目次
- 表一覧
- タイトルおよび著作権情報
- はじめに
-
Oracle Databaseセキュリティ・ガイドのこのリリースの変更
-
Oracle Database Security 12cリリース2 (12.2.0.1)の変更
-
新機能
- アプリケーション共通オブジェクト、ユーザー、ロールおよびプロファイルを作成する機能
- アプリケーション・コンテナのセキュリティ機能
- Oracle Real Application ClustersのSYSRAC管理権限の追加
- 管理ユーザーの認証の強化
- 管理パスワードの管理の強化
- STIGコンプライアンス機能
- パスワード・バージョンのセキュリティ強化
- 非アクティブなデータベース・ユーザー・アカウントの自動ロック機能
- データベース・リンク・アクセスの制御における柔軟性の向上
- データベース・リンクの定義者権限を制御する機能
- PDBロックダウン・プロファイルによるPDBでの操作の制限
- PDBのオペレーティング・システム・ユーザーの識別情報を設定する機能
- Kerberosユーティリティの更新
- 透過的機密データ保護に関する追加のセキュリティ機能のサポート
- ユーザーのグループに対してロールを介して統合監査を有効にする機能
- Oracle Database Real Application Securityの新しい監査イベント
- 監査証跡でOracle Virtual Private Databaseの述語を取得する機能
- AUDSYS監査スキーマの強化
- 非推奨となった機能
-
新機能
- Oracle Database Security 12.2の更新
-
Oracle Database Security 12cリリース2 (12.2.0.1)の変更
- 1 Oracle Databaseセキュリティの概要
-
第I部 ユーザー認証および認可の管理
-
2 Oracle Databaseユーザーのセキュリティの管理
- 2.1 ユーザー・セキュリティについて
- 2.2 ユーザー・アカウントの作成
- 2.3 ユーザー・アカウントの変更
- 2.4 ユーザー・リソース制限の構成
- 2.5 ユーザー・アカウントの削除
- 2.6 データベース・ユーザーおよびプロファイルのデータ・ディクショナリ・ビュー
-
3 認証の構成
- 3.1 認証について
-
3.2 パスワード保護の構成
- 3.2.1 Oracle Databaseの組込みパスワード保護の概要
- 3.2.2 パスワードの最低要件
- 3.2.3 IDENTIFIED BY句を使用したパスワードの作成
-
3.2.4 パスワード管理ポリシーの使用
- 3.2.4.1 パスワード管理について
- 3.2.4.2 デフォルト・パスワードが設定されているユーザー・アカウントの検索
- 3.2.4.3 デフォルト・プロファイルのパスワード設定
- 3.2.4.4 ALTER PROFILE文を使用したプロファイル制限の設定
- 3.2.4.5 デフォルトのパスワード・セキュリティ設定の有効化および無効化
- 3.2.4.6 非アクティブなデータベース・ユーザー・アカウントの自動ロック
- 3.2.4.7 ログイン失敗後のユーザー・アカウントの自動ロック
- 3.2.4.8 例: CREATE PROFILE文を使用したアカウントのロック
- 3.2.4.9 ユーザー・アカウントの明示的ロック
- 3.2.4.10 ユーザーによる以前のパスワードの再利用の制御
- 3.2.4.11 パスワード・エイジングおよび期限切れの制御について
- 3.2.4.12 CREATE PROFILE文またはALTER PROFILE文を使用したパスワード存続期間の設定
- 3.2.4.13 ユーザー・アカウントのステータスの確認
- 3.2.4.14 パスワード変更のライフ・サイクル
- 3.2.4.15 PASSWORD_LIFE_TIMEプロファイル・パラメータの低い値
-
3.2.5 パスワードの複雑度の管理
- 3.2.5.1 パスワードの複雑度検証について
- 3.2.5.2 Oracle Databaseによるパスワードの複雑度のチェック方法
- 3.2.5.3 パスワード複雑度ファンクションを使用できるユーザー
- 3.2.5.4 verify_function_11G関数のパスワード要件
- 3.2.5.5 ora12c_verify_functionのパスワード要件
- 3.2.5.6 ora12c_strong_verify_function関数のパスワード要件
- 3.2.5.7 ora12c_stig_verify_functionのパスワード要件
- 3.2.5.8 パスワード複雑度検証のカスタマイズについて
- 3.2.5.9 パスワード複雑度検証の有効化
- 3.2.6 パスワードでの大/小文字の区別の管理
- 3.2.7 パスワードのセキュリティへの脅威からの12Cパスワード・バージョンによる保護
- 3.2.8 パスワード資格証明用の安全性の高い外部パスワード・ストアの管理
- 3.2.9 管理ユーザーのパスワードの管理
- 3.3 データベース管理者の認証
- 3.4 ユーザーのデータベース認証
- 3.5 ユーザーのオペレーティング・システム認証
- 3.6 ユーザーのネットワーク認証
- 3.7 PDBのオペレーティング・システム・ユーザーの構成
- 3.8 ユーザーのグローバル認証とグローバル認可
- 3.9 ユーザーとパスワード認証のための外部サービスの構成
- 3.10 複数層の認証と認可
- 3.11 クライアント、アプリケーション・サーバーおよびデータベース・サーバーの管理とセキュリティ
-
3.12 複数層環境でのユーザー識別情報の保持
-
3.12.1 プロキシ認証に対する中間層サーバーの使用
- 3.12.1.1 プロキシ認証について
- 3.12.1.2 プロキシ認証の利点
- 3.12.1.3 プロキシ・ユーザー・アカウントの作成者とは
- 3.12.1.4 プロキシ・ユーザー・アカウントの作成のガイドライン
- 3.12.1.5 プロキシ・ユーザー・アカウントの作成と、作成したプロキシ・ユーザー・アカウントを介したユーザー接続の認可
- 3.12.1.6 プロキシ・ユーザー・アカウントと、そのアカウントを介して接続するユーザーの認可
- 3.12.1.7 安全性の高い外部パスワード・ストアとプロキシ認証の使用
