1. Advanced Securityガイド
  2. 透過的データ暗号化の使用
  3. キーストアおよびTDEマスター暗号化キーの管理

4 キーストアおよびTDEマスター暗号化キーの管理

キーストアおよびTDEマスター暗号化キーの設定を変更して、Oracle Databaseを格納し、Oracle GoldenGateのシークレットをキーストアに格納できます。

親トピック: 透過的データ暗号化の使用

4.1 キーストアの管理

キーストアでは、パスワードの変更、キーストアのバックアップ、キーストアのマージ、キーストアの移動などのメンテナンス作業を実行できます。

親トピック: キーストアおよびTDEマスター暗号化キーの管理

4.1.1 キーストア・パスワードを必要とする操作の実行

多くのADMINISTER KEY MANAGEMENT操作では、ソフトウェア・キーストアおよび外部キーストアの両方において、キーストア・パスワードへのアクセスが必要になります。

一部のケースでは、操作が成功するまで、ソフトウェア・キーストアは自動ログイン・キーストアに依存しています。自動ログイン・キーストアは、構成されキーが必要とされるときに、自動的に開きます。これらは一般的に、キーストアが閉じている可能性があるのに、データベース操作でキーが必要な場合(たとえば、データベースの起動後など)の操作に必要になります。自動ログイン・キーストアは自動的に開くため、手動操作なしでキーを取得してデータベース操作を実行できます。ただし、キーストア・パスワードを必要とする一部のキーストア操作は、自動ログイン・キーストアが開いているときに実行できません。パスワードを必要とするキーストア操作では、自動ログイン・キーストアは閉じ、パスワード保護されたキーストアは開いている必要があります。

マルチテナント環境では、キーストアを再度開くと他のPDBに影響が及びます。たとえば、ルートにある自動ログイン・キーストアは、このルートのCDBのPDBによってアクセス可能である必要があります。

キーストア・パスワードのローテーション、暗号化キーの作成、使用、キー更新、タグ付け、インポート、エクスポート、移行または逆移行、キーストアのオープンまたはバックアップ、シークレット・キーストアの追加、更新または削除の操作を実行する際に、ADMINISTER KEY MANAGEMENT文にFORCE KEYSTORE句を含めて、一時的にキーストアを開くことができます。マルチテナント環境において、ルートに開いているキーストアがない場合、FORCE KEYSTOREによりルートのパスワード保護されたキーストアが開きます。

親トピック: キーストアの管理

4.1.2 ソフトウェア・キーストアのパスワードの変更

Oracle Databaseでは、パスワードベースのソフトウェア・キーストアのパスワードを簡単に変更できます。

親トピック: キーストアの管理

4.1.2.1 パスワードベースのソフトウェア・キーストアのパスワードの変更について

パスワードベースのソフトウェア・キーストアのパスワードは、変更(ローテーション)のみ可能です。

このパスワードは、サイトのセキュリティ・ポリシーやコンプライアンス・ガイドライン、およびその他のセキュリティ要件に従って、いつでも変更できます。パスワードを変更するコマンドの一部として、WITH BACKUP句を指定する必要があるため、常に現在のキーストアのバックアップが作成されます。パスワードの変更操作中、暗号化や復号化などの透過的データ暗号化操作は正常に動作し続けます。

このパスワードはいつでも変更できます。このパスワードは、安全性が損なわれた可能性があると思われる場合には変更することをお薦めします。

4.1.2.2 パスワードベースのソフトウェア・キーストアのパスワードの変更

パスワードベースのソフトウェア・キーストアのパスワードを変更するには、ADMINISTER KEY MANAGEMENT文を使用する必要があります。

  1. ADMINISTER KEY MANAGEMENTまたはSYSKM権限が付与されたユーザーとして、データベース・インスタンスにログインします。

    マルチテナント環境では、rootとしてログインします。たとえば: 

    sqlplus c##sec_admin as syskm
Enter password: password
Connected.

  2. 次のSQL文を実行します。 

    ADMINISTER KEY MANAGEMENT ALTER KEYSTORE PASSWORD [FORCE KEYSTORE] IDENTIFIED BY
old_password SET new_password [WITH BACKUP [USING 'backup_identifier']];

    ここでは次のように指定します。

    • FORCE KEYSTOREは、自動ログイン・キーストアが使用されているか、キーストアが閉じている場合に、キーストア操作を有効にします。

    • old_passwordは、変更する現在のキーストア・パスワードです。

    • new_passwordは、キーストア用に設定する新しいパスワードです。

    • WITH BACKUPは、パスワードを変更する前に、現在のキーストアのバックアップを作成します。この句を含める必要があります。

    • backup_identifierは、作成されるバックアップのオプション識別子文字列を指定します。backup_identifierは、バックアップ・ファイルの名前に追加されます。backup_identifierは、一重引用符(' ')で囲みます。この識別子は名前付きキーストア・ファイルに付加されます(ewallet_time_stamp_emp_key_pwd_change.p12など)。

    次の例は、現在のキーストアをバックアップしてから、キーストアのパスワードを変更します。

    ADMINISTER KEY MANAGEMENT ALTER KEYSTORE PASSWORD IDENTIFIED BY
old_password SET new_password WITH BACKUP USING 'pwd_change';

keystore altered.

    この例では、同じ操作を実行しますが、自動ログイン・キーストアが使用されているか、キーストアが閉じている場合に、FORCE KEYSTORE句を使用します。 

    ADMINISTER KEY MANAGEMENT ALTER KEYSTORE FORCE KEYSTORE PASSWORD IDENTIFIED BY
old_password SET new_password WITH BACKUP USING 'pwd_change';

keystore altered.

4.1.3 Oracle Key Vaultパスワードの変更

Oracle Key Vaultのパスワードを変更するには、データベース・ホスト上のOracle Key Vaultエンドポイント・ソフトウェアの一部であるokvutilを使用します。

  1. ADMINISTER KEY MANAGEMENTまたはSYSKM権限が付与されたユーザーとして、データベース・インスタンスにログインします。
  2. 外部キーストアを閉じます。
    • 外部キー・マネージャへの接続を閉じます。 
      ADMINISTER KEY MANAGEMENT SET KEYSTORE CLOSE
IDENTIFIED BY Oracle_Key_Vault_password | EXTERNAL STORE CONTAINER = ALL;

      キーストアがデータベースによって自動オープンされた場合は、次のようにOracle Key Vaultへの接続を閉じます: 

      ADMINISTER KEY MANAGEMENT SET KEYSTORE CLOSE 
CONTAINER = ALL;
  3. Oracle Key Vaultパスワードを変更します。
    WALLET_ROOT/okv/bin/okvutil changepwd -t wallet -l WALLET_ROOT/okv/ssl
  4. 外部キーストアを開きます。
    • たとえば、Oracle Key Vaultの場合:
      ADMINISTER KEY MANAGEMENT SET KEYSTORE OPEN FORCE KEYSTORE 
IDENTIFIED BY new_Oracle_Key_Vault_pwd CONTAINER =ALL;
    • パスワードが外部に格納されている外部キーストアの場合:
      ADMINISTER KEY MANAGEMENT SET KEYSTORE OPEN 
IDENTIFIED BY EXTERNAL STORE;

関連項目

親トピック: キーストアの管理

4.1.4 パスワードベースのソフトウェア・キーストアのバックアップ

パスワードベースのソフトウェア・キーストアをバックアップする際、バックアップのタイプを説明するバックアップの識別子文字列を作成できます。

親トピック: キーストアの管理

4.1.4.1 パスワード保護されたソフトウェア・キーストアのバックアップについて

サイトのセキュリティ・ポリシーや要件に従って、パスワード保護されたソフトウェア・キーストアをバックアップする必要があります。

キーストアのバックアップには、元のキーストアに格納されているすべてのキーが含まれます。Oracle Databaseでは、バックアップ・キーストアに作成時のタイムスタンプ(UTC)の接頭辞が付けられます。識別子文字列を指定すると、その文字列がタイムスタンプとキーストア名の間に挿入されます。

バックアップ操作が完了すると、元のキーストアのキーは「backed up」とマークされます。キーのステータスは、V$ENCRYPTION_WALLETデータ・ディクショナリ・ビューを問い合せて確認できます。

自動ログイン・ソフトウェア・キーストアやローカル自動ログイン・ソフトウェア・キーストアはバックアップできません。ADMINISTER KEY MANAGEMENT文での操作を使用して、新しいキーを直接それらに追加することはできません。これらのキーストア内の情報は読み取られるのみのため、バックアップは不要です。

ウォレットを変更する(ウォレット・パスワードの変更やマスター暗号化キーの設定など)ADMINISTER KEY MANAGEMENT文には、WITH BACKUP句を含める必要があります。

4.1.4.2 バックアップ・キーストアのバックアップ識別子文字列の作成

ソフトウェア・パスワード・キーストアのバックアップ・ファイル名は、パスワードベースのソフトウェア・キーストアの名前から導出されます。

Oracle Databaseでは、ソフトウェア・キーストア・パスワード・ファイル名に、ファイル作成時のタイムスタンプ(UTCフォーマット)の接頭辞が付けられます。識別子文字列を指定すると、その文字列がタイムスタンプとキーストア名の間に挿入されます。

  • バックアップ・キーストアのバックアップ識別子文字列を作成するには、BACKUP KEYSTORE句を含む次の構文のADMINISTER KEY MANAGEMENT SQL文を使用します。 

    ewallet_creation-time-stamp-in-UTC_user-defined-string.p12

    バックアップ識別子(user_defined_string)を作成する場合は、オペレーティング・システムのファイル命名規則に従います。たとえば、UNIXシステムでは、この設定にスペースが入らないようにします。

次の例に、ユーザーが指定したバグ番号の文字列を使用するバックアップ・キーストアの作成方法と、そのキーストアがファイル・システムにどのように表示されるかを示します。この例には、自動ログイン・キーストアが使用されているか、キーストアが閉じている場合にはFORCE KEYSTORE句が含まれます

例4-1 バックアップ・キーストアのバックアップ識別子文字列の作成

ADMINISTER KEY MANAGEMENT BACKUP KEYSTORE USING 'Monthly-backup-2013-04' 
FORCE KEYSTORE 
IDENTIFIED BY keystore_password;

このバージョンは、パスワードが外部ストアに格納されているシナリオ用です。

ADMINISTER KEY MANAGEMENT BACKUP KEYSTORE USING 'Monthly-backup-2013-04' 
FORCE KEYSTORE 
IDENTIFIED BY EXTERNAL STORE;

結果のキーストア・ファイル:

ewallet_2013041513244657_Monthly-backup-2013-04.p12
4.1.4.3 V$ENCRYPTION_WALLETビューによるバックアップ操作の解釈方法

V$ENCRYPTION_WALLETビューのBACKUP列では、キーストアのコピーがどのように作成されたかが示されます。

この列では、ADMINISTER KEY MANAGEMENT文またはADMINISTER KEY MANAGEMENT BACKUP KEYSTORE文のWITH BACKUP句でキーストアのコピーが作成されているかどうかが示されます。

キーまたはシークレットを変更した場合、コピーが作成されてからキー自体が変更されるため、行う変更は前にバックアップされたコピーには反映されません。前のキーストアには変更のコピーが存在しないため、以前にBACKUPYESに設定されていた場合でも、BACKUP列はNOに設定されます。したがって、BACKUP列がYESの場合、カスタム属性タグの追加といったバックアップを必要とする操作を実行すると、BACKUP列の値はNOに変更されます。

4.1.4.4 パスワード保護されたソフトウェア・キーストアのバックアップ

ADMINISTER KEY MANAGEMENT文のBACKUP KEYSTORE句により、パスワード保護されたソフトウェア・キーストアをバックアップします。

  1. ADMINISTER KEY MANAGEMENTまたはSYSKM権限が付与されたユーザーとして、データベース・インスタンスにログインします。

    たとえば: 

    sqlplus sec_admin as syskm
Enter password: password
Connected.

  2. 次の構文を使用して、キーストアをバックアップします。

    ADMINISTER KEY MANAGEMENT BACKUP KEYSTORE 
[USING 'backup_identifier'] 
FORCE KEYSTORE] 
IDENTIFIED BY [EXTERNAL STORE | software_keystore_password] 
[TO 'keystore_location'];

    ここでは次のように指定します。

    • USING backup_identifierは、バックアップを識別するために指定できるオプション文字列です。この識別子は、一重引用符(' ')で囲みます。この識別子は名前付きキーストア・ファイルに付加されます(ewallet_time-stamp_emp_key_backup.p12など)。

    • FORCE KEYSTOREはこの操作のためにパスワード保護されたキーストアを一時的に開きます。この操作のためにはキーストアを開く必要があります。

    • IDENTIFIED BYは次のいずれかの設定にできます。

      • EXTERNAL STOREは、外部ストアに格納されたキーストア・パスワードを使用して、キーストア操作を実行します。

      • software_keystore_passwordは、キーストアのパスワードです。

    • keystore_locationは、バックアップ・キーストアが格納されるパスです。keystore_locationを指定しない場合、バックアップは元のキーストアと同じディレクトリに作成されます。この場所は、一重引用符(' ')で囲みます。

    次の例では、ソフトウェア・キーストアを別の場所にバックアップします。 

    ADMINISTER KEY MANAGEMENT BACKUP KEYSTORE 
USING 'hr.emp_keystore' 
FORCE KEYSTORE 
IDENTIFIED BY software_keystore_password
TO '/etc/ORACLE/KEYSTORE/DB1/';

keystore altered.

    次のバージョンでは、キーストアのパスワードが外部にあるため、EXTERNAL STORE句が使用されます。キーストアは、現在のキーストアと同じディレクトリにバックアップされます。 

    ADMINISTER KEY MANAGEMENT BACKUP KEYSTORE 
USING 'hr.emp_keystore' 
FORCE KEYSTORE 
IDENTIFIED BY EXTERNAL STORE;

    この文を実行すると、ewallet_identifier.p12ファイル(ewallet_time-stamp_hr.emp_keystore.p12など)がキーストア・ロケーションに作成されます。

4.1.5 外部キーストアのバックアップ

Oracle Databaseを使用して外部キーストアをバックアップすることはできません。

Oracle Key VaultへのTDEウォレットのアップロードは、ウォレットをバックアップし、必要が生じた場合にすぐに利用できるようにする方法の1つです(たとえば、ウォレットを誤って削除した場合やファイルが破損した場合)。データベースがOracle Key Vaultによるオンライン・キー管理に移行されていない場合、ウォレットがOracle Key Vaultにアップロードされている場合でも、TDEウォレットに依存し続けます。

Oracle Key Vaultのokvutil uploadおよびokvutil downloadコマンドを使用して、Oracle Key Vaultとの間でTDEウォレットをアップロードおよびダウンロードできます。

たとえば、TDEウォレットをOracle Key Vaultにアップロードする方法は次のとおりです。 

$ okvutil upload -l "/etc/oracle/wallets" -t wallet -g "HRWallet"
Enter wallet password (<enter> for auto-login): password
Enter Oracle Key Vault endpoint password: Key_Vault_endpoint_password

次の例は、Oracle Key VaultからTDEウォレットをダウンロードする方法を示しています。

$ okvutil download -l "/etc/oracle/wallets/orcl/" -t WALLET -g HRWallet
Enter new wallet password(<enter> for auto-login): Oracle_wallet_password
Confirm new wallet password: Oracle_wallet_password
Enter Oracle Key Vault endpoint password: Key_Vault_endpoint_password

関連項目

親トピック: キーストアの管理

4.1.6 ソフトウェア・キーストアのマージ

ソフトウェア・キーストアは、様々な方法でマージできます。

親トピック: キーストアの管理

4.1.6.1 ソフトウェア・キーストアのマージについて

ソフトウェア・キーストアの任意の組合せをマージできますが、マージ後のキーストアはパスワードベースである必要があります。構成キーストアとは異なるパスワードを指定できます。

マージしたキーストアを使用するには、マージ前にいずれかの構成キーストアがすでに開いていた場合でも、マージしたキーストアを作成後に明示的に開く必要があります。

2つのソース・キーストアの共通キーが、マージしたキーストアに追加されるか上書きされるかは、ADMINISTER KEY MANAGEMENTマージ文の記述方法に応じて異なります。たとえば、キーストア1とキーストア2をマージしてキーストア3を作成する場合、キーストア1のキーはキーストア3に追加されます。キーストア1をキーストア2にマージする場合、キーストア2の共通キーは上書きされません。

ADMINISTER KEY MANAGEMENTマージ文は、使用中の構成済キーストアには影響しません。ただし、必要に応じて、マージしたキーストアを新しい構成済データベース・キーストアとして使用できます。sqlnet.oraファイルによって構成された場所にあるデータベースのキーストアとして新しく作成したキーストアを使用する場合、キーストアを再度開く必要があることに注意してください。

