Oracle Databaseセキュリティ・ガイドのこのリリースの変更
この章の内容は次のとおりです。
Oracle Database Security 12cリリース2 (12.2.0.1)の変更
Oracle Database 12cリリース2 (12.2.0.1)のOracle Databaseセキュリティ・ガイドには、新しいセキュリティ機能と非推奨のセキュリティ機能の両方が含まれています。
新機能
このリリースでは、次の機能が追加されました。
- アプリケーション共通オブジェクト、ユーザー、ロールおよびプロファイルを作成する機能
アプリケーション共通オブジェクト(メタデータリンクおよびオブジェクトリンク)、ユーザー、ロールおよびプロファイルを作成できるようになりました。 - アプリケーション・コンテナのセキュリティ機能
アプリケーション・コンテナにより、アプリケーション共通ユーザーへの権限付与、アプリケーション・コンテキストの使用方法など、いくつかのデフォルトのセキュリティ機能に影響があります。 - Oracle Real Application ClustersのSYSRAC管理権限の追加
このリリースから、SYSRAC
管理権限がOracle Real Applications (Oracle RAC) ClusterwareエージェントによってOracle RACの管理に使用されます。 - 管理ユーザーの認証の強化
管理ユーザー・アカウントの認証において、パスワード・ファイル、パスワード・プロファイル・パラメータ、Secure Sockets Layer (SSL)、Kerberosおよびマルチテナント環境にあわせた強化が行われました。 - 管理パスワードの管理の強化
このリリースでは、関連する管理ユーザーのプロファイルのパスワード制限を強制することで、管理パスワードの管理のためのセキュリティが強化されました。 - STIGコンプライアンス機能
セキュリティ技術導入ガイド(STIG)のコンプライアンスを満たせるように、Oracle Databaseに2つの新しいユーザー・セキュリティ機能が用意されました。 - パスワード・バージョンのセキュリティ強化
このリリースから、Oracle Databaseのパスワード認証のバージョンについて、いくつかの強化が行われました。 - 非アクティブなデータベース・ユーザー・アカウントの自動ロック機能
このリリースから、ユーザー・アカウントを構成して、特定の期間非アクティブな場合に自動的にロックできるようになりました。 - データベース・リンク・アクセスの制御における柔軟性の向上
このリリースから、ユーザーによるデータベース・リンク・アクセスをより詳細に制御できるようになりました。 - データベース・リンクの定義者権限を制御する機能
INHERIT REMOTE PRIVILEGES
およびINHERIT ANY REMOTE PRIVILEGES
権限を使用して、ユーザーがデータベース・リンクを介してアクセスするプロシージャの定義者権限を制御できるようになりました。 - PDBロックダウン・プロファイルによるPDBでの操作の制限
マルチテナント環境でPDBロックダウン・プロファイルを使用して、特定のPDBのユーザーが使用できる機能を制限できるようになりました。 - PDBのオペレーティング・システム・ユーザーの識別情報を設定する機能
マルチテナント環境でPDB_OS_CREDENTIAL
初期化パラメータを使用して、異なるオペレーティング・システム・ユーザーによるEXTPROC
プロセスを介した外部プロシージャの実行を許可できるようになりました。 - Kerberosユーティリティの更新
Oracle Databaseで、MIT Kerberos 1.8で更新されたKerberosツールのバージョンがサポートされるようになりました。 - 透過的機密データ保護に関する追加のセキュリティ機能のサポート
透過的機密データ保護ポリシーを作成して、統合監査ポリシー、ファイングレイン監査ポリシー、および透過的データ暗号化列暗号化を使用できるようになりました。 - ユーザーのグループに対してロールを介して統合監査を有効にする機能
このリリースから、データベース・ロールに対して監査ポリシーを有効にできるようになりました。 - Oracle Database Real Application Securityの新しい監査イベント