- 3.12.1.8 プロキシ認証を使用した実際のユーザーの識別情報の引渡し
- 3.12.1.9 中間層の権限の制限
- 3.12.1.10 ユーザーのプロキシとして機能し、ユーザーを認証する中間層を認可する方法
- 3.12.1.11 他の方式で認証されたユーザーのプロキシとして機能するために、中間層を認可する方法
- 3.12.1.12 中間層を介したデータベースへのユーザーの再認証
- 3.12.1.13 パスワード・ベースのプロキシ認証の使用
- 3.12.1.14 エンタープライズ・ユーザーでのプロキシ認証の使用
-
3.12.2 データベースに認識されないアプリケーション・ユーザーの識別でのクライアント識別子の使用
- 3.12.2.1 クライアント識別子について
- 3.12.2.2 中間層システムでのクライアント識別子の使用方法
- 3.12.2.3 CLIENT_IDENTIFIER属性を使用したユーザー識別情報の保持
- 3.12.2.4 グローバル・アプリケーション・コンテキストから独立したCLIENT_IDENTIFIERの使用
- 3.12.2.5 グローバル・アプリケーション・コンテキストから独立したCLIENT_IDENTIFIERの設定
- 3.12.2.6 DBMS_SESSION PL/SQLパッケージを使用したクライアント識別子の設定とクリア
- 3.12.2.7 システム全体でのCLIENTID_OVERWRITEイベントの有効化
- 3.12.2.8 現在のセッションに対するCLIENTID_OVERWRITEイベントの有効化
- 3.12.2.9 CLIENTID_OVERWRITEイベントの無効化
-
3.12.1 プロキシ認証に対する中間層サーバーの使用
- 3.13 ユーザー認証のデータ・ディクショナリ・ビュー
-
4 権限とロール認可の構成
- 4.1 権限とロールについて
- 4.2 権限付与の対象者
- 4.3 Oracleマルチテナント・オプションが権限に影響を与えるしくみ
- 4.4 管理権限の管理
- 4.5 システム権限の管理
- 4.6 共通およびローカルに付与される権限の管理
- 4.7 共通ロールおよびローカル・ロールの管理
-
4.8 ユーザー・ロールの管理
- 4.8.1 ユーザー・ロールについて
- 4.8.2 Oracle Databaseのインストールで事前に定義されているロール
- 4.8.3 ロールの作成
- 4.8.4 ロール認可のタイプの指定
- 4.8.5 ロールの付与と取消し
- 4.8.6 ロールの削除
- 4.8.7 SQL*Plusユーザーによるデータベース・ロール使用の制限
- 4.8.8 ロール権限およびセキュア・アプリケーション・ロール
- 4.9 PDBロックダウン・プロファイルを使用したPDBでの操作の制限
- 4.10 オブジェクト権限の管理
- 4.11 表権限
- 4.12 ビューに対する権限
- 4.13 プロシージャ権限
- 4.14 タイプ権限
- 4.15 ユーザーへの権限とロールの付与
- 4.16 ユーザーからの権限とロールの取消し
- 4.17 PUBLICロールに対する権限の付与と取消し
- 4.18 オペレーティング・システムまたはネットワークを使用したロールの付与
- 4.19 SET ROLEおよびデフォルト・ロールの設定による権限の付与と取消しの機能
- 4.20 ユーザー権限およびロールのデータ・ディクショナリ・ビュー
-
5 定義者権限および実行者権限のセキュリティの管理
- 5.1 定義者権限および実行者権限について
- 5.2 プロシージャに対する権限が定義者権限に与える影響
- 5.3 プロシージャに対する権限が実行者権限に与える影響
- 5.4 実行者権限プロシージャを作成する場合
-
5.5 プロシージャ・コールおよびビュー・アクセスの実行者権限の制御
- 5.5.1 スキーマの権限が実行者権限プロシージャの使用に与える影響
- 5.5.2 INHERIT [ANY] PRIVILEGES権限による権限アクセスの制御方法
- 5.5.3 他のユーザーへのINHERIT PRIVILEGES権限の付与
- 5.5.4 例: 実行するユーザーへのINHERIT PRIVILEGESの付与
- 5.5.5 例: INHERIT PRIVILEGESの取消し
- 5.5.6 他のユーザーへのINHERIT ANY PRIVILEGES権限の付与
- 5.5.7 例: 信頼できるプロシージャ所有者へのINHERIT ANY PRIVILEGESの付与
- 5.5.8 INHERIT PRIVILEGESおよびINHERIT ANY PRIVILEGESの管理
- 5.6 ビューの定義者権限および実行者権限
-
5.7 定義者権限および実行者権限のコード・ベース・アクセス制御の使用
- 5.7.1 アプリケーションのコード・ベース・アクセス制御の使用について
- 5.7.2 コード・ベースのアクセス制御ロールをプログラム・ユニットに付与できる者
- 5.7.3 コード・ベース・アクセス制御による実行者権限のプログラム・ユニットの処理方法
- 5.7.4 コード・ベース・アクセス制御による定義者権限のプログラム・ユニットの処理方法
- 5.7.5 CBAC付与のためのユーザーへのデータベース・ロールの付与
- 5.7.6 プログラム・ユニットに対するデータベース・ロールの付与と取消し
-
5.7.7 チュートリアル: コード・ベース・アクセス制御による機密データへのアクセス制御
- 5.7.7.1 このチュートリアルについて
- 5.7.7.2 ステップ1: ユーザーを作成してHRにCREATE ROLE権限を付与
- 5.7.7.3 ステップ2: print_employees実行者権限プロシージャを作成
- 5.7.7.4 ステップ3: hr_clerkロールを作成して権限を付与
- 5.7.7.5 ステップ4: コード・ベース・アクセス制御HR.print_employeesプロシージャのテスト
- 5.7.7.6 ステップ5: view_emp_roleロールを作成して権限を付与
- 5.7.7.7 ステップ6: HR.print_employeesプロシージャの再テスト
- 5.7.7.8 ステップ7: このチュートリアルのコンポーネントの削除
-
5.8 データベース・リンクの定義者権限の制御
- 5.8.1 データベース・リンクの定義者権限の制御について