4.1.6.2 2つのソフトウェア・キーストアから3つ目の新しいキーストアへのマージ

2つのソフトウェア・キーストアを3つ目の新しいキーストアへとマージできます。既存の2つのソース・キーストアは変更されません。

  1. ADMINISTER KEY MANAGEMENTまたはSYSKM権限が付与されたユーザーとして、データベース・インスタンスにログインします。

    たとえば: 

    sqlplus sec_admin as syskm
Enter password: password
Connected.
  2. 次の構文を使用して、ソフトウェア・キーストアをマージします。
    ADMINISTER KEY MANAGEMENT MERGE KEYSTORE 'keystore1_location' 
[IDENTIFIED BY software_keystore1_password] 
AND KEYSTORE 'keystore2_location' 
[IDENTIFIED BY software_keystore2_password] 
INTO NEW KEYSTORE 'keystore3_location' 
IDENTIFIED BY software_keystore3_password;

    ここでは次のように指定します。

    • keystore1_locationは、マージ後も変更されないまま残される1つ目のキーストアのディレクトリの場所です。このパスは、一重引用符(' ')で囲みます。

    • IDENTIFIED BY句は、1つ目のキーストアがパスワード保護されたキーストアの場合は必要です。software_keystore1_passwordは、1つ目のキーストアの現在のパスワードです。

    • keystore2_locationは、2つ目のキーストアのディレクトリの場所です。このパスは、一重引用符(' ')で囲みます。

    • IDENTIFIED BY句は、2つ目のキーストアがパスワード保護されたキーストアの場合は必要です。software_keystore2_passwordは、2つ目のキーストアの現在のパスワードです。

    • keystore3_locationは、マージされた新しいキーストアのディレクトリの場所を指定します。このパスは、一重引用符(' ')で囲みます。その場所に既存のキーストアがすでに存在する場合は、コマンドが終了してエラーが発生します。

    • software_keystore3_passwordは、マージ後のキーストアの新しいパスワードです。

    次の例は、自動ログイン・ソフトウェア・キーストアをパスワード保護されたキーストアとマージして、マージしたパスワード保護されたキーストアを新しいロケーションに作成します。

    ADMINISTER KEY MANAGEMENT MERGE KEYSTORE '/etc/ORACLE/KEYSTORE/DB1' 
AND KEYSTORE '/etc/ORACLE/KEYSTORE/DB2' 
IDENTIFIED BY existing_password_for_keystore_2 
INTO NEW KEYSTORE '/etc/ORACLE/KEYSTORE/DB3' 
IDENTIFIED BY new_password_for_keystore_3;

keystore altered.
4.1.6.3 1つのソフトウェア・キーストアの既存のソフトウェア・キーストアへのマージ

MERGE KEYSTORE句を含むADMINISTER KEY MANAGEMENT文を使用して、1つのソフトウェア・キーストアを他の既存のソフトウェア・キーストアにマージできます。

  • このタイプのマージを実行するには、2つのソフトウェア・キーストアから3つ目の新しいキーストアへのマージのステップに従いますが、次のSQL文を使用してください。 

    ADMINISTER KEY MANAGEMENT MERGE KEYSTORE 'keystore1_location' 
[IDENTIFIED BY software_keystore1_password] 
INTO EXISTING KEYSTORE 'keystore2_location' 
IDENTIFIED BY software_keystore2_password 
[WITH BACKUP [USING 'backup_identifier]];

    ここでは次のように指定します。

    • keystore1_locationは、マージ後も変更されないまま残される1つ目のキーストアのディレクトリの場所です。このパスは、一重引用符(' ')で囲みます。

    • IDENTIFIED BY句は、1つ目のキーストアがパスワードベースのキーストアの場合は必要です。software_keystore1_passwordは、1つ目のキーストアのパスワードです。

    • keystore2_locationは、1つ目のキーストアがマージされる2つ目のキーストアのディレクトリの場所です。このパスは、一重引用符(' ')で囲みます。

    • software_keystore2_passwordは、2つ目のキーストアのパスワードです。

    • WITH BACKUPを使用すると、ソフトウェア・キーストアのバックアップが作成されます。オプションでUSING句を使用し、バックアップの簡単な説明を追加できます。この説明は一重引用符(' ')で囲みます。この識別子は、名前付きキーストア・ファイルに付加されます(たとえば、emp_key_backupがバックアップ識別子になっているewallet_time-stamp_emp_key_backup.p12)。オペレーティング・システムで使用されているファイル命名規則に従ってください。

マージ操作で生成されるキーストアは、常にパスワードベースのキーストアです。

4.1.6.4 自動ログイン・ソフトウェア・キーストアの既存のパスワードベースのソフトウェア・キーストアへのマージ

自動ログイン・ソフトウェア・キーストアを既存のパスワードベースのソフトウェア・キーストアにマージできます。

  • ADMINISTER KEY MANAGEMENT MERGE KEYSTORE SQL文を使用して、自動ログイン・ソフトウェア・キーストアを既存のパスワードベースのソフトウェア・キーストアにマージします。

例4-2に、自動ログイン・ソフトウェア・キーストアをパスワードベースのソフトウェア・キーストアにマージする方法を示します。また、マージするキーストアを作成する前に、2つ目のキーストアのバックアップを作成します。

例4-2 自動ログイン・ソフトウェア・キーストアからパスワード・キーストアへのマージ

ADMINISTER KEY MANAGEMENT MERGE KEYSTORE '/etc/ORACLE/KEYSTORE/DB1' 
INTO EXISTING KEYSTORE '/etc/ORACLE/KEYSTORE/DB2' 
IDENTIFIED BY keystore_password WITH BACKUP;

ここでは次のように指定します。

  • MERGE KEYSTOREは、自動ログイン・キーストアを指定する必要があります。

  • EXISTING KEYSTOREは、パスワードのキーストアを表します。

4.1.6.5 ソフトウェア・キーストア・マージ操作の取消し

キーストア・マージ操作を直接取り消すことはできません。

キーストアを(新規作成するのではなく)既存のキーストアにマージする場合、ADMINISTER KEY MANAGEMENT文にWITH BACKUP句を指定して、その既存のキーストアのバックアップを作成する必要があります。後でマージを取り消す必要があると判断した場合、マージしたソフトウェア・キーストアを、バックアップしたものと置き換えることができます。

たとえば、キーストアAをキーストアBにマージするとします。WITH BACKUP句を使用することで、マージ操作の開始前にキーストアBのバックアップを作成します。(元のキーストアAは変更されません。)マージ操作を取り消すには、キーストアBから作成したバックアップに戻ります。

  • ADMINISTER KEY MANAGEMENT MERGE KEYSTORE SQL文を使用して、マージ操作を実行します。

    • たとえば、既存のキーストアへのマージ操作を実行する場合、次のようにします。

      ADMINISTER KEY MANAGEMENT MERGE KEYSTORE '/etc/ORACLE/KEYSTORE/DB1' 
INTO EXISTING KEYSTORE '/etc/ORACLE/KEYSTORE/DB2' 
IDENTIFIED BY password WITH BACKUP USING "merge1";

      新しいキーストアをバックアップ・キーストア(この場合、ewallet_time-stamp_merge1.p12という名前)に置き換えます。

    • 自動ログイン・キーストアをパスワードベースのキーストアにマージするには、ADMINISTER KEY MANAGEMENT MERGE KEYSTORE SQL文を使用します。

4.1.7 新しいロケーションへのソフトウェア・キーストアの移動

ソフトウェア・キーストアを新しいロケーションに移動するには、キーストアをバックアップして閉じ、sqlnet.oraを編集してから、キーストアを新しいロケーションに物理的に移動する必要があります。

Oracle Key Vaultを使用している場合は、Key VaultがTDEマスター・キーを直接管理するTDE直接接続を構成できます。この場合、キーストアを新しいロケーションに手動で移動する必要はありません。TDE直接接続の使用の詳細は、Oracle Key Vault管理者ガイドを参照してください。

  1. ADMINISTER KEY MANAGEMENTまたはSYSKM権限が付与されたユーザーとして、データベース・インスタンスにログインします。

    マルチテナント環境で、rootまたはプラガブル・データベース(PDB)にログインします。たとえば、hrpdbというPDBにログインするには、次のようにします。 

    sqlplus sec_admin@hrpdb as syskm
Enter password: password
Connected.

    利用可能なPDBを検索するには、DBA_PDBSデータ・ディクショナリ・ビューを問い合せます。現在のPDBを確認するには、show con_nameコマンドを実行します。

  2. ソフトウェア・キーストアのバックアップ・コピーを作成します。

    たとえば:

    ADMINISTER KEY MANAGEMENT BACKUP KEYSTORE USING 'hr.emp_keystore' 
FORCE KEYSTORE IDENTIFIED BY 
software_keystore_password TO '/etc/ORACLE/KEYSTORE/DB1/';

    パスワードベースのソフトウェア・キーストアのバックアップを参照してください。

  3. ソフトウェア・キーストアを閉じます。

    キーストアを閉じる方法の例は次のとおりです。

    自動ログイン・ソフトウェア・キーストアの場合:

    ADMINISTER KEY MANAGEMENT SET KEYSTORE CLOSE;

    パスワードベースのソフトウェア・キーストアの場合:

    ADMINISTER KEY MANAGEMENT SET KEYSTORE CLOSE IDENTIFIED BY software_keystore_password;

    パスワードが外部に格納されているキーストアの場合:

    ADMINISTER KEY MANAGEMENT SET KEYSTORE CLOSE IDENTIFIED BY EXTERNAL STORE;

  4. データベース・セッションを終了します。

    たとえば、SQL*Plusにログインしている場合は、次のようにします。 

    EXIT

  5. キーストアを移動する新しいロケーションを示すように、sqlnet.oraファイルをバックアップしてから手動で編集します。

    詳細は、ステップ1: sqlnet.oraファイルでのキーストアの場所の設定を参照してください。

  6. オペレーティング・システムの移動コマンド(mvなど)を使用して、キーストアとそのすべてのキーを、新しいディレクトリの場所に移動します。

親トピック: キーストアの管理

4.1.8 自動ストレージ管理からのソフトウェア・キーストアの移動

ADMINISTER KEY MANAGEMENT文を使用して、自動ストレージ管理からソフトウェア・キーストアを移動できます。

  1. ADMINISTER KEY MANAGEMENTまたはSYSKM権限が付与されたユーザーとして、データベース・インスタンスにログインします。

    マルチテナント環境では、rootとしてログインします。たとえば:

    sqlplus c##sec_admin as syskm
Enter password: password
Connected.

    利用可能なPDBを検索するには、DBA_PDBSデータ・ディクショナリ・ビューを問い合せます。現在のPDBを確認するには、show con_nameコマンドを実行します。

  2. 次の構文を使用して、ファイル・システム上のターゲット・キーストアを初期化します。
    ADMINISTER KEY MANAGEMENT CREATE KEYSTORE targetKeystorePath IDENTIFIED BY targetKeystorePassword;

    ここでは次のように指定します。

    • targetKeystorePathは、ファイル・システム上のターゲット・キーストアへのディレクトリ・パスです。

    • targetKeystorePasswordは、キーストアに対して作成するパスワードです。

    たとえば:

    ADMINISTER KEY MANAGEMENT CREATE KEYSTORE '/etc/ORACLE/KEYSTORE/DB1/' IDENTIFIED BY "targetKeystorePassword";
  3. キーストアをASMから、先ほど作成したターゲット・キーストアにコピーします。

    このステップでは、キーストアをASMからファイル・システムに次のようにマージする必要があります。

    ADMINISTER KEY MANAGEMENT MERGE KEYSTORE srcKeystorePath IDENTIFIED BY srcKeystorePassword INTO EXISTING KEYSTORE targetKeystorePath IDENTIFIED BY targetKeystorePassword WITH BACKUP USING backupIdentifier;

    ここでは次のように指定します。

    • srcKeystorePathは、ソース・キーストアへのディレクトリ・パスです。

    • srcKeystorePasswordは、ソース・キーストアのパスワードです。

    • targetKeystorePathは、ターゲット・キーストアへのパスです。

    • targetKeystorePasswordは、ターゲット・キーストアのパスワードです。

    • backupIdentifierは、バックアップ・ファイル名に追加されるバックアップ識別子です。

    たとえば:

    ADMINISTER KEY MANAGEMENT MERGE KEYSTORE '+DATAFILE' IDENTIFIED BY "srcPassword" INTO EXISTING KEYSTORE '/etc/ORACLE/KEYSTORE/DB1/' IDENTIFIED BY "targetKeystorePassword" WITH BACKUP USING "bkup";

親トピック: キーストアの管理

4.1.9 ソフトウェア・パスワード・キーストアと外部キーストアの間の移行

パスワード保護されたソフトウェア・キーストアと外部キーストアとの間で移行できます。

親トピック: キーストアの管理

4.1.9.1 パスワード保護されたソフトウェア・キーストアから外部キーストアへの移行

パスワード保護されたソフトウェア・キーストアから外部キーストアへ移行できます。

親トピック: ソフトウェア・パスワード・キーストアと外部キーストアの間の移行

4.1.9.1.1 ステップ1: 外部キーストアとともに開くためにソフトウェア・キーストアを変換する

一部のOracleツールでは、ソフトウェア・キーストアを使用してエクスポートまたはバックアップされたデータを暗号化または復号化するために、古いソフトウェア・キーストアにアクセスする必要があります。

これらのツールの例として、Oracle Data PumpやOracle Recovery Managerなどがあります。
  • ADMINISTER KEY MANAGEMENT SQL文を使用して、外部キーストアとともに開くためにソフトウェア・キーストアを変換します。
    • ソフトウェア・キーストアのパスワードを外部キーストアのパスワードとして設定するには、次の構文を使用します。
      ADMINISTER KEY MANAGEMENT ALTER KEYSTORE PASSWORD 
FORCE KEYSTORE
IDENTIFIED BY software_keystore_password 
SET "external_key_manager_password" WITH BACKUP 
[USING 'backup_identifier'];

      ここでは次のように指定します。

      • software_keystore_passwordは、ソフトウェア・キーストアの作成時に使用したものと同じパスワードです。

      • external_key_manager_passwordは、外部キーストアのパスワードと同一の、新しいソフトウェア・キーストアのパスワードです。

      • WITH BACKUPを使用すると、ソフトウェア・キーストアのバックアップが作成されます。オプションでUSING句を使用し、バックアップの簡単な説明を追加できます。この説明は一重引用符(' ')で囲みます。この識別子は、名前付きキーストア・ファイルに付加されます(たとえば、emp_key_backupがバックアップ識別子になっているewallet_time-stamp_emp_key_backup.p12)。オペレーティング・システムで使用されているファイル命名規則に従ってください。

    • ソフトウェア・キーストアの自動ログイン・キーストアを作成するには、次の構文を使用します。
      ADMINISTER KEY MANAGEMENT CREATE [LOCAL] AUTO_LOGIN KEYSTORE 
FROM KEYSTORE 'keystore_location' 
IDENTIFIED BY software_keystore_password;

      ここでは次のように指定します。

      • LOCALでは、ローカル自動ログイン・ソフトウェア・キーストアを作成できます。そうでない場合、キーストアに他のコンピュータからアクセスできるようにするときは、この句を省略します。

      • keystore_locationは、sqlnet.oraファイルに構成されているキーストアのキーストア・ディレクトリの場所へのパスです。

      • software_keystore_passwordは、構成されているソフトウェア・キーストアの既存のパスワードです。

4.1.9.1.2 ステップ2: 外部キーストア・タイプを構成する

ALTER SYSTEM文を使用して、HSMキーストア・タイプを構成できます。

ソフトウェア・キーストアを外部キーストアと一緒に開くには、ソフトウェア・キーストアのパスワードが外部キーストアと同じである必要があります。あるいは、ソフトウェア・キーストア用に自動ログイン・キーストアを作成することもできます。
  1. SYSDBA管理権限が付与されたユーザーとして、データベース・インスタンスにログインします。
    たとえば:
    sqlplus sec_admin as sysdba
Enter password: password
  2. TDE_CONFIGURATION動的初期化パラメータを設定します。

    この例では、データベースをTDEウォレットからOracle Key Vaultに移行します。

    ALTER SYSTEM SET TDE_CONFIGURATION="KEYSTORE_CONFIGURATION=OKV|FILE" SCOPE = "BOTH" SID = "*";
4.1.9.1.3 ステップ3: 外部キーストアの移行を実行する