このリリースでは、Oracle Real Application Securityの統合監査ポリシーに2つの新しい監査イベントが用意されています。 - 監査証跡でOracle Virtual Private Databaseの述語を取得する機能
Oracle Virtual Private Database (VPD)が生成する述語を監査証跡で取得できるようになりました。 - AUDSYS監査スキーマの強化
統合監査レコードを格納するAUDSYS
スキーマは、セキュリティと統合監査での読取りパフォーマンスが向上しました。
アプリケーション共通オブジェクト、ユーザー、ロールおよびプロファイルを作成する機能
アプリケーション共通オブジェクト(メタデータリンクおよびオブジェクトリンク)、ユーザー、ロールおよびプロファイルを作成できるようになりました。
これらの共通オブジェクトはアプリケーション・ルートに配置されます。このマニュアルでは、アプリケーション共通ユーザー、ロールおよびプロファイルのセキュリティを管理する方法について説明します。
アプリケーション・コンテナのセキュリティ機能
アプリケーション・コンテナにより、アプリケーション共通ユーザーへの権限付与、アプリケーション・コンテキストの使用方法など、いくつかのデフォルトのセキュリティ機能に影響があります。
影響を受ける機能は次のとおりです。
-
アプリケーション共通ユーザー: 他の権限に加えて、
SYSDBA
およびSYSOPER
管理権限をアプリケーション共通ユーザーに付与できます。 -
アプリケーション・コンテキスト: アプリケーション・ルートにアプリケーションを作成するときに、そのアプリケーションで使用するアプリケーション・コンテキストを作成できます。このアプリケーション・コンテキストはアプリケーション・ルートに配置されます。
-
Oracle Virtual Private Database: アプリケーション共通オブジェクトを保護する仮想プライベート・データベース・ポリシーを作成できます。これらのポリシーはアプリケーション・ルートに配置されます。
-
透過的機密データ保護: 透過的機密データ保護(TSDP)ポリシーを現在のプラガブル・データベース(PDB)または現在のアプリケーションPDBにのみ適用できます。
-
Transport Layer Security: Secure Sockets Layer (SSL)を使用している場合、SSLの更新バージョンであるTransport Layer Security (TLS)を使用する予定があれば、各PDBで独自のウォレットと独自のTLS認証用の証明書を使用できることを確認する必要があります。
-
監査: アプリケーション・コンテナのマルチテナント環境では、従来の監査、統合監査およびファイングレイン監査はすべて、アプリケーション・コンテナの使用による影響を受けます。
Oracle Real Application ClustersのSYSRAC管理権限の追加
このリリースから、SYSRAC
管理権限がOracle Real Applications (Oracle RAC) ClusterwareエージェントによってOracle RACの管理に使用されます。
親トピック: 新機能
管理ユーザーの認証の強化
管理ユーザー・アカウントの認証において、パスワード・ファイル、パスワード・プロファイル・パラメータ、Secure Sockets Layer (SSL)、Kerberosおよびマルチテナント環境にあわせた強化が行われました。
これらの機能強化は次のとおりです。
-
SYSDBA
およびSYSOPER
管理権限に加えて、SYSASM
、SYSBACKUP
、SYSDG
およびSYSKM
管理権限を付与された外部ユーザーのパスワード・ファイルを作成できます。この機能強化はマルチテナント環境において、ローカルおよび共通外部管理ユーザーと、SSLまたはKerberos認証構成による外部ユーザーの両方に対して提供されます。 -
SYSDG
管理権限をシャーディング環境で使用できます。 -
管理ユーザーの認証にパスワード・プロファイルのパラメータ(
PASSWORD_LIFE_TIME
など)を使用できます。
関連トピック
親トピック: 新機能
管理パスワードの管理の強化
このリリースでは、関連する管理ユーザーのプロファイルのパスワード制限を強制することで、管理パスワードの管理のためのセキュリティが強化されました。
これらのプロファイルの制限には、たとえばFAILED_LOGIN_COUNT
