一元保存」の説明

関連項目:

セキュアな外部パスワード・ストアの管理に関する項

2.3.2 オンライン・マスター・キーを使用したTDEマスター・キーの集中管理

TDEを使用するOracle Databaseでは、Oracle Key Vaultがネットワーク直接接続経由でTDEマスター・キーの集中管理を提供します(オンライン・マスター・キーとも呼ばれます)。このユースケースでは、TDEはマスター・キーを生成し、Oracle Key Vaultに格納します。

TDE直接接続という用語はオンライン・マスター・キーという用語に置き換えられることに注意してください。

これは、ローカル・ウォレット・ファイルを複数のエンドポイントに手動でコピーするかわりとなる便利な方法です。Oracle RACなどのデータベース・クラスタ上でTDEが実行されている場合、ローカル・ウォレット・コピーのメンテナンスより、TDEマスター・キーを共有する方が特に便利です。次に、その違いを比較して示します。

  • ローカル・ウォレット・コピー

    Oracle RACのプライマリ・ノードのマスター・キー上でキー・ローテーション操作が実行されると、ローカル・ウォレット・コピーを更新して他のノードに手動でコピーすることにより、新しいTDEマスター・キーを伝播する必要があります。

  • Key Vaultの仮想ウォレットの共有TDEキー

    新しいTDEマスター・キーは、キー・ローテーション操作の後すぐにクラスタ内の他のノードと共有されます。ウォレットを手動で他のノードにコピーする必要はありません。

集中管理は、マスター・キーがウォレットに格納されているときにOracle Data Pump Export、Import、またはOracle Databaseのトランスポータブル表領域機能を使用してデータベース間で暗号化データをコピーする場合に便利です。

  • 集中管理でない場合、ウォレットはソースからターゲット・データベースに手動でコピーする必要があります。

  • 集中管理の場合、これらのマスター・キーは、Oracle Key Vaultの仮想ウォレットに配置した後、仮想ウォレットに各エンドポイント・アクセス権を付与することによって、簡単に共有できます。

TDEとOracle Key Vaultとの間のオンライン・マスター・キーは、Oracle Database 11gリリース2とOracle Database 12cでサポートされます。

次の図に、オンライン・マスター・キー(旧称はTDE直接接続)の集中管理を示します。

図2-3 オンライン・マスター・キーの集中管理

図2-3の説明が続きます。
「図2-3 オンライン・マスター・キーの集中管理」の説明

2.3.3 資格証明ファイルの保存

Oracle Key Vaultは、Oracle WalletとJavaキーストア以外の資格証明ファイルを長期保持とリカバリのためにバックアップできます。Oracle Key Vaultは資格証明ファイルの実際の内容を解釈しません。ファイル全体を不透明オブジェクトとして格納し、後で取得するためにエンドポイントにハンドルを付与します。資格証明ファイルには、セキュリティ・オブジェクト(鍵、パスワード、SSH鍵、KerberosキータブおよびX.509証明書など)が含まれます。

Oracle Key Vaultに資格証明ファイルを直接アップロードしてこれらを集中リポジトリに統合し、信頼できるグループ内のエンドポイント間で共有できます。Key Vaultは、いつでも継続的かつセキュアにアクセスするために、すべての資格証明ファイルをバックアップします。資格証明ファイルに対するアクセス制御は、Key Vault管理者によって管理されます。

次の図に、Oracle Key Vaultで資格証明ファイルがどのようにバックアップされるかを示します。

図2-4 資格証明ファイルのバックアップ

図2-4の説明が続きます
図2-4「資格証明ファイルのバックアップ」の説明

2.4 アクセス制御の構成

Oracle Key Vaultでは、様々なアクセス・レベルおよび時間間隔でセキュリティ・オブジェクトへのアクセスを制御できます。すべてのユーザーに、組織におけるその機能に適したレベルで、Key Vaultのセキュリティ・オブジェクトへのアクセス権を付与できます。

2.4.1 アクセス制御の構成について

ユーザーに対して、組織における機能に適したレベルで、Oracle Key Vaultのセキュリティ・オブジェクトへのアクセス権を付与できます。

アクセス制御は、セキュリティ・オブジェクトに対して個別に、または(仮想ウォレットにグループ化されている場合は)一括で設定できます。Oracle Key Vaultは、仮想ウォレットのメカニズムを使用して、一連のセキュリティ・オブジェクトを共有します。仮想ウォレットとは、公開および秘密暗号化キー、TDEマスター暗号化キー、パスワード、資格証明および証明書など、Oracle Key Vaultのセキュリティ・オブジェクトのコンテナです。仮想ウォレットでは、エンドポイントまたはユーザーに対してアクセス・レベルを設定できます。つまり、仮想ウォレットに含まれるすべてのセキュリティ・オブジェクトに対するアクセス権が同時に付与されます。