ADMINISTER KEY MANAGEMENT SQL文を使用して、外部キーストアの移行を実行できます。

ソフトウェア・キーストアから外部キーストアに移行するには、ADMINISTER KEY MANAGEMENT SET KEY SQL文でMIGRATE USING keystore_password句を使用して、ソフトウェア・キーストア内のTDEマスター暗号化キーで既存のTDE表キーおよび表領域暗号化キーを復号化してから、外部キーストア内の新しく作成したTDEマスター暗号化キーでそれらを再暗号化する必要があります。移行の完了後に、データベースを再起動する必要や外部キーストアを手動で再度開く必要はありません。移行プロセスにより、キーストアのキーがメモリーに自動的にリロードされます。
  • 次の構文を使用して外部キーストアを移行します。
    ADMINISTER KEY MANAGEMENT SET ENCRYPTION KEY 
IDENTIFIED BY "external_key_manager_password" 
MIGRATE USING software_keystore_password 
[WITH BACKUP [USING 'backup_identifier']];

    ここでは次のように指定します。

    • external_key_manager_passwordは、外部キーストアの作成時に作成されたパスワードです。この設定は二重引用符(" ")で囲みます。

    • software_keystore_passwordは、ソフトウェア・キーストアの作成時に使用したものか、(外部キーストアとともに開くためにソフトウェア・キーストアを変換したときに)変更したものと同じパスワードです。

    • USINGでは、バックアップの簡単な説明を追加できます。この説明は一重引用符(' ')で囲みます。この識別子は、名前付きキーストア・ファイルに付加されます(たとえば、emp_key_backupがバックアップ識別子になっているewallet_time-stamp_emp_key_backup.p12)。オペレーティング・システムで使用されているファイル命名規則に従ってください。

4.1.9.2 外部キーストアからパスワードベースのソフトウェア・キーストアへの移行

外部キーストアをソフトウェア・キーストアに移行できます。

親トピック: ソフトウェア・パスワード・キーストアと外部キーストアの間の移行

4.1.9.2.1 外部キーストアからの再移行について

外部キーストア・ソリューションの使用からソフトウェア・キーストアの使用に切り換えるには、キーストアの逆移行を使用します。

切換えの完了後、以前のバックアップ・ファイルが外部キー・マネージャのTDEマスター暗号化キーに依存する場合に備えて、外部キーストアを保持します。

初めにソフトウェア・キーストアから外部キーストアに移行し、前に構成したTDEマスター暗号化キーの移行の説明に従ってソフトウェア・キーストアを再構成済の場合は、外部キーストア・パスワードと同じパスワードの既存のキーストアがすでに存在します。逆移行では、このキーストアを、新しいパスワードで新しいソフトウェア・キーストアとして動作するように構成します。既存のキーストアが自動ログイン・ソフトウェア・キーストアで、その自動ログイン・キーストアのパスワードベースのソフトウェア・キーストアがある場合、パスワードベースのキーストアを使用してください。パスワードベースのキーストアを使用できない場合、自動ログイン・キーストアを新しく作成した空のパスワードベースのキーストアにマージし、その新しく作成したパスワードベースのキーストアを使用します。

既存のキーストアがない場合、init.oraファイルのWALLET_ROOTパラメータを使用して、キーストア・ロケーションを指定する必要があります。逆移行を実行する場合、キーが失われないように前のキーストアに移行する必要があります。

4.1.9.2.2 ステップ1: 逆移行用にsqlnet.oraを構成する

sqlnet.oraファイルでキーストア・ディレクトリの場所を編集する必要があります。

  • sqlnet.oraファイルに次の構成を設定します。 

    ENCRYPTION_WALLET_LOCATION=
  (SOURCE=(METHOD=FILE)(METHOD_DATA=
    (DIRECTORY=path_to_keystore)))

    path_to_keystoreを、宛先キーストアのディレクトリの場所に置き換えます。

4.1.9.2.3 ステップ2: 逆移行用にキーストアを構成する

SET ENCRYPTION KEY句とREVERSE MIGRATE句を含むADMINISTER KEY MANAGEMENT文を使用して、キーストアの移行を取り消すことができます。

  1. ADMINISTER KEY MANAGEMENTまたはSYSKM権限が付与されたユーザーとして、データベース・インスタンスにログインします。

    たとえば: 

    sqlplus sec_admin as syskm
Enter password: password
Connected.

  2. 次の構文を使用して、キーストアを逆移行します。

    ADMINISTER KEY MANAGEMENT SET ENCRYPTION KEY 
IDENTIFIED BY software_keystore_password 
REVERSE MIGRATE USING "external_key_manager_password" 
[WITH BACKUP [USING 'backup_identifier']];

    ここでは次のように指定します。

    • software_keystore_passwordは、既存のキーストアまたは新しいキーストアのパスワードです。

    • external_key_manager_passwordは、最初に外部キーストアを作成したときに作成されたパスワードです。前の外部ソフトウェア・キーストアが新しいキーストアの場合は、逆移行コマンドを発行する前に、そのパスワードがexternal_key_manager_passwordと同じパスワードであることを確認する必要があります。この設定は二重引用符(" ")で囲みます。

    • WITH BACKUPを使用すると、ソフトウェア・キーストアのバックアップが作成されます。オプションでUSING句を含めることで、バックアップの簡単な説明を追加できます。この説明は一重引用符(' ')で囲みます。この識別子は、名前付きキーストア・ファイルに付加されます(たとえば、emp_key_backupがバックアップ識別子になっているewallet_time-stamp_emp_key_backup.p12)。オペレーティング・システムで使用されているファイル命名規則に従ってください。

    たとえば:

    ADMINISTER KEY MANAGEMENT SET ENCRYPTION KEY 
IDENTIFIED BY password 
REVERSE MIGRATE USING "external_key_manager_password" WITH BACKUP;

keystore altered.

  3. オプションで、キーストア・パスワードを変更します。

    たとえば:

    ADMINISTER KEY MANAGEMENT ALTER KEYSTORE PASSWORD 
IDENTIFIED BY old_password 
SET new_password 
WITH BACKUP USING 'before_password_was_changed';
4.1.9.2.4 ステップ3: ソフトウェア・キーストアとともに開くように外部キーストアを構成する

移行が完了すると、移行プロセスによってキーストアのキーがメモリーに自動的にリロードされます。

データベースを再起動したり、ソフトウェア・キーストアを手動で再度開く必要はありません。

Oracle Data Pump ExportおよびOracle Recovery Manager (Oracle RMAN)で暗号化されたバックアップに以前のキーが使用されている可能性が高いため、逆移行の後でも外部キーストアが必要な場合があります。HSMをソフトウェア・キーストアとともに開くことができるように、外部キーストア資格証明をキーストアに追加する必要があります。

4.1.9.3 移行後のキーストアの順序

移行の実行後、キーストアの順序はプライマリまたはセカンダリのいずれかになります。

V$ENCRYPTION_WALLET動的ビューのWALLET_ORDER列は、キーストアがプライマリ(現在のTDEマスター暗号化キーを保持)またはセカンダリ(前のTDEマスター暗号化キーを保持)のいずれであるかを示します。WRL_TYPE列は、キーストアのロケータのタイプを示します(sqlnet.oraファイルの場合のFILEなど)。2つのキーストアがまとめて構成されておらず、以前に移行を一度も実行したことがない場合、WALLET_ORDER列にはSINGLEが表示されます。

表4-1では、移行後のキーストアの順序の仕組みについて説明します。

表4-1 移行後のキーストア順序

実行された移行のタイプ WRL_TYPE WALLET_ORDER 説明

ソフトウェア・キーストアから外部キーストアへの移行

OKV

FILE

PRIMARY

SECONDARY

外部キーストアとソフトウェア・キーストアの両方が構成されます。TDEマスター暗号化キーは、Oracle Key Vaultまたはソフトウェア・キーストアのいずれかに格納できます。

TDEマスター暗号化キーは、まずOracle Key Vaultで検索されます。

TDEマスター暗号化キーがプライマリ・キーストア(Oracle Key Vault)にない場合、ソフトウェア・キーストアで検索されます。

すべての新しいTDEマスター暗号化キーは、プライマリ・キーストア(この場合はOracle Key Vault)に作成されます。

HSMからソフトウェア・キーストアへの逆移行

FILE

HSM

PRIMARY

SECONDARY

外部キーストアとソフトウェア・キーストアの両方が構成されます。TDEマスター暗号化キーは、外部キーストアまたはソフトウェア・キーストアのどちらかに格納できます。

TDEマスター暗号化キーは、まずソフトウェア・キーストアで検索されます。

TDEマスター暗号化キーがプライマリ(つまり、ソフトウェア)キーストアに存在しない場合は、HSMの外部キーストアでそれが検索されます。

すべての新しいTDEマスター暗号化キーは、プライマリ・キーストア(この場合はソフトウェア・キーストア)に作成されます。

4.1.10 キーストアとOracle Key Vault間の移行

Oracle Key Vaultを使用して、ソフトウェア・キーストアおよび外部キーストアをOracle Key Vaultとの間で移行できます。

これにより、キーストアを集中管理し、必要に応じて、企業内の他のTDE対応データベースとキーストアを共有できます。

Oracle Key Vaultでは、仮想ウォレットと呼ばれるコンテナにキーストアをアップロードし、前にアップロードしたOracleキーストアの内容から新しい仮想ウォレットを作成できます。たとえば、5つのキーを格納するキーストアを前にアップロードしたとします。これらのキーの3つのみで構成される新しい仮想ウォレットを作成できます。次に、このキーストアを別のTDE対応データベースにダウンロードできます。このプロセスでは、元のキーストアは変更されません。

Oracle Key Vaultでは、Oracleキーストアに加えて、資格証明ファイルやJavaキーストアなどの他のセキュリティ・オブジェクトを企業全体で安全に共有できます。これにより、パスワードを忘れたり、キーストアを間違って削除したことによるキーおよびキーストアの紛失を防ぐことができます。Oracle Key Vaultは、TDE以外の製品、Oracle Real Application Security、Oracle Active Data GuardおよびOracle GoldenGateとともに使用できます。Oracle Key Vaultでは、暗号化されたデータをOracle Data PumpおよびOracle Transportable Tablespacesを使用して簡単に移動できます。

関連項目

親トピック: キーストアの管理

4.1.11 キーストアを閉じる

ソフトウェア・キーストアおよび外部キーストアは手動で閉じることができます。

  • キーストアを閉じることについて
    キーストアを開いた後は、データベース・インスタンスを終了するまで開いたままになります。
  • ソフトウェア・キーストアを閉じる
    パスワードベースのソフトウェア・キーストア、自動ログイン・ソフトウェア・キーストアおよびローカル自動ログイン・ソフトウェア・キーストアを手動で閉じることができます。
  • 外部キーストアを閉じる
    外部キーストアを閉じるには、SET KEYSTORE CLOSE句を含むADMINISTER KEY MANAGEMENT文を使用する必要があります。

親トピック: キーストアの管理

4.1.11.1 キーストアを閉じることについて

キーストアを開いた後は、データベース・インスタンスを終了するまで開いたままになります。

データベース・インスタンスを再起動すると、必要に応じて(TDEマスター暗号化キーにアクセスする必要がある場合)自動ログイン・ソフトウェア・キーストアおよびローカル自動ログイン・ソフトウェア・キーストアが自動的に開きます。ただし、パスワードベースのソフトウェア・キーストアおよび外部キーストアは、自動的には開きません。使用する前には手動で再度開く必要があります。

ソフトウェア・キーストアまたは外部キーストアを閉じると、データベースでのすべての暗号化操作と復号化操作が無効になります。したがって、データベース・ユーザーやアプリケーションは、キーストアが再度開くまで、暗号化データに関係する操作を実行できません。

キーストアを閉じた後に再度開くと、キーストアの内容がデータベースにリロードされます。したがって、内容が変更されると(移行中など)、データベースには最新のキーストアの内容が格納されます。

キーストアが閉じているかどうかは、V$ENCRYPTION_WALLETビューのSTATUS列を問い合せることによって確認できます。

キーストアにアクセスできない場合、次のデータ操作は失敗します。

  • 暗号化列からのデータの選択(SELECT)

  • 暗号化列に対するデータの挿入(INSERT)

  • 暗号化列による表の作成(CREATE)

  • 暗号化された表領域の作成(CREATE)

親トピック: キーストアを閉じる

4.1.11.2 ソフトウェア・キーストアを閉じる

パスワードベースのソフトウェア・キーストア、自動ログイン・ソフトウェア・キーストアおよびローカル自動ログイン・ソフトウェア・キーストアを手動で閉じることができます。

アクセス時に自動的に開かれる自動ログイン・キーストアの場合、それを新しいロケーションに移動した場合に手動で閉じる必要があります。構成を自動ログイン・キーストアからパスワードベースのキーストアに変更する場合、これを行います(自動ログイン・キーストアは移動してから閉じます)。

  1. ADMINISTER KEY MANAGEMENTまたはSYSKM権限が付与されたユーザーとして、データベース・インスタンスにログインします。

    マルチテナント環境では、まずrootでキーストアを閉じる必要があります。その後、PDBのすべてのキーストアが同様に閉じられます。たとえば、rootにログインするには、次のようにします。 

    sqlplus sec_admin as syskm
Enter password: password
Connected.

    利用可能なPDBを検索するには、DBA_PDBSデータ・ディクショナリ・ビューを問い合せます。現在のPDBを確認するには、show con_nameコマンドを実行します。

  2. ADMINISTER KEY MANAGEMENT SQL文を実行します。

    • パスワードベースのソフトウェア・キーストアの場合、次の構文を使用します。

      ADMINISTER KEY MANAGEMENT SET KEYSTORE CLOSE [IDENTIFIED BY [ EXTERNAL STORE | software_keystore_password]] [CONTAINER = ALL | CURRENT];

      ここでは次のように指定します。

      • IDENTIFIED BYは次のいずれかにできます。

        • EXTERNAL STOREは、外部ストアに格納されたキーストア・パスワードを使用して、キーストア操作を実行します。

        • software_keystore_passwordは、キーストアを作成したユーザーのパスワードです。

      • CONTAINERは、マルチテナント環境で使用するために用意されています。このマルチテナント・コンテナ・データベース(CDB)のすべてのPDBでキーストアを閉じる場合はALL、現在のPDBの場合はCURRENTを入力します。このADMINISTER KEY MANAGEMENT文をrootで実行すると、CONTAINERALLに設定されているかCURRENTに設定されているかにかかわらず、すべてのPDBのすべてのキーストアが閉じられます。

    • 自動ログイン・ソフトウェア・キーストアまたはローカル自動ログイン・ソフトウェア・キーストアの場合、次のSQL文を使用します。 

      ADMINISTER KEY MANAGEMENT SET KEYSTORE CLOSE;

      この文ではパスワードを指定する必要はありません。

キーストアを閉じると、暗号化および復号化のすべての操作が無効化されます。データを暗号化または復号化しようとしたり、暗号化データにアクセスしようとすると、エラーが発生します。

親トピック: キーストアを閉じる

4.1.11.3 外部キーストアを閉じる

外部キーストアを閉じるには、SET KEYSTORE CLOSE句を含むADMINISTER KEY MANAGEMENT文を使用する必要があります。

  1. ADMINISTER KEY MANAGEMENTまたはSYSKM権限が付与されたユーザーとして、データベース・インスタンスにログインします。
    たとえば: 
    sqlplus sec_admin as syskm
Enter password: password
Connected.
  2. 次の構文を使用して外部キーストアを閉じます。
    ADMINISTER KEY MANAGEMENT SET KEYSTORE CLOSE 
IDENTIFIED BY [EXTERNAL STORE | "external_key_manager_password"];

    ここでは次のように指定します。

    • IDENTIFIED BYは次のいずれかの設定にできます。

      • EXTERNAL STOREは、外部ストアに格納されたキーストア・パスワードを使用して、キーストア操作を実行します。

      • external_key_manager_passwordは、Oracle Key VaultまたはOCI Vault - Key Managementの外部キーストア・マネージャ用です。このパスワードは二重引用符で囲みます。Oracle Key Vaultの場合は、Oracle Key Vaultクライアントのインストール時に指定したパスワードを入力します。その時点でパスワードが指定されていない場合、ADMINISTER KEY MANAGEMENT文のパスワードはNULLになります。

    たとえば:

    ADMINISTER KEY MANAGEMENT SET KEYSTORE CLOSE 
IDENTIFIED BY "external_key_manager_password";

親トピック: キーストアを閉じる

4.1.12 ASMボリュームに存在するソフトウェア・キーストアの使用

自動ストレージ管理(ASM)ディスク・グループにソフトウェア・キーストアを格納できます。

  • sqlnet.oraファイルを編集して、ENCRYPTION_WALLET_LOCATION設定でDIRECTORY設定を構成するときに、ASMファイル命名規則を使用して指定されたASMディスク・グループの場所を使用します。つまり、ASMファイル名用のプラス記号(+)表記法を使用する必要があります。

たとえば:

