他の Oracle機能で透過的データ暗号化を使用

8 他の Oracle機能における透過的データ暗号化の使用

Oracle Data Encryptionは、Oracle Data GuardやOracle Real Application ClustersなどのOracle機能とともに使用できます。

透過的データ暗号化とエクスポートおよびインポート操作との連携
Oracle Data Pumpによって、暗号化列を含む表をエクスポートおよびインポートしたり、ダンプ・セット全体を暗号化することができます。
透過的データ暗号化とOracle Data Guardとの連携
Oracle Data Guardプライマリ・データベースおよびセカンダリ・データベースは、ソフトウェア・キーストアと外部キーストアの両方を共有できます。
透過的データ暗号化とOracle Real Application Clustersとの連携
Oracle Real Application Clusters (Oracle RAC)ノードでは、ソフトウェア・キーストアと外部キーストアの両方を共有できます。
透過的データ暗号化とSecureFilesとの連携
LOBが格納されるSecureFilesには、圧縮、重複除外および暗号化の3つの機能があります。
透過的データ暗号化とOracle Call Interfaceとの連携
透過的データ暗号化は、Oracle Call Interface (OCI)の動作に影響しません。
透過的データ暗号化とエディションとの連携
透過的データ暗号化は、Oracle Databaseのエディション機能に影響しません。
マルチデータベース環境で機能するように透過的データ暗号化を構成
同じサーバー上の各Oracle Database (同じOracleバイナリを共有しているが異なるデータ・ファイルを使用しているデータベースなど)は、それぞれ独自のTDEキーストアにアクセスする必要があります。

親トピック: 透過的データ暗号化の使用

8.1 透過的データ暗号化とエクスポートおよびインポート操作との連携

Oracle Data Pumpによって、暗号化列を含む表をエクスポートおよびインポートしたり、ダンプ・セット全体を暗号化することができます。

暗号化データされたデータのエクスポートおよびインポートについて
暗号化列を持つ表のエクスポートとインポートには、Oracle Data Pumpを使用できます。
暗号化された列のある表のエクスポートおよびインポート
ENCRYPTION=ENCRYPTED_COLUMNS_ONLY設定を使用して、暗号化された列のある表をエクスポートおよびインポートできます。
Oracle Data Pumpを使用してダンプ・セット全体を暗号化
Oracle Data Pumpによって、透過的データ暗号化列のみではなく、ダンプ・セット全体を暗号化できます。
暗号化されたデータ・ディクショナリ・データでのOracle Data Pumpの使用
Oracle Data Pumpは、暗号化されたパスワードおよびその他の暗号化されたデータの保護を提供します。

親トピック: 他の Oracle機能における透過的データ暗号化の使用

8.1.1 暗号化データされたデータのエクスポートおよびインポートについて

暗号化列を持つ表のエクスポートとインポートには、Oracle Data Pumpを使用できます。

ソフトウェア・キーストアと外部キーストアのどちらについても、暗号化された列を含む表をエクスポートする必要がある場合には次の点が重要となります。

転送中も機密データが解読されないように保つ必要があります。
権限のあるユーザーは、宛先にインポートされたデータを復号化できる必要があります。

Oracle Data Pumpを使用して暗号化列を含む表をエクスポートおよびインポートする場合、ENCRYPTIONパラメータを使用してダンプ・ファイル・セットのデータを暗号化できるようにします。ENCRYPTIONパラメータには、次の値を指定できます。

ENCRYPTED_COLUMNS_ONLY: 暗号化列が暗号化された形式でダンプ・ファイル・セットに書き込まれます。
DATA_ONLY: すべてのデータが暗号化された形式でダンプ・ファイル・セットに書き込まれます。
METADATA_ONLY: すべてのメタデータがダンプ・ファイル・セットに暗号化された形式で書き込まれます。
ALL: すべてのデータとメタデータが暗号化された形式でダンプ・ファイル・セットに書き込まれます。
NONE: ダンプ・ファイル・セットに対して暗号化は使用されません。

親トピック: 透過的データ暗号化とエクスポートおよびインポート操作の連携

8.1.2 暗号化された列のある表のエクスポートおよびインポート

ENCRYPTION=ENCRYPTED_COLUMNS_ONLY設定を使用して、暗号化された列のある表をエクスポートおよびインポートできます。

暗号化列を含む表のエクスポートを試行する前に、キーストアが開いていることを確認します。

マルチテナント環境では、プラガブル・データベース(PDB)内のデータをエクスポートする場合、ウォレットがPDB内でオープン状態であることを確認します。rootにエクスポートする場合、ウォレットがroot内でオープン状態であることを確認します。

キーストアが開いているかどうかを確認するには、V$ENCRYPTION_WALLETビューのSTATUS列を問い合せます。キーストアを開く必要がある場合は、次のSQL文を実行します。
```
ADMINISTER KEY MANAGEMENT SET KEYSTORE OPEN 
IDENTIFIED BY software_keystore_password 
[CONTAINER = ALL | CURRENT];
```
software_keystore_password設定は、キーストアのパスワードです。キーストアが開いている必要があるのは、暗号化列の復号化にはTDE表キーを使用する必要があり、そのためにはTDEマスター暗号化キーへのアクセスが必要なためです。列は、エクスポートされる前にパスワードを使用して再暗号化されます。
エクスポート・ダンプ・ファイル・セットの列データを暗号化する際に使用するパスワードを、ENCRYPTION_PASSWORDパラメータを使用して指定し、EXPDPコマンドを実行します。

次に、employee_data表をエクスポートする例を示します。ENCRYPTION_PWD_PROMPT = YES設定によって、対話式でパスワードを求めるプロンプトの表示が可能となり、これは推奨されるセキュリティ上の措置となっています。
```
expdp hr TABLES=employee_data DIRECTORY=dpump_dir
DUMPFILE=dpcd2be1.dmp ENCRYPTION=ENCRYPTED_COLUMNS_ONLY
ENCRYPTION_PWD_PROMPT = YES

Password: password_for_hr
```
エクスポートされたデータをターゲット・データベースにインポートするには、ENCRYPTION_PASSWORDパラメータによって設定されエクスポート操作に使用したものと同じパスワードを確実に指定してください。

このパスワードは、データの復号化に使用されます。データは、ターゲット・データベースに生成された新しいTDE表キーを使用して再暗号化されます。ターゲット・データベースがTDEマスター暗号化キーにアクセスするためには、キーストアが開いている必要があります。次に、employee_data表をインポートする例を示します。
```
impdp hr TABLES=employee_data DIRECTORY=dpump_dir 
DUMPFILE=dpcd2be1.dmp 
ENCRYPTION_PWD_PROMPT = YES

Password: password_for_hr
```

親トピック: 透過的データ暗号化とエクスポートおよびインポート操作の連携

8.1.3 Oracle Data Pumpを使用してダンプ・セット全体を暗号化

Oracle Data Pumpによって、透過的データ暗号化列のみではなく、ダンプ・セット全体を暗号化できます。

インポートでは、パスワードまたはキーストアTDEマスター暗号化キーのいずれかを使用してデータを復号化できます。パスワードを指定しなかった場合、データの復号化にはキーストアのTDEマスター暗号化キーが使用されます。ターゲット・データベースにおいて、キーストアが存在して開いている必要があります。この開いているキーストアは、ターゲット・データベースで列暗号化データを再暗号化する際にも必要です。

ENCRYPTION_MODE=TRANSPARENT設定を使用すると、キーストアに格納されているTDEマスター暗号化キーを使用してダンプ・ファイル・セットを透過的に暗号化できます。この場合、パスワードは不要です。キーストアは、ターゲット・データベースに存在して開かれている必要があり、インポート操作中に列暗号化メタデータを正常に復号化するためにソース・データベースのTDEマスター暗号化キーを含んでいる必要があります。

この開いているキーストアは、ターゲット・データベースで列暗号化メタデータを再暗号化する際にも必要です。キーストアがすでにターゲット・データベースに存在している場合には、ソース・データベースのキーストアから現在のTDEマスター暗号化キーをエクスポートし、ターゲット・データベースのキーストアにインポートできます。

