1. 管理者ガイド
  2. Oracle Database Vault管理者ガイドのこのリリースの変更点

Oracle Database Vault管理者ガイドのこのリリースの変更点

この章の内容は次のとおりです。

Oracle Database Vault 12cリリース2 (12.2.0.1)の変更点

Oracle Database 12cリリース2 (12.2.0.1)におけるOracle Database Vault管理者ガイドの変更点を次に示します。

親トピック: Oracle Database Vault管理者ガイドのこのリリースの変更点

新機能

このリリースでは、新たに次の機能が追加されました。

親トピック: Oracle Database Vault 12cリリース2 (12.2.0.1)での変更点

Oracle Database Vaultポリシーを作成する機能

Oracle Database Vaultポリシーは、共通点のあるレルムおよびコマンド・ルールを1つのポリシーにグループ化し管理します。

たとえば、レルムおよびコマンド・ルールは、共通するアプリケーションまたはスキーマを持つ場合があります。

このポリシー内のレルムおよびコマンド・ルールのステータスは、セキュリティ・オブジェクトごとに個別に更新を実行するのでなく、1つのコマンドで一度に更新できます。このリリースには、新しいDV_POLICY_OWNERロールもあります。これは、権限受領者ユーザーに基本的な管理タスクを実行する権限を提供します。このユーザーは、ポリシーに含まれるレルムに認可ユーザーを追加することや、強力なDV_OWNERロールを付与されることなくポリシー状態を変更することができます。

次の新機能でサポートされている機能を示します。

  • DBMS_MACADM PL/SQLプロシージャ:

    • DBMS_MACADM.ADD_CMD_RULE_TO_POLICY

    • DBMS_MACADM.ADD_OWNER_TO_POLICY

    • DBMS_MACADM.ADD_REALM_TO_POLICY

    • DBMS_MACADM.CREATE_POLICY

    • DBMS_MACADM.DELETE_CMD_RULE_FROM_POLICY

    • DBMS_MACADM.DELETE_OWNER_FROM_POLICY

    • DBMS_MACADM.DELETE_REALM_FROM_POLICY

    • DBMS_MACADM.DROP_POLICY

    • DBMS_MACADM.RENAME_POLICY

    • DBMS_MACADM.UPDATE_POLICY_DESCRIPTION

    • DBMS_MACADM.UPDATE_POLICY_STATE

  • ロール:

    • DV_POLICY_OWNER

  • データ・ディクショナリ・ビュー:

    • DVSYS.DBA_DV_POLICY

    • DVSYS.DBA_DV_POLICY_OBJECT

    • DVSYS.DBA_DV_POLICY_OWNER

    • DVSYS.POLICY_OWNER_COMMAND_RULE

    • DVSYS.POLICY_OWNER_POLICY

    • DVSYS.POLICY_OWNER_REALM

    • DVSYS.POLICY_OWNER_REALM_AUTH

    • DVSYS.POLICY_OWNER_REALM_OBJECT

    • DVSYS.POLICY_OWNER_RULE

    • DVSYS.POLICY_OWNER_RULE_SET

    • DVSYS.POLICY_OWNER_RULE_SET_RULE

シミュレーション・モード保護を構成する機能

シミュレーション・モードは、SQLコマンドをブロックせずにセキュリティ制御に対する違反を記録するよう、Oracle Database Vaultセキュリティ・オブジェクトを保護します。

シミュレーション・モードは、埋込みオブジェクトで後で設定する、新しいOracle Database Vaultポリシーに対して設定することもできます。このステータスは、有効化、SQL文のアクセスのブロック、無効化の完全保護の間にあります。レルムおよびコマンド・ルールがシミュレーション・モードに設定されている場合、これらのセキュリティ制御に対して起こる違反は、シミュレーション・ログ・ファイルにのみ記録されます。それらは、強制されることも、ユーザーへのアクセスを拒否することもありません。これにより、Oracle Database Vaultを使用するアプリケーションをより迅速に認証することや、新しいレルムおよびコマンド・ルールを本番に移すことができます。テスト・アプリケーション・データベース・スキーマで必須レルムを実装してから、それをシミュレーション・モードに設定できます。テスト・アプリケーションのフル・リグレッション・テストを実行した後、シミュレーション・モード・ログを分析して、テスト・アプリケーション・スキーマに対する権限を与えるユーザーおよび信頼できるパスを決定できます。また、新しいコマンド・ルールを作成し、それらを一定期間シミュレーションモードで本番に移して、それらが有効になった場合に受ける影響を判断できます。