ENCRYPTION_WALLET_LOCATION=
      (SOURCE=(METHOD=FILE)(METHOD_DATA=
        (DIRECTORY=+disk1/mydb/wallet)))

通常のファイル・システムとASMファイル・システムの間でソフトウェア・キーストアを移動またはマージする必要がある場合は、ソフトウェア・キーストアのマージで説明するものと同じキーストア・マージ文を使用できます。

ASM環境でキーストアを管理するには、ASMCMDユーティリティを使用します。

関連項目:

親トピック: キーストアの管理

4.1.13 暗号化されたデータのバックアップおよびリカバリ

ソフトウェア・キーストアの場合、TDEマスター暗号化キーがないと暗号化されたデータにアクセスできません。

TDEマスター暗号化キーはキーストアに格納されるため、ソフトウェア・キーストアを安全な場所に定期的にバックアップすることをお薦めします。新しいTDEマスター暗号化キーを設定するか、キーストアへの書込みを行う操作を実行するたびに、キーストアのバックアップ・コピーを作成する必要があります。

ソフトウェア・キーストアを暗号化データと同じ場所にバックアップしないでください。ソフトウェア・キーストアは別にバックアップします。自動ログイン・キーストアを使用している場合は、開くときにパスワードが要求されないため、特に注意してください。バックアップ・テープの紛失に備えて、悪意のあるユーザーが暗号化データとキーストアの両方を取得できないようにすることが大切です。

Oracle Recovery Manager (Oracle RMAN)によるデータベース・バックアップでは、ソフトウェア・キーストアはバックアップされません。Oracle Secure Backupなどのメディア・マネージャをOracle RMANと併用している場合は、Oracle Secure Backupによって、自動オープン・キーストア(cwallet.ssoファイル)がバックアップ対象から自動的に除外されます。ただし、暗号化キーストア(ewallet.p12ファイル)が自動的に除外されることはありません。次のexcludeデータ・セット文をOracle Secure Backup構成に追加することをお薦めします。 

exclude name *.p12

この設定は、暗号化キーストアをバックアップ・セットから除外するようにOracle Secure Backupに指定します。

TDEマスター暗号化キーを格納しているソフトウェア・キーストアを喪失した場合は、キーストアのバックアップを適切な場所にコピーすることで、暗号化データへのアクセスをリストアできます。TDEマスター暗号化キーを最後に再設定した後に、リストアしたキーストアをアーカイブした場合、追加アクションは必要はありません。

リストアしたソフトウェア・キーストアに最新のTDEマスター暗号化キーが含まれていない場合、データベースの状態をTDEマスター暗号化キーが再設定された時点までロールバックすることで、その時点までの古いデータをリカバリできます。TDEマスター暗号化キーの再設定後に暗号化列に対して行われた変更はすべて失われます。

関連項目:

データベースのリカバリ方法の詳細は、Oracle Databaseバックアップおよびリカバリ・ユーザーズ・ガイドを参照してください。

親トピック: キーストアの管理

4.1.14 キーストアの削除

キーストアは、特に透過的データ暗号化を構成した後およびキーストアが使用されているときには、削除しないことをお薦めします。

キーストアが使用中かどうかは、キーストアを開いた後にV$ENCRYPTION_WALLETビューのWRL_PARAMETER列を問い合せることで確認できます。

キーストアを削除してはいけない理由は、キーストアには、データベースで使用されるすべてのキーのリストが格納されているためです。キーストアを削除するとそれらのキーが削除され、暗号化データが失われてしまう可能性があります。キーストアを削除すると、Oracle Databaseの通常の機能も妨げられる可能性があります。キーストアにあるTDEマスター暗号化キーは、オフライン化された表領域、Oracle Recovery Manager、Oracle Secure Backupといった他のOracle Database機能にも使用されるため、データベース内のすべてのデータを復号化済の場合でもキーストアを削除しないようにしてください。

キーストアをハードウェア・セキュリティ・モジュールに移行した後であっても、元のキーストアは削除しないでください。元のキーストアにあるキーは、たとえば、オフラインで暗号化された表領域をリカバリする際など、後で必要になります。暗号化されていないオンラインのデータがない場合であっても、キーはまだ使用されている場合があります。

ソフトウェア自動ログイン(または自動ログイン・ローカル)・キーストアの場合は例外です。このタイプのキーストアを使用しない場合は、安全なディレクトリに移動するのが理想です。自動ログイン・キーストアは、それが特定のパスワードベースのソフトウェア・キーストアに由来し、そのキーストアを利用できることがわかっている場合のみ、削除してください。キーストアは、利用可能で既知である必要があります。

親トピック: キーストアの管理

4.2 TDEマスター暗号化キーの管理

TDEマスター暗号化キーは、いくつかの方法で管理できます。

親トピック: キーストアおよびTDEマスター暗号化キーの管理

4.2.1 後で使用するためのTDEマスター暗号化キーの作成

後でアクティブ化するTDEマスター暗号化キーを作成することができます。

親トピック: TDEマスター暗号化キーの管理

4.2.1.1 後で使用するためのTDEマスター暗号化キーの作成について

ADMINISTER KEY MANAGEMENT文のCREATE KEY句によって、後でアクティブ化できるTDEマスター暗号化キーを作成できます。

その後、そのキーを同じデータベースでアクティブ化したり、別のデータベースにエクスポートしてそこでアクティブ化できます。

このTDEマスター暗号化キーの作成方法は、マルチテナント環境でTDEマスター暗号化キーを再作成する必要がある場合に便利です。CREATE KEY句では、単一のSQL文を使用して、マルチテナント環境内のすべてのPDBに新しいTDEマスター暗号化キーを作成できます。新しいTDEマスター暗号化キーの作成時間は、現在使用中のTDEマスター暗号化キーをアクティブ化するよりも遅くなります。そのため、最新の作成済TDEマスター暗号化キーをできるだけ早くアクティブ化するようにすべてのPDBに注意を喚起するために、この作成時間を使用できます。

4.2.1.2 後で使用するためのTDEマスター暗号化キーの作成

後で使用するTDEマスター暗号化キーを作成する前に、キーストアが開かれている必要があります。

  1. ADMINISTER KEY MANAGEMENTまたはSYSKM権限が付与されたユーザーとして、データベース・インスタンスにログインします。

    マルチテナント環境では、rootとしてログインします。たとえば:

    sqlplus c##sec_admin as syskm
Enter password: password
Connected.

  2. キーストアが開いていることを確認します。

    V$ENCRYPTION_WALLETビューのSTATUS列を問い合せると、キーストアが開いているかどうかを確認できます。ソフトウェア・キーストアを開く必要がある場合は、TDEマスター暗号化キーの作成時に、オプションでADMINISTER KEY MANAGEMENT文にFORCE KEYSTORE句を含めることができます。この句を使用すると、自動ログイン・キーストアまたはパスワードベースのキーストアを個別に開く必要なく、TDEマスター暗号化キーの作成中に、ソフトウェア・キーストアを開くことができます。

    たとえば:

    ADMINISTER KEY MANAGEMENT SET KEYSTORE OPEN FORCE KEYSTORE IDENTIFIED BY keystore_password;

  3. 次のSQL文を実行します。 

    ADMINISTER KEY MANAGEMENT CREATE KEY [USING TAG 'tag'] 
[FORCE KEYSTORE] 
IDENTIFIED BY [EXTERNAL STORE | keystore_password] 
[WITH BACKUP [USING 'backup_identifier']] 
[CONTAINER = (ALL|CURRENT)];

    ここでは次のように指定します。

    • tagは、定義する関連の属性および情報です。この設定は一重引用符(' ')で囲みます。

    • FORCE KEYSTOREは、自動ログイン・キーストアが開いている(および使用されている)か、キーストアが閉じている場合に、キーストア操作を有効にします。この句は、キーストアを明示的に開く、またはパスワードベースのキーストアを明示的に開く必要なく、キーストアを開くことができます。

    • IDENTIFIED BYは次のいずれかの設定にできます。

      • EXTERNAL STOREは、外部ストアに格納されたキーストア・パスワードを使用して、キーストア操作を実行します。

      • keystore_passwordは、元のキーストア作成時に使用した必須のキーストア・パスワードです。大文字と小文字が区別されます。

    • WITH BACKUPは、キーと同じ場所(V$ENCRYPTION_WALLETビューのWRL_PARAMETER列で識別されます)にTDEマスター暗号化キーをバックアップします。すべてのデータベース・インスタンスのキーの場所を確認するには、GV$ENCRYPTION_WALLETビューを問い合せます。

      パスワードベースのソフトウェア・キーストアをバックアップする必要があります。自動ログイン・ソフトウェア・キーストアやローカル自動ログイン・ソフトウェア・キーストアをバックアップする必要はありません。オプションで、USING backup_identifier句を含めることで、バックアップの説明を追加できます。backup_identifierは、一重引用符(' ')で囲みます。

    • CONTAINERは、マルチテナント環境で使用するために用意されています。このCDBのすべてのPDBで暗号化キーを設定する場合はALL、現在のPDBの場合はCURRENTを入力します。

  4. 必要に応じて、TDEマスター暗号化キーをアクティブ化します。

    たとえば: 

    ADMINISTER KEY MANAGEMENT USE KEY 
'ARaHD762tUkkvyLgPzAi6hMAAAAAAAAAAAAAAAAAAAAAAAAAAAAA' 
USING TAG 'quarter:second;description:Activate Key on standby' 
IDENTIFIED BY password WITH BACKUP;
4.2.1.3 例: 1つのデータベースでのTDEマスター暗号化キーの作成

ADMINISTER KEY MANAGEMENT CREATE KEY USING TAG文を使用して、1つのデータベースにTDEマスター暗号化キーを作成できます。

例4-3に、1つのデータベースにTDEマスター暗号化キーを作成する方法を示します。この文を実行すると、タグ定義で指定したTDEマスター暗号化キーが、そのデータベースのキーストアに作成されます。新しく作成したキーの識別子については、V$ENCRYPTION_KEYSビューのTAG列を問い合せることができます。最も最近作成されたキー(この文で作成したキー)を確認するには、CREATION_TIME列を問い合せます。このキーは、必要に応じて別のデータベースにエクスポートすることや、TDEマスター暗号化キーのアクティブ化の説明に従って後からローカルでアクティブ化できます。

例4-3 1つのデータベースでのTDEマスター暗号化キーの作成

ADMINISTER KEY MANAGEMENT CREATE KEY USING TAG
'source:admin@source;target:db1@target' 
IDENTIFIED BY password WITH BACKUP;

keystore altered.
4.2.1.4 例: すべてのPDBでのTDEマスター暗号化キーの作成

ADMINISTER KEY MANAGEMENT CREATE KEY USING TAG文を使用して、すべてのPDBにTDEマスター暗号化キーを作成できます。

例4-4に、マルチテナント環境のすべてのPDBにTDEマスター暗号化キーを作成する方法を示します。ここでは、ルートの自動ログイン・キーストアが開いている場合に、FORCE KEYSTORE句を使用します。パスワードが外部に格納されるため、IDENTIFIED BY句にEXTERNAL STORE設定が使用されます。この文を実行すると、TDEマスター暗号化キーが各PDBに作成されます。それらのキーの識別子は次のように確認できます。

  • PDBにログインして、V$ENCRYPTION_KEYSビューのTAG列を問い合せます。

  • rootでログインして、GV$ENCRYPTION_KEYSビューのINST_IDおよびTAG列を問い合せます。

また、最も最近作成されたキー(この文で作成したキー)を確認するには、それらのビューのCREATION_TIME列を確認します。キーの作成後、各PDBでキーを個々にアクティブ化できます。

例4-4 すべてのPDBでのTDEマスター暗号化キーの作成

ADMINISTER KEY MANAGEMENT CREATE KEY USING TAG 
'scope:all pdbs;description:Create Key for ALL PDBS' 
FORCE KEYSTORE IDENTIFIED BY EXTERNAL STORE 
WITH BACKUP CONTAINER=ALL;
 
keystore altered.

4.2.2 TDEマスター暗号化キーのアクティブ化

TDEマスター暗号化キーはアクティブ化すると、使用できます。

親トピック: TDEマスター暗号化キーの管理

4.2.2.1 TDEマスター暗号化キーのアクティブ化について

ADMINISTER KEY MANAGEMENTUSE KEY句を使用することで、以前に作成済またはインポート済のTDEマスター暗号化キーをアクティブ化できます。

マスター暗号化キーをアクティブ化すると、データベース内のすべてのデータ暗号化キーを暗号化するために使用されます。キーを使用して、すべての列のキーとすべての表領域暗号化キーを保護できます。ロジカル・スタンバイ・データベースをデプロイしている場合、TDEマスター暗号化キーを再作成後にエクスポートしてから、スタンバイ・データベースにインポートする必要があります。プライマリ・データベースとスタンバイ・データベースの両方でTDEマスター暗号化キーを使用するように選択できます。これを行うには、TDEマスター暗号化キーを、ロジカル・スタンバイ・データベースへのインポート後にアクティブ化する必要があります。

4.2.2.2 TDEマスター暗号化キーのアクティブ化

TDEマスター暗号化キーをアクティブ化するには、キーストアを開き、USE KEY句を含むADMINISTER KEY MANAGEMENTを使用する必要があります。

  1. ADMINISTER KEY MANAGEMENTまたはSYSKM権限が付与されたユーザーとして、データベース・インスタンスにログインします。

    マルチテナント環境では、rootとしてログインします。たとえば:

    sqlplus c##sec_admin as syskm
Enter password: password
Connected.

  2. キーストアが開いていることを確認します。

    V$ENCRYPTION_WALLETビューのSTATUS列を問い合せると、キーストアが開いているかどうかを確認できます。ソフトウェア・キーストアを開く必要がある場合は、TDEマスター暗号化キーのアクティブ化の際に、オプションでADMINISTER KEY MANAGEMENT文にFORCE KEYSTORE句を含めることができます。この句を使用すると、自動ログイン・キーストアまたはパスワードベースのキーストアを個別に開く必要なく、TDEマスター暗号化キーのアクティブ化中に、ソフトウェア・キーストアを開くことができます。

    たとえば:

    ADMINISTER KEY MANAGEMENT SET KEYSTORE OPEN FORCE KEYSTORE IDENTIFIED BY keystore_password;

  3. V$ENCRYPTION_KEYSビューのKEY_ID列を問い合せて、キーの識別子を確認します。

    たとえば: 

    SELECT KEY_ID FROM V$ENCRYPTION_KEYS; 

KEY_ID
----------------------------------------------------
ARaHD762tUkkvyLgPzAi6hMAAAAAAAAAAAAAAAAAAAAAAAAAAAAA

  4. 次のSQL文を実行します。 

    ADMINISTER KEY MANAGEMENT USE KEY 'key_identifier' 
[USING TAG 'tag'] [FORCE KEYSTORE] 
IDENTIFIED BY [EXTERNAL STORE | keystore_password] 
[WITH BACKUP [USING 'backup_identifier']];

    ここでは次のように指定します。

    • key_identifierは、V$ENCRYPTION_KEYSビューのKEY_ID列を問い合せて確認するキーの識別子です。この設定は一重引用符(' ')で囲みます。

    • tagは、定義する関連の属性および情報です。この設定は一重引用符(' ')で囲みます。

    • FORCE KEYSTOREは、自動ログイン・キーストアが使用されているか、キーストアが閉じている場合に、キーストア操作を有効にします。

    • IDENTIFIED BYは次のいずれかの設定にできます。

      • EXTERNAL STOREは、外部ストアに格納されたキーストア・パスワードを使用して、キーストア操作を実行します。

      • keystore_passwordは、元のキーストア作成時に使用した必須のキーストア・パスワードです。

    • WITH BACKUPは、元のウォレットと同じ場所(V$ENCRYPTION_WALLETビューのWRL_PARAMETER列で識別されます)にウォレットをバックアップします。すべてのデータベース・インスタンスのキーの場所を確認するには、V$ENCRYPTION_WALLETまたはGV$ENCRYPTION_WALLETビューを問い合せます。

      WITH BACKUP句は、ウォレットを変更するADMINISTER KEY MANAGEMENT文すべてに必須です。オプションで、USING backup_identifier句を含めることで、バックアップの説明を追加できます。backup_identifierは、一重引用符(' ')で囲みます。

    • CONTAINERは、マルチテナント環境で使用するために用意されています。このCDBのすべてのPDBで暗号化キーを設定する場合はALL、現在のPDBの場合はCURRENTを入力します。

4.2.2.3 例: TDEマスター暗号化キーのアクティブ化

ADMINISTER KEY MANAGEMENT SQL文を使用して、TDEマスター暗号化キーをアクティブ化できます。

例4-5に、以前にインポート済のTDEマスター暗号化キーをアクティブ化してそのタグを更新する方法を示します。このキーは、現在のデータベースのタイムスタンプとタイムゾーンでアクティブ化されます。

例4-5 TDEマスター暗号化キーのアクティブ化

ADMINISTER KEY MANAGEMENT USE KEY 
'ARaHD762tUkkvyLgPzAi6hMAAAAAAAAAAAAAAAAAAAAAAAAAAAAA' 
USING TAG 'quarter:second;description:Activate Key on standby' 
IDENTIFIED BY password WITH BACKUP;

keystore altered.

