Oracle Databaseの認証、認可および監査メカニズムは、データベース内のデータを保護するためのものであり、オペレーティング・システムのデータ・ファイルに格納されているデータの保護には使用されません。このようなデータ・ファイルを保護する目的では、透過的データ暗号化(TDE)を使用します。TDEを使用すると、データ・ファイルに格納されている機密データを暗号化できます。暗号化されたデータは、アクセス権を持つデータベース・ユーザーやアプリケーションに対して透過的に復号化されます。TDEは、ストレージ・メディアやデータ・ファイルが盗まれた場合に、メディアに格納されているデータを保護するのに役立ちます。
オンライン表領域暗号化はオンラインで使用中の表領域の暗号化プロセスで、表領域の代替データ・ファイルを作成して暗号化されるため、データ損失が発生しません。オフライン表領域暗号化は、表領域をオフライン・モードにした後に表領域が暗号化される暗号化プロセスです。
データベースの暗号化およびTDEの詳細は、Oracle Database Advanced Security管理者ガイドを参照してください。
図22-1 透過的データ暗号化ホーム・ページ
この章の構成は、次のとおりです。
TDEを使用して表領域を暗号化または復号化するには、次の前提条件を満たす必要があります。
ウォレットを設定します。
「透過的データ暗号化」ホーム・ページの「キーストアのステータス」が「オープン」であることを確認します。
オンライン暗号化の場合は補助データ・ファイルを作成する必要があるため、データベースで使用可能な領域が、暗号化される表領域サイズ以上であることを確認します。
オンライン暗号化がサポートされるのは、データベース・バージョン12.2以上のみです。
表領域を暗号化するには、次の手順に従います。
データベース・ホーム・ページから「セキュリティ」をクリックして、「透過的データ暗号化」を選択します。
「透過的データ暗号化」ホーム・ページで、「暗号化されたオブジェクト」セクションを展開します。
「暗号化された表領域」ペインの「オンライン操作」メニューをクリックして、「暗号化」を選択します。
「暗号化」ポップアップ・ウィンドウで、表領域および暗号化アルゴリズムを選択します。
「ターゲット・パス」列には、オンライン暗号化の暗号化後に作成される新しいデータ・ファイルが表示されます。暗号化操作後に古いデータ・ファイルを保持するには、関連するチェック・ボックスを選択します。
将来の時刻に暗号化をスケジュールできます。必要に応じて、関連するラジオ・ボタンを選択して、スケジュール時間を構成します。
「OK」をクリックします。
暗号化プロセスを完了するジョブがスケジュールされました。「透過的データ暗号化」ホーム・ページの「ジョブ」セクションにジョブ・ステータスを表示できます。
注意:
「暗号化されたオブジェクト」セクションの表領域およびジョブの最新ステータスを表示するには、ビューをリフレッシュする必要がある場合があります。暗号化された表領域を復号化するには、次の手順に従います。
データベース・ホーム・ページから「セキュリティ」をクリックして、「透過的データ暗号化」を選択します。
「透過的データ暗号化」ホーム・ページで、「暗号化されたオブジェクト」セクションを展開します。
「暗号化された表領域」表から暗号化された表領域を選択します。
「暗号化された表領域」ペインの「オンライン操作」メニューをクリックして、「復号化」を選択します。
「復号化」ポップアップ・ウィンドウの「データファイル」セクションの「ターゲット・パス」列には、オンライン暗号化の暗号化後に作成される新しいデータ・ファイルが表示されます。暗号化操作後に古いデータ・ファイルを保持するには、関連するチェック・ボックスを選択します。
将来の時刻に暗号化をスケジュールできます。必要に応じて、関連するラジオ・ボタンを選択して、スケジュール時間を構成します。
「OK」をクリックします。
暗号化プロセスを完了するジョブがスケジュールされました。「透過的データ暗号化」ホーム・ページの「ジョブ」セクションにジョブ・ステータスを表示できます。
キー更新とも呼ばれる表領域の暗号化アルゴリズムの変更を実行するには、次の手順を実行します。
データベース・ホーム・ページから「セキュリティ」をクリックして、「透過的データ暗号化」を選択します。