シミュレーション・モード・ログは、DBA_DV_SIMULATION_LOGデータ・ディクショナリ・ビューでの表示に使用できます。レルムおよびコマンド・ルールのテストが完了した後、次回テスト環境でDatabase Vault構成をテストする必要があるときのために、DBA_DV_SIMULATION_LOGビューの内容をクリアできます。

次の機能でサポートされている機能を示します。

  • 新規または変更されたDBMS_MACADM PL/SQLプロシージャ:

    • DBMS_MACADM.CREATE_REALM (変更)

    • DBMS_MACADM.UPDATE_REALM (変更)

    • DBMS_MACADM.CREATE_COMMAND_RULE (変更)

    • DBMS_MACADM.UPDATE_COMMAND_RULE (変更)

    • DBMS_MACADM.DELETE_COMMAND_RULE (変更)

    • DBMS_MACADM.CREATE_CONNECT_COMMAND_RULE (新規)

    • DBMS_MACADM.UPDATE_CONNECT_COMMAND_RULE (新規)

    • DBMS_MACADM.DELETE_CONNECT_COMMAND_RULE (新規)

    • DBMS_MACADM.CREATE_SESSION_EVENT_CMD_RULE (新規)

    • DBMS_MACADM.UPDATE_SESSION_EVENT_CMD_RULE (新規)

    • DBMS_MACADM.DELETE_SESSION_EVENT_CMD_RULE (新規)

    • DBMS_MACADM.CREATE_SYSTEM_EVENT_CMD_RULE (新規)

    • DBMS_MACADM.UPDATE_SYSTEM_EVENT_CMD_RULE (新規)

    • DBMS_MACADM.DELETE_SYSTEM_EVENT_CMD_RULE (新規)

  • 新しいデータ・ディクショナリ・ビューおよび表:

    • DBA_DV_SIMULATION_LOGデータ・ディクショナリ・ビュー

    • DVSYS.SIMULATION_LOG$

権限分析の拡張機能

権限分析ポリシーは、前のリリースより、より多くの権限使用を取得するようになり、未使用の権限付与を見つけ、名前付き取得実行を作成します。

  • その他の権限取得: 定義者の権限および起動者の権限のプログラム単位のために使用されるコンパイル権限を取得する権限分析ポリシー、コード・ベース・アクセス制御(CBAC)ロール使用のために使用された権限を取得する権限分析ポリシー、およびセキュア・アプリケーション・ロールの使用を取得する権限分析ポリシーを作成できるようになりました。

  • 未使用の権限付与: 権限取得レポートで、ユーザーまたはロールによって使用されなかった権限付与が示されるようになりました。

  • 取得実行: 取得実行では、権限取得が行われる期間が定義されます。ポリシーを有効にするときに取得実行を定義します。1つのポリシーで使用するために複数の取得実行を作成し、比較レポートでこれらの取得実行を使用できます。

Oracle Multitenant用の共通レルムおよび共通コマンド・ルールを作成する機能

マルチテナント環境では、アプリケーションPDBのコンテキスト内で共通レルムおよび共通コマンド・ルールを作成できるようになりました。

共通レルムおよびコマンド・ルールの作成(つまり、アプリケーション・ルート内)の利点は、それらを個別のプラガブル・データベース(PDB)ではなくマルチテナント環境内の一元的な場所で管理できるということです。アプリケーション・ルートの共通オブジェクトのためのレルムは、アプリケーションのPDBまたはルートで構成する必要があります。ローカル・レルムおよびローカル・コマンド・ルールは、共通レルムおよび共通コマンド・ルールに加えて、まだ個々のPDBで実装できます。

共通レルムは、アプリケーション・ルート内の共通オブジェクトでのみ作成できます。共通レルムをCDBルートで作成することはできません。ただし、共通コマンド・ルールは、アプリケーション・ルートまたはCDBルートのどちらかで作成できます。アプリケーション・ルート内の共通コマンド・ルールは、その関連付けられたPDBに適用されます。CDBルートにある共通コマンド・ルールは、CDB環境内のすべてのPDBに適用されます。アプリケーション・ルートおよびCDBルートで共通オブジェクトを作成する場合、個々のPDBに表示されるように同期する必要があります。アプリケーション・ルート内のオブジェクトを同期させるには、ALTER PLUGGABLE DATABASE APPLICATION文をSYNC句とともに使用します。