次の同じ操作のバージョンでは、自動ログイン・キーストアが使用されているか、キーストアが閉じている場合に、FORCE KEYSTORE句が追加されます。キーストアのパスワードが外部に格納されるため、IDENTIFIED BY句にEXTERNAL STORE設定が使用されます。 

ADMINISTER KEY MANAGEMENT USE KEY 
'ARaHD762tUkkvyLgPzAi6hMAAAAAAAAAAAAAAAAAAAAAAAAAAAAA' 
USING TAG 'quarter:second;description:Activate Key on standby' 
FORCE KEYSTORE IDENTIFIED BY EXTERNAL STORE WITH BACKUP;

keystore altered.

4.2.3 TDEマスター暗号化キーの属性管理

マスター暗号化キーの属性には、TDEマスター暗号化キーについての情報が保存されます。

親トピック: TDEマスター暗号化キーの管理

4.2.3.1 TDEマスター暗号化キーの属性

TDEマスター暗号化キーの属性には、TDEマスター暗号化キーについての詳細情報が含まれます。

次のタイプの情報が含まれます。

  • キーのタイムスタンプ情報:通常、内部セキュリティ・ポリシーおよびコンプライアンス・ポリシーによって、キーのキー更新頻度が決まります。ライフタイムの終わりに達したらキーを期限切れにして、新しいキーを生成する必要があります。キーの作成時間やアクティブ化時間などのタイムスタンプ属性は、キーの古さを正確に判断してキーを自動生成するために役立ちます。

    V$ENCRYPTION_KEYSビューには、CREATION_TIMEACTIVATION_TIME.などの列が含まれますV$ENCRYPTION_KEYSビューの詳細は、『Oracle Databaseリファレンス』を参照してください。

  • キーの所有者情報: キーの所有者属性は、キーを作成またはアクティブ化したユーザーを判断するために役立ちます。これらの属性は、セキュリティ、監査、および追跡において重要な場合があります。また、キーの所有者属性には、キーがスタンドアロンTDE操作に使用されるか、マルチテナント環境で使用されるかといった、キーの使用情報が含まれます。

    V$ENCRYPTION_KEYSビューには、CREATOR、CREATOR_ID、USER、USER_ID、KEY_USEなどの列が含まれます。

  • キー・ソース情報: 多くの場合、キーは、インポート/エクスポート操作やData Guard関連の操作のためにデータベース間で移動する必要があります。キー・ソース属性によって、それぞれのキーの起点を追跡できます。キーがローカルで作成されたかインポートされたか、およびキーを作成したデータベースのデータベース名とインスタンス番号を追跡できます。マルチテナント環境では、キーが作成されたPDBを追跡できます。

    V$ENCRYPTION_KEYSビューには、CREATOR_DBNAME、CREATOR_DBID、CREATOR_INSTANCE_NAME、CREATOR_INSTANCE_NUMBER、CREATOR_PDBNAMEなどの列が含まれます。

  • キーの使用情報: キーの使用情報によって、キーが使用されているデータベースまたはPDBが決まります。また、キーがアクティブに使用されているかどうかを判断するために役立ちます。

    V$ENCRYPTION_KEYSビューには、ACTIVATING_DBNAME、ACTIVATING_DBID、ACTIVATING_INSTANCE_NAME、ACTIVATING_PDBNAMEなどの列が含まれます。

  • ユーザー定義情報およびその他の情報: キーを作成するとき、TAGオプションを使用して情報を関連付けることができます。各キーには、バックアップされたかどうかなどの重要な情報が含まれます。

    V$ENCRYPTION_KEYSビューには、KEY_ID、TAGなどの列と、BACKED_UPなどのその他の列が含まれます。

ノート:

TDEマスター・キー属性およびタグは、PKCS#11データ・オブジェクトをサポートするハードウェア・セキュリティ・モジュールでのみサポートされます。
4.2.3.2 使用中のTDEマスター暗号化キーの検出

使用中のTDEマスター暗号化キーは、データベースで一番最近アクティブ化されたキーです。

マルチテナント環境で、PDBで使用されているマスター・キーは、そのPDB用に最も最近アクティブ化されたものになります。

  • マスター・キーを検出するには、V$ENCRYPTION_KEYS動的ビューを問い合せます。

    • CDB以外で使用中のマスター・キーを検出するには: 

      SELECT KEY_ID 
FROM V$ENCRYPTION_KEYS 
WHERE ACTIVATION_TIME = (SELECT MAX(ACTIVATION_TIME) 
                         FROM V$ENCRYPTION_KEYS
                         WHERE ACTIVATING_DBID = (SELECT DBID FROM V$DATABASE));

    • CDBで使用中のマスター・キーを検出するには:

      SELECT KEY_ID 
FROM V$ENCRYPTION_KEYS 
WHERE ACTIVATION_TIME = (SELECT MAX(ACTIVATION_TIME) 
                       FROM V$ENCRYPTION_KEYS
                       WHERE ACTIVATING_PDBID = SYS_CONTEXT('USERENV', 'CON_ID'));

4.2.4 レポート用のTDEマスター暗号化キーのカスタム属性の作成

TDEマスター暗号化キーのカスタム属性では、ニーズに適した属性を定義できます。

親トピック: TDEマスター暗号化キーの管理

4.2.4.1 カスタム属性タグの作成について

属性タグにより、特定の端末IDへのアクセスなど、ユーザーが実行する特定のアクティビティを監視できます。

デフォルトでは、Oracle Databaseには、作成時間やTDEマスター暗号化キーが使用されるデータベースなど、作成されるTDEマスター暗号化キーの様々な特性を説明する属性セットが定義されます。これらの属性は、V$ENCRYPTION_KEY動的ビューによって取得されます。

V$ENCRYPTION_KEYS動的ビューのTAG列で取得可能なカスタム属性を作成できます。これにより、暗号化キーを操作するユーザーなど、監視したい動作を定義できます。タグには、特定の端末のセッションIDなど、複数の属性を含めることができます。

4.2.4.2 カスタム属性タグの作成

カスタム属性タグを作成するには、ADMINISTER KEY MANAGEMENT文のSET TAG句を使用する必要があります。

  1. ADMINISTER KEY MANAGEMENTまたはSYSKM権限が付与されたユーザーとして、データベース・インスタンスにログインします。

    マルチテナント環境では、rootとしてログインします。たとえば: 

    sqlplus c##sec_admin as syskm
Enter password: password
Connected.

  2. 必要に応じて、V$ENCRYPTION_KEY動的ビューのTAG列を問い合せて、TDEマスター暗号化キーの既存のタグのリストを確認します。

    TDEマスター暗号化キーの新しいタグを作成すると、そのTDEマスター暗号化キーの既存のタグは上書きされます。

  3. 次のようにタグを作成します。

    ADMINISTER KEY MANAGEMENT SET TAG 'tag' FOR 'master_key_identifier' 
[FORCE KEYSTORE] IDENTIFIED BY [EXTERNAL STORE | keystore_password] 
[WITH BACKUP [USING 'backup_identifier']];

    ここでは次のように指定します。

    • tagは、定義する関連の属性または情報です。この情報は、一重引用符(' ')で囲みます。

    • master_key_identifierは、tagが設定されるTDEマスター暗号化キーを識別します。TDEマスター暗号化キー識別子のリストを確認するには、V$ENCRYPTION_KEYS動的ビューのKEY_ID列を問い合せます。

    • FORCE KEYSTOREは、自動ログイン・キーストアが使用されているか、キーストアが閉じている場合に、キーストア操作を有効にします。

    • IDENTIFIED BYは次のいずれかの設定にできます。

      • EXTERNAL STOREは、外部ストアに格納されたキーストア・パスワードを使用して、キーストア操作を実行します。

      • keystore_passwordは、キーストアの作成に使用されたパスワードです。

    • backup_identifierは、タグの値を定義します。この設定は一重引用符(' ')で囲み、それぞれの値をコロンで区切ります。

    たとえば、2つの値(1番目は特定のセッションID、2番目は特定の端末IDを取得)を使用するタグを作成するには、次のようにします。 

    ADMINISTER KEY MANAGEMENT SET ENCRYPTION KEY USING TAG 
'sessionid=3205062574:terminal=xcvt' 
IDENTIFIED BY keystore_password WITH BACKUP;

keystore altered.

    セッションID (3205062574)と端末ID (xcvt)はどちらも、SYS_CONTEXT関数でUSERENVネームスペースを使用するか、USERENV関数を使用することで、値を導出できます。

TDEマスター暗号化キーのタグを作成すると、その名前がそのTDEマスター暗号化キーのV$ENCRYPTION_KEYSビューのTAG列に表示されます。シークレットのタグを作成すると、そのタグは、V$CLIENT_SECRETSビューのSECRET_TAG列に表示されます。タグでシークレットを作成した場合、そのタグはV$CLIENT_SECRETSビューのSECRET_TAG列に表示されます。

関連項目:

親トピック: レポート用のTDEマスター暗号化キーのカスタム属性の作成

4.2.5 キーストアのTDEマスター暗号化キーの設定またはローテーション

ソフトウェア・キーストアについても暗号化キーストアについても、TDEマスター暗号化キーを設定またはローテーションできます。

親トピック: TDEマスター暗号化キーの管理

4.2.5.1 キーストアのTDEマスター暗号化キーの設定またはローテーションについて

パスワードベースのソフトウェア・キーストアについても外部キーストアについても、TDEマスター暗号化キーを設定またはローテーションできます。

TDEマスター暗号化キーは、外部セキュリティ・モジュール(キーストア)に格納され、TDE表キーおよび表領域暗号化キーの保護に使用されます。デフォルトでは、TDEマスター暗号化キーは、透過的データ暗号化(TDE)によって作成されるシステム生成のランダム値です。

TDEマスター暗号化キーを設定または再設定(REKEY)するには、ADMINISTER KEY MANAGEMENT文を使用します。マスター暗号化キーが設定されると、TDEは有効と見なされ、無効化できません。

データベースの列または表領域を暗号化または復号化するには、TDEマスター暗号化キーを事前に生成しておく必要があります。Oracle Databaseでは、TDE列暗号化とTDE表領域暗号化の両方で同じTDEマスター暗号化キーが使用されます。ソフトウェアまたはハードウェアTDEマスター暗号化キーの設定手順では、TDEマスター暗号化キーの生成方法について説明します。

4.2.5.2 TDEマスター暗号化キーの作成とバックアップおよびタグの適用

ADMINISTER KEY MANAGEMENT文を使用して、TDEマスター暗号化キーを作成してバックアップし、そのキーにタグを適用できます。

  1. ADMINISTER KEY MANAGEMENTまたはSYSKM権限が付与されたユーザーとして、データベース・インスタンスにログインします。

    マルチテナント環境で、rootまたはPDBにログインします。たとえば: 

    sqlplus sec_admin@hrpdb as syskm
Enter password: password
Connected.

    利用可能なPDBを検索するには、DBA_PDBSデータ・ディクショナリ・ビューを問い合せます。現在のPDBを確認するには、show con_nameコマンドを実行します。

  2. 次のSQL文を実行します。 

    ADMINISTER KEY MANAGEMENT SET ENCRYPTION KEY [USING TAG 'tag'] 
[FORCE KEYSTORE] IDENTIFIED BY [EXTERNAL STORE | keystore_password] 
WITH BACKUP [USING 'backup_identifier'] [CONTAINER = ALL | CURRENT];

    ここでは次のように指定します。

    • tagは、作成するタグです。このタグは、一重引用符(' ')で囲みます。

    • FORCE KEYSTOREは、自動ログイン・キーストアが使用されているか、キーストアが閉じている場合に、キーストア操作を有効にします。

    • IDENTIFIED BYは次のいずれかの設定にできます。

      • EXTERNAL STOREは、外部ストアに格納されたキーストア・パスワードを使用して、キーストア操作を実行します。

      • keystore_passwordは、software_keystore_passwordまたはexternal_key_manager_passwordのいずれかです。パスワード文字列は、二重引用符(" ")で囲みます。

    • WITH BACKUPは、キーと同じ場所(V$ENCRYPTION_WALLETビューのWRL_PARAMETER列で識別されます)にTDEマスター暗号化キーをバックアップします。すべてのデータベース・インスタンスのWRL_PARAMETER値を見つけるには、GV$ENCRYPTION_WALLETビューを問い合せます。

      パスワードベースのソフトウェア・キーストアをバックアップする必要があります。自動ログイン・ソフトウェア・キーストアやローカル自動ログイン・ソフトウェア・キーストアの場合、使用する必要はありません。オプションで、USING backup_identifier句を含めることで、バックアップの説明を追加できます。この識別子は、一重引用符(' ')で囲みます。

    • CONTAINERは、マルチテナント環境で使用するために用意されています。このCDBのすべてのPDBで暗号化キーを設定する場合はALL、現在のPDBの場合はCURRENTを入力します。

    たとえば:

    ADMINISTER KEY MANAGEMENT SET ENCRYPTION KEY USING TAG 'backups" 
IDENTIFIED BY password WITH BACKUP USING 'hr.emp_key_backup';

keystore altered.

Oracle Databaseでは、sqlnet.oraファイルのENCRYPTION_WALLET_LOCATIONパラメータによって指定されているキーストア・ロケーションにあるキーストアを使用して、TDEマスター暗号化キーを格納します。

4.2.5.3 TDEマスター暗号化キーのローテーションについて

Oracle Databaseでは、TDE列暗号化とTDE表領域暗号化の両方で統合されたマスター暗号化キーが使用されます。

TDE列暗号化用にTDEマスター暗号化キーをローテーション(キー更新とも呼ぶ)すると、TDE表領域暗号化用のマスター暗号化キーもローテーションされます。マスター暗号化キーのローテーションは、マスター暗号化キーの安全性が損なわれた場合、または組織のセキュリティ・ポリシーに従う場合にのみ実行します。このプロセスによって、前のTDEマスター暗号化キーは非アクティブ化されます。

TDEマスター暗号化キーを変更したり、自動ログイン・キーストアのTDEマスター暗号化キーをローテーションすることはできません。自動ログイン・キーストアにはパスワードがないため、管理者または権限のあるユーザーは、セキュリティ担当者に知らせずにキーを変更できます。ただし、自動ログイン・キーストアとパスワードベースのキーストアの両方が(sqlnet.oraファイルで設定する)構成されたロケーションに存在する場合、TDEマスター暗号化キーをローテーションすると、自動ログイン・キーストアとパスワードベースのキーストアの両方にTDEマスター暗号化キーが追加されます。自動ログイン・キーストアが、パスワードベースのキーストアとは異なるロケーションで使用中の場合、自動ログイン・キーストアを再作成する必要があります。

マスター・キーのローテーション操作をオンライン表領域のキー更新操作と同時に実行しないでください。オンライン表領域がローテーション中かどうかを確認するには、次の問合せを発行します。 

SELECT TS#,ENCRYPTIONALG,STATUS FROM V$ENCRYPTED_TABLESPACES;

REKEYINGというステータスは、対応する表領域がまだローテーション中であることを意味します。

ノート:

自動ログイン・キーストアに新しい情報を個別に追加することはできません。

4.2.5.4 TDEマスター暗号化キーのローテーション

ADMINISTER KEY MANAGEMENT文を使用して、TDEマスター暗号化キーをローテーション(キー更新とも呼ぶ)できます。

セキュリティを強化し、コンプライアンス規制を満たすために、定期的にTDEマスター暗号化キーをローテーションすることをお薦めします。このプロセスでは、前のTDEマスター暗号化キーを非アクティブ化し、新しいTDEマスター暗号化キーを作成してアクティブ化します。最近作成されたキーを確認するには、V$ENCRYPTION_KEYSビューのCREATION_TIME列を問い合せます。最近アクティブ化されたキーを確認するには、V$ENCRYPTION_KEYSビューのACTIVATION_TIME列を問い合せます。
  1. ADMINISTER KEY MANAGEMENTまたはSYSKM権限が付与されたユーザーとして、データベース・インスタンスにログインします。
    マルチテナント環境で、rootまたはPDBにログインします。たとえば、hrpdbというPDBにログインするには、次のようにします。 
    sqlplus sec_admin@hrpdb as syskm
Enter password: password
Connected.