「透過的データ暗号化」ホーム・ページで、「暗号化されたオブジェクト」セクションを展開します。
「暗号化された表領域」ペインの「オンライン操作」メニューをクリックして、「キー更新」を選択します。
「キー更新」ポップアップ・ウィンドウで、新しい暗号化アルゴリズムを選択します。
「ターゲット・パス」列には、オンライン暗号化の暗号化後に作成される新しいデータ・ファイルが表示されます。暗号化操作後に古いデータ・ファイルを保持するには、関連するチェック・ボックスを選択します。
将来の時刻に暗号化をスケジュールできます。必要に応じて、関連するラジオ・ボタンを選択して、スケジュール時間を構成します。
「OK」をクリックします。
暗号化プロセスを完了するジョブがスケジュールされました。「透過的データ暗号化」ホーム・ページの「ジョブ」セクションにジョブ・ステータスを表示できます。
オフライン・モードで表領域を暗号化するには、表領域をまずオフライン・モードに切り替える必要があります。このためには、次の手順を実行します。
データベース・ホーム・ページから「セキュリティ」をクリックして、「透過的データ暗号化」を選択します。
「透過的データ暗号化」ホーム・ページで、「暗号化されたオブジェクト」セクションを展開します。
「暗号化された表領域」ペインの「オフライン操作」メニューをクリックして、「オフライン」を選択します。
「オフライン」ポップアップ・ウィンドウで、表領域とスケジュールを選択して「OK」をクリックします。
表領域をオフライン・モードに切り替えるジョブがスケジュールされました。
表領域がオフライン・モードになった後、次の手順を実行して表領域を暗号化します。
「オフライン操作」メニューをクリックして、「暗号化」を選択します。
表領域とスケジュールを選択します。
注意:
「データファイル」セクションでは、暗号化する必要があるデータ・ファイルを個別に選択することもできます。ただし、すべてのデータ・ファイルが暗号化されていない場合は、表領域をオンライン・モードにできません。さらに、チェック・ボックスを選択しないと、すべてのデータ・ファイルが暗号化されて、暗号化後に表領域がオンラインに自動的に切り替えられます。チェック・ボックスを選択してから、表領域のすべてのデータを選択すると、すべてのデータ・ファイルが暗号化されますが、表領域はオンライン・モードに切り替えられないことに注意してください。「OK」をクリックします。
オフライン・モードで表領域を復号化するには、表領域をまずオフライン・モードに切り替える必要があります。このためには、次の手順を実行します。
データベース・ホーム・ページから「セキュリティ」をクリックして、「透過的データ暗号化」を選択します。
「透過的データ暗号化」ホーム・ページで、「暗号化されたオブジェクト」セクションを展開します。
「暗号化された表領域」ペインの「オフライン操作」メニューをクリックして、「オフライン」を選択します。
「オフライン」ポップアップ・ウィンドウで、表領域とスケジュールを選択して「OK」をクリックします。
表領域をオフライン・モードに切り替えるジョブがスケジュールされました。
表領域がオフライン・モードになった後、次の手順を実行して表領域を復号化します。
「暗号化された表領域」表から暗号化された表領域を選択します。
「暗号化された表領域」ペインの「オフライン操作」メニューをクリックして、「復号化」を選択します。
「データファイル」セクションでは、復号化する必要があるデータ・ファイルを個別に選択することもできます。ただし、一部のデータ・ファイルのみが復号化されている場合は、表領域をオンライン・モードにできません。さらに、チェック・ボックスを選択しないと、すべてのデータ・ファイルが復号化されて、復号化後に表領域がオンラインに自動的に切り替えられます。チェック・ボックスを選択してから、表領域のすべてのデータを選択すると、すべてのデータ・ファイルが復号化されますが、表領域はオンライン・モードに自動的に切り替えられないことに注意してください。
将来の時刻に復号化をスケジュールできます。必要に応じて、関連するラジオ・ボタンを選択して、スケジュール時間を構成します。
「OK」をクリックします。
復号化プロセスを完了するジョブがスケジュールされました。「透過的データ暗号化」ホーム・ページの「ジョブ」セクションにジョブ・ステータスを表示できます。