7 ユーザーの管理とデータベースのセキュリティ保護

各データベースのセキュリティ・ポリシーを設定します。

7.1 データベースに対するセキュリティ・ポリシー設定の重要性

すべてのデータベースに対してセキュリティ・ポリシーを設定することが重要です。セキュリティ・ポリシーによって、不慮または不正によるデータの破壊またはデータベース・インフラストラクチャの損傷からデータベースを保護する方法が設定されます。

各データベースに、データベースのセキュリティ・ポリシーを実装および維持するセキュリティ管理者と呼ばれる管理者を設定します。データベース・システムが小さい場合は、データベース管理者がセキュリティ管理者を担当することもできます。ただし、データベース・システムが大きい場合は、指定したユーザーまたはユーザーのグループが単独でセキュリティ管理者として担当することもあります。

データベースに対するセキュリティ・ポリシー設定の詳細は、『Oracle Databaseセキュリティ・ガイド』を参照してください。

7.2 ユーザーとリソースの管理

データベースに接続するには、各ユーザーが、データベースに事前に定義された有効なユーザー名を指定する必要があります。ユーザーにはアカウントが設定され、ユーザーに関する情報がデータベース・ディクショナリに格納されている必要があります。

データベース・ユーザー(アカウント)を作成するときは、ユーザーに関する次の属性を指定します。

  • ユーザー名

  • 認証方式

  • デフォルト表領域

  • 一時表領域

  • その他の表領域および割当て制限

  • ユーザー・プロファイル

ユーザーの作成および管理方法の詳細は、『Oracle Databaseセキュリティ・ガイド』を参照してください。

7.3 ユーザー権限とロール

権限とロールは、ユーザーのデータへのアクセスおよび実行可能なSQL文のタイプを制御するために使用します。

次の表は、権限とロールの、3つのタイプを示しています。

タイプ 説明

システム権限

通常は管理者によってのみ付与される、システムが定義する権限。これらの権限は、ユーザーによる特定のデータベース操作の実行を許可します。

オブジェクト権限

システムによって定義された権限。特定のオブジェクトへのアクセスを制御します。

ロール

権限や他のロールの集合。システムによって定義されたロールも存在しますが、大部分は管理者によって作成されます。権限や他のロールをグループ化するロールによって、複数の権限またはロールをユーザーに容易に付与できます。

権限とロールを付与する権限を所有しているユーザーは、権限とロールを他のユーザーに付与できます。権限とロールの付与は、管理者レベルで開始します。データベースの作成時に、管理ユーザーSYSが作成され、システム権限およびOracle Databaseで事前定義されたロールがすべて付与されます。次に、ユーザーSYSは、権限とロールを他のユーザーに付与し、そのユーザーが別のユーザーに対して特定の権限を付与できる権限を与えることもできます。

ユーザーの権限とロールの管理方法の詳細は、『Oracle Databaseセキュリティ・ガイド』を参照してください。

7.4 データベース・アクティビティの監査

選択したユーザーのデータベース操作は、管理者が実行した操作も含めて、監視および記録できます。システム全体の処理および個々のデータベース・オブジェクトで実行された処理を監視できます。このタイプの監視は、データベース監査と呼ばれます。

統合監査ポリシーを作成し、SQL文を使用してそれらの監査ポリシーを管理できます。Oracle Databaseには標準監査設定を含むデフォルトの統合監査ポリシーが用意されており、カスタム統合監査ポリシーを作成できます。DBMS_FGA PL/SQLパッケージを使用して、ファイングレイン監査ポリシーを作成することもできます。

関連項目:

データベース監査の基本情報と方法の詳細は、次のドキュメントを参照してください。

7.5 事前定義されたユーザー・アカウント

Oracle Databaseには、いくつかの事前定義のユーザー・アカウントが用意されています。

次の3種類の事前定義のアカウントがあります。

  • 管理アカウント(SYSSYSTEMSYSBACKUPSYSDGSYSKMSYSRACSYSMANDBSNMP)

    SYSSYSTEMSYSBACKUPSYSDGSYSKMSYSRACの詳細は、「データベース管理者のセキュリティと権限の概要」を参照してください。SYSMANは、Oracle Enterprise Manager Cloud Controlの管理タスクの実行に使用されます。DBSNMPアカウントは、データベースを監視および管理するためにCloud Controlの管理エージェントで使用されます。これらのアカウントは削除することができません。

  • サンプル・スキーマのアカウント

    これらのオプションのアカウントは、Oracle Databaseのマニュアルや説明書の例で使用されます。たとえば、HRSHOEなどがあります。これらのアカウントは、使用する前にロックを解除して、パスワードを再設定する必要があります。

  • 内部アカウント

    個々のOracle Database機能またはコンポーネントが独自のスキーマを持てるよう、これらのアカウントが作成されます。内部のアカウントを削除しないでください。また内部のアカウントでログインしないでください。

関連項目:

事前定義のアカウントの表は、『Oracle Database 2日でセキュリティ・ガイド』を参照してください。

Oracle Databaseサンプル・スキーマ