    利用可能なPDBを検索するには、DBA_PDBSデータ・ディクショナリ・ビューを問い合せます。現在のPDBを確認するには、show con_nameコマンドを実行します。

  2. キーストアが開いていることを確認します。
    V$ENCRYPTION_WALLETビューのSTATUS列を問い合せて、キーストアが開いているかどうかを確認します。ソフトウェア・キーストアを開く必要がある場合は、TDEマスター暗号化キーのローテーションの際に、オプションでADMINISTER KEY MANAGEMENT文にFORCE KEYSTORE句を含めることができます。この句を使用すると、自動ログイン・キーストアまたはパスワードベースのキーストアを個別に開く必要なく、TDEマスター暗号化キーのローテーション中に、ソフトウェア・キーストアを開くことができます。

    たとえば:

    ADMINISTER KEY MANAGEMENT SET KEYSTORE OPEN FORCE KEYSTORE IDENTIFIED BY keystore_password;
  3. 自動ログインを有効化したキーストアのTDEマスター暗号化キーをローテーションする場合、.ssoファイルによって識別される自動ログイン・キーストアと.p12ファイルによって識別される暗号化キーストアの両方が存在することを確認する必要があります。
    これらのファイルのロケーションは、V$ENCRYPTION_WALLETビューのWRL_PARAMETER列を問い合せることで確認できます。すべてのデータベース・インスタンスのWRL_PARAMETER値を見つけるには、GV$ENCRYPTION_WALLETビューを問い合せます。
  4. 次の文を使用して、TDEマスター暗号化キーをローテーションします。 
    ADMINISTER KEY MANAGEMENT SET ENCRYPTION KEY [USING TAG 'tag'] 
[FORCE KEYSTORE] IDENTIFIED BY [EXTERNAL STORE | keystore_password] 
WITH BACKUP [USING 'backup_identifier'] [CONTAINER = ALL | CURRENT];

    ここでは次のように指定します。

    • tagは、定義する関連の属性および情報です。この設定は一重引用符(' ')で囲みます。

    • FORCE KEYSTOREは、自動ログイン・キーストアが使用されているか、キーストアが閉じている場合に、キーストア操作を有効にします。

    • IDENTIFIED BYは次のいずれかの設定にできます。

      • EXTERNAL STOREは、外部ストアに格納されたキーストア・パスワードを使用して、キーストア操作を実行します。

      • keystore_passwordは、ステップ2: ソフトウェア・キーストアを作成するでキーストア作成時に作成した必須のキーストア・パスワードです。

    • WITH BACKUPを使用すると、キーストアのバックアップが作成されます。パスワードベースのキーストアおよび外部キーストアの場合は、このオプションを使用する必要があります。オプションでUSING句を使用し、バックアップの簡単な説明を追加できます。この説明は一重引用符(' ')で囲みます。この識別子は名前付きキーストア・ファイルに付加されます(ewallet_time-stamp_emp_key_backup.p12など)。オペレーティング・システムで使用されているファイル命名規則に従ってください。

    • CONTAINERは、マルチテナント環境で使用するために用意されています。このCDBのすべてのPDBでキーストアを開くには、ALLを入力するか、現在のPDBでキーストアを開くには、CURRENTを入力します。

    たとえば:

    ADMINISTER KEY MANAGEMENT SET KEY IDENTIFIED BY keystore_password WITH BACKUP USING 'emp_key_backup';

keystore altered.
4.2.5.5 表領域のTDEマスター暗号化キーのローテーション

ALTER TABLESPACE文のREKEY句を使用して、暗号化された表領域の暗号化キーをローテーションできます。

  1. 表領域が読取り-書込みモードで開いていることを確認します。

    V$INSTANCE動的ビューのSTATUS列を問い合せてデータベースが開いているかどうか、V$DATABASEビューのOPEN_MODE列を問い合せて読取り-書込みモードであるかどうかを確認できます。

  2. 必要に応じて、読取り-書込みモードでデータベースを開きます。
    ALTER DATABASE OPEN READ WRITE;
  3. ALTER TABLESPACE SQL文を実行して表領域を暗号化します。

    たとえば:

    ALTER TABLESPACE encrypt_ts ENCRYPTION USING 'AES256' ENCRYPT;

4.2.6 TDEマスター暗号化キーのエクスポートおよびインポート

TDEマスター暗号化キーは、マルチテナント環境などの機能のニーズに合わせて、様々な方法でエクスポートおよびインポートできます。

親トピック: TDEマスター暗号化キーの管理

4.2.6.1 TDEマスター暗号化キーのエクスポートおよびインポートについて

Oracle Databaseには、トランスポータブル表領域などの機能があり、Oracle Data Pumpでは、データベース間で暗号化される可能性のあるデータが移動されます。

さらに、CDBにはプラグインまたはアンプラグ可能なPDBが含まれます。これらは、TDEマスター暗号化キーのエクスポートとインポートによってソース・キーストアとターゲット・キーストア間でそれらを移動することを選択できる一般的なシナリオです。Data Guard (ロジカル・スタンバイ)では、プライマリ・データベースのキーストアをスタンバイ・データベースにコピーする必要があります。プライマリ・データベースのキーストアをスタンバイ・データベースとマージするかわりに、使用中のTDEマスター暗号化キーをエクスポートした後でスタンバイ・データベースにインポートできます。暗号化されているトランスポータブル表領域をデータベース間で移動するには、ソース・データベースのTDEマスター暗号化キーをエクスポートしてから、ターゲット・データベースにインポートする必要があります。

4.2.6.2 TDEマスター暗号化キーのエクスポートについて

ADMINISTER KEY MANAGEMENT EXPORTを使用して、キーストアからTDEマスター暗号化キーをエクスポートし、その後、別のキーストアにインポートできます。

TDEマスター暗号化キーは、キー識別子およびキー属性とともにエクスポートされます。エクスポートされるキーは、エクスポート・ファイルのパスワード(シークレット)で保護されます。

エクスポートするTDEマスター暗号化キーを指定するには、ADMINSITER KEY MANAGENT EXPORT文のWITH IDENTIFIER句を使用します。TDEマスター暗号化キーをエクスポートするには、それらのキー識別子をカンマ区切りリストとして指定するか、キー識別子を列挙する問合せを指定します。Oracle Databaseでは、定義者の権限ではなく現在のユーザーの権限内でキー識別子を特定する問合せが実行されることに注意してください。

WITH IDENTIFER句を省略すると、データベースのすべてのTDEマスター暗号化キーがエクスポートされます。

統合データベースでは、PDBのアンプラグのためにPDB内からキーをエクスポートできます。このシナリオでは、PDBではなくrootでのみWITH IDENTIFIER句を使用できます。

4.2.6.3 TDEマスター暗号化キーのエクスポート

EXPORT [ENCRYPTION] KEYS WITH SECRET句を含むADMINISTER KEY MANAGEMENT文によって、TDEマスター暗号化キーをエクスポートします。

  1. ADMINISTER KEY MANAGEMENTまたはSYSKM権限が付与されたユーザーとして、データベース・インスタンスにログインします。

    マルチテナント環境では、rootとしてログインします。たとえば: 

    sqlplus c##sec_admin as syskm
Enter password: password
Connected.

  2. 必要に応じて、キーストアを開きます。

    たとえば: 

    ADMINISTER KEY MANAGEMENT SET KEYSTORE OPEN IDENTIFIED BY password;

  3. 次のSQL文を実行して、TDEマスター暗号化キーのセットをエクスポートします。

    ADMINISTER KEY MANAGEMENT EXPORT [ENCRYPTION] KEYS 
WITH SECRET "export_secret" 
TO 'file_path' 
IDENTIFIED BY [EXTERNAL STORE | keystore_password]
[WITH IDENTIFIER IN 'key_id1', 'key_id2', 'key_idn' | (SQL_query)];

    ここでは次のように指定します。

    • export_secretは、エクスポートするキーが含まれるエクスポート・ファイルを暗号化するために指定できるパスワードです。このシークレットは、二重引用符(" ")で囲むか、シークレットにスペースが使われていない場合は引用符を省略できます。

    • file_pathは、キーのエクスポート先ファイルの完全パスと名前です。このパスは、一重引用符(' ')で囲みます。

    • IDENTIFIED BYは次のいずれかの設定にできます。

      • EXTERNAL STOREは、外部ストアに格納されたキーストア・パスワードを使用して、キーストア操作を実行します。

      • software_keystore_passwordは、キーが含まれるキーストアのパスワードです。

    • key_id1key_id2key_idnは、エクスポートするTDEマスター暗号化キーの1つ以上のTDEマスター暗号化キー識別子の文字列です。各キー識別子はカンマで区切り、それぞれのキー識別子を一重引用符(' ')で囲みます。TDEマスター暗号化キー識別子のリストを確認するには、V$ENCRYPTION_KEYS動的ビューのKEY_ID列を問い合せます。

    • SQL_queryは、TDEマスター暗号化キー識別子のリストをフェッチする問合せです。これによって、通常はTDEマスター暗号化キー識別子が含まれる1つの列のみが返されます。この問合せは、現在のユーザー権限で実行されます。

4.2.6.4 例: 副問合せを使用したTDEマスター暗号化キー識別子のエクスポート

ADMINISTER KEY MANAGEMENT EXPORT ENCRYPTION KEYS文によって、副問合せを使用してTDEマスター暗号化キーをエクスポートできます。

例4-7に、識別子が問合せによってフェッチされるTDEマスター暗号化キーをexport.expというファイルにエクスポートする方法を示します。ファイル内のTDEマスター暗号化キーは、シークレットmy_secretを使用して暗号化されます。SELECT文で、エクスポートするTDEマスター暗号化キーの識別子を検出します。

マルチテナント環境では、PDB内でキーをインポートまたはエクスポートしようとする場合、WITH IDENTIFIER句はサポートされません。これはrootでのみ許可されます。PDBでキーをエクスポートする方法の詳細は、PDB向けのTDEマスター暗号化キーのエクスポートおよびインポートを参照してください。

例4-6 ファイルへのTDEマスター暗号化キー識別子のリストのエクスポート

ADMINISTER KEY MANAGEMENT EXPORT ENCRYPTION KEYS WITH SECRET "my_secret" 
TO '/TDE/export.exp' IDENTIFIED BY password 
WITH IDENTIFIER IN 'AdoxnJ0uH08cv7xkz83ovwsAAAAAAAAAAAAAAAAAAAAAAAAAAAAA',
'AW5z3CoyKE/yv3cNT5CWCXUAAAAAAAAAAAAAAAAAAAAAAAAAAAAA';

keystore altered.
4.2.6.5 例: ファイルへのTDEマスター暗号化キー識別子のリストのエクスポート

ADMINISTER KEY MANAGEMENT EXPORT ENCRYPTION KEYS WITH SECRET文によって、TDEマスター暗号化キー識別子のリストをファイルにエクスポートできます。

例4-6に、リストとして識別子を指定することでTDEマスター暗号化キーをexport.expというファイルにエクスポートする方法を示します。ファイル内のマスター暗号化キーは、シークレットmy_secretを使用して暗号化されます。エクスポートされるTDEマスター暗号化キーの識別子は、カンマ区切りのリストとして提供されます。

例4-7 副問合せを使用したTDEマスター暗号化キー識別子のエクスポート

ADMINISTER KEY MANAGEMENT EXPORT ENCRYPTION KEYS WITH SECRET "my_secret" 
TO '/etc/TDE/export.exp' IDENTIFIED BY password 
WITH IDENTIFIER IN (SELECT KEY_ID FROM V$ENCRYPTION_KEYS WHERE ROWNUM <3);

keystore altered.
4.2.6.6 例: データベースのすべてのTDEマスター暗号化キーのエクスポート

ADMINISTER KEY MANAGEMENT EXPORT ENCRYPTION KEYS SQL文によって、データベースのすべてのTDEマスター暗号化キーをエクスポートできます。

例4-8に、データベースのすべてのTDEマスター暗号化キーをexport.expというファイルにエクスポートする方法を示します。ファイル内のTDEマスター暗号化キーは、シークレットmy_secretを使用して暗号化されます。

例4-8 データベースのすべてのTDEマスター暗号化キーのエクスポート

ADMINISTER KEY MANAGEMENT EXPORT ENCRYPTION KEYS WITH SECRET "my_secret" TO
'/etc/TDE/export.exp' IDENTIFIED BY password;

keystore altered.
4.2.6.7 TDEマスター暗号化キーのインポートについて

ADMINISTER KEY MANAGEMENT IMPORT文によって、エクスポートしたTDEマスター暗号化キーをキー・エクスポート・ファイルからターゲット・キーストアにインポートできます。

すでにインポートされているTDEマスター暗号化キーを再インポートすることはできません。

統合データベースでは、PDBのプラグのためにPDB内からキーをインポートできます。

4.2.6.8 TDEマスター暗号化キーのインポート

IMPORT [ENCRYPTION] KEYS WITH SECRET句を含むADMINISTER KEY MANAGEMENT文によって、TDEマスター暗号化キーをインポートできます。

  1. ADMINISTER KEY MANAGEMENTまたはSYSKM権限が付与されたユーザーとして、データベース・インスタンスにログインします。

    マルチテナント環境では、rootとしてログインします。次のコマンドにより、ユーザーc##sec_adminをrootに記録します。 

    sqlplus c##sec_admin as syskm
Enter password: password
Connected.

  2. 必要に応じて、キーストアを開きます。

    たとえば: 

    ADMINISTER KEY MANAGEMENT SET KEYSTORE OPEN IDENTIFIED BY password;

  3. 次のSQL文を実行します。

    ADMINISTER KEY MANAGEMENT IMPORT [ENCRYPTION] KEYS 
WITH SECRET "import_secret"  FROM 'file_name' | FROM 'file_name' 
IDENTIFIED BY [EXTERNAL STORE | keystore_password] 
[WITH BACKUP [USING 'backup_identifier']];

    ここでは次のように指定します。

    • import_secretは、エクスポート操作時にキーの暗号化に使用されたものと同じパスワードです。このシークレットは、二重引用符(" ")で囲むか、シークレットにスペースが使われていない場合は引用符を省略できます。

    • file_nameは、キーのインポート元ファイルの完全パスと名前です。この設定は一重引用符(' ')で囲みます。

    • IDENTIFIED BYは次のいずれかの設定にできます。

      • EXTERNAL STOREは、外部ストアに格納されたキーストア・パスワードを使用して、キーストア操作を実行します。

      • software_keystore_passwordは、キーがインポートされているソフトウェア・キーストアのパスワードです。

    • WITH BACKUPは、インポート操作の前にターゲット・キーストアがバックアップされていない場合は使用する必要があります。backup_identifierは、キーストアのバックアップを識別するために指定できるオプション文字列です。この設定は一重引用符(' ')で囲みます。

4.2.6.9 例: TDEマスター暗号化キーのインポート

ADMINISTER KEY MANAGEMENT IMPORT KEYS SQL文を使用して、TDEマスター暗号化キーをインポートできます。

例4-9に、ファイルexport.expに格納され、シークレットmy_secretで暗号化されているTDEマスター暗号化キー識別子をインポートする方法を示します。

例4-9 エクスポート・ファイルからのTDEマスター暗号化キー識別子のインポート

ADMINISTER KEY MANAGEMENT IMPORT KEYS WITH SECRET "my_secret" 
FROM '/etc/TDE/export.exp' IDENTIFIED BY password WITH BACKUP;

keystore altered.
4.2.6.10 キーストアのマージとTDEマスター暗号化キーのエクスポートまたはインポートの相違点

キーストア・マージ操作は、TDEマスター暗号化キーのエクスポートおよびインポート操作とは異なります。

ADMINISTER KEY MANAGEMENT MERGE文と、ADMINISTER KEY MANAGEMENT EXPORT文およびIMPORT文は、両方とも最終的にTDEマスター暗号化キーがあるキーストアから次のキーストアに移動されますが、これら2つの文の動作には違いがあります。

  • MERGE文では2つのキーストアがマージされますが、EXPORTおよびIMPORT文ではファイルにキーがエクスポートされるか、ファイルからキーがインポートされます。キーストアはエクスポート・ファイルとは別のものであり、これら2つを交換して使用することはできません。エクスポート・ファイルはキーストアではなく、データベースでキーストアとして使用するように構成することはできません。同様に、IMPORT文でキーストアからTDEマスター暗号化キーを抽出することはできません。

  • MERGE文では指定したキーストアのすべてのTDEマスター暗号化キーがマージされますが、EXPORTおよびIMPORT文では選択可能です。

  • EXPORTおよびIMPORT文では、エクスポート・ファイルの場所(filepath)とファイル名の両方を指定する必要がありますが、MERGE文ではキーストアの場所のみを指定します。