- 5.8.2 他のユーザーへのINHERIT REMOTE PRIVILEGES権限の付与
- 5.8.3 例: 接続ユーザーのINHERIT REMOTE PRIVILEGESの付与
- 5.8.4 他のユーザーへのINHERIT ANY REMOTE PRIVILEGES権限の付与
- 5.8.5 INHERIT [ANY] REMOTE PRIVILEGES権限の取消し
- 5.8.6 例: INHERIT REMOTE PRIVILEGES権限の取消し
- 5.8.7 例: PUBLICからのINHERIT REMOTE PRIVILEGES権限の取消し
- 5.8.8 チュートリアル: 定義者権限プロシージャでのデータベース・リンクの使用
-
6 PL/SQLパッケージおよびタイプでのファイングレイン・アクセスの管理
- 6.1 PL/SQLパッケージおよびタイプでのファイングレイン・アクセスの管理について
- 6.2 外部ネットワーク・サービスに対するファイングレイン・アクセス・コントロールについて
- 6.3 Oracleウォレットへのアクセス制御について
- 6.4 外部ネットワーク・サービスを使用するパッケージに依存しているアップグレードされたアプリケーション
- 6.5 外部ネットワーク・サービスのアクセス制御の構成
- 6.6 Oracleウォレットへのアクセス制御の構成
- 6.7 外部ネットワーク・サービスのアクセス制御の構成の例
- 6.8 ネットワーク・ホスト・コンピュータのグループの指定
- 6.9 複数のアクセス制御リスト割当てでのホスト・コンピュータの優先順位
- 6.10 ポート範囲指定によるアクセス制御リスト割当てでのホストの優先順位
- 6.11 ネットワーク・ホストへのユーザー・アクセスに影響を与える権限割当てのチェック
- 6.12 Javaデバッグ・ワイヤ・プロトコル操作のネットワーク・アクセスの構成
- 6.13 ユーザー・アクセス用に構成されたアクセス制御リストのデータ・ディクショナリ・ビュー
- 7 Enterprise Managerによるマルチテナント環境のセキュリティの管理
-
2 Oracle Databaseユーザーのセキュリティの管理
-
第II部 アプリケーション開発のセキュリティ
-
8 アプリケーション開発者のセキュリティの管理
- 8.1 アプリケーション・セキュリティ・ポリシーについて
- 8.2 アプリケーション・ベースのセキュリティの使用に関する考慮事項
- 8.3 アプリケーション設計におけるパスワードの保護
- 8.4 外部プロシージャの保護
- 8.5 アプリケーション権限の管理
- 8.6 アプリケーション権限の管理にロールを使用する利点
- 8.7 アプリケーションへのアクセスを制御するセキュア・アプリケーション・ロールの作成
- 8.8 権限とユーザーのデータベース・ロールとの関連付け
- 8.9 スキーマを使用したデータベース・オブジェクトの保護
- 8.10 アプリケーションでのオブジェクト権限
- 8.11 データベース通信のセキュリティを強化するためのパラメータ
-
8 アプリケーション開発者のセキュリティの管理
-
第III部 データへのアクセス制御
-
9 アプリケーション・コンテキストを使用したユーザー情報の取得
- 9.1 アプリケーション・コンテキストについて
- 9.2 アプリケーション・コンテキストの種類
-
9.3 データベース・セッション・ベースのアプリケーション・コンテキストの使用
- 9.3.1 データベース・セッション・ベースのアプリケーション・コンテキストについて
- 9.3.2 データベース・セッション・ベースのアプリケーション・コンテキストのコンポーネント
- 9.3.3 データベース・セッション・ベースのアプリケーション・コンテキストの作成
-
9.3.4 データベース・セッション・ベースのアプリケーション・コンテキストを設定するためのパッケージの作成
- 9.3.4.1 データベース・セッション・ベースのアプリケーション・コンテキストを管理するパッケージについて
- 9.3.4.2 SYS_CONTEXTファンクションを使用したセッション情報の取得
- 9.3.4.3 SYS_CONTEXT設定の確認
- 9.3.4.4 SYS_CONTEXTでの動的SQL
- 9.3.4.5 パラレル問合せでのSYS_CONTEXT
- 9.3.4.6 データベース・リンクでのSYS_CONTEXT
- 9.3.4.7 セッション情報を設定するためのDBMS_SESSION.SET_CONTEXT
- 9.3.4.8 例: アプリケーション・コンテキストの値を作成する単純なプロシージャ
- 9.3.5 データベース・セッションのアプリケーション・コンテキスト・パッケージを実行するログオン・トリガー
- 9.3.6 例: 単純なログイン・トリガーの作成
- 9.3.7 例: 本番環境用のログイン・トリガーの作成
- 9.3.8 例: 開発環境用のログイン・トリガーの作成
- 9.3.9 例: データベース・セッション・ベースのアプリケーション・コンテキストの作成と使用
- 9.3.10 データベース・セッション・ベースのアプリケーション・コンテキストの外部での初期化
- 9.3.11 データベース・セッション・ベースのアプリケーション・コンテキストのグローバルな初期化
- 9.3.12 外部化されたデータベース・セッション・ベースのアプリケーション・コンテキスト
-
9.4 グローバル・アプリケーション・コンテキスト
- 9.4.1 グローバル・アプリケーション・コンテキストについて
- 9.4.2 グローバル・アプリケーション・コンテキストの使用方法
- 9.4.3 グローバル・アプリケーション・コンテキストのコンポーネント
- 9.4.4 Oracle Real Application Clusters環境でのグローバル・アプリケーション・コンテキスト
- 9.4.5 グローバル・アプリケーション・コンテキストの作成
-
9.4.6 グローバル・アプリケーション・コンテキストを管理するためのPL/SQLパッケージ
- 9.4.6.1 グローバル・アプリケーション・コンテキストを管理するパッケージについて
- 9.4.6.2 エディションがグローバル・アプリケーション・コンテキストのPL/SQLパッケージの結果に与える影響
- 9.4.6.3 DBMS_SESSION.SET_CONTEXTのusernameおよびclient_idパラメータ