、PASSWORD_LOCK_TIME
、PASSWORD_GRACE_TIME
、PASSWORD_LIFE_TIME
などがあります。
管理ユーザーと非管理ユーザーの両方に適用できるパスワード・ファイルを作成できます。ORAPWD
ユーティリティのFORMAT
パラメータを12.2
に設定してパスワード・ファイルを作成するかぎり、CREATE PROFILE
文のPASSWORD_VERIFY_FUNCTION
句を使用してパスワード・ファイルを作成すると、この設定が管理ユーザーと非管理ユーザーに適用されるようになりました。
また、ORAPWD
ユーティリティでは、オペレーティング・システム・パスワード・ファイルのエントリ引数の制限が除外されました。
関連トピック
親トピック: 新機能
STIGコンプライアンス機能
セキュリティ技術導入ガイド(STIG)のコンプライアンスを満たせるように、Oracle Databaseに2つの新しいユーザー・セキュリティ機能が用意されました。
これらの機能は次のとおりです。
-
ora12c_stig_verify_function
パスワード複雑度ファンクション -
ora_stig_profile
ユーザー・プロファイル -
STIG要件に対応するため、次の初期化パラメータが変更されました。
-
SEC_PROTOCOL_ERROR_FURTHER_ACTION
のデフォルトが(DROP,3)
になりました。 -
SEC_MAX_FAILED_LOGIN_ATTEMPTS
のデフォルトが3
になりました。 -
SQL92_SECURITY PARAMETER
のデフォルトがTRUE
になりました。
-
関連項目:
親トピック: 新機能
パスワード・バージョンのセキュリティ強化
このリリースから、Oracle Databaseのパスワード認証のバージョンについて、いくつかの強化が行われました。
-
SQLNET.ALLOWED_LOGON_VERSION_SERVER
パラメータのデフォルトが11
ではなく、12
(排他モード)になりました。12
に設定すると、11G
と12C
の両方のパスワード・バージョンが生成されます。生成を12C
パスワード・バージョンに制限してパスワードのセキュリティを高める場合は、SQLNET.ALLOWED_LOGON_VERSION_SERVER
を12a
に設定できます。サーバーに接続するクライアントのバージョンを確認して、これらのクライアントで
O5L_NP
機能が使用されるようにします。Oracle Databaseリリース11.2.0.3以上のすべてのクライアントにO5L_NP
機能があります。以前のOracle Databaseクライアントがある場合は、CPUOct2012パッチをインストールする必要があります。 -
12C
パスワード・バージョンが自動的に生成されるようになりました。以前のリリースでは、10G
パスワード・バージョンが自動的に生成されていました。
関連項目:
-
Oracle Databaseのアップグレードによるパスワードの大/小文字の区別への影響の詳細は、Oracle Databaseアップグレード・ガイドを参照してください
親トピック: 新機能
非アクティブなデータベース・ユーザー・アカウントの自動ロック機能
このリリースから、ユーザー・アカウントを構成して、特定の期間非アクティブな場合に自動的にロックできるようになりました。
CREATE USER
およびALTER USER
SQL文を使用すると、新しいプロファイル・パラメータINACTIVE_ACCOUNT_TIME
を設定して、非アクティブなアカウントを自動的にロックできます。
親トピック: 新機能
データベース・リンク・アクセスの制御における柔軟性の向上
このリリースから、ユーザーによるデータベース・リンク・アクセスをより詳細に制御できるようになりました。
次の領域において、データベース・リンク・アクセスを有効または無効にできます。
-
データベース・リンクを介してデータベースにアクセスする介在者攻撃からのデータベースの保護: この機能を制御するには、
OUTBOUND_DBLINK_PROTOCOLS
初期化パラメータを設定します。 -
ユーザーがLDAPを使用してグローバル・データベース・リンクを介してデータにアクセスする機能の制御:
ALLOW_GLOBAL_DBLINKS
初期化パラメータを設定できます。
詳細は、ネットワーク接続のセキュリティを参照してください。