  • キーストアのファイル名は固定で、MERGE操作によって決定され、ewallet.p12またはcwallet.ssoになります。EXPORTおよびIMPORT文で使用するエクスポート・ファイルのファイル名は、ユーザーが指定します。

  • 自動ストレージ管理(ASM)ディスク・グループまたは通常のファイル・システムのキーストアは、MERGE文でマージできます。EXPORTおよびIMPORT文で使用するエクスポート・ファイルは、通常のオペレーティング・システム・ファイルである必要があり、ASMディスク・グループには配置できません。

  • MERGE文を使用してマージするキーストアは、構成されたり、データベースで使用されている必要はありません。EXPORT文は、構成されてデータベースで使用され、エクスポートの終了時に開かれるキーストアからのみキーをエクスポートできます。IMPORT文は、開かれて構成され、データベースで使用されているキーストアにのみキーをインポートできます。

  • MERGE文では、TDEマスター暗号化キーに関連付けられたメタデータは絶対に変更されません。EXPORTおよびIMPORT操作では、PDBのプラグ操作時など、必要に応じてTDEマスター暗号化キーのメタデータが変更されることがあります。

4.2.7 Oracle Key Vaultを使用したTDEマスター暗号化キーの管理

Oracle Key Vaultを使用して、企業全体でTDEマスター暗号化キーを管理および共有できます。

Oracle Key Vaultでは、資格証明ファイルやJavaキーストアなどのセキュリティ・オブジェクトとともに、キーを中央リポジトリに安全に格納し、これらのオブジェクトを他のTDE対応データベースと共有できます。

関連項目:

親トピック: TDEマスター暗号化キーの管理

4.3 Oracle Databaseで使用するシークレットの格納

シークレットとは、Oracle GoldenGateなどの外部クライアントをデータベースに統合するOracle Databaseの内部機能をサポートするデータです。

親トピック: キーストアおよびTDEマスター暗号化キーの管理

4.3.1 キーストアへのOracle Databaseのシークレットの格納について

キーストアでは、Oracle Databaseの内部機能をサポートするシークレットを格納したり、Oracle GoldenGateなどの外部クライアントを統合できます。

秘密キーはOracleの識別子規則に従った文字列である必要があります。既存のキーストアでクライアントのシークレットを追加、更新または削除できます。Oracle GoldenGateのExtractプロセスでは、データ・ファイル内およびREDOまたはUNDOログ内のデータを復号化するためにデータ暗号化キーが必要です。キーは、Oracle DatabaseとOracle GoldenGateクライアントの間でキーを共有するときに、共有シークレットによって暗号化されます。ソフトウェア・キーストアには、共有シークレットが格納されます。

サイトの要件によっては、外部キーストアが構成されている場合でも、自動的にキーストアを開く操作が必要となる場合があります。そのため、外部キー・マネージャのパスワードを自動ログイン・ソフトウェア・キーストアに格納し、外部キーストアで自動ログイン機能を有効にすることができます。また、Oracle Database側では、データベース用の資格証明を格納して、ソフトウェア・キーストアで外部ストレージ・サーバーにログインできます。

Oracle Databaseのシークレットをソフトウェア・キーストアと外部キーストアの両方に格納できます。

  • ソフトウェア・キーストア: シークレットをパスワードベースのソフトウェア・キーストア、自動ログイン・ソフトウェア・キーストア、およびローカル自動ログイン・ソフトウェア・キーストアに格納できます。シークレットを自動ログイン(または自動ログイン・ローカル)・キーストアに格納する場合は、次の点に注意してください。

    • 自動ログイン・ソフトウェア・キーストアがその対応するパスワードベースのソフトウェア・キーストアと同じロケーションにある場合、シークレットは自動的に追加されます。

    • 自動ログイン・ソフトウェア・キーストアがその対応するパスワードベースのソフトウェア・キーストアと異なるロケーションにある場合、パスワードベースのキーストアから自動ログイン・キーストアを再度作成して、2つのキーストアの同期を維持する必要があります。

  • 外部キーストア: シークレットを標準外部キー・マネージャに格納できます。

関連項目

親トピック: Oracle Databaseで使用するシークレットの格納

4.3.2 ソフトウェア・キーストアへのOracle Databaseのシークレットの格納

ADMINISTER KEY MANAGEMENT ADD SECRET|UPDATE SECRET|DELETE SECRET文によって、シークレットの追加、シークレットの更新、およびキーストアからのシークレットの削除を行うことができます。

すべてのADMINISTER KEY MANAGEMENT文と同様に、ADMINISTER KEY MANAGEMENTまたはSYSKM管理権限が必要です。既存のシークレットについての情報を検索するために、V$CLIENT_SECRETS動的ビューを問い合せることができます。

  • シークレットの追加: 次の構文を使用します。 

    ADMINISTER KEY MANAGEMENT
ADD SECRET 'secret' FOR CLIENT 'client_identifier' 
[USING TAG 'tag']
[TO [[LOCAL] AUTO_LOGIN] KEYSTORE keystore_location  
[FORCE KEYSTORE]  
IDENTIFIED BY [EXTERNAL STORE | keystore_password]
[WITH BACKUP [USING backup_id];

  • シークレットの更新: 次の構文を使用します。 

    ADMINISTER KEY MANAGEMENT
UPDATE SECRET 'secret' FOR CLIENT 'client_identifier' 
[USING TAG 'tag']
 [TO [[LOCAL] AUTO_LOGIN] KEYSTORE keystore_location 
[FORCE KEYSTORE]  
IDENTIFIED BY [EXTERNAL STORE | keystore_password]
[WITH BACKUP [USING backup_id];

  • シークレットの削除: 次の構文を使用します。 

    ADMINISTER KEY MANAGEMENT
DELETE SECRET FOR CLIENT 'client_identifier' 
[FROM [[LOCAL] AUTO_LOGIN] KEYSTORE keystore_location 
[FORCE KEYSTORE]  
IDENTIFIED BY [EXTERNAL STORE | keystore_password]
[WITH BACKUP [USING backup_id];

これらの文すべてで、次のように指定します。

  • secretは、格納、更新、または削除するクライアントの秘密キーです。この設定は、一重引用符(' ')で囲むか、シークレットにスペースが使用されていない場合は引用符を省略します。既存のシークレットとそれらのクライアント識別子についての情報を検索するには、V$CLIENT_SECRETS動的ビューを問い合せます。

  • client_identifierは、秘密キーの識別に使用される英数字文字列です。client_identifierにはデフォルト値はありません。この設定は、一重引用符(' ')で囲みます。

  • TO [[LOCAL] AUTO_LOGIN] KEYSTOREにより、sqlnet.oraファイル内で指定されている自動ログイン・キーストアの場所を示します。

  • tagは、格納する秘密キーについてのオプションのユーザー定義の説明です。tagは、ADDおよびUPDATE操作と一緒に使用できます。この設定は、一重引用符(' ')で囲みます。このタグは、V$CLIENT_SECRETSビューのSECRET_TAG列に表示されます。

    WITH BACKUPは、ADDUPDATEまたはDELETE操作の前にキーストアがバックアップされていない場合は必須です。backup_identifierは、バックアップについてのオプションのユーザー定義の説明です。backup_identifierは、一重引用符(' ')で囲みます。

  • [TO | FROM [[LOCAL] AUTOLLOGIN] KEYSTOREにより、qlnet.oraファイル内で設定されている、自動ログイン・キーストアまたはパスワード・キーストアの場所を指定します。

  • FORCE KEYSTOREは、自動ログイン・キーストアが開いている(および使用されている)か、キーストアが閉じている場合に、この操作のためにパスワード保護されたキーストアを一時的に開きます。

  • IDENTIFIED BYは次のいずれかの設定にできます。

    • EXTERNAL STOREは、外部ストアに格納されたキーストア・パスワードを使用して、キーストア操作を実行します。

    • keystore_passwordは、キーストアのパスワードです。

関連項目

親トピック: Oracle Databaseで使用するシークレットの格納

4.3.3 例: ソフトウェア・キーストアへのOracle Key Vaultパスワードの追加

ADMINISTER KEY MANAGEMENT ADD SECRET文によって、ソフトウェア・キーストアにOracle Key Vaultパスワードを追加できます。

例4-10に、既存のソフトウェア・キーストアにOracle Key Vaultパスワードをシークレットとして追加する方法を示します(たとえば、Oracle Key Vaultへの移行後、Oracle Key Vaultのパスワードを古いTDEソフトウェア・キーストアに追加して、Oracle Key Vaultへの自動オープン接続を設定できます)。

例4-10 ソフトウェア・キーストアへのOracle Databaseのシークレットの追加

ADMINISTER KEY MANAGEMENT 
ADD SECRET 'external_key_manager_password' FOR CLIENT 'OKV_PASSWORD' 
IDENTIFIED BY software_keystore_password WITH BACKUP;

ソフトウェア・キーストアからOracle Key Vaultに移行する前に、ソフトウェア・キーストアをOracle Key Vaultのそのエンドポイントの仮想ウォレットにアップロードできます。移行後、そのキーがOracle Key Vaultにあるため、古いTDEウォレットを削除できます。ウォレットがまだ存在しない場合に自動オープンのOracle Key Vaultを構成するには、次の文を実行します。

ADMINISTER KEY MANAGEMENT ADD SECRET 'external_keystore_password' 
FOR CLIENT 'OKV_PASSWORD' INTO [LOCAL] AUTO_LOGIN KEYSTORE 'WALLET_ROOT/tde';

TDE_CONFIGURATION='KEYSTORE_CONFIGUARTION=OKV'の設定は、Oracle Key Vaultへのパスワードで保護された接続用です。Oracle Key Vaultのパスワードが既存または新しく作成されたウォレットに挿入された後、TDE_CONFIGURATION設定を'KEYSTORE_CONFIGURATION=OKV|FILE'に変更します。

親トピック: Oracle Databaseで使用するシークレットの格納

4.3.4 例: ソフトウェア・キーストアにシークレットとして格納されているOracle Key Vaultパスワードの変更

ADMINISTER KEY MANAGEMENT UPDATE SECRET文によって、ソフトウェア・キーストアにシークレットとして格納されているOracle Key Vaultパスワードを変更できます。

例4-11に、ソフトウェア・キーストアにシークレットとして格納されているOracle Key Vaultパスワードを変更する方法を示します。

例4-11 ソフトウェア・キーストアでのOracle Key Vaultパスワード・シークレットの変更

ADMINISTER KEY MANAGEMENT
UPDATE SECRET admin_password FOR CLIENT 'admin@myhost' 
USING TAG 'new_host_credentials' FORCE KEYSTORE
IDENTIFIED BY software_keytore_password;

次のバージョンでは、キーストアのパスワードは外部ストアにあります。

DMINISTER KEY MANAGEMENT
UPDATE SECRET admin_password FOR CLIENT 'admin@myhost' 
USING TAG 'new_host_credentials' FORCE KEYSTORE
IDENTIFIED BY EXTERNAL STORE;

親トピック: Oracle Databaseで使用するシークレットの格納

4.3.5 例: ソフトウェア・キーストアにシークレットとして格納されているOracle Key Vaultパスワードの削除

ADMINISTER KEY MANAGEMENT DELETE SECRET文によって、ソフトウェア・キーストアにシークレットとして格納されているOracle Key Vaultパスワードを削除できます。

例4-12に、ソフトウェア・キーストアにシークレットとして格納されているOracle Key Vaultパスワードを削除する方法を示します。

例4-12 ソフトウェア・キーストアでのOracle Key Vaultパスワード・シークレットの削除

ADMINISTER KEY MANAGEMENT 
DELETE SECRET FOR CLIENT 'OKV_PASSWORD' 
FORCE KEYSTORE
IDENTIFIED BY password WITH BACKUP;

次のバージョンでは、キーストアのパスワードは外部ストアにあります。

ADMINISTER KEY MANAGEMENT 
DELETE SECRET FOR CLIENT 'OKV_PASSWORD'
FORCE KEYSTORE 
IDENTIFIED BY EXTERNAL STORE WITH BACKUP;

親トピック: Oracle Databaseで使用するシークレットの格納

4.3.6 外部キーストアへのOracle Databaseのシークレットの格納

ADMINISTER KEY MANAGEMENT ADD SECRET|UPDATE SECRET|DELETE SECRET文によって、シークレットの追加、更新および削除を行うことができます。

すべてのADMINISTER KEY MANAGEMENT文と同様に、ADMINISTER KEY MANAGEMENTまたはSYSKM管理権限が必要です。使用されている、または現在開いているキーストアに対してシークレットを追加、更新または削除するときには、ルートでADMINISTER KEY MANAGEMENTを実行する必要があります。

HSMとOracle Key Vaultの両方の外部キーストアにOracle Databaseのシークレットを格納できますが、Key VaultキーストアにHSM_PASSWORDを格納した場合は自動ログインが機能しないことに注意してください。

  • シークレットの追加: 次の構文を使用します。 

    ADMINISTER KEY MANAGEMENT ADD SECRET 'secret' 
FOR CLIENT 'client_identifier' [USING TAG 'tag']
[TO [[LOCAL] AUTO_LOGIN] KEYSTORE keystore_location 
[FORCE KEYSTORE]
IDENTIFIED BY "external_key_manager_password" 
[WITH BACKUP [USING backup_id]];

  • シークレットの更新: 次の構文を使用します。 

    ADMINISTER KEY MANAGEMENT UPDATE SECRET 'secret' 
FOR CLIENT 'client_identifier' [USING TAG 'tag'] 
[TO [[LOCAL] AUTO_LOGIN] KEYSTORE keystore_location 
[FORCE KEYSTORE]
IDENTIFIED BY "external_key_manager_password" 
[WITH BACKUP [USING backup_id]];

  • シークレットの削除: 次の構文を使用します。 

    ADMINISTER KEY MANAGEMENT DELETE SECRET 
FOR CLIENT 'client_identifier' 
[FROM [[LOCAL] AUTO_LOGIN] KEYSTORE keystore_location 
[FORCE KEYSTORE]
IDENTIFIED BY "external_key_manager_password" 
[WITH BACKUP [USING backup_id]];

これらの文すべてで、次のように指定します。

  • secretは、格納、更新、または削除するクライアントの秘密キーです。この設定は、二重引用符(' ')で囲むか、シークレットにスペースが使用されていない場合は引用符を省略します。既存のシークレットとそれらのクライアント識別子についての情報を検索するには、V$CLIENT_SECRETS動的ビューを問い合せます。

  • client_identifierは、秘密キーの識別に使用される英数字文字列です。client_identifierにはデフォルト値はありません。この設定は一重引用符(' ')で囲みます。

  • tagは、格納する秘密キーについてのオプションのユーザー定義の説明です。tagは、ADDおよびUPDATE操作と一緒に使用できます。この設定は、一重引用符(' ')で囲みます。このタグは、V$CLIENT_SECRETSビューのSECRET_TAG列に表示されます。

  • [TO | FROM [[LOCAL] AUTO_LOGIN] KEYSTOREにより、外部キーストア用に使用するキーストアの場所を指定します。

  • external_key_manager_passwordは、Oracle Key VaultまたはOCI Vault - Key Managementの外部キーストア・マネージャ用です。このパスワードは二重引用符で囲みます。Oracle Key Vaultの場合は、Oracle Key Vaultクライアントのインストール時に指定したパスワードを入力します。その時点でパスワードが指定されていない場合、ADMINISTER KEY MANAGEMENT文のパスワードはNULLになります。

関連項目

親トピック: Oracle Databaseで使用するシークレットの格納

4.3.7 例: 外部キーストアへのOracle Databaseのシークレットの追加

ADMINISTER KEY MANAGEMENT ADD SECRET文によって、外部キーストアにOracle Databaseのシークレットを追加できます。

例4-13に、ユーザーのパスワードを外部キーストアに追加する方法を示します。

例4-13 外部キーストアへのOracle Databaseのシークレットの追加

ADMINISTER KEY MANAGEMENT ADD SECRET 'password' 
FOR CLIENT 'admin@myhost' USING TAG 'myhost admin credentials' 
IDENTIFIED BY "external_key_manager_password";

次のバージョンでは、キーストア・パスワードが外部ストアにあるため、IDENTIFIED BYにはEXTERNAL STORE設定が使用されます。 

ADMINISTER KEY MANAGEMENT ADD SECRET 'password' 
FOR CLIENT 'admin@myhost' USING TAG 'myhost admin credentials' 
IDENTIFIED BY EXTERNAL STORE;

親トピック: Oracle Databaseで使用するシークレットの格納

4.3.8 例: 外部キーストアでのOracle Databaseのシークレットの変更

ADMINISTER KEY MANAGEMENT MANAGEMENT UPDATE SECRET文によって、外部キーストアにあるOracle Databaseシークレットを変更できます。

