Oracle Databaseセキュリティ・ガイドのこのリリースの変更

この章の内容は次のとおりです。

• Oracle Database Security 18cでの変更点
  
• Oracle Database Security 18cの更新
  

Oracle Database Security 18cでの変更点

Oracle Database18cのOracle Databaseセキュリティ・ガイドには、新しいセキュリティ機能が記載されています。

• スキーマ限定アカウントを作成する機能
  クライアントに対してスキーマへのログインを許可せずに、オブジェクトを所有するためにスキーマ限定アカウントを作成できるようになりました。
• Active DirectoryサービスとOracle Databaseの統合
  このリリースから、Microsoft Active Directoryを使用してユーザーを直接認証および認可できます。
• データ・ディクショナリで機密性の高い資格証明データを暗号化する機能
  このリリースから、データ・ディクショナリのSYS.LINK$およびSYS.SCHEDULER$_CREDENTIALシステム表に格納されている機密性の高い資格証明データを暗号化できます。
• PDBロックダウン・プロファイルの機能拡張
  このリリースでは、PDBロックダウン・プロファイルの様々な機能拡張が導入されました。
• 新しい認証および認定のパラメータ
  このリリースでは、データベースのセキュリティを強化するために使用できる4種類の新しいパラメータが導入されました。
• 統合監査証跡レコードをSYSLOGまたはWindowsイベントビューアに書き込む機能
  このリリースから、統合監査証跡レコードをSYSLOG(UNIX)またはWindowsイベントビューア(Microsoft Windows)に書き込むことができます。
• Oracle Data Pumpを使用して統合監査証跡をエクスポートおよびインポートする機能
  このリリースから、Oracle Data Pumpを使用した完全または部分的なエクスポートおよびインポート操作で、統合監査証跡を追加できます。

スキーマ限定アカウントを作成する機能

クライアントに対してスキーマへのログインを許可せずに、オブジェクトを所有するためにスキーマ限定アカウントを作成できるようになりました。

認証方法を受け入れるようにアカウントが変更されていない場合は、ユーザー(またはその他のクライアント)はデータベース・スキーマにログインできません。ただし、このタイプのスキーマ・ユーザーは、単一セッション・プロキシでプロキシとなることができます。

Active DirectoryサービスとOracle Databaseの統合

このリリースから、Microsoft Active Directoryを使用してユーザーを直接認証および認可できます。

集中管理ユーザー(CMU)により、Oracle Enterprise User Security(EUS)または別の中間ディレクトリ・サービスを使用せずに、Oracle DatabaseのユーザーおよびロールをActive Directoryのユーザーおよびグループに直接マップできます。EUSは置き換えまたは廃止されておらず、この新機能は、Active Directoryを使用してユーザーの認証および認可だけを行う場合のよりシンプルなオプションです。集中管理ユーザーは、他のLDAPバージョン3準拠ディレクトリ・サービスと連動するように拡張できますが、Microsoft Active Directoryはこのリリースでサポートされている唯一のサービスです。

ディレクトリ・サービスとの直接統合により、エンタープライズ・アイデンティティ管理アーキテクチャを使用したシンプルな構成で強化されるセキュリティがサポートされています。これまでは、複雑さと難しさの点から、ユーザーはデータベースとディレクトリ・サービスの統合というセキュリティ上の措置を避けてきた可能性があります。直接統合により、エンタープライズ・ディレクトリ・サービスへのデータベースの統合が容易になり、セキュリティ状況が向上します。

データ・ディクショナリで機密性の高い資格証明データを暗号化する機能

このリリースから、データ・ディクショナリのSYS.LINK$およびSYS.SCHEDULER$_CREDENTIALシステム表に格納されている機密性の高い資格証明データを暗号化できます。

旧リリースと、このリリースのデフォルトでは、これらの表のデータは不明瞭化されています。ただし、インターネットで使用可能な不明瞭化解除アルゴリズムが増加している状況から、よりセキュアなソリューションを使用してこのような機密データを保護することが重要です。このデータは、ALTER DATABASE DICTIONARY SQL文を使用して手動で暗号化できます。

PDBロックダウン・プロファイルの機能強化

このリリースでは、PDBロックダウン・プロファイルの様々な機能強化が導入されました。

これらの機能強化は次のとおりです。

• アプリケーション・ルートとCDBルートでPDBロックダウン・プロファイルを作成できるようになりました。旧リリースでは、プロファイルはCDBルートでのみ作成できました。アプリケーション・コンテナでPDBロックダウン・プロファイルを作成できるため、アプリケーション・コンテナに関連付けられているアプリケーションへのアクセスをより細かく制御できます。

• 別のPDBロックダウン・プロファイル(静的ベース・プロファイルまたは動的ベース・プロファイルのいずれか)に基づくPDBロックダウン・プロファイルを作成できるようになりました。今後ベース・プロファイルに対して行われる変更を、このベース・プロファイルを使用して新規に作成されるプロファイルに反映するかどうかを制御できます。