親トピック: 新機能
データベース・リンクの定義者権限を制御する機能
INHERIT REMOTE PRIVILEGES
およびINHERIT ANY REMOTE PRIVILEGES
権限を使用して、ユーザーがデータベース・リンクを介してアクセスするプロシージャの定義者権限を制御できるようになりました。
これらの権限は、INHERIT PRIVILEGES
およびINHERIT ANY PRIVILEGES
権限と同様です。
関連トピック
親トピック: 新機能
PDBロックダウン・プロファイルによるPDBでの操作の制限
マルチテナント環境でPDBロックダウン・プロファイルを使用して、特定のPDBのユーザーが使用できる機能を制限できるようになりました。
PDBロックダウン・プロファイルを使用すると、ユーザーのアクセスを一連の機能(個別に、またはまとめて)に制限できます。この機能は、PDB間で識別情報が共有される状況のセキュリティを強化するために設計されています。
親トピック: 新機能
PDBのオペレーティング・システム・ユーザーの識別情報を設定する機能
マルチテナント環境でPDB_OS_CREDENTIAL
初期化パラメータを使用して、異なるオペレーティング・システム・ユーザーによるEXTPROC
プロセスを介した外部プロシージャの実行を許可できるようになりました。
以前のリリースでは、外部プロシージャの認証と起動にDBMS_CREDENTIAL
を使用して資格証明オブジェクトを作成するためにEXTPROC
は使用されていました。この機能は現在、PDB全体のCREDENTIAL
を関連付けることによって、PDBレベルで使用できます。これは、PDBのデータベース・ユーザーによって実行されるEXTPROC
外部プロシージャに対して自動的に使用されます。
この機能は、環境内のすべてのPDBにおいて、1人のユーザー(oracle
オペレーティング・システム・ユーザー)に頼らず、各PDBで独自のオペレーティング・システム・ユーザー・アカウントを持てるようにすることで、マルチテナント環境のセキュリティを強化します。ルートでは引き続き、oracleオペレーティング・システム・ユーザー・アカウントを使用します。
詳細は、PDBのオペレーティング・システム・ユーザーの構成を参照してください。
親トピック: 新機能
Kerberosユーティリティの更新
Oracle Databaseで、MIT Kerberos 1.8で更新されたKerberosツールのバージョンがサポートされるようになりました。
以前のリリースでは、krb5.conf
ファイルを構成する管理者がOracleクライアントを手動で構成する必要がありました。このリリースでは、Oracle Databaseに汎用のkrb5.conf
ファイルが用意され、デフォルトで使用されます。kerb5.conf
ファイルには、DNS情報からレルムおよびKDC情報を自動的に取得できるようにするパラメータがあります。レルムおよびKDC情報の自動検出により、Kerberosを使用するクライアント・エンドポイントを構成するために実行する必要がある作業量が軽減されます。
この機能強化にはokinit
、oklist
およびokdstry
Kerberosアダプタ・コマンドライン・ユーティリティの更新が含まれるほか、KDCまたはサービス・エンドポイントからキー表の作成を自動化できる新しいユーティリティokcreate
も用意されています。
親トピック: 新機能
透過的機密データ保護に関する追加のセキュリティ機能のサポート
透過的機密データ保護ポリシーを作成して、統合監査ポリシー、ファイングレイン監査ポリシー、および透過的データ暗号化列暗号化を使用できるようになりました。
以前のリリースでは、Oracle Data RedactionおよびOracle Virtual Private Databaseのセキュリティ機能を使用する透過的機密データ保護ポリシーを作成することができました。
また、各PDBで独自のウォレットと独自の透過的機密データ保護認証用の証明書を使用できるように、マルチテナント環境の各プラガブル・データベース(PDB)に対して別々のウォレット・パスワードを使用できるようになりました。各PDBに異なるウォレット・パスワードを指定する機能により、ウォレットへの管理アクセスをより適切に制限できます。この機能は、マルチテナント環境内のテナント間に必要な分離を提供します。これらのテナントは個々の会社でも、大規模な企業の異なるビジネス・ユニットでもかまいません。