- 9.4.6.4 全データベース・ユーザーを対象としたグローバル・アプリケーション・コンテキスト値の共有
- 9.4.6.5 例: 全データベース・ユーザーを対象としてグローバル・アプリケーション値を管理するためのパッケージ
- 9.4.6.6 アプリケーション間を移動するデータベース・ユーザーのグローバル・コンテキスト
- 9.4.6.7 非データベース・ユーザーのグローバル・アプリケーション・コンテキスト
- 9.4.6.8 例: 非データベース・ユーザーのグローバル・アプリケーション・コンテキスト値を管理するためのパッケージ
- 9.4.6.9 セッションをクローズする際のセッション・データのクリア
- 9.4.7 クライアント・セッションIDを管理するための中間層アプリケーションへのコールの埋込み
- 9.4.8 例: クライアント・セッションIDを使用するグローバル・アプリケーション・コンテキストの作成
- 9.4.9 グローバル・アプリケーション・コンテキスト・プロセス
- 9.5 クライアント・セッション・ベースのアプリケーション・コンテキストの使用
- 9.6 アプリケーション・コンテキストのデータ・ディクショナリ・ビュー
-
10 Oracle Virtual Private Databaseを使用したデータ・アクセスの制御
-
10.1 Oracle Virtual Private Databaseについて
- 10.1.1 Oracle Virtual Private Database
- 10.1.2 Oracle Virtual Private Databaseポリシーを使用するメリット
- 10.1.3 Oracle Virtual Private Databaseポリシーの作成者とは
- 10.1.4 Oracle Virtual Private Databaseポリシー関数を実行するための権限
- 10.1.5 Oracle Virtual Private Databaseでのアプリケーション・コンテキストの使用
- 10.1.6 マルチテナント環境でのOracle Virtual Private Database
- 10.2 Oracle Virtual Private Databaseポリシーのコンポーネント
-
10.3 Oracle Virtual Private Databaseのポリシーの構成
- 10.3.1 Oracle Virtual Private Databaseポリシーについて
- 10.3.2 データベース表、ビューまたはシノニムへのポリシーの付加
- 10.3.3 例: 表への単純なOracle Virtual Private Databaseポリシーの付加
- 10.3.4 特定のSQL文に対するポリシーの規定
- 10.3.5 例: DBMS_RLS.ADD_POLICYを使用したSQL文の指定
- 10.3.6 ポリシーを使用した列データ表示の制御
- 10.3.7 Oracle Virtual Private Databaseのポリシー・グループ
-
10.3.8 Oracle Virtual Private Databaseポリシー・タイプを使用したパフォーマンスの最適化
- 10.3.8.1 Oracle Virtual Private Databaseポリシー・タイプについて
- 10.3.8.2 ポリシー関数を自動再実行するための動的ポリシー・タイプ
- 10.3.8.3 例: DBMS_RLS.ADD_POLICYを使用したDYNAMICポリシーの作成
- 10.3.8.4 ポリシー関数の問合せごとの再実行を回避するための静的ポリシー
- 10.3.8.5 例: DBMS_RLS.ADD_POLICYを使用した静的ポリシーの作成
- 10.3.8.6 例: 複数オブジェクト間でポリシーを共有するための共有の静的ポリシー
- 10.3.8.7 静的ポリシーおよび共有の静的ポリシーを使用する場合
- 10.3.8.8 変更されるアプリケーション・コンテキスト属性の状況依存ポリシー
- 10.3.8.9 例: DBMS_RLS.ADD_POLICYを使用した状況依存ポリシーの作成
- 10.3.8.10 例: VPD状況依存ポリシーのキャッシュされた文のリフレッシュ
- 10.3.8.11 例: 既存の状況依存ポリシーの変更
- 10.3.8.12 例: 共有の状況依存ポリシーの使用による複数オブジェクト間でのポリシーの共有
- 10.3.8.13 状況依存ポリシーおよび共有の状況依存ポリシーを使用する場合
- 10.3.8.14 5種類のOracle Virtual Private Databaseポリシー・タイプの要約
-
10.4 例: Oracle Virtual Private Databaseポリシーの作成
- 10.4.1 例: 単純なOracle Virtual Private Databaseポリシーの作成
-
10.4.2 チュートリアル: セッション・ベースのアプリケーション・コンテキスト・ポリシーの実装
- 10.4.2.1 このチュートリアルについて
- 10.4.2.2 ステップ1: ユーザー・アカウントとサンプル表の作成
- 10.4.2.3 ステップ2: データベース・セッション・ベースのアプリケーション・コンテキストの作成
- 10.4.2.4 ステップ3: アプリケーション・コンテキストを設定するPL/SQLパッケージの作成
- 10.4.2.5 ステップ4: アプリケーション・コンテキストのPL/SQLパッケージを実行するログイン・トリガーの作成
- 10.4.2.6 ステップ5: ログオン・トリガーのテスト
- 10.4.2.7 ステップ6: ユーザー・アクセスを自分の注文に制限するPL/SQLポリシー関数の作成
- 10.4.2.8 ステップ7: 新しいセキュリティ・ポリシーの作成
- 10.4.2.9 ステップ8: 新しいポリシーのテスト
- 10.4.2.10 ステップ9: このチュートリアルのコンポーネントの削除
- 10.4.3 例: Oracle Virtual Private Databaseポリシー・グループの実装
-
10.5 他のOracle機能でのOracle Virtual Private Databaseの使用
- 10.5.1 Oracle Virtual Private Databaseポリシーとエディション
- 10.5.2 VPD保護表に対するユーザーの問合せでのSELECT FOR UPDATE文