例4-14に、外部キーストアにシークレットとして格納されているパスワードを変更する方法を示します。

例4-14 外部キーストアでのOracle Databaseのシークレットの変更

ADMINISTER KEY MANAGEMENT MANAGEMENT UPDATE SECRET 'password2' 
FOR CLIENT 'admin@myhost' USING TAG 'New host credentials' 
IDENTIFIED BY "external_key_manager_password";

次のバージョンでは、キーストアのパスワードは外部ストアにあります。

ADMINISTER KEY MANAGEMENT MANAGEMENT UPDATE SECRET 'password2' 
FOR CLIENT 'admin@myhost' USING TAG 'New host credentials' 
IDENTIFIED BY EXTERNAL STORE;

親トピック: Oracle Databaseで使用するシークレットの格納

4.3.9 例: 外部キーストアでのOracle Databaseのシークレットの削除

ADMINISTER KEY MANAGEMENT DELETE SECRET FOR CLIENT文によって、外部キーストアにあるOracle Databaseシークレットを削除できます。

例4-15に、外部キーストアにシークレットとして格納されている外部キー・マネージャ・パスワードを削除する方法を示します。

例4-15 外部キーストアでのOracle Databaseのシークレットの削除

ADMINISTER KEY MANAGEMENT DELETE SECRET FOR CLIENT 'admin@myhost' 
IDENTIFIED BY "external_key_manager_password";

次のバージョンでは、キーストアのパスワードは外部ストアにあります。

ADMINISTER KEY MANAGEMENT DELETE SECRET FOR CLIENT 'admin@myhost' 
IDENTIFIED BY EXTERNAL STORE;

親トピック: Oracle Databaseで使用するシークレットの格納

4.3.10 外部キー・マネージャへの自動オープン接続の構成

外部キー・マネージャは、自動ログイン機能を使用するように構成できます。

親トピック: Oracle Databaseで使用するシークレットの格納

4.3.10.1 外部キー・マネージャへの自動オープン接続について

外部キー・マネージャへの自動オープン接続は、自動ログイン・キーストアに外部キーストア資格証明を格納します。

キーストア・パスワードの入力を求めずにキーストアをオープンできるように、外部キー・マネージャへの接続を構成できます。この構成は、Oracle Real Application Clusters (Oracle RAC)環境において不可欠であり、Oracle Data Guardスタンバイ・データベースに推奨されます。この構成により、システム全体のセキュリティが低下することに注意してください。ただし、この構成は、無人操作または自動操作をサポートし、キー管理のために外部キーストアに登録されているTDE対応データベースが自動起動できるデプロイメントに役立ちます。

問合せSELECT * FROM V$ENCRYPTION_WALLETを実行すると、自動ログイン外部キーストアが自動的に開くため、注意してください。たとえば、自動ログイン外部キーストアを構成しているとします。キーストアを閉じて、V$ENCRYPTION_WALLETビューを問い合せると、出力にキーストアが開かれていることが示されます。これは、V$ENCRYPTION_WALLETが自動ログイン外部キーストアを開き、自動ログイン・キーストアのステータスを表示したためです。

ハードウェア・セキュリティ・モジュールの自動ログイン機能を有効にするには、外部キーストアに外部キー・マネージャの資格証明を格納する必要があります。

4.3.10.2 外部キー・マネージャへの自動オープン接続の構成

自動オープン接続を構成するには、ADMINISTER KEY MANAGEMENT文を使用して、認証するクライアント・シークレットを外部キー・マネージャに対して追加または更新する必要があります。

この手順を開始する前に、外部キーストアを構成済であることを確認します。
この手順では、作成したウォレットにキーは含まれていません。それにはクライアント・シークレットのみが含まれています。そのため、このウォレットに対してV$ENCRYPTION_WALLET動的ビューを問い合せると、STATUS列にはOPENではなくOPEN_NO_MASTER_KEYと表示されます(このウォレットにはクライアント・シークレットのみが含まれているため)。

  1. ソフトウェア・キーストアのキーストアの場所がまだない場合には、これを含めるようにinit.oraファイルのWALLET_ROOTパラメータを再構成します。

    前に外部キーストアを使用して移行している場合には、ソフトウェア・キーストアの場所はすでに存在している可能性があります。

    たとえば:

    WALLET_ROOT=/etc/ORACLE/WALLETS/orcl

  2. ソフトウェア・キーストアでシークレットを追加または更新します。

    シークレットは外部キー・マネージャのパスワードであり、クライアントはHSM_PASSWORDです。HSM_PASSWORDは、外部キー・マネージャのパスワードをソフトウェア・キーストア内のシークレットとして表現するために使用されるOracle定義のクライアント名です。

    たとえば:

    ADMINISTER KEY MANAGEMENT ADD SECRET 'external_key_manager_password' 
FOR CLIENT 'HSM_PASSWORD' 
TO LOCAL AUTO_LOGIN KEYSTORE software_keystore_location 
WITH BACKUP;

    この例では、次のようになります。

    • software_keystore_locationは、先ほどステップ1で定義したWALLET_ROOTの場所内のソフトウェア・キーストアの場所です。
    • LOCALを指定すると、HSMの資格証明を保持するために、ローカル自動ログイン・ウォレット・ファイルcwallet.ssoが作成されます。このウォレットは、それが作成されたホストに関連付けられています。

      Oracle Real Application Clusters環境の場合は、Oracle RACノードごとにホスト名が異なるため、LOCALキーワードを省略しますが、それらすべてのノードで同じ外部キー・マネージャが使用されます。Oracle RACインスタンスのローカル自動ログイン・ウォレットを構成した場合は、cwallet.ssoファイルが作成された最初のOracle RACノードのみ、外部キー・マネージャ資格証明にアクセス可能になります。最初のノードからではなく別のノードからキーストアを開こうとすると、cwallet.ssoが自動的に開かれるという問題が発生するため、自動ログイン外部キーストアを自動で開くことができなくなります。この制限事項が当てはまるのは、Oracle RACクラスタのcwallet.ssoファイルの保持に共有の場所を使用している場合です。これは、LOCALの使用が有効なのは、Oracle RAC環境の各ノードに別個のcwallet.ssoファイル(同じ資格証明を含む)がある場合のみであるためです。

この段階で、TDE操作が次に実行されるときに、外部キー・マネージャの自動ログイン・キーストアが自動的に開くようになります。

4.4 キーストアへのOracle GoldenGateのシークレットの格納

Oracle GoldenGateシークレットを透過的データ暗号化キーストアに格納できます。

親トピック: キーストアおよびTDEマスター暗号化キーの管理

4.4.1 キーストアへのOracle GoldenGateのシークレットの格納について

キーストアを使用して、ツールおよびOracle GoldenGateなどの外部クライアントの秘密キーを格納できます。

秘密キーはOracleの識別子規則に従った文字列である必要があります。既存のキーストアでクライアントのシークレットを追加、更新または削除できます。この項では、Oracle GoldenGateのExtract(抽出)プロセスでクラシック・キャプチャ・モードを使用して、透過的データ暗号化によって暗号化されたデータを取得する方法について説明します。

Extractがクラシック・キャプチャ・モードの場合、TDEをサポートするには次のキーの交換が必要です。

  • Extractプロセスのクラシック・キャプチャ・モードでのTDEによるOracle GoldenGateのサポートでは、Oracle DatabaseとExtractプロセスでシークレットを共有して、交換される機密情報を暗号化する必要があります。共有シークレットは、Oracle DatabaseおよびOracle GoldenGateドメインに安全に格納されます。共有シークレットは、ソフトウェア・キーストアまたは外部キーストアにデータベース・シークレットとして格納されます。

  • 復号化キーは、Oracle DatabaseおよびOracle GoldenGateドメインに安全に格納されている、共有シークレットとして知られているパスワードです。共有シークレットを所有している当事者のみが、表キーおよびREDOログ・キーを復号化できます。

共有シークレットの構成後、共有シークレットを使用してOracle GoldenGate Extractによってデータが復号化されます。Oracle GoldenGate Extractでは、TDEマスター暗号化キー自体は扱われず、キーストア・パスワードも認識しません。TDEマスター暗号化キーおよびパスワードは、Oracle Database構成内に保持されます。

Oracle GoldenGate Extractでは、遷移時にOracle GoldenGateによって保持されるOracle GoldenGate証跡ファイルに、復号化されたデータが書き込まれるのみです。サイトのオペレーティング・システムの標準セキュリティ・プロトコルと、Oracle GoldenGate AES暗号化オプションを使用して、このファイルを保護できます。Oracle GoldenGateでは、暗号化データは破棄ファイル(DISCARDFILEパラメータで指定)には書き込まれません。ENCRYPTEDという語は、使用中のすべての破棄ファイルに書き込まれます。

Oracle GoldenGateでは、暗号化データの処理時にキーストアが開いている必要はありません。TDE操作に対するOracle GoldenGate機能のパフォーマンス上の影響はありません。

親トピック: キーストアへのOracle GoldenGateのシークレットの格納

4.4.2 Oracle GoldenGate Extractのクラシック・キャプチャ・モードのTDE要件

Oracle GoldenGate Extractで透過的データ暗号化の取得をサポートするための要件を満たしていることを確認します。

要件は次のとおりです。

  • 高いセキュリティ基準を維持するには、Oracle GoldenGateのExtractプロセスがOracleユーザー(Oracle Databaseを実行するユーザー)の一部として実行されるようにします。これにより、キーはOracleユーザーと同じ権限によってメモリー内で保護されます。

  • Oracle GoldenGateのExtractプロセスを、Oracle Databaseインストールと同じコンピュータで実行します。

親トピック: キーストアへのOracle GoldenGateのシークレットの格納

4.4.3 Oracle GoldenGate用のTDEキーストア・サポートの構成

Oracle GoldenGateのために透過的データ暗号化キーストアのサポートを構成するには、キーストアの共有シークレットを使用します。

親トピック: キーストアへのOracle GoldenGateのシークレットの格納

4.4.3.1 ステップ1: キーストアの共有シークレットを決定する

キーストアの共有シークレットはパスワードです。

  • Oracle Databaseのパスワード基準を満たす(または超える)共有シークレットを決定します。

このパスワードは、Oracle GoldenGate Extractと連携するように透過的データ暗号化を構成する作業を担当する、信頼できる管理者以外のユーザーと共有しないでください。

関連項目:

安全なパスワードの作成に関するガイドラインの詳細は、Oracle Databaseセキュリティ・ガイドを参照してください。

親トピック: Oracle GoldenGate用のTDEキーストア・サポートの構成

4.4.3.2 ステップ2: TDEによるOracle GoldenGateのサポートのためにOracle Databaseを構成する

DBMS_INTERNAL_CLKM PL/SQLパッケージを使用して、Oracle GoldenGateのためにTDEのサポートを構成できます。

  1. SYSDBA管理権限を持つユーザーSYSとしてデータベース・インスタンスにログインします。

    たとえば

    sqlplus sys as sysdba
Enter password: password
Connected.

  2. マルチテナント環境で、適切なPDBに接続します。

    たとえば:

    CONNECT SYS@hrpdb AS SYSDBA
Enter password: password

    利用可能なPDBを検索するには、DBA_PDBSデータ・ディクショナリ・ビューを問い合せます。現在のPDBを確認するには、show con_nameコマンドを実行します。

  3. Oracle Databaseに付属のDBMS_INTERNAL_CLKM PL/SQLパッケージをロードします。

    たとえば:

    @?/app/oracle/product/12.2/rdbms/admin/prvtclkm.plb

    prvtclkm.plbファイルでも、Oracle GoldenGateによってOracle Databaseから暗号化データを抽出できます。

  4. DBMS_INTERNAL_CLKM PL/SQLパッケージに対するEXECUTE権限をOracle GoldenGate Extractデータベース・ユーザーに付与します。

    たとえば:

    GRANT EXECUTE ON DBMS_INTERNAL_CLKM TO psmith;

    この手順によって、Oracle DatabaseとOracle GoldenGate Extractで情報を交換できます。

  5. SQL*Plusを終了します。

4.4.3.3 ステップ3: TDE GoldenGate共有シークレットをキーストアに格納する

ADMINISTER KEY MANAGEMENT文によって、TDE GoldenGate共有シークレットをキーストアに格納できます。

この手順を開始する前に、「ソフトウェア・キーストアの構成」および「外部キーストアの構成」に基づいてTDEソフトウェア・キーストアまたは外部キーストアを構成したことを確認してください。

  1. 次の構文を使用して、キーストアにOracle GoldenGateのTDEキーを設定します。

    ADMINISTER KEY MANAGEMENT ADD|UPDATE|DELETE SECRET 'secret' 
FOR CLIENT 'secret_identifier' [USING TAG 'tag'] 
IDENTIFIED BY keystore_password [WITH BACKUP [USING 'backup_identifier']];

    ここでは次のように指定します。

    • secretは、格納、更新、または削除するクライアントの秘密キーです。この設定は、一重引用符(' ')で囲みます。

    • secret_identifierは、秘密キーの識別に使用される英数字の文字列です。secret_identifierにはデフォルト値はありません。この設定は、一重引用符(' ')で囲みます。

    • tagは、格納する秘密キーについてのオプションのユーザー定義の説明です。tagは、ADDおよびUPDATE操作と一緒に使用できます。この設定は、一重引用符(' ')で囲みます。このタグは、V$CLIENT_SECRETSビューのSECRET_TAG列に表示されます。レポート用のTDEマスター暗号化キーのカスタム属性の作成

    • keystore_passwordは、構成されているキーストアのパスワードです。

    • WITH BACKUPは、ADDUPDATEまたはDELETE操作の前にキーストアがバックアップされていない場合は必須です。backup_identifierは、バックアップについてのオプションのユーザー定義の説明です。backup_identifierは、一重引用符(' ')で囲みます。

    次の例は、秘密キーをキーストアに追加して、キーストアと同じディレクトリにバックアップを作成します。

    ADMINISTER KEY MANAGEMENT ADD SECRET 'some_secret' 
FOR CLIENT 'ORACLE_GG' USING TAG 'GoldenGate Secret' 
IDENTIFIED BY password WITH BACKUP USING 'GG backup';

  2. 作成したエントリを確認します。

    たとえば:

    SELECT CLIENT, SECRET_TAG FROM V$CLIENT_SECRETS WHERE CLIENT = 'ORACLEGG';

CLIENT   SECRET_TAG
-------- ------------------------------------------
ORACLEGG some_secret

  3. ログ・ファイルを切り換えます。

    CONNECT / AS SYSDBA

ALTER SYSTEM SWITCH LOGFILE;

関連項目:

親トピック: Oracle GoldenGate用のTDEキーストア・サポートの構成

4.4.3.4 ステップ4: TDE Oracle GoldenGate共有シークレットをExtractプロセスに設定する

GoldenGateソフトウェア・コマンド・インタフェース(GGSCI)ユーティリティによって、TDE Oracle GoldenGate共有シークレットをExtractプロセスに設定します。

  1. GGSCIユーティリティを起動します。

    たとえば: 

    ggsci

  2. GGSCIユーティリティでENCRYPT PASSWORDコマンドを実行し、共有シークレットを暗号化してOracle GoldenGate Extractパラメータ・ファイル内で不明瞭化します。 

    ENCRYPT PASSWORD shared_secret algorithm ENCRYPTKEY keyname

    ここでは次のように指定します。

    • shared_secretは、キーストアの共有シークレットを決定するときに作成したクリアテキストの共有シークレットです。この設定では大文字と小文字が区別されます。

    • algorithmは、AES暗号化を指定する次のいずれかの値です。

      • AES128

      • AES192

      • AES256

    • keynameは、ENCKEYS参照ファイルの暗号化キーの論理名です。Oracle GoldenGateでは、この名前を使用して、ENCKEYSファイル内で実際のキーが参照されます。

    たとえば:

    ENCRYPT PASSWORD password AES256 ENCRYPTKEY mykey1

  3. Oracle GoldenGate Extractパラメータ・ファイルで、DECRYPTPASSWORDオプションを指定してDBOPTIONSパラメータを設定します。

    入力として、暗号化共有シークレットと、Oracle GoldenGateによって生成されたか、またはユーザーが定義した復号化キーを指定します。

    DBOPTIONS DECRYPTPASSWORD shared_secret algorithm ENCRYPTKEY keyname

    ここでは次のように指定します。

    • shared_secretは、キーストアの共有シークレットを決定するときに作成したクリアテキストの共有シークレットです。この設定では大文字と小文字が区別されます。

    • algorithmは、AES暗号化を指定する次のいずれかの値です。

      • AES128

      • AES192

      • AES256

    • keynameは、ENCKEYS参照ファイルの暗号化キーの論理名です。

      たとえば:

      DBOPTIONS DECRYPTPASSWORD AACAAAAAAAAAAAIALCKDZIRHOJBHOJUH AES256 ENCRYPTKEY mykey1