ユーザーのグループに対してロールを介して統合監査を有効にする機能
このリリースから、データベース・ロールに対して監査ポリシーを有効にできるようになりました。
この機能を使用すると、ロールを直接付与されたすべてのユーザーに対してポリシーを有効にできます。ユーザーにロールが付与されているかぎり、かつユーザーが存在しているかぎり、そのユーザーに対してポリシーは有効なままです。
この機能向上に対応するために、次の変更が行われました。
-
AUDIT
およびNOAUDIT
文に、新しい句BY USERS WITH GRANTED ROLES
が追加されました。 -
AUDIT_UNIFIED_ENABLED_POLICIES
およびDBA_XS_ENB_AUDIT_POLICIES
データ・ディクショナリ・ビューに次の新しい列が追加されました。-
ENTITY_NAME
によりユーザー名とロール名が取得されます。 -
ENTITY_TYPE
には、エンティティ名がUSER
とROLE
のいずれであるかが示されます。 -
ENABLED_OPTION
には、ユーザーに対して有効なポリシーの場合はBY
およびEXCEPT
が表示されますが、ロールに対して有効なポリシーの場合はINVALID
が表示されます。
-
-
AUDIT_UNIFIED_ENABLED_POLICIES.ENABLED_OPTION
列での可能な出力が、BY USER
、EXCEPT USER
、BY GRANTED ROLE
およびINVALID
になりました。
関連項目:
-
AUDIT_UNIFIED_ENABLED_POLICIES
およびDBA_XS_ENB_AUDIT_POLICIES
データ・ディクショナリ・ビューの詳細は、『Oracle Databaseリファレンス』を参照してください。
親トピック: 新機能
Oracle Database Real Application Securityの新しい監査イベント
このリリースでは、Oracle Real Application Securityの統合監査ポリシーに2つの新しい監査イベントが用意されています。
-
AUDIT_GRANT_PRIVILEGE
は、GRANT_SYSTEM_PRIVILEGE
権限の使用を監査します。 -
AUDIT_REVOKE_PRIVILEGE
は、REVOKE_SYSTEM_PRIVILEGE
権限の使用を監査します。
監査証跡でOracle Virtual Private Databaseの述語を取得する機能
Oracle Virtual Private Database (VPD)が生成する述語を監査証跡で取得できるようになりました。
この機能強化は、統合監査証跡、ファイングレイン監査証跡、および(統合監査が有効になっていない場合は)標準監査証跡(DBA_AUDIT_TRAIL
)に適用されます。この機能強化にあわせて、次のデータ・ディクショナリ・ビューに新しい列RLS_INFO
が追加されました。
-
UNIFIED_AUDIT_TRAIL
-
DBA_AUDIT_TRAIL
(まだ統合監査に移行していない環境で使用) -
V$XML_AUDIT_TRAIL
(まだ統合監査に移行していない環境で使用) -
DBA_FGA_AUDIT_TRAIL
(まだ統合監査に移行していない環境で使用)
1つのオブジェクトに対して複数のVPDポリシーが実施されている場合、すべてのVPDポリシー・タイプ、ポリシー・スキーマ、ポリシー名および述語は連結され、1つの列に格納されます。各VPDポリシーのVPD述語情報をビューで別々の行に分けるために、新しいPL/SQLパッケージDBMS_AUDIT_UTIL
を使用できます。
関連項目:
-
UNIFIED_AUDIT_TRAIL
、DBA_AUDIT_TRAIL
、V$XML_AUDIT_TRAIL
およびDBA_FGA_AUDIT_TRAIL
データ・ディクショナリ・ビューの詳細は、Oracle Databaseリファレンスを参照してください -
DBMS_AUDIT_UTIL
PL/SQLパッケージの詳細は、Oracle Database PL/SQLパッケージおよびタイプ・リファレンスを参照してください
親トピック: 新機能
AUDSYS監査スキーマの強化
統合監査レコードを格納するAUDSYS