• このリリースでは、3つのデフォルトPDBロックダウン・プロファイル(PRIVATE_DBAAS、SAAS、PUBLIC_DBAAS)が追加されました。これらのプロファイルは、クラウド環境で役立ちます。

• 新しい動的データ・ディクショナリ・ビューV$LOCKDOWN_RULESを使用できます。このビューでは、ローカル・ユーザーが、PDBで適用可能なロックダウン・ルールを確認できます。

この機能は、PDBのプロビジョニングで強制的なセキュリティと分離を必要とする環境で役立ちます。

新しい認証および認定のパラメータ

このリリースでは、データベースのセキュリティを強化するために使用できる4種類の新しいパラメータが導入されました。

新しいパラメータは次のとおりです。

• ADD_SSLV3_TO_DEFAULTおよびsqlnet.oraパラメータは、Padding Oracle On Downgraded Legacy Encryption(POODLE)攻撃に対して脆弱である可能性があるSecure Sockets Layerバージョン3の使用を制御します。

• ADG_ACCOUNT_INFO_TRACKING初期化パラメータは、すべてのData Guardプライマリ・データベースおよびスタンバイ・データベースにおいてユーザー・アカウント情報の単一グローバル・コピーを維持できるようにすることで、Oracle Data Guardスタンバイ・データベースへのログイン試行を制御します。

  ACCEPT_MD5_CERTS sqlnet.oraパラメータは、MD5アルゴリズムを有効または無効にします。

• ACCEPT_SHA1_CERTS sqlnet.oraパラメータは、SHA-1アルゴリズムを有効または無効にします。

SYSLOGまたはWindowsイベントビューアに統合監査証跡レコードを書き込む機能

このリリースから、SYSLOG(UNIX)またはWindowsイベントビューア(Microsoft Windows)に統合監査証跡レコードを書き込むことができます。

Microsoft Windowsでは、この動作を有効または無効にできます。UNIXシステムでは、使用するSYSLOG機能と、統合監査レコードのロギング・カテゴリのタイプ(アラートであるか緊急であるかなど)を指定できます。この動作を構成するには、UNIFIED_AUDIT_SYSTEMLOG初期化パラメータを設定します。

Oracle Data Pumpを使用して統合監査証跡をエクスポートおよびインポートする機能

このリリースから、Oracle Data Pumpを使用した完全または部分的なエクスポートおよびインポート操作で、統合監査証跡を追加できます。

ユーザー・インタフェースの変更はありません。データベースのエクスポートまたはインポート操作を実行すると、統合監査証跡がData Pumpダンプ・ファイルに自動的に追加されます。

この機能は、以前のリリースと同様に監査レコードのダンプ・ファイルを作成する必要があるユーザーにとって役立ちます。

Oracle Database Security 18cの更新

Oracle Databaseリリース18cには、リリース11.2以降のすべてのリリースに適用される新しいセキュリティ更新が1つあります。

• ネイティブ暗号化のセキュリティ更新
  Oracleでは、Oracle Databaseリリース11.2以降における、ネイティブ・ネットワーク暗号化環境に影響を与える必要なセキュリティ機能強化に対応するために、ダウンロード可能なパッチを提供しています。

ネイティブ暗号化のセキュリティ更新

Oracleでは、Oracle Databaseリリース11.2以降における、ネイティブ・ネットワーク暗号化環境に影響を与える必要なセキュリティ機能強化に対応するために、ダウンロード可能なパッチを提供しています。

このパッチは、My Oracle Supportノート2118136.2で入手できます。

改善されたサポート対象アルゴリズムは次のとおりです。

• 暗号化アルゴリズム: AES128、AES192およびAES256
• チェックサム・アルゴリズム: SHA1、SHA256、SHA384およびSHA512

非推奨であり、使用をお薦めしないアルゴリズムは次のとおりです。

• 暗号化アルゴリズム: DES、DES40、3DES112、3DES168、RC4_40、RC4_56、RC4_128およびRC4_256
• チェックサム・アルゴリズム: MD5

サイトでネットワーク・ネイティブ暗号化を使用する必要がある場合は、My Oracle Supportノート2118136.2で説明されているパッチをダウンロードする必要があります。Oracle Databaseインストールの円滑な移行を可能にするために、このパッチでは、脆弱なアルゴリズムを無効にしより強力なアルゴリズムの使用を開始できる、2つのパラメータが提供されます。このパッチは、サーバー上とクライアント上の両方のOracle Databaseインストールにインストールする必要があります。

ネットワーク・ネイティブの暗号化の代替となるのは、TLS (Transport Layer Security)であり、中間者攻撃からの保護を実現します。