ENCRYPTION_MODEパラメータを使用して、暗号化モードを指定します。ENCRYPTION_MODE=DUALによって、キーストアに格納されているTDEマスター暗号化キーと指定したパスワードを使用してダンプ・セットが暗号化されます。

たとえば、二重暗号化モードを使用して、暗号化されたデータをエクスポートする場合、次のようにします。

expdp hr DIRECTORY=dpump_dir1 
DUMPFILE=hr_enc.dmp
ENCRYPTION=all 
ENCRYPTION_PASSWORD=encryption_password
ENCRYPTION_PWD_PROMPT=yes
ENCRYPTION_ALGORITHM=AES256 
ENCRYPTION_MODE=dual

Password: password_for_hr
Encryption Password: password_for_encryption

8.1.4 暗号化されたデータ・ディクショナリ・データでのOracle Data Pumpの使用

Oracle Data Pumpの操作では、暗号化されたパスワードおよびその他の暗号化されたデータが保護されます。

ソース・データベースでの固定ユーザー・データベース・パスワードの暗号化を有効にすると、Oracle Data Pumpエクスポート操作のダンプにより、データベース・リンクのパスワードの既知の無効なパスワードが格納されます。このパスワードは、エクスポート操作によってデータベースから抽出された暗号化パスワードのかわりに適用されています。「ORA-39395: 警告: インポート後、オブジェクト<データベース・リンク名>にパスワードの再設定が必要です」という警告メッセージが結果として表示されます。Oracle Database 18c以上のデータベースにデータをインポートした場合、無効なパスワードを持つデータベース・リンク・オブジェクトがターゲット・データベースに作成されたときにこの同じ警告が表示されます。これが発生すると、次のようにデータベース・リンクのパスワードをリセットする必要があります。

ALTER DATABASE LINK database_link_name CONNECT TO schema_name IDENTIFIED BY password;

データベース・リンクについての情報を検索するために、V$DBLINK動的ビューを問い合せることができます。

固定ユーザー・データベース・パスワードの暗号化がソース・データベースで無効になっている場合、Data Pumpに対する変更はありません。不明瞭化されたデータベース・リンクのパスワードは、以前のリリースと同様にエクスポートおよびインポートされます。

この場合、Oracleでは、次のことをお薦めします。

不明瞭化されたデータベース・リンクのパスワードをさらに保護できるように、expdpコマンドでENCRYPTION_PASSWORDパラメータを設定します。
画面にエコーされるのではなく、プロンプトから対話式にパスワードを入力できるように、ENCRYPTION_PWD_PROMPTパラメータをYESに設定します。

ENCRYPTION_PASSWORDとENCRYPTION_PWD_PROMPTの両方のパラメータがインポート操作で使用できます。ENCRYPTION_PWD_PROMPTは、expdpおよびimpdpのコマンドライン・クライアントでのみ使用できるのに対して、ENCRYPTION_PASSWORDは、コマンドライン・クライアントとDBMS_DATAPUMP PL/SQLパッケージの両方で使用できます。

インポート操作時に、キーストアが開いているか閉じているかにより、暗号化パスワードが指定されている必要があるかどうかの動作が影響を受けます。キーストアがエクスポート操作中に開いていて、暗号化パスワードを指定した場合は、インポート操作中にパスワードを指定する必要はありません。キーストアがエクスポート操作中に閉じられている場合は、インポート操作中にパスワードを指定する必要があります。

8.2 透過的データ暗号化とOracle Data Guardとの連携

Oracle Data Guardプライマリ・データベースおよびセカンダリ・データベースは、ソフトウェア・キーストアと外部キーストアの両方を共有できます。

Oracle Data Guardでの透過的データ暗号化の使用について
Oracle Data Guardでは、ソフトウェア・キーストアと外部キーストアのどちらについても、透過的データ暗号化(TDE)がサポートされています。
Oracle Data Guard環境でのTDEおよびOracle Key Vaultの構成
TDEおよびOracle Key Vaultと連携できるように、マルチテナント環境でOracle Data Guardを構成できます。
Oracle Data Guard環境での分離キーストアを持つPDBの有効化
Oracle Data Guard環境で、PDBがスタンバイに分離キーストアを持つようにするには、構成を手動で実行する必要があります。

親トピック: 他の Oracle機能における透過的データ暗号化の使用

8.2.1 Oracle Data Guardでの透過的データ暗号化の使用について

Oracle Data Guardでは、ソフトウェア・キーストアと外部キーストアのどちらについても、透過的データ暗号化(TDE)がサポートされています。

プライマリ・データベースでTDEを使用する場合、Data Guard構成の各スタンバイ・データベースには、プライマリ・データベースからの暗号化キーストアのコピーが必要です。プライマリ・データベースでTDEマスター暗号化キーを再設定した場合は、そのTDEマスター暗号化キーが格納されているプライマリ・データベースから各スタンバイ・データベースにキーストアをコピーする必要があります。

次の点に注意してください。

ウォレットベースのTDEによるキー更新操作では、新しいTDEマスター暗号化キーがまだ使用可能でないため、スタンバイ・データベースでの管理リカバリ・プロセス(MRP)が失敗します。この問題を回避するには、プライマリ・データベースでADMINISTER KEY MANAGEMENT CREATE KEY文を使用して、新しいTDEマスター暗号化キーをウォレットに挿入します。ウォレットをスタンバイ・データベースにコピーしてから、プライマリでADMINISTER KEY MANAGEMENT USE KEY文を実行します。
データをスタンバイ・データベースに転送する場合、ログ・ファイル内の暗号化データは暗号化されたままです。暗号化データは転送中も暗号化されたままです。

関連項目

ソフトウェア・キーストアのマージ

親トピック: 透過的データ暗号化とOracle Data Guardとの連携

8.2.2 Oracle Data Guard環境でのTDEおよびOracle Key Vaultの構成

TDEおよびOracle Key Vaultと連携できるように、マルチテナント環境でOracle Data Guardを構成できます。

次のシナリオでは、フィジカル・スタンバイ・データベースが1つでシングル・インスタンスのマルチテナントOracle Data Guard環境でのOracle Key Vaultを使用した構成を示します。プライマリ・データベースおよびスタンバイ・データベースのバージョンはリリース18.8以降である必要があります。この手順を完了するには、各ステップを示されている順序で実行する必要があります。手順を完了すると、Oracle Data Guardでは、TDEキー管理にOracle Key Vaultのみが使用され、データベース・サーバー上にTDEウォレットはありません。プライマリ・データベースとスタンバイ・データベースの両方のアラート・ログをモニターすることをお薦めします。

プライマリ・データベースとスタンバイ・データベースの両方で、opatch lspatchesコマンドを実行してパッチ・リリースを確認します。
```
$ORACLE_HOME/OPatch/opatch lspatches
```
次のような出力が表示されます。
```
31308624;Database Release Update : 18.11.0.0.200714 (31308624)
27923415;OJVM RELEASE UPDATE: 18.3.0.0.180717 (27923415)
28090553;OCW RELEASE UPDATE 18.3.0.0.0 (28090553)
```
データベース管理者がOracleデータベースをOracle Key Vaultに自動的に登録できるように、Oracle Key Vault管理者が準備したOracle Key Vaultデプロイメント・スクリプトをダウンロードします。
Oracleデータベースをエンドポイントとして自動的に登録するスクリプトの作成方法の例は、Oracle Key Vault RESTfulサービス管理者ガイドを参照してください。デプロイメント・スクリプトは、データベース管理者がダウンロードできる共有ファイル・システムにあります。これらのデプロイメント・スクリプトには2つの異なるバージョンがあります。primary.zipファイルはプライマリ・データベース用で、secondary.zipファイルはすべてのスタンバイ・データベース用です。これらのスクリプトは、Oracle Data GuardまたはOracle RAC環境に使用できます。