個々のユーザーまたはエンドポイントに対して個別にアクセス権を付与できるほか、エンドポイント・グループまたはユーザー・グループを使用して一括でアクセス権を付与することもできます。仮想ウォレットへのアクセス権が必要なエンドポイントが複数ある場合、これらのエンドポイントをエンドポイント・グループに追加し、そのエンドポイント・グループに仮想ウォレットへのアクセス権を付与するほうが簡単です。または、各エンドポイントに個別にアクセス権を付与することもできます。エンドポイント・グループに仮想ウォレットへのアクセス権を付与すると、エンドポイント・グループ内のすべてのメンバー・エンドポイントにアクセス権が付与されます。

2.4.2 アクセス権の付与

仮想ウォレットに対するアクセス権は、直接または間接的に付与できます。

  • ユーザーおよびエンドポイントにアクセス権を直接付与します。

  • ユーザー・グループおよびエンドポイント・グループにグループ・メンバーシップを介して間接的にアクセス権を付与します。ユーザー・グループおよびエンドポイント・グループにアクセス権を付与する場合は、グループのすべてのメンバーにアクセス権が付与されます。これは、各ユーザーまたはエンドポイントにアクセス権を個別に付与するかわりとなる便利な方法です。

注意:

次の2つの方法で、仮想ウォレットに対するアクセス権のマッピングを設定できます。

  • ユーザーエンドポイントまたはそれぞれのグループから。ユーザー、エンドポイントまたはそれぞれのグループから開始して、ウォレットおよびこのユーザーに対するアクセス権のマッピングを追加できます。

  • 仮想ウォレットから。仮想ウォレットから開始して、設定したアクセス権のマッピングでこれにアクセスできるユーザー、エンドポイントおよびそれぞれのグループを追加できます。

2.4.3 アクセス制御のオプション

仮想ウォレットに対するアクセスは、ユーザー、ユーザー・グループ、エンドポイントおよびエンドポイント・グループに対して、組織でのロールおよび機能に応じて異なるアクセス・レベルを設定することによって制御できます。

次の3つのアクセス・レベルがあります。

  • Read Only: セキュリティ・オブジェクトに対する読取り権限を付与します。

  • Read and Modify: セキュリティ・オブジェクトに対する読取り権限および変更権限を付与します。

  • Manage Wallet: 次の権限を付与します。

    • 仮想ウォレットに対してセキュリティ・オブジェクトを追加または削除します。ユーザーは、仮想ウォレットに追加するセキュリティ・オブジェクトに対する「Read and Modify」アクセス権を持っている必要があります。

    • 他のユーザーにウォレットへのアクセス権を付与します。

    • ウォレットの設定(説明など)を変更します。

    • ウォレットを削除します。

2.5 Oracle Key Vault内の管理ロール

Oracle Key Vaultには、3つの管理ロール(システム管理者、キー管理者、監査マネージャ)があり、これらは企業のニーズを満たすために組み合せることができます。

2.5.1 Oracle Key Vaultの管理ロールについて

これらの3つの管理ロールは、様々な組織のニーズや構造をサポートするために、柔軟な設計になっています。これらのロールは、義務の区別に使用したり、組み合せたり、まったく使用されないこともあります。特定の管理ロールを持たないユーザーが、仮想ウォレットなどの特定の領域を担当する場合があります。これらのユーザーには、組織内での機能に適した仮想ウォレットへのアクセス権を付与できるため、セキュリティ・オブジェクトへのアクセスを、必要とするユーザーのみに制限できます。このように、セキュリティ・オブジェクトへのアクセスが制御されると同時に、企業の変化するニーズを満たすための柔軟性が備えられています。

2.5.2 義務の分離

Oracle Key Vaultユーザーは、機能ごとに3つの管理ロールを割り当てることができるため、システム管理者、キー管理者、監査マネージャの間の明確な義務の分離が実現されます。

次の2つの方法で、義務の分離を実現できます。

  • 管理ユーザー(システム管理者、キー管理者または監査マネージャのいずれかのロールを持つユーザーとして定義される)に、1つの機能領域(システム、キーまたは監査の管理)に対する権限を付与します。機能領域ごとに3つの別々の管理ユーザーを作成します。

  • ユーザーの責任に基づいてアクセス制御と操作権限をきめ細かく分割し、これを使用して、1つのオブジェクトまたは機能に対する、他のすべてのものから独立したアクセス権をユーザーに付与します。これらのユーザーは、自分の機能を実行するために、管理ロールを持っている必要はありません。

Oracle Key Vaultと対話するすべてのユーザーが、独自のユーザー・アカウントとパスワードを持つようにしてください。

2.5.3 管理ロールの概要

Oracle Key Vaultには、キー、システムおよび監査の管理機能をそれぞれ実行する管理ユーザー用の3つの管理ロール(キー管理者、システム管理者、監査マネージャ)があります。