- 10.5.3 Oracle Virtual Private Databaseポリシーおよび外部結合またはANSI結合
- 10.5.4 Oracle Virtual Private Databaseセキュリティ・ポリシーおよびアプリケーション
- 10.5.5 ファイングレイン・アクセス・コントロールのポリシー関数に対する自動再解析
- 10.5.6 Oracle Virtual Private Databaseポリシーとフラッシュバック問合せ
- 10.5.7 Oracle Virtual Private DatabaseとOracle Label Security
- 10.5.8 EXPDPユーティリティのaccess_methodパラメータを使用したデータのエクスポート
- 10.5.9 ユーザー・モデルとOracle Virtual Private Database
- 10.6 Oracle Virtual Private Databaseのデータ・ディクショナリ・ビュー
-
10.1 Oracle Virtual Private Databaseについて
-
11 透過的機密データ保護の使用
- 11.1 透過的機密データ保護について
- 11.2 透過的機密データ保護を使用する一般的なステップ
- 11.3 透過的機密データ保護ポリシーのユースケース
- 11.4 透過的機密データ保護の使用に必要な権限
- 11.5 マルチテナント環境が透過的機密データ保護に影響を与えるしくみ
- 11.6 透過的機密データ保護ポリシーの作成
- 11.7 透過的機密データ保護ポリシーの変更
- 11.8 透過的機密データ保護ポリシーの無効化
- 11.9 透過的機密データ保護ポリシーの削除
- 11.10 事前定義のREDACT_AUDITポリシーを使用したバインド値のマスク
- 11.11 データ・リダクションでの透過的機密データ保護ポリシー
- 11.12 Oracle VPDポリシーでの透過的機密データ保護ポリシーの使用
- 11.13 統合監査での透過的機密データ保護ポリシーの使用
- 11.14 ファイングレイン監査での透過的機密データ保護ポリシーの使用
- 11.15 TDE列暗号化での透過的機密データ保護ポリシーの使用
- 11.16 透過的機密データ保護のデータ・ディクショナリ・ビュー
- 12 手動によるデータ暗号化
-
9 アプリケーション・コンテキストを使用したユーザー情報の取得
-
第IV部 ネットワーク上のデータの保護
- 13 Oracle Databaseのネイティブ・ネットワーク暗号化とデータ整合性の構成
- 14 シンJDBCクライアント・ネットワークの構成
-
第V部 厳密認証の管理
- 15 厳密認証の概要
- 16 厳密認証の管理ツール
-
17 Kerberos認証の構成
-
17.1 Kerberos認証の有効化
- 17.1.1 ステップ1: Kerberosのインストール
- 17.1.2 ステップ2: Oracleデータベース・サーバーに対するサービス・プリンシパルの構成
- 17.1.3 ステップ3: Kerberosからのサービス・キー表の抽出
- 17.1.4 ステップ4: Oracleデータベース・サーバーとOracleクライアントのインストール
- 17.1.5 ステップ5: Oracle Net ServicesとOracle Databaseの構成
- 17.1.6 ステップ6: Kerberos認証の構成
- 17.1.7 ステップ7: Kerberosユーザーの作成
- 17.1.8 ステップ8: 外部認証されたOracleユーザーの作成
- 17.1.9 ステップ9: Kerberos/Oracleユーザーの初期チケットの取得
- 17.2 Kerberos認証アダプタのユーティリティ
- 17.3 Kerberosによって認証されたOracle Databaseサーバーへの接続
- 17.4 Windows 2008ドメイン・コントローラKDCとの相互運用性の構成
- 17.5 Kerberos認証フォールバック動作の構成
- 17.6 Oracle Kerberos認証の構成のトラブルシューティング
-
17.1 Kerberos認証の有効化
-
18 Secure Sockets Layer認証の構成
- 18.1 Secure Sockets LayerおよびTransport Layer Security
- 18.2 Oracle DatabaseでのSecure Sockets Layerを使用した認証
- 18.3 Oracle環境におけるSecure Sockets Layerの機能: SSLハンドシェイク
- 18.4 Oracle環境における公開キー・インフラストラクチャ
- 18.5 Secure Sockets Layerと他の認証方式の併用
- 18.6 Secure Sockets Layerとファイアウォール
- 18.7 Secure Sockets Layer使用時の問題
-
18.8 Secure Sockets Layerの有効化
-
18.8.1 ステップ1: サーバーでのSecure Sockets Layerの構成
- 18.8.1.1 ステップ1A: サーバーでのウォレット作成の確認
- 18.8.1.2 ステップ1B: サーバーでのデータベース・ウォレット・ロケーションの指定
- 18.8.1.3 ステップ1C: サーバーでのSecure Sockets Layer暗号スイートの設定(オプション)
- 18.8.1.4 ステップ1D: サーバーでの必要なSecure Sockets Layerバージョンの設定(オプション)
- 18.8.1.5 ステップ1E: サーバーでのSSLクライアント認証の設定(オプション)
- 18.8.1.6 ステップ1F: サーバーでの認証サービスとしてのSSLの設定(オプション)
- 18.8.1.7 ステップ1G: SSL付きTCP/IPを使用するリスニング・エンドポイントのサーバーでの作成
-
18.8.2 ステップ2: クライアントでのSecure Sockets Layerの構成
- 18.8.2.1 ステップ2A: クライアント・ウォレット作成の確認
- 18.8.2.2 ステップ2B: サーバーDNの構成とクライアントのSSL付きTCP/IPの使用
- 18.8.2.3 ステップ2C: 必要なクライアントSSL構成の指定(ウォレット・ロケーション)