Oracle Key Vault管理者が準備してデプロイメント・スクリプトに追加する別のコンポーネントは、Oracle Key Vaultに接続するデプロイメント・スクリプトのすべての詳細を含む構成ファイルです。
データベース管理者が共有の場所からダウンロードするためにOracle Key Vault管理者が作成した2つのデプロイメント・スクリプト(primary.zipおよびsecondary.zip)をコピーします。
1. primary.zipファイルをプライマリ・データベースにコピーします。
```
$ scp user@ip_address:/path/to/file/primary.zip .
```
2. secondary.zipファイルをスタンバイ・データベースにコピーします。
```
$ scp user@ip_address:/path/to/file/secondary.zip .
```
それぞれのサーバーで、zipファイルを解凍します。
```
$ unzip primary.zip

$ unzip secondary.zip
```

primary-run-me.shおよびsecondary-run-me.shスクリプトを実行します。これらのスクリプトには、Oracle Key VaultでRESTful APIが実行するコマンドが含まれています。

Oracle Key Vault RESTfulサービスがこれらのコマンドを実行し、一意のウォレットおよびエンドポイント名でこのデータベースをOracle Key Vaultに登録します。

プライマリ・データベース: たとえば:

$ more primary-run-me.sh

#!/bin/bash
export EP_NAME=${ORACLE_SID^^}_on_${HOSTNAME/.*}
export WALLET_NAME=${ORACLE_SID^^}
curl -Ok https://Oracle_Key_Vault_IP_address:5695/okvrestclipackage.zip
unzip -Voj okvrestclipackage.zip lib/okvrestcli.jar -d ./lib
cat > /home/oracle/deploy-primary.sh  << EOF
#!/bin/bash
mkdir -pv ${ORACLE_BASE}/product/okv
okv manage-access wallet create --wallet ${WALLET_NAME} --unique FALSE
okv admin endpoint create --endpoint ${EP_NAME} --description "$HOSTNAME, $(hostname -i)" --type ORACLE_DB --platform LINUX64 --subgroup "USE CREATOR SUBGROUP" --unique FALSE --strict-ip-check TRUE
okv manage-access wallet set-default --wallet ${WALLET_NAME} --endpoint ${EP_NAME}
expect << _EOF
    set timeout 120
    spawn okv admin endpoint provision --endpoint ${EP_NAME} --location ${ORACLE_BASE}/product/okv --auto-login FALSE
    expect "Enter Oracle Key Vault endpoint password: "
    send "change-on-install\r"
    expect eof
_EOF
EOF

スタンバイ・データベース: たとえば:

$ more secondary-run-me.sh

$ more run-me.sh
#!/bin/bash
export EP_NAME=${ORACLE_SID^^}_on_$(hostname -s)
export WALLET_NAME=${ORACLE_SID^^}
curl -Ok --tlsv1.2 https://<OKV-IP-addr>:5695/okvrestclipackage.zip
unzip -Voj okvrestclipackage.zip lib/okvrestcli.jar -d ./lib
cat > /home/oracle/deploy-standby.sh << EOF
#!/bin/bash
okv admin endpoint create --endpoint ${EP_NAME} --description "$(hostname -f) $(hostname -i)" --subgroup "USE CREATOR SUBGROUP" --unique FALSE
okv admin endpoint update --endpoint ${EP_NAME} --strict-ip-check TRUE
okv manage-access wallet set-default --wallet ${WALLET_NAME} --endpoint ${EP_NAME}
expect << _EOF
    set timeout 120
    spawn okv admin endpoint provision --endpoint ${EP_NAME} --location /etc/ORACLE/KEYSTORES/${ORACLE_UNQNAME^^}/okv --auto-login FALSE
    expect "Enter Oracle Key Vault endpoint password: "
    send "change-on-install\r"
    expect eof
_EOF
EOF