次の機能でサポートされている機能を示します。

  • 新規または変更されたDBMS_MACADM PL/SQLプロシージャ:

    • すべてのレルム関連DBMS_MACADM PL/SQLプロシージャ

    • すべてのコマンド・ルール関連DBMS_MACADM PL/SQLプロシージャ

    • DBMS_MACADM.ADD_CMD_RULE_TO_POLICY (新規)

    • DBMS_MACADM.DELETE_CMD_RULE_FROM_POLICY (新規)

  • 新規または変更されたデータ・ディクショナリ・ビュー:

    • DBA_DV_COMMAND_RULE

    • DVSYS.DBA_DV_POLICY_OBJECT (新規)

    • DBA_DV_REALM

    • DVSYS.DV$REALM

    • DBA_DV_REALM_AUTH

    • DBA_DV_REALM_OBJECT

    • DBA_DV_RULE_SET

    • DBA_DV_RULE_SET_RULE

ALTER SESSION、ALTER SYSTEMおよびCONNECTコマンド・ルールの拡張機能

コマンド・ルールは、より多くのALTER SESSIONALTER SYSTEM機能、およびCONNECTコマンド・ルール拡張機能を提供するようになりました。

前のリリースでは、ALTER SESSION文およびALTER SYSTEM文のコマンド・ルールを作成できましたが、含めることができる機能は制限されていました。このリリース以降、Oracle Database Vaultでは、ALTER SESSIONおよびALTER SYSTEMで一般的に使用される、イベント設定を含めることができます。これらの特別なコマンド・ルールのオプションを使用すると、パラメータ設定のためにSET句を使用する機能など、ALTER SESSION文およびALTER SYSTEM文の多数の機能を使用できます。

また、Oracleでは、CONNECTコマンド・ルールの管理を維持しやすくなりました。前のリリースでは、CONNECTコマンド・ルールを作成できましたが、たとえば、4人の異なるユーザーのために4つの異なるコマンド・ルールを作成する必要があった場合に、ORおよびANDキーワードを使用して複雑なルールを作成し、1つのコマンド・ルールで複数のユーザーを説明する必要がありました。このリリースでは、ユーザーごとにCONNECTコマンド・ルールを作成できます。

ALTER SESSION、ALTER SYSTEMおよびCONNECTコマンド・ルールを管理する、新規または変更されたDBMS_MACADM PL/SQLプロシージャを次に示します。

  • DBMS_MACADM.CREATE_COMMAND_RULE (変更)

  • DBMS_MACADM.UPDATE_COMMAND_RULE (変更)

  • DBMS_MACADM.CREATE_CONNECT_COMMAND_RULE (新規)

  • DBMS_MACADM.UPDATE_CONNECT_COMMAND_RULE (新規)

  • DBMS_MACADM.DELETE_CONNECT_CONNECT_RULE (新規)

  • DBMS_MACADM.CREATE_SESSION_EVENT_CMD_RULE (新規)

  • DBMS_MACADM.UPDATE_SESSION_EVENT_CMD_RULE (新規)

  • DBMS_MACADM.DELETE_SESSION_EVENT_CMD_RULE (新規)

  • DBMS_MACADM.CREATE_SYSTEM_EVENT_CMD_RULE (新規)

  • DBMS_MACADM.UPDATE_SYSTEM_EVENT_CMD_RULE (新規)

  • DBMS_MACADM.DELETE_SYSTEM_EVENT_CMD_RULE (新規)

Authentication_Methodデフォルト・ファクタの拡張機能

このリリース以降では、Authentication_Methodデフォルト・ファクタを外部およびグローバル・ユーザー認証に使用できます。

この拡張機能は、KerberosおよびSecure Sockets Layer (SSL)の強力な認証機能が使用される場合のグローバルおよび外部認証のために提供されます。

関連トピック

親トピック: 新機能

SQL92_SECURITYパラメータのデフォルト値の変更

このリリース以降では、SQL92_SECURITYパラメータのデフォルト値がFALSEからTRUEに変更されました。

関連項目:

SQL92_SECURITYパラメータの詳細は、『Oracle Databaseリファレンス』を参照してください

親トピック: 新機能

Oracle Database VaultでのFlashback TechnologyおよびILMのサポート

Oracle Database Vault対応データベースでOracle Flashback Technology機能および情報ライフサイクル管理(ILM)機能を使用できるようになりました。

