1 Oracle Advanced Securityの概要

Oracle Advanced Securityは、透過的データ暗号化およびOracle Data Redactionの2つの機能で構成されます。

1.1 透過的データ暗号化

透過的データ暗号化(TDE)ではデータを暗号化できるため、許可された受信者のみが読み取ることができます。

暗号化を使用すると、保護されていない可能性のある環境内の機密データ(バックアップ・メディアに配置されて、外部の記憶域に送信されるデータなど)を保護できます。データベース表の個別の列を暗号化したり、表領域全体を暗号化することができます。

透過的データ暗号化を使用するには、アプリケーションを変更する必要はありません。TDEではアプリケーションは以前と同様にシームレスに動作を継続することができます。ディスクに書き込まれるときにデータは自動的に暗号化され、アプリケーションがアクセスするときにデータは復号化されます。キー管理機能が組み込まれているため、暗号化キーの管理および保護などの複雑なタスクを行う必要はありません。

1.2 Oracle Data Redaction

Oracle Data Redactionでは、複数のリダクション・タイプを使用して列データのリダクション(マスク)を行うことができます。

実行できるリダクションのタイプは、次のとおりです。

  • 完全リダクション。列データの内容をすべてリダクションします。問合せを行ったユーザーに返される、リダクションされた値は、列のデータ型によって異なります。たとえば、NUMBERデータ型の列はゼロ(0)でリダクションされ、文字データ型は空白でリダクションされます。

  • 部分リダクション。列データの一部をリダクションします。たとえば、社会保障番号の大部分(最後の4桁以外)をアスタリスク(*)でリダクションできます。

  • 正規表現。完全または一部のいずれのリダクションでも正規表現を使用できます。これにより、データの検索パターンに基づいてデータをリダクションできます。たとえば、正規表現を使用して、データ内の特定の電話番号または電子メール・アドレスをリダクションできます。

  • ランダム・リダクション。問合せを行ったユーザーに表示されるリダクションされたデータは、列のデータ型に応じて、表示されるたびにランダムに生成された値として表示されます。

  • リダクションなし。このオプションでは、リダクション・ポリシーが定義された表に対する問合せの結果に影響を与えずに、ポリシーの内部動作をテストできます。このオプションを使用して、リダクション・ポリシー定義を本番環境に適用する前にテストできます。

データ・リダクションでは、実行時、つまり、ユーザーがデータを表示する際にリダクションが行われます。この機能は、データが常に変化する動的本番システムに非常に適しています。データはリダクションされますが、Oracle Databaseはすべてのデータを通常どおり処理し、バックエンドの参照整合性制約を保持できます。データ・リダクションは、クレジットカード業界のセキュリティ基準(PCI DSS)やサーベンス・オクスリー法などの業界の規則の順守に役立ちます。