プライマリ・データベースおよびスタンバイ・データベースで、次のディレクトリを作成します。
たとえば:
```
$ mkdir -pv /u01/opt/oracle/product/okv 
$ mkdir -pv /u01/opt/oracle/product/tde 
$ mkdir -pv /u01/opt/oracle/product/tde_seps
```
ここでは次のように指定します。
- /u01/opt/oracle/productディレクトリは、後のステップでWALLET_ROOTとして定義されます。
- /u01/opt/oracle/product/okvは、Oracle Key Vaultクライアント・ソフトウェアのインストール・ディレクトリです。TDE_CONFIGURATIONパラメータの設定方法に応じて、Oracle Databaseはwallet_root/okv内のOracle Key Vaultクライアント・ソフトウェアを検索します。
- /u01/opt/oracle/product/tdeには、将来のOracle Key Vaultパスワードのみを含む自動ログイン・ウォレットが格納され、自動ログインのOracle Key Vault構成が有効になります。Oracle Databaseでは、TDE_CONFIGURATIONの設定方法に応じて、TDEウォレットまたはOracle Key Vaultの自動オープン・ウォレットがwallet_root/tdeで検索されます。
- /u01/opt/oracle/product/tde_sepsには、将来のOracle Key Vaultパスワードのみを含む自動ログイン・ウォレットが格納されます。これにより、SQL*PlusコマンドラインからOracle Key Vaultパスワードが非表示になり、場合によっては、Oracleデータベース管理者とOracle Key Vault管理者との間で義務の分離を強化するためにデータベース管理者にも非表示になる可能性があります。
まず、プライマリ・データベースでRESTful APIを実行します。これは、スタンバイ・データベースのデプロイメント・スクリプトが、プライマリ・データベースのスクリプトによって作成されるOracle Key Vaultの共有仮想ウォレットの存在に依存するためです。
- プライマリ・データベース:
```
$ ./deploy-primary.sh
```
- スタンバイ・データベース:
```
$ ./deploy-standby.sh
```
次のメッセージが表示されることを確認します。
```
The endpoint software for Oracle Key Vault installed successfully
```
プライマリ・データベースおよびスタンバイ・データベースで、root.shスクリプトを実行してPKCS#11ライブラリをデプロイします。
```
# /u01/opt/oracle/product/okv/bin/root.sh
```
次の出力が表示されます。
```
Creating directory: /opt/oracle/extapi/64/hsm/oracle/1.0.0/
Copying PKCS library to /opt/oracle/extapi/64/hsm/oracle/1.0.0/
Setting PKCS library file permissions
```
プライマリ・データベースから、次にスタンバイの順で、okvutil changepwdコマンドを実行してインストールしたウォレットのパスワードを変更します。
すべてのデータベース管理者が同じデプロイメント・スクリプトをダウンロードしたため、すべてのデータベースのパスワードがOracle Key Vaultで同じになります。このステップにより、各データベースが一意のパスワードを持つようになります。
```
$ /u01/opt/oracle/product/okv/bin/okvutil changepwd -t wallet -l /u01/opt/oracle/product/okv/ssl/

Enter wallet password: default_password
Enter new wallet password: Oracle_Key_Vault_password
Confirm new wallet password: Oracle_Key_Vault_password
Wallet password changed successfully
```
プライマリ・データベースおよびスタンバイ・データベースで、次の文を実行します。
1. 次の文を実行して、Oracle Key Vaultパスワードをシークレットとして自動オープン・ウォレットに追加し、SQL*PlusコマンドラインのOracle Key VaultパスワードをEXTERNAL STOREに置き換えます。
```
ADMINISTER KEY MANAGEMENT ADD SECRET 'Oracle_Key_Vault_password' 
FOR CLIENT 'OKV_PASSWORD' 
TO LOCAL AUTO_LOGIN KEYSTORE '/u01/opt/oracle/product/tde_seps';
```
2. 次の文を実行して、Oracle Key Vaultパスワードをシークレットとして追加し、Oracle Key Vaultへの自動オープン接続を可能にします。
```
ADMINISTER KEY MANAGEMENT ADD SECRET 'Oracle_Key_Vault_password' 
FOR CLIENT 'HSM_PASSWORD' 
TO LOCAL AUTO_LOGIN KEYSTORE '/u01/opt/oracle/product/tde';
```
3. 必要に応じて、パッチ30398099がインストールされている場合は、データベースのデフォルト・アルゴリズムをAES128からAES192またはAES256に変更します。
  次のパラメータの前にアンダースコアがあることに注意してください。
```
ALTER SYSTEM SET "_tablespace_encryption_default_algorithm" = 'AES256' SCOPE = BOTH;
```
4. 常に新しい表領域を暗号化するようにプライマリ・データベースおよびスタンバイ・データベースを構成します。
```
ALTER SYSTEM SET ENCRYPT_NEW_TABLESPACES = ALWAYS SCOPE = BOTH SID = '*';
```
5. プライマリ・データベースおよびスタンバイ・データベースで、WALLET_ROOT静的初期化パラメータを定義します。
```
ALTER SYSTEM SET WALLET_ROOT = '/u01/opt/oracle/product' SCOPE = SPFILE;
```
6. 前述のALTER SYSTEM SET WALLET_ROOT文が有効になるように、プライマリ・データベースおよびスタンバイ・データベースを再起動します。
7. データベースの再起動後、Oracle Key Vaultを最初のキーストアとして使用し、WALLET_ROOT/tdeの自動オープン・ウォレットをセカンダリ・キーストアとして使用するようにTDEを構成します。
  プライマリ・データベースおよびスタンバイ・データベースの両方で次の文を実行します。
```
ALTER SYSTEM SET TDE_CONFIGURATION = "KEYSTORE_CONFIGURATION=OKV|FILE" SCOPE = BOTH;
```
プライマリ・データベースで、最初のTDEマスター暗号化キーをOracle Key Vaultに作成します。
スタンバイ・データベースのalert.logを確認します。スタンバイ・データベースはOracle Key Vaultの共有仮想ウォレットで正しいマスター・キーを検出するため、管理リカバリ・プロセス(MRP)は停止しないでください。
1. プライマリ・ルート・コンテナ: 最初のマスター暗号化キーを設定します。
  TDE構成を変更しないすべてのADMINISTER KEY MANAGEMENT文では、パスワードはEXTERNAL STOREに置き換えられます。これにより、Oracle Key Vault管理者はOracle Key Vaultパスワードをデータベース管理者と共有する必要がなくなるため、データベース管理者とOracle Key Vault管理者の業務を分離できます。
```
sqlplus sys as syskm
Enter password: password

ADMINISTER KEY MANAGEMENT SET KEY IDENTIFIED BY EXTERNAL STORE 
CONTAINER = CURRENT;
```
2. すべてのプライマリPDB: オープンしているPDBごとに最初のタグ付きマスター・キーを設定します。PDBキーにタグを付ける利点は、後で特定のPDBに属するものと簡単に識別できることです。
```
SELECT ' ADMINISTER KEY MANAGEMENT SET KEY 
USING TAG '''||UPPER(SYS_CONTEXT('USERENV', 'CON_NAME'))||' '||TO_CHAR (SYS_EXTRACT_UTC (SYSTIMESTAMP), 
'YYYY-MM-DD HH24:MI:SS"Z"')||''' FORCE KEYSTORE IDENTIFIED BY EXTERNAL STORE;' 
AS "SET KEY COMMAND" FROM DUAL;
```
3. このSELECT文の生成済出力を実行します。
  たとえば:
```
ADMINISTER KEY MANAGEMENT SET KEY 
USING TAG 'pdb_name date time' 
IDENTIFIED BY EXTERNAL STORE;
```
ルート・コンテナで次のステップを実行します。
1. 必要に応じて、ルート・コンテナのUSERS表領域を暗号化します。
  たとえば:
```
ALTER TABLESPACE USERS ENCRYPTION ONLINE USING 'AES256' ENCRYPT;
```
  Oracleでは、このリリースのSYSTEM、SYSAUX、TEMPおよびUNDO表領域を暗号化しないことをお薦めします。
2. スタンバイ・データベースのalert.logをよく見て、そこにあるUSERS表領域も暗号化されていることを確認します。
3. SYSKM管理権限を持つユーザーとして、CDB$ROOTおよびオープンしているすべてのPDBのデータ・ディクショナリを暗号化します。
```
ALTER DATABASE DICTIONARY ENCRYPT CREDENTIALS CONTAINER = ALL;
```
必要に応じて、PDBのUSERS表領域を暗号化します。
たとえば:
```
ALTER TABLESPACE USERS ENCRYPTION ONLINE USING 'AES256' ENCRYPT;
```
Oracleでは、このリリースのSYSTEM、SYSAUX、TEMPおよびUNDO表領域を暗号化しないことをお薦めします。
プライマリ・データベースPDBで表領域および表を作成します。
プライマリ・データベースで表領域を作成すると、その文に暗号化キーワードがなくても、デフォルトで暗号化されます。スタンバイ・データベースのalert.logをよく見て、暗号化された表領域がそこにも作成されていることを確認します。
```
CREATE TABLESPACE protected DATAFILE SIZE 50M;

CREATE TABLE SYSTEM.TEST TABLESPACE protected 
AS SELECT * FROM DBA_OBJECTS;
```
暗号化された表領域に格納されている表から選択できることを確認します。
```
SELECT COUNT(*), OWNER FROM SYSTEM.TEST 
GROUP BY OWNER 
ORDER BY 1 DESC;
```

スタンバイ・データベースで、次の問合せを実行して、ルート・コンテナの暗号化された表領域、すべてのPDBおよび暗号化アルゴリズムをリストします。

SELECT C.NAME AS PDB_NAME, T.NAME AS TBS_NAME, E.ENCRYPTIONALG AS ALG 
FROM V$TABLESPACE T, V$ENCRYPTED_TABLESPACES E, V$CONTAINERS C 
WHERE E.TS# = T.TS# AND E.CON_ID = T.CON_ID AND E.CON_ID = C.CON_ID ORDER BY E.CON_ID, T.NAME;

PDB_NAME        TBS_NAME             ALG     
--------------- -------------------- ------- 
CDB$ROOT        USERS                AES256  
FINPDB          PROTECTED            AES256 
FINPDB          USERS                AES256

オプションで、構成を検証します。
1. プライマリ・データベースとスタンバイ・データベース間でOracle Data Guardスイッチオーバーを実行します。
  Oracle Data Guard概要および管理を参照してください。
  
  新しいプライマリ・データベースで次のステップを実行します。
2. PDBの暗号化された表から選択します。
  Oracle Key Vaultへの自動オープン接続があるため、次の問合せではOracle Key Vaultパスワードを入力する必要がありません。
```
SELECT COUNT(*), OWNER FROM SYSTEM.TEST 
GROUP BY OWNER 
ORDER BY 1 DESC;

24 rows selected.
```
3. PDBのキーを更新します。
```
SELECT ' ADMINISTER KEY MANAGEMENT SET KEY 
USING TAG '''||UPPER(SYS_CONTEXT('USERENV', 'CON_NAME'))||' '||TO_CHAR (SYS_EXTRACT_UTC (SYSTIMESTAMP), 
'YYYY-MM-DD HH24:MI:SS"Z"')||''' 
FORCE KEYSTORE 
IDENTIFIED BY EXTERNAL STORE;' 
AS "RE-KEY COMMAND" FROM DUAL;
```
4. このSELECT文の生成済出力を実行します。
  たとえば:
```
ADMINISTER KEY MANAGEMENT SET KEY 
USING TAG 'pdb_name date time' 
IDENTIFIED BY EXTERNAL STORE;
```
5. ルート・コンテナで、SYSKM管理権限を持つユーザーとしてデータ・ディクショナリのキー更新を行います。
```
ALTER DATABASE DICTIONARY REKEY CREDENTIALS CONTAINER = ALL;
```
6. Oracle Data Guardスイッチオーバーをさらに実行します。
  Oracle Data Guard概要および管理を参照してください。
7. PDBの暗号化された表から選択します。
  Oracle Key Vaultへの自動オープン接続があるため、次の問合せではOracle Key Vaultパスワードを入力する必要がありません。
```
SELECT COUNT(*), OWNER FROM SYSTEM.TEST 
GROUP BY OWNER 
ORDER BY 1 DESC;

24 rows selected.
```
8. PDBのキーを更新します。
```
SELECT ' ADMINISTER KEY MANAGEMENT SET KEY 
USING TAG '''||UPPER(SYS_CONTEXT('USERENV', 'CON_NAME'))||' '||TO_CHAR (SYS_EXTRACT_UTC (SYSTIMESTAMP), 
'YYYY-MM-DD HH24:MI:SS"Z"')||''' 
FORCE KEYSTORE 
IDENTIFIED BY EXTERNAL STORE;' 
AS "RE-KEY COMMAND" FROM DUAL;
```
9. このSELECT文の生成済出力を実行します。
  たとえば:
```
ADMINISTER KEY MANAGEMENT SET KEY 
USING TAG 'pdb_name date time' 
IDENTIFIED BY EXTERNAL STORE;
```