Oracle Flashback Technology拡張機能では、Oracle Flashback機能を使用しながら、Database Vaultのレルムおよびコマンド・ルールを使用してデータベース・オブジェクトへのアクセスを制御できます。PURGE TABLEPURGE INDEXFLASHBACK TABLEPURGE TABLESPACEPURGE RECYCLEBINPURGE DBA_RECYCLEBINCREATE FLASHBACK ARCHIVEALTER FLASHBACK ARCHIVEDROP FLASHBACK ARCHIVE SQL文をDatabase Vaultコマンド・ルールで保護できます。

ILM拡張機能では、ユーザーに認可を付与して自動データ最適化(ADO)管理ユーザーがDatabase Vault対応オブジェクトに対してILM操作を実行できるようにするなど、Database Vaultのレルムおよびコマンド・ルールをADO機能とともに使用できます。この拡張機能では、ILMがデータ保存および保護の法的コンプライアンス要件を満たすようにすることや、ストレージ階層化を使用して最も少ないコストで大量のデータを格納することができるようにします。ILM操作を実行するユーザーの認可を管理するために、このリリースでは、DBMS_MACADM.AUTHORIZE_MAINTENANCE_USERおよびDBMS_MACADM.UNAUTHORIZE_MAINTENANCE_USERという2つの新しいプロシージャが導入されています。ILM認可の付与について情報を確認するために、新しいデータ・ディクショナリ・ビューであるDBA_DV_MAINTENANCE_AUTHが提供されています。

関連項目:

親トピック: 新機能

Data Guardロジカル・スタンバイ・データベースのローリング・アップグレードのサポート

Oracle Data Guardロジカル・スタンバイ・データベースは、一時ロジカル・スタンバイおよびDBMS_ROLLINGパッケージによってOracle Database Vault対応システムのローリング・アップグレードを実行できます。

詳細は、「Oracle Database VaultとOracle Data Guardの統合」を参照してください。

非推奨となった機能

次の機能は、このリリースでは非推奨になりました。

親トピック: Oracle Database Vault 12cリリース2 (12.2.0.1)での変更点

非推奨になったルールとルール・セット

いくつかのデフォルトのルールおよびルール・セットが、Oracle Database Vaultの新規インストールに含まれなくなりました。

次のルールおよびルール・セットは、Oracle Database 12cリリース2 (12.2)データベースの新規インストールには含まれなくなりました。Oracle Databaseでは、これらのルールおよびルール・セットは、独自の使用向けにカスタマイズしてある場合はアップグレード中に削除されることはありません。次のルールおよびルール・セットをカスタマイズした場合は、Oracle Databaseリリース12.2の新しいALTER SYSTEMおよびALTER SESSIONコマンド・ルールを使用してカスタム・ルールおよびルール・セットを再実装してから、古いルールおよびルール・セットを無効化して削除することをお薦めします。現在は新しいデフォルト・コマンド・ルールにこれらのルールおよびルール・セットと同じ機能が存在するため、これらのルールおよびルール・セットは、カスタマイズしていない場合は無効化して削除する必要があります。

次のルールは、Oracle Database 12cリリース2 (12.2)データベースの新規インストールに含まれなくなりました。

  • _system_trig_enabledパラメータが許可されているか

  • o7_dictionary_accessibilityパラメータが許可されているか

  • _dynamic_rls_initパラメータが許可されているか

  • Alter DVSYSが許可されているか

  • システム・セキュリティ・パラメータが許可されているか

  • ダンプまたは宛先パラメータが許可されているか

  • バックアップ・リストア・パラメータが許可されているか

  • データベース・ファイル・パラメータが許可されているか

  • オプティマイザ・パラメータが許可されているか

  • PL-SQLパラメータが許可されているか

  • セキュリティ・パラメータが許可されているか

次のデフォルト・ルール・セットは、Oracle Database 12cリリース2 (12.2)の新規インストールには含まれていません。

  • システム・パラメータを許可

  • システム・パラメータのファイングレイン・コントロールを許可

これらのルールおよびルール・セットは、より安全な新しいルールおよびルール・セットに置き換わります。

非推奨になったUTL_FILE_DIRパラメータ

UTL_FILE_DIRパラメータは、このリリースでは非推奨となりました。

このパラメータは、下位互換性のために引き続きサポートされています。ただし、かわりにディクショナリ・オブジェクトを使用することをお薦めします。

親トピック: 非推奨となった機能