- 18.8.2.4 ステップ2D: クライアントのSecure Sockets Layer暗号スイートの設定(オプション)
- 18.8.2.5 ステップ2E: 必要なSSLバージョンのクライアントでの設定(オプション)
- 18.8.2.6 ステップ2F: クライアントにおける認証サービスとしてのSSLの設定(オプション)
- 18.8.2.7 ステップ2G: クライアントでの認証に使用する証明書の指定(オプション)
- 18.8.3 ステップ3: データベース・インスタンスへのログイン
-
18.8.1 ステップ1: サーバーでのSecure Sockets Layerの構成
- 18.9 Secure Sockets Layer構成のトラブルシューティング
- 18.10 証明書失効リストによる証明書の検証
- 18.11 ハードウェア・セキュリティ・モジュールを使用するためのシステムの構成
-
19 RADIUS認証の構成
- 19.1 RADIUS認証の構成について
- 19.2 RADIUSの構成要素
- 19.3 RADIUS認証モード
-
19.4 RADIUS認証、認可およびアカウンティングの有効化
- 19.4.1 ステップ1: RADIUS認証の構成
- 19.4.2 ステップ2: ユーザーの作成とアクセス権の付与
- 19.4.3 ステップ3: 外部RADIUS認可の構成(オプション)
- 19.4.4 ステップ4: RADIUSアカウンティングの構成
- 19.4.5 ステップ5: RADIUSクライアント名のRADIUSサーバー・データベースへの追加
- 19.4.6 ステップ6: RADIUSとともに使用する認証サーバーの構成
- 19.4.7 ステップ7: 認証サーバーとともに使用するRADIUSサーバーの構成
- 19.4.8 ステップ8: マッピング・ロールの構成
- 19.5 RADIUSを使用したデータベースへのログイン
- 19.6 RSA ACE/Server構成チェックリスト
- 20 厳密認証の使用のカスタマイズ
-
第VI部 監査を使用したデータベース・アクティビティの管理
- 21 監査の概要
-
22 監査ポリシーの構成
- 22.1 監査タイプの選択
-
22.2 統合監査ポリシーおよびAUDIT文を使用したアクティビティの監査
- 22.2.1 統合監査ポリシーおよびAUDITを使用したアクティビティの監査について
- 22.2.2 統合監査ポリシーの作成のベスト・プラクティス
- 22.2.3 統合監査ポリシーの作成の構文
- 22.2.4 ロールの監査
- 22.2.5 システム権限の監査
- 22.2.6 管理ユーザーの監査
-
22.2.7 オブジェクト・アクションの監査
- 22.2.7.1 オブジェクト・アクションの監査について
- 22.2.7.2 監査できるオブジェクト・アクション
- 22.2.7.3 オブジェクト・アクションの統合監査ポリシーの構成
- 22.2.7.4 例: SYSオブジェクトでのアクションの監査
- 22.2.7.5 例: 1つのオブジェクトでの複数のアクションの監査
- 22.2.7.6 例: オブジェクトでのアクションと権限の両方の監査
- 22.2.7.7 例: 表でのすべてのアクションの監査
- 22.2.7.8 例: データベースでのすべてのアクションの監査
- 22.2.7.9 監査証跡でのオブジェクト・アクションの統合監査ポリシーの表示方法
- 22.2.7.10 ファンクション、プロシージャ、パッケージおよびトリガーの監査
- 22.2.7.11 Oracle Virtual Private Databaseの述語の監査
- 22.2.7.12 Oracle Virtual Private Databaseポリシー関数の監査ポリシー
- 22.2.7.13 統合監査とエディション付きオブジェクト
- 22.2.8 READ ANY TABLEおよびSELECT ANY TABLE権限の監査
- 22.2.9 複数層環境におけるSQL文および権限の監査
-
22.2.10 統合監査ポリシーの条件の作成
- 22.2.10.1 統合監査ポリシーについて
- 22.2.10.2 条件を使用した統合監査ポリシーの構成
- 22.2.10.3 例: SQL*Plusへのアクセスの監査
- 22.2.10.4 例: 特定のホストにはないアクションの監査
- 22.2.10.5 例: システム全体のアクションおよびスキーマ固有のアクションの両方の監査
- 22.2.10.6 例: 文の発生ごとの条件の監査
- 22.2.10.7 例: 現在の管理ユーザー・セッションの統合監査セッションID
- 22.2.10.8 例: 現在の非管理ユーザー・セッションの統合監査セッションID
- 22.2.10.9 監査証跡での条件からの監査レコードの表示方法
- 22.2.11 アプリケーション・コンテキスト値の監査
-
22.2.12 Oracle Database Real Application Securityイベントの監査
- 22.2.12.1 Oracle Database Real Application Securityイベントの監査について
- 22.2.12.2 Oracle Database Real Application Securityの監査可能なイベント
- 22.2.12.3 Oracle Database Real Application Securityのユーザー、権限およびロールの監査イベント
- 22.2.12.4 Oracle Database Real Application Securityのセキュリティ・クラスおよびACLの監査イベント
- 22.2.12.5 Oracle Database Real Application Securityのセッションの監査イベント
- 22.2.12.6 Oracle Database Real Application SecurityのALLイベント
- 22.2.12.7 Oracle Database Real Application Securityの統合監査ポリシーの構成
- 22.2.12.8 例: Real Application Securityのユーザー・アカウントの変更の監査
- 22.2.12.9 例: Real Application Securityの統合監査ポリシーでの条件の使用