スキーマは、セキュリティと統合監査での読取りパフォーマンスが向上しました。
以前のリリースでは、SELECT ANY TABLE
システム権限を持つユーザーはAUDSYS
スキーマのオブジェクトを問い合せることができました。このリリースからは、この権限を持つユーザーはAUDSYS
スキーマのオブジェクトを問い合せることはできません。SELECT ANY DICTIONARY
システム権限を付与されたユーザーは、AUDSYS
スキーマのオブジェクトにアクセスできます。
また、AUDSYS
スキーマに新しい内部表が用意されました。この表には統合監査証跡レコードが格納され、その目的は統合監査証跡の読取りパフォーマンスを向上することです。以前のリリースで統合監査に移行済で、まだ以前の場所に監査レコードがある場合は、そのリリースで作成された統合監査レコードを新しい内部表に転送できます。このリリースの新機能でもあるDBMS_AUDIT_MGMT.TRANSFER_UNIFIED_AUDIT_RECORDS
PL/SQLプロシージャを使用すると、これらのレコードを新しい内部リレーショナル表に転送できます。
関連項目:
-
AUDSYS
スキーマの詳細は、監査とはを参照してください -
統合監査レコードの転送の詳細は、Oracle Databaseアップグレード・ガイドを参照してください
親トピック: 新機能
非推奨となった機能
次の機能は、このリリースでは非推奨になりました。
- AUDIT_UNIFIED_ENABLED_POLICIESおよびDBA_XS_ENB_AUDIT_POLICIESビューで非推奨となった列
AUDIT_UNIFIED_ENABLED_POLICIES
およびDBA_XS_ENB_AUDIT_POLICIES
データ・ディクショナリ・ビューのUSER_NAME
およびENABLED_OPT
列は、このリリースから非推奨となりました。 - 非推奨となったパスワード検証ファンクション
VERIFY_FUNCTION
およびVERIFY_FUNCTION_11G
パスワード検証ファンクションは、このリリースから非推奨となりました。 - UNIFIED_AUDIT_SGA_QUEUE_SIZE初期化パラメータの非推奨化
UNIFIED_AUDIT_SGA_QUEUE_SIZE
初期化パラメータは非推奨となりました。 - DBMS_AUDIT_MGMTパッケージのCONTAINER_GUIDパラメータの非推奨化
監査パフォーマンス改善のための内部再設計の一環として、DBMS_AUDIT_MGMT
PL/SQLパッケージのCONTAINER_GUID
パラメータは非推奨となりました。 - 監査証跡レコードをディスクにフラッシュする設定の非推奨化
監査レコードが自動的に新しい内部リレーショナル表に書き込まれるようになったため、手動で監査レコードをディスクにフラッシュする必要はなくなりました。
AUDIT_UNIFIED_ENABLED_POLICIESおよびDBA_XS_ENB_AUDIT_POLICIESビューで非推奨となった列
AUDIT_UNIFIED_ENABLED_POLICIES
およびDBA_XS_ENB_AUDIT_POLICIES
データ・ディクショナリ・ビューのUSER_NAME
およびENABLED_OPT
列は、このリリースから非推奨となりました。
このリリースでは、USER_NAME
列には引き続き、ポリシーが有効になっているユーザーの名前が表示されますが、ロールに対して有効なポリシーについては、USER_NAME
列にNULL
が表示されます。
ENABLED_OPT
列には、ユーザーに対して有効なポリシーの場合はBY
およびEXCEPT
が表示されますが、ロールに対して有効なポリシーの場合はINVALID
が表示されます。この列は、ENABLED_OPTION
列によって置き換えられます。
親トピック: 非推奨となった機能
非推奨となったパスワード検証ファンクション
VERIFY_FUNCTION
およびVERIFY_FUNCTION_11G
パスワード検証ファンクションは、このリリースから非推奨となりました。
これらのファンクションが非推奨となったのは、以前のリリースの弱いパスワード制限が強制されるためです。かわりに、より強力かつ最新のパスワード検証制限を強制するORA12C_VERIFY_FUNCTION
およびORA12C_STRONG_VERIFY_FUNCTION
ファンクションを使用することが望まれます。
