1. Advanced Securityガイド
  2. このリリースでの『Oracle Database Advanced Securityガイド』の変更点

このリリースでの『Oracle Database Advanced Securityガイド』の変更点

ここでは、次の内容について説明します。

Oracle Database Advanced Security 12c リリース2 (12.2.0.1)における変更点

Oracle Database 12c リリース2 (12.2.0.1)の『Oracle Database Advanced Securityガイド』における変更点は次のとおりです。

親トピック: このリリースでの『Oracle Database Advanced Securityガイド』の変更点

新機能

このリリースの新機能は次のとおりです。

親トピック: Oracle Database Advanced Security 12c リリース2 (12.2.0.1)における変更点

既存の表領域の暗号化およびデータベースの完全暗号化の機能

このリリースからは、既存の表領域の暗号化およびデータベースの完全暗号化が可能になります。

以前のリリースでは、新しいアプリケーション表領域のみ暗号化できました。しかしながら、この新機能では、オフラインまたはオンラインの方法で既存のアプリケーション表領域を暗号化できます。データベースを暗号化するには、オンラインの方法を使用して、SYSTEMSYSAUXなどのOracle提供の表領域を暗号化します。オフラインでの表領域暗号化は、Oracle Database 11gリリース2 (11.2.0.4)およびOracle Database 12gリリース1 (12.1.0.2)での表領域に使用できます。暗号化および復号化の操作を並列で実行できます。また、Oracle Data Guard環境で暗号化を実行することでアプリケーションの停止時間をData Guardスイッチオーバーの実行にかかる時間のみにできます。将来の表領域がすべて自動的に暗号化されるように構成できるため、Oracle Cloud環境において役立ちます。

追加でサポートされる暗号化アルゴリズム

列および表領域の暗号化に、AESおよびDES暗号化標準の他に、ARIA、GOSTおよびSEED暗号化アルゴリズムを使用できるようになりました。

これらの新しい暗号化標準の主な利点は、それぞれの国の国内標準を満たしている点です。

  • ARIAは、AESと同じブロック・サイズを使用します。軽量の環境向け、およびハードウェアでの実装向けに設計されています。ARIAは韓国で使用される標準に適合しています。

  • GOSTは、多数のラウンドおよびシークレットSボックスを持つこと以外は、DESと非常に似ています。GOSTはロシアで使用される標準に適合しています。

  • SEEDは、いくつかの標準プロトコル(S/MIME、TLS/SSL、IPSecおよびISO/IEC)で使用されます。SEEDは韓国で使用される標準に適合しています。

ソフトウェア・キーストア操作を強制する機能

自動ログイン・キーストアが使用されているかソフトウェア・キーストアまたは外部キーストアが閉じていると実行できなかったキーストア操作を、強制的に実行できるようになりました。

以前のリリースでは、多くのキーストア操作において、操作の実行前にソフトウェア・キーストアまたは外部キーストアを手動で開く必要がありました。このリリースでは、ADMINISTER KEY MANAGEMENT文をFORCE KEYSTORE句を含めて1回実行すると、これらの2つのアクションを実行できます。

FORCE KEYSTORE句を使用できる操作は次のとおりです。キーストア・パスワードの変更。暗号化キーの作成、使用、キー更新、タグ付け、インポート、エクスポート、移行または逆移行。キーストアのオープンまたはバックアップ。シークレット・キーストアの追加、更新または削除。

ソフトウェア・キーストア・パスワードに外部ストアを使用する機能

外部キーストアを使用するようにデータベースを構成して、SQL*PlusコマンドラインからのTDEソフトウェア・キーストアまたは外部キーストアへのパスワードを隠すことができるようになりました。

この機能を使用すると、キーストア・パスワードをSQL*Plusコマンドラインに非表示にできます。これにより、データベース管理者とキーストア管理者との職務分離が促進されます。この機能を使用するには、まず、ADMINISTER KEY MANAGEMENT ADD SECRET 'Oracle_Key_Vault_password' FOR CLIENT 'OKV_PASSWORD' TO [LOCAL] AUTO_LOGIN KEYSTORE '/existing/directory'という新しい構文で既存のディレクトリに自動ログイン・ウォレットを作成します。次に、EXTERNAL_KEYSTORE_CREDENTIAL_LOCATION初期化パラメータを、自動ログイン・ウォレットが作成されたディレクトリに設定します。その後、キーストアのオープン、クローズまたはバックアップ、シークレットの追加、更新または削除、暗号化キーの作成、使用、キー更新、タグ付け、インポートまたはエクスポートの操作について、ADMINISTER KEY MANAGEMENT .... IDENTIFIED BY password文内のパスワードをEXTERNAL STOREに置換できます。

Oracle Key Vaultをキーストアとして指定する新しい方法

サード・パーティのハードウェア・セキュリティ・モジュールの代替として、キーストアにOracle Key Vaultを指定できるようになりました。

Oracle Key Vaultをキーストアとして構成するには、sqlnet.oraファイルのENCRYPTION_WALLET_LOCATIONパラメータのMETHOD設定をOKVを指すように編集します。

関連項目

親トピック: 新機能

様々な実行時条件に基づいてデータをリダクションする機能

同じ表またはビュー内の異なる列に対して、異なるデータ・リダクション・ポリシー式を定義および関連付けることができるようになりました。

この機能により、データ・リダクション・ポリシーの作成者に対する柔軟性が向上します。

たとえば、この機能を使用すると、1つのデータ・リダクション・ポリシー式を複数のデータ・リダクション・ポリシーと共有できるようになります。

ポリシー式を作成するときに、これを既存のデータ・リダクション・ポリシーに含まれる表またはビューの列に適用できます。ポリシー式を変更した場合、その変更は関連付けられた表またはビューの列をリダクションするすべてのデータ・リダクション・ポリシーに反映されます。

データベース内でデータ・リダクション・ポリシー式を集中的に管理する機能

この新しい機能は、名前付きOracle Data Redactionのポリシー式に適用されます。

この機能により、ポリシー式のメンテナンスと管理が容易になります。名前付きポリシー式を変更すると、変更はその式を使用するデータベース内のすべての表およびビューに自動的に適用されます。

リダクション済の値にNULLを使用する機能

このリリースからは、リダクション済の値をNULLにできます。

たとえば、この機能を使用してデータを隠すことができます。

Oracle Data Redactionポリシーを定義する際に、function_typeパラメータをDBMS_REDACT.NULLIFYに設定して、リダクション済の値が常にNULLになるようにできます。

非構造化データのリダクションに対する拡張サポート

CLOBおよびNCLOBデータ型の列に、正規表現ベースのリダクション(DBMS_REDACT.REGEXP)ポリシーを定義できるようになりました。