- 22.2.12.10 監査証跡でのOracle Database Real Application Securityイベントの表示方法
- 22.2.13 Oracle Recovery Managerイベントの監査
-
22.2.14 Oracle Database Vaultイベントの監査
- 22.2.14.1 Oracle Database Vaultイベントの監査について
- 22.2.14.2 Oracle Database Vaultの監査者
- 22.2.14.3 Oracle Database Vaultの統合監査証跡イベントについて
- 22.2.14.4 Oracle Database Vaultのレルムの監査イベント
- 22.2.14.5 Oracle Database Vaultのルール・セットおよびルールの監査イベント
- 22.2.14.6 Oracle Database Vaultのコマンド・ルールの監査イベント
- 22.2.14.7 Oracle Database Vaultのファクタの監査イベント
- 22.2.14.8 Oracle Database Vaultのセキュア・アプリケーション・ロールの監査イベント
- 22.2.14.9 Oracle Database Vault Oracle Label Securityの監査イベント
- 22.2.14.10 Oracle Database Vault Oracle Data Pumpの監査イベント
- 22.2.14.11 Oracle Database Vaultの有効および無効な監査イベント
- 22.2.14.12 Oracle Database Vaultの統合監査ポリシーの構成
- 22.2.14.13 例: Oracle Database Vaultのレルムの監査
- 22.2.14.14 例: Oracle Database Vaultのルール・セットの監査
- 22.2.14.15 例: 2つのOracle Database Vaultイベントの監査
- 22.2.14.16 例: Oracle Database Vaultのファクタの監査
- 22.2.14.17 監査証跡でのOracle Database Vaultの監査イベントの表示方法
-
22.2.15 Oracle Label Securityイベントの監査
- 22.2.15.1 Oracle Label Securityイベントの監査について
- 22.2.15.2 Oracle Label Securityの統合監査証跡イベント
- 22.2.15.3 Oracle Label Securityの監査可能なユーザー・セッション・ラベル
- 22.2.15.4 Oracle Label Securityの統合監査ポリシーの構成
- 22.2.15.5 例: Oracle Label Securityのセッション・ラベル属性の監査
- 22.2.15.6 例: Oracle Label Securityポリシーからのユーザーの除外
- 22.2.15.7 例: Oracle Label Securityのポリシー・アクションの監査
- 22.2.15.8 例: 監査済のOLSセッション・ラベルの問合せ
- 22.2.15.9 監査証跡でのOracle Label Securityの監査イベントの表示方法
- 22.2.16 Oracle Data Miningイベントの監査
- 22.2.17 Oracle Data Pumpイベントの監査
- 22.2.18 Oracle SQL*Loaderダイレクト・ロード・パス・イベントの監査
- 22.2.19 トップレベルの文のみの監査
- 22.2.20 マルチテナント環境での統合監査ポリシーまたはAUDIT設定
- 22.2.21 統合監査ポリシーの変更
- 22.2.22 統合監査ポリシーの有効化およびユーザーとロールへの適用
- 22.2.23 統合監査ポリシーの無効化
- 22.2.24 統合監査ポリシーの削除
- 22.2.25 例: 非データベース・ユーザーの監査
-
22.3 事前定義の統合監査ポリシーを使用したアクティビティの監査
- 22.3.1 ログオン失敗の事前定義の統合監査ポリシー
- 22.3.2 セキュア・オプションの事前定義の統合監査ポリシー
- 22.3.3 Oracle Databaseパラメータ変更の事前定義の統合監査ポリシー
- 22.3.4 ユーザー・アカウントおよび権限管理の事前定義の統合監査ポリシー
- 22.3.5 Center for Internet Securityで推奨される事前定義の統合監査ポリシー
- 22.3.6 Oracle Database Real Application Securityの事前定義の監査ポリシー
- 22.3.7 DVSYSおよびLBACSYSスキーマに対するOracle Database Vaultの事前定義の統合監査ポリシー
- 22.3.8 デフォルト・レルムおよびコマンド・ルールに対するOracle Database Vaultの事前定義の統合監査ポリシー
-
22.4 ファイングレイン監査を使用した特定のアクティビティの監査
- 22.4.1 ファイングレイン監査について
- 22.4.2 ファイングレイン監査レコードが格納される場所
- 22.4.3 ファイングレイン監査の実行者
- 22.4.4 Oracle VPDポリシーがある表またはビューでのファイングレイン監査
- 22.4.5 マルチテナント環境でのファイングレイン監査
- 22.4.6 ファイングレイン監査ポリシーとエディション
- 22.4.7 DBMS_FGA PL/SQLパッケージを使用したファイングレイン監査ポリシーの管理
-
22.4.8 例: ファイングレイン監査ポリシーへの電子メール・アラートの追加
- 22.4.8.1 このチュートリアルについて
- 22.4.8.2 ステップ1: UTL_MAIL PL/SQLパッケージのインストールおよび構成
- 22.4.8.3 ステップ2: ユーザー・アカウントの作成
- 22.4.8.4 ステップ3: ネットワーク・サービスに対するアクセス制御リスト・ファイルの構成
- 22.4.8.5 ステップ4: 電子メール・セキュリティ・アラートPL/SQLプロシージャの作成
- 22.4.8.6 ステップ5: ファイングレイン監査ポリシー設定の作成とテスト
- 22.4.8.7 ステップ6: アラートのテスト