管理ユーザーは、自分のロールのみを他のユーザーに付与できます。1人の管理ユーザーが2つの管理機能を実行している場合、そのユーザーはKey Vaultの2つのロールを持つことになります。このユーザーは、必要に応じて1つまたは両方のロールを他のユーザーに付与できます。たとえば、1人のユーザーがシステム管理者ロールおよびキー管理者ロールの両方を持っている場合は、組織のニーズに応じてこれらのロールの両方または1つのみを別のユーザーに付与できます。

厳密な義務の分離を適用する場合は、ある管理ロールを持っているユーザーが操作のある部分を実行し、別の管理ロールを持っているユーザーがそれに関連する操作の別の部分を実行する必要があります。たとえば、エンドポイントをエンロールできるのはシステム管理者のみで、エンドポイント・グループを作成できるのはキー管理者のみです。

インストール後タスクの1つは、3つのロールに対して3人の管理ユーザーを作成することです。管理ユーザーが存在しない場合は、リカバリ・パスフレーズを使用してシステムをリカバリできます。Key Vaultの操作と管理の継続を確実化するために、リカバリ・パスフレーズを使用して、インストール後構成を繰り返し、3人の管理ユーザーを作成します。

管理コンソールを使用する場合、様々なタブ、メニューおよびアクションへのアクセス権は、アクセス権を持っているロールやオブジェクトによって異なります。次のリストに、各管理ユーザーの義務を示します。

  • Oracle Key Vaultシステム管理者

    • ユーザーの作成および管理

    • エンドポイントの追加および管理

    • 高可用性の設定

    • アラートとキー・ローテーションのリマインダの構成

    • バックアップのスケジューリング

    • Oracle Key Vaultの開始と停止

    • 電子メール通知のSMTPサーバー設定の構成

    • リモート・モニタリング用のSNMPの構成

    • RESTfulサービスを介した自動エンドポイント・エンロールの有効化

    • Audit Vault Database Firewallによる監査統合の有効化

    • Oracle Cloud Database as a Serviceのエンドポイントに対するSSHトンネルの作成

    • 他のユーザーへのシステム管理者ロールの付与

  • Oracle Key Vaultキー管理者

    • セキュリティ・オブジェクトのライフサイクルの管理

    • すべての仮想ウォレットおよびセキュリティ・オブジェクトに対する完全なアクセス権の保有

    • ユーザー、エンドポイント、ユーザー・グループおよびエンドポイント・グループの仮想ウォレットに対するアクセス権の制御

    • ユーザー・グループの作成と管理

    • エンドポイント・グループの作成および管理

    • 他のユーザーへのキー管理者ロールの付与

  • Oracle Key Vault監査マネージャ

    • Oracle Key Vault監査レコードをエクスポートまたは削除する権限を持っている唯一のユーザーとしての監査証跡の管理

    • すべてのセキュリティ・オブジェクトに対する読取りアクセス権の保有

    • 他のユーザーへの監査マネージャ・ロールの付与

2.5.4 緊急時のシステム・リカバリのプロセス

インストール中に、緊急事態からのリカバリのためにOracle Key Vaultで使用する特別なリカバリ・パスフレーズを作成する必要があります。これらの状況は、管理ユーザーがすぐに対応できない場合や、パスワードを忘れるなどのより日常的な事柄によって発生します。

リカバリ・パスフレーズは、次の状況で必要になります。

  1. Key Vaultにログインする管理ユーザーが不在の場合は、リカバリ・パスフレーズを使用してインストール後タスクを繰り返し、システム、キーおよび監査を管理する新しい管理ユーザーを作成できます。

  2. 以前のバックアップからOracle Key Vaultをリストアする場合は、そのバックアップに関連付けられたリカバリ・パスフレーズが必要です。

  3. 定期的にリカバリ・パスフレーズをリセットする場合。

これらの理由から、リカバリ・パスフレーズを安全かつアクセス可能な場所に保存し、以前のリカバリ・パスフレーズの記録を取ることが非常に重要です。リカバリ・パスフレーズの紛失からリカバリする唯一の方法は、Key Vaultを再インストールすることです。

関連項目:

システム・リカバリで使用されるリカバリ・パスフレーズ

Oracle Key Vaultデータのリストアのバックアップでの正しいリカバリ・パスフレーズの維持

インストール後タスクの実行のリカバリ・パスフレーズの作成または変更

2.6 エンドポイント管理者

エンドポイント管理者は、エンドポイントを所有および管理します。通常、システム、セキュリティまたはデータベースの管理者ですが、企業内でセキュリティのデプロイ、管理および維持を担当するユーザーである場合もあります。エンドポイント管理者は、エンドポイントのエンロールを担当します。

Oracle Databaseエンドポイントのエンドポイント管理者は、データベース管理を担当するデータベース管理者です。