親トピック: 透過的データ暗号化とOracle Data Guardとの連携

8.2.3 Oracle Data Guard環境での分離キーストアを持つPDBの有効化

Oracle Data Guard環境で、PDBがスタンバイに分離キーストアを持つようにするには、構成を手動で実行する必要があります。

これは、プライマリで実行されるADMINISTER KEY MANAGEMENTコマンドがスタンバイに影響しないためです。まず、プライマリ・データベースでPDBを分離します。ADMINISTER KEY MANAGEMENT ISOLATE KEYSTOREコマンドは、PDBのTDE_CONFIGURATIONパラメータをFILEに変更し、統合モードのウォレットから新しく作成された分離モードのウォレットにキーを移動するなど、必要な分離タスクを実行します。次に、分離モードのプロセスを完了するために、スタンバイでこれらの同じタスクを手動で実行する必要があります。

まだ実行していない場合は、プライマリ・データベースのCDBルートにログインし、PDBを分離します。

ADMINISTER KEY MANAGEMENT ISOLATE KEYSTORE 
IDENTIFIED BY "pdb_wallet_password" 
FROM ROOT KEYSTORE 
IDENTIFIED BY "root_wallet_password" 
WITH BACKUP;

スタンバイ・データベースが構成されているサーバーにログインします。
PDBのディレクトリ($WALLET_ROOT/PDB_GUID/tde/など)があることを確認します。
ALTER SYSTEM権限を持つユーザーとしてPDBに接続します。

このPDBのKEYSTORE_CONFIGURATIONパラメータを設定します。

ALTER SYSTEM SET TDE_CONFIGURATION="KEYSTORE_CONFIGURATION=FILE" SCOPE=BOTH;

コマンドラインで、CDBルートから、ウォレット(.p12および.sso)をプライマリ・データベースからスタンバイにコピーし、このウォレットを$WALLET_ROOT/PDB_GUID/tde/ディレクトリに配置します。

CDBルートのウォレットを閉じ、再度開きます。

ADMINISTER KEY MANAGEMENT SET KEYSTORE CLOSE 
FORCE KEYSTORE IDENTIFIED BY root_wallet_password;

ADMINISTER KEY MANAGEMENT SET KEYSTORE OPEN 
FORCE KEYSTORE IDENTIFIED BY root_wallet_password;

PDBに接続します。

PDBでウォレットを開きます。

ADMINISTER KEY MANAGEMENT SET KEYSTORE OPEN 
FORCE KEYSTORE IDENTIFIED BY pdb_wallet_password;

親トピック: 透過的データ暗号化とOracle Data Guardとの連携

8.3 透過的データ暗号化とOracle Real Application Clustersとの連携

Oracle Real Application Clusters (Oracle RAC)ノードでは、ソフトウェア・キーストアと外部キーストアの両方を共有できます。

Oracle Real Application Clustersでの透過的データ暗号化の使用について
Oracleは、クラスタ・インスタンス間に、Oracle Real Application Clusters (Oracle RAC)の共有ソフトウェア・キーストア、つまり、Oracle Key Vaultで共有される共通の仮想ウォレットを必要とします。
Oracle Real Application ClustersにおけるOracle Key Vault用のTDEの構成
Oracle Exadata Cloud at Customer (ExaCC)およびその他のサーバーのOracle Real Application Clusters (Oracle RAC)でTDEを、Oracle Key Vaultによって実現される一元管理されたキー管理のために構成できます。

親トピック: 他の Oracle機能における透過的データ暗号化の使用

8.3.1 Oracle Real Application Clustersでの透過的データ暗号化の使用について

Oracleは、Oracle Real Application Clusters (Oracle RAC)の共有ソフトウェア・キーストア、つまり、クラスタ・インスタンス間で共有されるOracle Key Vault内の共通の仮想ウォレットを必要とします。

Oracle Key Vaultを使用するTDE構成では、データベースの各インスタンスから外部キー・マネージャへのネットワーク接続が使用されます。Oracle Key Vaultでは、Oracle RAC対応データベースのインスタンスごとに1つのエンドポイントを作成し、Oracle RAC対応データベースごとに1つの仮想ウォレットを作成する必要があります。次に、その仮想ウォレットを、そのデータベースに属するすべてのエンドポイントのデフォルト・ウォレットにします。Oracle RAC対応のData Guard構成では、すべてのインスタンス(プライマリおよびすべてのスタンバイ・データベース)で1つの仮想ウォレットが共有されます。この構成では、関連するすべてのインスタンスが自動的に同期されるため、キー設定操作とキー更新操作は完全に透過的に行われます。これにより、クラスタ内のその他の各ノードにソフトウェア・キーストアを手動でコピーする必要がなくなります。

Oracleでは、Oracle RACノードごとの個別のTDEウォレットの使用はサポートされていません。かわりに、Oracle RAC環境でTDE用の共有ウォレットを使用してください。これによってすべてのインスタンスが、同じ共有ソフトウェア・キーストアにアクセスできます。対象の環境でOracle Automatic Storage Management Cluster File System (Oracle ACFS)を使用している場合は、これが共有ウォレットの推奨される場所です。Oracle ACFSを使用できない場合は、Oracle Automatic Storage Management (Oracle ASM)でウォレットを直接共有する(+DATA/$ORACLE_UNQNAME/WALLETSなど)という方法もあります。

キーストア操作(キーストアの開閉、TDEマスター暗号化キーのキー更新など)は、任意の1つのOracle RACインスタンスで実行可能です。内部的には、Oracleデータベースにより、各Oracle RACノードでキーストアのコンテキストが同期されます。こうすることで、キーストア操作の結果が、クラスタ内の他のすべてのOracle RACインスタンスに表示されます。同様に、TDEマスター暗号化キーのキー更新操作が実行されると、新しいキーが各Oracle RACインスタンスで使用可能になります。TDEマスター暗号化キーのエクスポート、キーストアのパスワードのローテーション、キーストアのマージ、キーストアのバックアップを含む他のキーストア操作なども、1つのインスタンスのみから実行できます。

共有ファイル・システムを使用する場合は、すべてのOracle RACインスタンスのsqlnet.oraファイルにおけるENCRYPTION_WALLET_LOCATIONパラメータ設定が、必ず同じ共有ソフトウェア・キーストアの場所を指すようにします。また、適切なディレクトリ権限を割り当てることによって、共有ソフトウェア・キーストアのセキュリティを確保する必要もあります。

ノート:

Oracle Real Application Clusters (Oracle RAC)インスタンスごとの個別のウォレットでのTDEマスター暗号化キーの格納はサポートされていません。かわりに、オンプレミスまたはクラウドベースのデータベース・デプロイメント、Oracle Automatic Storage Management (Oracle ASM)またはOracle ASM Cluster File System (Oracle ACFS)間の集中キー管理用のOracle Key Vaultを使用してローカル共有ウォレットを提供します。

親トピック: 透過的データ暗号化とOracle Real Application Clustersとの連携

8.3.2 Oracle Real Application ClustersにおけるOracle Key Vault用のTDEの構成

Oracle Exadata Cloud at Customer (ExaCC)およびその他のサーバーのOracle Real Application Clusters (Oracle RAC)でTDEを、Oracle Key Vaultによって実現される一元管理されたキー管理のために構成できます。

次のシナリオでは、マルチテナント2ノードOracle RAC構成があると想定しています。この手順では、示されている順序で次のステップを実行する必要があります。この手順を完了すると、Oracle RAC環境では、透過的データ暗号化のキー管理のためにOracle Key Vaultのみが使用されます。この手順では、Oracle Databaseリリース18cの2019年10月(18.8)以降のアップグレードをインストールしていることを前提としています。