UNIFIED_AUDIT_SGA_QUEUE_SIZE初期化パラメータの非推奨化
UNIFIED_AUDIT_SGA_QUEUE_SIZE
初期化パラメータは非推奨となりました。
このリリースから、Oracle Databaseの監査は統合監査レコードの書込みのためにシステム・グローバル領域(SGA)ベースの問合せに依存しなくなったため、このパラメータは必要なくなりました。
関連トピック
親トピック: 非推奨となった機能
DBMS_AUDIT_MGMTパッケージのCONTAINER_GUIDパラメータの非推奨化
監査パフォーマンス改善のための内部再設計の一環として、DBMS_AUDIT_MGMT
PL/SQLパッケージのCONTAINER_GUID
パラメータは非推奨となりました。
このパラメータは必要なくなりました。この非推奨化により、次のDBMS_AUDIT_MGMT
プロシージャが影響を受けます。
-
DBMS_AUDIT_MGMT.CLEAN_AUDIT_TRAIL
-
DBMS_AUDIT_MGMT.CLEAR_LAST_ARCHIVE_TIMESTAMP
-
DBMS_AUDIT_MGMT.SET_LAST_ARCHIVE_TIMESTAMP
関連項目:
-
DBMS_AUDIT_MGMT
PL/SQLパッケージの詳細は、Oracle Database PL/SQLパッケージおよびタイプ・リファレンスを参照してください
親トピック: 非推奨となった機能
監査証跡レコードをディスクにフラッシュする設定の非推奨化
監査レコードが自動的に新しい内部リレーショナル表に書き込まれるようになったため、手動で監査レコードをディスクにフラッシュする必要はなくなりました。
この機能強化により、フラッシュ・プロセスは共通ロギング・インフラストラクチャのキューを介さずに済みます。非推奨となった設定は次のとおりです。
-
DBMS_AUDIT_MGMT.FLUSH_UNIFIED_AUDIT_TRAIL
プロシージャ -
DBMS_AUDIT_MGMT.SET_AUDIT_TRAIL_PROPERTY
プロシージャのAUDIT_TRAIL_PROPERTY
パラメータのAUDIT_TRAIL_WRITE
モード
関連トピック
親トピック: 非推奨となった機能
Oracle Database Security 12.2の更新
Oracle Databaseリリース12.2には、リリース11.2以降のすべてのリリースに適用される新しいセキュリティ更新が1つあります。
- ネイティブ暗号化のセキュリティ更新
Oracleでは、Oracle Databaseリリース11.2以降における、ネイティブ・ネットワーク暗号化環境に影響を与える必要なセキュリティ機能強化に対応するために、ダウンロード可能なパッチを提供しています。
ネイティブ暗号化のセキュリティ更新
Oracleでは、Oracle Databaseリリース11.2以降における、ネイティブ・ネットワーク暗号化環境に影響を与える必要なセキュリティ機能強化に対応するために、ダウンロード可能なパッチを提供しています。
このパッチは、My Oracle Supportノート2118136.2で入手できます。
改善されたサポート対象アルゴリズムは次のとおりです。
- 暗号化アルゴリズム: AES128、AES192およびAES256
- チェックサム・アルゴリズム: SHA1、SHA256、SHA384およびSHA512
非推奨であり、使用をお薦めしないアルゴリズムは次のとおりです。
- 暗号化アルゴリズム: DES、DES40、3DES112、3DES168、RC4_40、RC4_56、RC4_128およびRC4_256
- チェックサム・アルゴリズム: MD5
サイトでネットワーク・ネイティブ暗号化を使用する必要がある場合は、My Oracle Supportノート2118136.2で説明されているパッチをダウンロードする必要があります。Oracle Databaseインストールの円滑な移行を可能にするために、このパッチでは、脆弱なアルゴリズムを無効にしより強力なアルゴリズムの使用を開始できる、2つのパラメータが提供されます。このパッチは、サーバー上とクライアント上の両方のOracle Databaseインストールにインストールする必要があります。
ネットワーク・ネイティブの暗号化の代替となるのは、TLS (Transport Layer Security)であり、中間者攻撃からの保護を実現します。