- 22.4.8.8 ステップ7: このチュートリアルのコンポーネントの削除
- 22.5 監査ポリシーのデータ・ディクショナリ・ビュー
- 23 監査証跡の管理
-
付録
-
A Oracle Databaseの安全性の維持
- A.1 Oracle Databaseセキュリティ・ガイドラインについて
- A.2 セキュリティ・パッチのダウンロードと脆弱性についてのOracleへの連絡
- A.3 ユーザー・アカウントと権限の保護に関するガイドライン
- A.4 ロールの保護に関するガイドライン
- A.5 パスワードの保護に関するガイドライン
- A.6 データの保護に関するガイドライン
- A.7 ORACLE_LOADERアクセス・ドライバの保護に関するガイドライン
- A.8 データベースのインストールと構成の保護に関するガイドライン
- A.9 ネットワークの保護に関するガイドライン
- A.10 外部プロシージャの保護に関するガイドライン
- A.11 監査に関するガイドライン
- A.12 CONNECTロール変更への対処
-
B データ暗号化および整合性パラメータ
- B.1 データ暗号化と整合性のためのsqlnet.oraの使用について
- B.2 サンプルsqlnet.oraファイル
-
B.3 データ暗号化および整合性パラメータ
- B.3.1 データ暗号化および整合性パラメータについて
- B.3.2 SQLNET.ENCRYPTION_SERVER
- B.3.3 SQLNET.ENCRYPTION_CLIENT
- B.3.4 SQLNET.CRYPTO_CHECKSUM_SERVER
- B.3.5 SQLNET.CRYPTO_CHECKSUM_CLIENT
- B.3.6 SQLNET.ENCRYPTION_TYPES_SERVER
- B.3.7 SQLNET.ENCRYPTION_TYPES_CLIENT
- B.3.8 SQLNET.CRYPTO_CHECKSUM_TYPES_SERVER
- B.3.9 SQLNET.CRYPTO_CHECKSUM_TYPES_CLIENT
-
C Kerberos、SSLおよびRADIUS認証パラメータ
- C.1 Kerberos認証を使用するクライアントとサーバーのパラメータ
-
C.2 Secure Sockets Layerを使用するクライアントとサーバーのパラメータ
- C.2.1 Secure Socket Layerのパラメータの構成方法
- C.2.2 クライアントとサーバーのSecure Sockets Layer認証パラメータ
- C.2.3 Secure Sockets Layerの暗号スイート・パラメータ
- C.2.4 サポートされているSecure Sockets Layer暗号スイート
- C.2.5 Secure Sockets Layerバージョン・パラメータ
- C.2.6 Secure Sockets Layerクライアント認証パラメータ
- C.2.7 Secure Sockets Layer X.509サーバー照合パラメータ
- C.2.8 Oracleウォレット・ロケーション
-
C.3 RADIUS認証を使用するクライアントとサーバーのパラメータ
-
C.3.1 sqlnet.oraファイルのパラメータ
- C.3.1.1 SQLNET.AUTHENTICATION_SERVICES
- C.3.1.2 SQLNET.RADIUS_ALTERNATE
- C.3.1.3 SQLNET.RADIUS_ALTERNATE_PORT
- C.3.1.4 SQLNET.RADIUS_ALTERNATE_TIMEOUT
- C.3.1.5 SQLNET.RADIUS_ALTERNATE_RETRIES
- C.3.1.6 SQLNET.RADIUS_AUTHENTICATION
- C.3.1.7 SQLNET.RADIUS_AUTHENTICATION_INTERFACE
- C.3.1.8 SQLNET.RADIUS_AUTHENTICATION_PORT
- C.3.1.9 SQLNET.RADIUS_AUTHENTICATION_TIMEOUT
- C.3.1.10 SQLNET.RADIUS_AUTHENTICATION_RETRIES
- C.3.1.11 SQLNET.RADIUS_CHALLENGE_RESPONSE
- C.3.1.12 SQLNET.RADIUS_CHALLENGE_KEYWORD
- C.3.1.13 SQLNET.RADIUS_CLASSPATH
- C.3.1.14 SQLNET.RADIUS_SECRET
- C.3.1.15 SQLNET.RADIUS_SEND_ACCOUNTING
- C.3.2 最小限のRADIUSパラメータ
- C.3.3 RADIUSの初期化ファイル・パラメータ
-
C.3.1 sqlnet.oraファイルのパラメータ
- D RADIUSを使用した認証デバイスの統合
- E Oracle Database FIPS 140-2の設定
-
F orapkiユーティリティを使用したPKI要素の管理
- F.1 orapkiユーティリティの使用
- F.2 orapkiユーティリティの構文
- F.3 テスト用の署名付き証明書の作成
- F.4 証明書の表示
- F.5 orapkiユーティリティを使用したOracleウォレットの管理
- F.6 orapkiユーティリティを使用した証明書失効リスト(CRL)の管理
- F.7 orapkiの使用方法
-
F.8 orapkiユーティリティ・コマンドのサマリー
- F.8.1 orapki cert create
- F.8.2 orapki cert display
- F.8.3 orapki crl deleteコマンド
- F.8.4 orapki crl display
- F.8.5 orapki crl hash
- F.8.6 orapki crl list
- F.8.7 orapki crl upload
- F.8.8 orapki wallet add
- F.8.9 orapki wallet convert
- F.8.10 orapki wallet create
- F.8.11 orapki wallet display
- F.8.12 orapki wallet export
- G 統合監査の移行による各監査機能への影響
-
A Oracle Databaseの安全性の維持
- 用語集
- 索引