開始する前に、実行中のOracle RACデータベースのアラート・ログを監視します。デフォルトのOracle Databaseリリース18cインストールに含まれているJavaバージョンを使用すると、RESTfulサービスを備えたOracle Key Vaultクライアントをインストールできます。RESTful APIのprovisionコマンドには、OracleデータベースのJavaホームを指す/usr/bin/java内のシンボリック・リンクが必要です。たとえば:

# ln -sv $ORACLE_HOME/jdk/jre/java /usr/bin/java

データベース管理者がOracleデータベースをOracle Key Vaultに自動的に登録できるように、Oracle Key Vault管理者が準備したOracle Key Vaultデプロイメント・スクリプトをダウンロードします。
Oracleデータベースをエンドポイントとして自動的に登録するスクリプトの作成方法の例は、Oracle Key Vault RESTfulサービス管理者ガイドを参照してください。デプロイメント・スクリプトは、データベース管理者がダウンロードできる共有ファイル・システムにあります。これらのデプロイメント・スクリプトには2つの異なるバージョンがあります。1つのスクリプトは最初のノード(このプロシージャではリード・ノードと呼ばれます)のみを対象とし、もう1つのスクリプトはその他のすべてのノード(このプロシージャではセカンダリ・ノードと呼ばれます)を対象としています。これらのスクリプトは、Oracle RACまたはOracle Data Guard環境に使用できます。

Oracle Key Vault管理者が準備してデプロイメント・スクリプトに追加する別のコンポーネントは、Oracle Key Vaultに接続するデプロイメント・スクリプトのすべての詳細を含む構成ファイルです。
データベース管理者が共有の場所からダウンロードするためにOracle Key Vault管理者が作成した2つのデプロイメント・スクリプト(primary.zipおよびsecondary.zip)をコピーします。
1. primary.zipファイルをリード・ノードにコピーします。
```
$ scp user@ip_address:/path/to/file/primary.zip .
```
2. secondary.zipファイルを各セカンダリ・ノードにコピーします。
```
$ scp user@ip_address:/path/to/file/secondary.zip .
```
zipファイルを解凍します。
1. リード・ノード: primary.zipファイルを解凍します。
```
$ unzip primary.zip
```
2. セカンダリ・ノード: secondary.zipファイルを解凍します。
```
$ unzip secondary.zip
```
すべてのノードで次のディレクトリを作成します。
たとえば:
```
$ mkdir -pv /u01/opt/oracle/product/okv 
$ mkdir -pv /u01/opt/oracle/product/tde 
$ mkdir -pv /u01/opt/oracle/product/tde_seps
```
ここでは次のように指定します。
- /u01/opt/oracle/productディレクトリは、後のステップでWALLET_ROOTとして定義されます。
- /u01/opt/oracle/product/okvは、Oracle Key Vaultクライアント・ソフトウェアのインストール・ディレクトリです。TDE_CONFIGURATIONパラメータの設定方法に応じて、Oracle Databaseはwallet_root/okv内のOracle Key Vaultクライアント・ソフトウェアを検索します。
- /u01/opt/oracle/product/tdeには、将来のOracle Key Vaultパスワードのみを含む自動ログイン・ウォレットが格納され、自動ログインのOracle Key Vault構成が有効になります。Oracle Databaseでは、TDE_CONFIGURATIONの設定方法に応じて、TDEウォレットまたはOracle Key Vaultの自動オープン・ウォレットがwallet_root/tdeで検索されます。
- /u01/opt/oracle/product/tde_sepsには、将来のOracle Key Vaultパスワードのみを含む自動ログイン・ウォレットが格納されます。これにより、SQL*PlusコマンドラインからOracle Key Vaultパスワードが非表示になり、場合によっては、Oracleデータベース管理者とOracle Key Vault管理者との間で義務の分離を強化するためにデータベース管理者にも非表示になる可能性があります。

リード・ノード: このスクリプトは、Oracle Key Vaultで共有ウォレット(リードとすべてのセカンダリ・ノード用)およびエンドポイントを作成し、リード・ノード用のこのエンドポイントを共有ウォレットに関連付け、Oracle Key Vaultクライアントをダウンロードして既存のインストール・ディレクトリにインストールします。WALLET_ROOT構成では、このディレクトリはwallet_root/okvです。

$ more primary-run-me.sh
#!/bin/bash
export EP_NAME=${ORACLE_SID^^}_on_$(hostname -s)
export WALLET_NAME=${ORACLE_UNQNAME^^}${HOSTNAME//[!0-9]/}
curl -Ok https://192.168.1.181:5695/okvrestclipackage.zip --tlsv1.2
unzip -Voj okvrestclipackage.zip lib/okvrestcli.jar -d ./lib
cat > /home/oracle/deploy-OKV.sh << EOF
#!/bin/bash
okv manage-access wallet create --wallet ${WALLET_NAME} --unique FALSE
okv admin endpoint create --endpoint ${EP_NAME} --description "$(hostname -f) $(hostname -i)" --subgroup "USE CREATOR SUBGROUP" --unique FALSE
okv admin endpoint update --endpoint ${EP_NAME} --strict-ip-check TRUE
okv manage-access wallet set-default --wallet ${WALLET_NAME} --endpoint ${EP_NAME}
expect << _EOF
    set timeout 120
    spawn okv admin endpoint provision --endpoint ${EP_NAME} --location /etc/ORACLE/KEYSTORES/${ORACLE_UNQNAME^^}/okv --auto-login FALSE
    expect "Enter Oracle Key Vault endpoint password: "
    send "change-on-install\r"
    expect eof
_EOF
EOF

セカンダリ・ノード: このスクリプトは、セカンダリ・ノードのエンドポイントのみを作成し、セカンダリ・ノードのエンドポイントを共有ウォレットに関連付けて、Oracle Key Vaultクライアントをダウンロードして各セカンダリ・ノードの既存のインストール・ディレクトリにインストールします。

$ more run-me.sh
#!/bin/bash
export EP_NAME=${ORACLE_SID^^}_on_$(hostname -s)
export WALLET_NAME=${ORACLE_UNQNAME^^}${HOSTNAME//[!0-9]/}
curl -Ok --tlsv1.2 https://<OKV-IP-addr>:5695/okvrestclipackage.zip
unzip -Voj okvrestclipackage.zip lib/okvrestcli.jar -d ./lib
cat > /home/oracle/deploy-OKV.sh << EOF
#!/bin/bash
okv admin endpoint create --endpoint ${EP_NAME} --description "$(hostname -f) $(hostname -i)" --subgroup "USE CREATOR SUBGROUP" --unique FALSE
okv admin endpoint update --endpoint ${EP_NAME} --strict-ip-check TRUE
okv manage-access wallet set-default --wallet ${WALLET_NAME} --endpoint ${EP_NAME}
expect << _EOF
    set timeout 120
    spawn okv admin endpoint provision --endpoint ${EP_NAME} --location /etc/ORACLE/KEYSTORES/${ORACLE_UNQNAME^^}/okv --auto-login FALSE
    expect "Enter Oracle Key Vault endpoint password: "
    send "change-on-install\r"
    expect eof
_EOF
EOF

すべてのセカンダリ・ノードが、リード・ノードによって作成されるOracle Key Vault内の共有ウォレットの存在に依存するため、最初にリード・ノードでRESTful APIを実行します。
```
$ java -jar okvrestservices.jar -c config.ini
```
次のような出力が表示されます。
```
[Line 1 OK] [CREATE WALLET] [3E48990A-82A0-48BC-ACEC-FF80CB380D38]
[Line 2 OK] [CREATE ENDPOINT] [6FA40F80-558C-456A-84E3-25AE73B245DD]
[Line 3 OK] [SET DEFAULT WALLET] [FINRAC1_on_rac18a:FINRAC]
[Line 4 OK] [GET ENROLLMENT TOKEN] [FINRAC1_on_rac18a]
The endpoint software for Oracle Key Vault installed successfully.
[Line 4 OK] [PROVISION] 
[Line 4 OK] [CLEANUP] 
```
ウォレットのUUIDを書き留めます(これは、行1に表示され、boldで表示されます)。

このコマンドをリード・ノードで実行した後、すべてのセカンダリ・ノードで実行します。
Oracle Key Vaultクライアントが正常にインストールされた後、root.shスクリプトを実行して、すべてのノードにPKCSライブラリをインストールします。
```
# Oracle_Key_Vault_installation_directory/bin/root.sh
```
次の出力が表示されます。
```
Creating directory: /opt/oracle/extapi/64/hsm/oracle/1.0.0/
Copying PKCS library to /opt/oracle/extapi/64/hsm/oracle/1.0.0/
Setting PKCS library file permissions
```
すべてのノードでOracle Key Vault okvutil changepwdコマンドを実行して、インストールしたOracle Key Vaultクライアントのパスワードを変更します。
すべてのデータベース管理者が同じデプロイメント・スクリプトをダウンロードしたため、すべてのデータベースのパスワードがOracle Key Vaultで同じになります。このステップにより、各データベースが一意のパスワードを持つようになります。
```
$ /u01/opt/oracle/product/okv/bin/okvutil changepwd -t wallet -l /u01/opt/oracle/product/okv/ssl/

Enter wallet password: default_password
Enter new wallet password: Oracle_Key_Vault_password
Confirm new wallet password: Oracle_Key_Vault_password
Wallet password changed successfully
```
すべてのノードで、ローカル自動ログイン・ウォレットにOracle Key Vaultパスワードを追加して、新しく変更したパスワードをデータベース管理者に対して非表示にします。
```
sqlplus c##sec_admin as syskm
Enter password: password

ADMINISTER KEY MANAGEMENT ADD SECRET 'Oracle_Key_Vault_password' 
FOR CLIENT 'OKV_PASSWORD' 
TO LOCAL AUTO_LOGIN KEYSTORE '/u01/opt/oracle/product/tde_seps';
```
ルート・コンテナで、ALTER SYSTEM文を実行して静的WALLET_ROOTパラメータを設定し、すべてのインスタンスの暗号化ウォレットの場所を構成します。
```
CONNECT AS SYSDBA

ALTER SYSTEM SET WALLET_ROOT = '/u01/opt/oracle/product/' 
SCOPE = SPFILE SID = '*';
```
データベースを再起動します。
任意のノードでこのコマンドを実行します。
```
$ srvctl stop database -db database_name -o immediate 
$ srvctl start database -db database_name
```
ルート・コンテナで、ALTER SYSTEM文を使用して、動的TDE_CONFIGURATIONパラメータを設定します。
たとえば:
```
ALTER SYSTEM SET TDE_CONFIGURATION = "KEYSTORE_CONFIGURATION=OKV" 
SCOPE = BOTH SID = '*';
```
オプションで、Oracleパッチ30398099を適用した後で、データベースのデフォルトの暗号化アルゴリズムを定義します。
デフォルトでは、Oracle Databaseは、暗号化アルゴリズムを指定しない暗号化句にAES128アルゴリズムを適用します。パッチ30398099では、AES128、AES192およびAES256の各暗号化アルゴリズムから選択できます。このパッチを適用した場合は、次のコマンドを実行して暗号化句を設定できます。
```
ALTER SYSTEM SET "_TABLESPACE_ENCRYPTION_DEFAULT_ALGORITHM" = 'encryption_algorithm' 
SCOPE = BOTH SID = '*';
```
ルート・コンテナでキーストアを開くと、ルート・コンテナおよびすべてのオープンPDBを対象としたOracle Key Vaultへの接続が開きます。
データベースでは、ステップ9ですべてのノードに作成したローカル自動ログイン・ウォレットからOracle Key Vaultパスワードが自動的に取得されるため、Oracle Key Vaultのパスワードは、その後のすべてのADMINISTER KEY MANAGEMENTコマンドでEXTERNAL STOREに置換されていることに注意してください。
```
ADMINISTER KEY MANAGEMENT SET KEYSTORE OPEN
IDENTIFIED BY EXTERNAL STORE 
CONTAINER = ALL;
```

ルート・コンテナで、マスター暗号化キーを設定します。

ADMINISTER KEY MANAGEMENT SET KEY 
IDENTIFIED BY EXTERNAL STORE 
CONTAINER = CURRENT;

このコンテナ内のすべてのPDBでタグ付きマスター暗号化キーを作成し、アクティブ化します。
タグ付きマスター暗号化キーをPDBに追加する利点は、特定のPDBに属するキーを簡単に識別できることです。
1. 各PDBに接続し、次のSELECT文を実行して、PDBのマスター暗号化キーのタグとしてPDB名とタイムスタンプを含むADMINISTER KEY MANAGEMENTコマンドを作成します。
```
CONNECT sec_admin@pdb_name AS SYSKM
Enter password: password

SELECT ' ADMINISTER KEY MANAGEMENT SET KEY 
USING TAG '''||SYS_CONTEXT('USERENV', 'CON_NAME')||' '|| 
TO_CHAR (SYSDATE, 'YYYY-MM-DD HH24:MI:SS')||''' 
IDENTIFIED BY EXTERNAL STORE;' "SET KEY COMMAND" FROM DUAL;
```
2. このSELECT文の生成済出力を実行します。
  たとえば:
```
ADMINISTER KEY MANAGEMENT SET KEY 
USING TAG 'pdb_name date time' 
IDENTIFIED BY EXTERNAL STORE;
```
すべてのノードで、自動ログイン・ウォレットにOracle Key Vaultパスワードを追加し、Oracle Key Vaultへの自動ログイン接続を有効にします。
Oracle RACでは、このステップは必須です。自動ログイン接続をOracle Key Vaultに含めることは、Oracle RACノードが自動的に再起動される場合(たとえば、opatchautoパッチ・ツールを使用して四半期ごとのリリース・アップグレードを適用する場合)に特に重要です。
```
ADMINISTER KEY MANAGEMENT ADD SECRET 'Oracle_Key_Vault_password' 
FOR CLIENT 'HSM_PASSWORD' 
TO LOCAL AUTO_LOGIN KEYSTORE '/u01/opt/oracle/product/tde';
```
ルート・コンテナで、ALTER SYSTEM文を実行して、TDE_CONFIGURATIONパラメータを変更します。
たとえば:
```
ALTER SYSTEM SET TDE_CONFIGURATION = "KEYSTORE_CONFIGURATION=OKV|FILE" 
SCOPE = BOTH SID = '*';
```
CREATE TABLESPACEコマンドに暗号化句が含まれていない場合でも、AES128アルゴリズム(またはステップ13で指定したアルゴリズム)を使用して新しい表領域を常に暗号化するように、データベースのデフォルトの動作を変更します。
任意のノードでこの文を1回実行します。
```
ALTER SYSTEM SET ENCRYPT_NEW_TABLESPACES = ALWAYS SCOPE = BOTH SID = '*';
```
ルートから、SYS.LINK$およびSYS.SCHEDULER$_CREDENTIALシステム表にあるデータベース・リンクについてAES256を使用して機密資格証明データを暗号化します。
このコマンドには、SYSKM管理権限が必要です。
```
sqlplus c##sec_admin as syskm
Enter password: password

ALTER DATABASE DICTIONARY ENCRYPT CREDENTIALS;
```
PDBにログインし、表領域を作成します。
たとえば、protectedという名前の表領域を作成するには、次のようにします。
```
CREATE TABLESPACE protected DATAFILE SIZE 50M;
```

暗号化句が省略されていても、表領域が暗号化されていることを確認します。

SELECT C.NAME AS pdb_name, T.NAME AS tablespace_name, E.ENCRYPTIONALG AS ALG 
FROM V$TABLESPACE T, V$ENCRYPTED_TABLESPACES E, V$CONTAINERS C 
WHERE E.TS# = T.TS# AND E.CON_ID = T.CON_ID AND E.CON_ID = C.CON_ID 
ORDER BY E.CON_ID, T.NAME;

作成した暗号化済の表領域に、表を作成します。
たとえば:
```
CREATE TABLE SYSTEM.test TABLESPACE protected 
AS SELECT * FROM DBA_OBJECTS;
```
この表から選択して、暗号化データを読み取れることを確認します。
```
SELECT COUNT(*), OWNER FROM SYSTEM.test 
GROUP BY OWNER 
ORDER BY 1 DESC;
```
PDBで、既存のアプリケーション表領域を暗号化します。
暗号化アルゴリズムを省略すると、デフォルトのアルゴリズム(AES128またはステップ13で指定したアルゴリズム)が適用されます。
```
ALTER TABLESPACE tablespace_name ENCRYPTION ONLINE ENCRYPT;
```
オプションで、構成を検証します。
1. Oracle Key Vaultへの自動ログインが機能していることを確認します。
  これは、データベースを再起動し、PDBにログインし、暗号化された表から選択することでテストできます。データベースを再起動するには:
```
$ srvctl stop database -db database_name -o immediate
$ srvctl start database -db database_name
```
  PDBにログインした後、SYSTEM.test表から選択します。
```
SELECT COUNT(*), OWNER FROM SYSTEM.test 
GROUP BY OWNER 
ORDER BY 1 DESC;
```
2. オープンしているすべてのPDBでマスター暗号化キーの再キー操作が成功していることを確認します。
  最初に、SYSKM管理権限を持つユーザーとして次のSELECT文を実行し、PDB名とタイムスタンプを含むADMINISTER KEY MANAGEMENTコマンドを作成します。
```
SELECT ' ADMINISTER KEY MANAGEMENT SET KEY 
USING TAG '''||SYS_CONTEXT('USERENV', 'CON_NAME')||' '|| 
TO_CHAR (SYSDATE, 'YYYY-MM-DD HH24:MI:SS')||''' 
FORCE KEYSTORE IDENTIFIED BY EXTERNAL STORE;' "RE-KEY COMMAND" FROM DUAL;
```
  次に、このSELECT文の生成済出力を実行します。
```
ADMINISTER KEY MANAGEMENT SET KEY 
USING TAG 'pdb_name date time' 
FORCE KEYSTORE IDENTIFIED BY EXTERNAL STORE;
```
3. ルート・コンテナから、以前に暗号化された機密資格証明データをSYS.LINK$システム表およびSYS.SCHEDULER$_CREDENTIALシステム表に再入力します。
  このコマンドには、SYSKM管理権限が必要です。
```
sqlplus c##sec_admin as syskm
Enter password: password

ALTER DATABASE DICTIONARY REKEY CREDENTIALS;
```
4. protected表領域とその表testを削除します。
```
DROP TABLESPACE protected
INCLUDING CONTENTS AND DATAFILES;
```

関連項目

サポートされる暗号化と整合性のアルゴリズム

親トピック: 透過的データ暗号化とOracle Real Application Clustersとの連携

8.4 透過的データ暗号化とSecureFilesとの連携

LOBが格納されるSecureFilesには、圧縮、重複除外および暗号化の3つの機能があります。

透過的データ暗号化およびSecureFilesについて
SecureFilesの暗号化では、LOBの暗号化機能を提供するためにTDEを使用します。
例: 特定の暗号化アルゴリズムを使用したSecureFiles LOBの作成
CREATE TABLE文によって、暗号化を指定してSecureFiles LOBを作成できます。
例: 列パスワードを指定したSecureFiles LOBの作成
CREATE TABLE文によって、列パスワードを指定してSecureFiles LOBを作成できます。

親トピック: 他の Oracle機能における透過的データ暗号化の使用

8.4.1 透過的データ暗号化およびSecureFilesについて

SecureFilesの暗号化では、LOBの暗号化機能を提供するためにTDEを使用します。

表を作成または変更する際に、SecureFiles記憶域を使用する必要があるSecureFiles暗号化やLOB列を指定できます。現在の透過的データ暗号化(TDE)構文を使用するか、またはLOB列に関するLOBパラメータの一部としてENCRYPT句を使用することによって、LOB列の暗号化を有効化できます。現在の構文またはLOBパラメータにおけるDECRYPTオプションによって、暗号化を無効化できます。

親トピック: 透過的データ暗号化とSecureFilesとの連携

8.4.2 例: 特定の暗号化アルゴリズムを使用したSecureFiles LOBの作成

CREATE TABLE文によって、暗号化を指定してSecureFiles LOBを作成できます。

例8-1では、CREATE TABLE文でSecureFiles LOBを作成する方法を示しています。

例8-1 特定の暗号化アルゴリズムを使用したSecureFiles LOBの作成

CREATE TABLE table1 ( a BLOB ENCRYPT USING 'AES256')
    LOB(a) STORE AS SECUREFILE (
    CACHE
    );

親トピック: 透過的データ暗号化とSecureFilesとの連携

8.4.3 例: 列パスワードを指定したSecureFiles LOBの作成

CREATE TABLE文によって、列パスワードを指定してSecureFiles LOBを作成できます。

例8-2では、暗号化された列に対してパスワード保護を使用するSecureFiles LOBの作成例を示しています。

LOB列のすべてのLOBが、同じ暗号化の指定で暗号化されます。

例8-2 列パスワードを指定したSecureFiles LOBの作成

CREATE TABLE table1 (a VARCHAR2(20), b BLOB)
    LOB(b) STORE AS SECUREFILE (
        CACHE
        ENCRYPT USING 'AES192' IDENTIFIED BY password
    );

親トピック: 透過的データ暗号化とSecureFilesとの連携

8.5 透過的データ暗号化とOracle Call Interfaceとの連携

透過的データ暗号化は、Oracle Call Interface (OCI)の動作に影響しません。

多くの実用的な目的のために、TDEは行の受渡し機能を除き、OCIに対して透過的です。行を使用可能にするキーは受信ポイントでは使用できないため、OCIの行の受渡し機能をTDEで使用できません。

親トピック: 他の Oracle機能における透過的データ暗号化の使用

8.6 透過的データ暗号化とエディションとの連携

透過的データ暗号化は、Oracle Databaseのエディション機能に影響しません。

多くの実用的な目的のために、TDEはエディションに対して透過的です。表は常に非エディション化オブジェクトです。TDEの列暗号化によって、表の列が暗号化されます。エディションは、TDEの表領域の暗号化によって影響されません。

親トピック: 他の Oracle機能における透過的データ暗号化の使用

8.7 マルチデータベース環境で機能するように透過的データ暗号化を構成

同じサーバー上の各Oracle Database (同じOracleバイナリを共有しているが異なるデータ・ファイルを使用しているデータベースなど)は、それぞれ独自のTDEキーストアにアクセスする必要があります。

キーストアは、データベース間で共有されるようには設計されていません。設計によって、データベースごとに1つのキーストアが必要となっています。複数のデータベースには同じキーストアを使用できません。

複数データベース環境に対してsqlnet.oraファイルを構成するには、次のオプションを使用します。
- オプション1: データベースが同じOracleホームを共有する場合、sqlnet.oraファイルをデフォルトの場所(ORACLE_HOME/network/adminディレクトリ)に保持します。
  
  この場合、デフォルトの場所を使用することをお薦めします。sqlnet.oraファイルに、WALLET_LOCATIONまたはENCRYPTION_WALLET_LOCATIONエントリがないことを確認します。これらの2つのエントリがsqlnet.oraファイルにない場合、透過的データ暗号化は、デフォルトのsqlnet.oraの場所からキーストアにアクセスします。
- オプション2: オプション1がサイトで実行可能でない場合は、キーストアの場所を次のように指定できます。WALLET_ROOT初期化パラメータはすべてのPDBによって共有されますが、各CDB(またはスタンドアロン・データベース)には個別のWALLET_ROOT設定が必要です。
  
  たとえば:
```
WALLET_ROOT = /home/oracle/db_unique_name/wallet/
 
```
- オプション3: オプション1および2が実行可能でない場合、個別のsqlnet.oraファイルを各データベースにつき1つ使用します。TNS_ADMIN環境変数が、正しいデータベース構成を指すように正確に設定されていることを確認します。

注意:

他のデータベースからキーストアを使用することによって、データの一部または全部が失われる可能性があります。

関連項目

SQL*Plusユーザーズ・ガイドおよびリファレンス

親トピック: 他の Oracle機能における透過的データ暗号化の使用