27 Oracle Database Vaultレポート
Oracle Database Vaultには、Database Vaultの構成設定などのアクティビティを追跡するレポートが用意されています。
- Oracle Database Vaultレポートについて
Oracle Database Vaultには、データベースからのセキュリティに関する情報を示す一連のレポートが用意されています。 - Oracle Database Vaultレポートを実行できるユーザー
Oracle Database Vaultレポートを実行するには、ユーザーにDV_OWNER
、DV_ADMIN
またはDV_SECANALYST
ロールが必要です。 - Oracle Database Vaultレポートの実行
適切なロールを付与されているユーザーは、Database Vault AdministratorからOracle Database Vaultレポートを実行できます。 - Oracle Database Vault構成の問題のレポート
構成の問題のレポートは、コマンド・ルール、ルール・セット、レルムおよびその他のOracle Database Vault構成を追跡します。 - Oracle Database Vaultの監査レポート
統合監査を有効にしている場合、Oracle Database Vault監査レポートは、統合監査ポリシーの結果を取得します。 - Oracle Database Vaultの一般セキュリティ・レポート
一般的なセキュリティ・レポートは、PUBLIC
に関連したオブジェクト権限やデータベース・アカウントまたはロールに付与された権限などの情報を追跡します。
27.1 Oracle Database Vaultレポートについて
Oracle Database Vaultには、データベースからのセキュリティに関する情報を示すレポートが用意されています。
これらのレポートには、Oracle Database Vaultのカスタム監査イベント情報も表示されます。統合監査が有効な場合、レポートは、統合監査ポリシーの結果を取得します。
レポートは、次の2つのカテゴリに分類されます。
-
Database Vaultレポート。このレポートでは、レルム、コマンド・ルール、ファクタ、ファクタのアイデンティティ、ルール・セットおよびセキュア・アプリケーション・ロールの構成上の問題をチェックできます。レルム違反、監査結果なども明らかになります。
-
一般セキュリティ・レポート。このレポートでは、オブジェクト権限、データベース・アカウントのシステム権限、機密オブジェクト、権限管理、強力なデータベース・アカウントおよびロール、初期化パラメータ、プロファイル、アカウントのパスワード、セキュリティ監査、その他のセキュリティ脆弱性レポートのステータスをチェックできます。
27.2 Oracle Database Vaultレポートを実行できるユーザー
Oracle Database Vaultレポートを実行するには、ユーザーにDV_OWNER
、DV_ADMIN
またはDV_SECANALYST
ロールが必要です。
27.3 Oracle Database Vaultレポートの実行
適切なロールを付与されているユーザーは、Database Vault AdministratorからOracle Database Vaultレポートを実行できます。
親トピック: Oracle Database Vaultレポート
27.4 Oracle Database Vault構成の問題のレポート
構成の問題のレポートは、コマンド・ルール、ルール・セット、レルムおよびその他のOracle Database Vault構成用の設定を追跡します。
- 「コマンド・ルール構成の問題」レポート
「コマンド・ルール構成の問題」レポートは、構成に問題があるコマンド・ルールを示します。 - 「ルール・セット構成の問題」レポート
「ルール・セット構成の問題」レポートは、Oracle Database Vaultルール・セットの構成の問題を示します。 - 「レルム認可構成の問題」レポート
「レルム認可構成の問題」レポートは、Oracle Database Vaultレルム構成の問題を示します。 - 「ファクタ構成の問題」レポート
「ファクタ構成の問題」レポートは、Oracle Database Vaultファクタ構成の問題を示します。 - 「アイデンティティのないファクタ」レポート
「アイデンティティのないファクタ」レポートは、アイデンティティが定義されていないOracle Database Vaultファクタを示します。 - 「アイデンティティ構成の問題」レポート
「アイデンティティ構成の問題」レポートは、Oracle Database Vaultファクタ・アイデンティティ構成の問題を示します。 - 「セキュア・アプリケーション構成の問題」レポート
「セキュア・アプリケーション構成の問題」レポートは、Database Vaultのセキュアなアプリケーション・ロールの構成の問題を示します。
親トピック: Oracle Database Vaultレポート
27.4.1 「コマンド・ルール構成の問題」レポート
「コマンド・ルール構成の問題」レポートは、構成に問題があるコマンド・ルールを示します。
これらの問題は次のとおりです。
-
コマンド・ルールのルール・セットが無効である。
-
コマンド・ルールのルール・セットが不完全である。
-
コマンド・ルールのオブジェクト所有者が存在しない。この状況は、オブジェクトのユーザー・アカウントが削除された場合に発生する可能性があります。
27.4.2 「ルール・セット構成の問題」レポート
「ルール・セット構成の問題」レポートは、Oracle Database Vaultルール・セットの構成の問題を示します。
このレポートは、ルールが定義されていないかルール・セットに対して有効になっていない場合に追跡します。
27.4.3 「レルム認可構成の問題」レポート
「レルム認可構成の問題」レポートは、Oracle Database Vaultレルム構成の問題を示します。
これらの問題は次のとおりです。
-
レルム認可のルール・セットが無効である。
-
レルム認可に対して権限受領者が存在しない。
-
レルム・セキュア・オブジェクトに対して所有者が存在しない。この状況は、ユーザー・アカウントが削除された場合に発生する可能性があります。
しかし、ほとんどの場合、このような問題はレルムの構成時および検証時に発見されます。
27.4.4 「ファクタ構成の問題」レポート
「ファクタ構成の問題」レポートは、Oracle Database Vaultファクタ構成の問題を示します。
これらの問題は次のとおりです。
-
ファクタ割当てのルール・セットが無効である。
-
ファクタ割当てのルール・セットが不完全である。
-
ファクタの監査オプションが無効である。
-
ファクタ取得メソッドまたは定数が存在しない。
-
サブファクタ(子ファクタ)がファクタ・アイデンティティにリンクされていない。
-
サブファクタ(子ファクタ)がラベル・ファクタにリンクされていない。
-
ファクタに対してOracle Label Securityポリシーが存在しない。
27.4.5 「アイデンティティのないファクタ」レポート
「アイデンティティのないファクタ」レポートは、アイデンティティが定義されていないOracle Database Vaultファクタを示します。
Background_Job_Id
などの一部のファクタの場合、これは本当の問題ではない可能性がありますが、アクセス制御の構成が完全かどうか、すべてのファクタの構成を考慮に入れているかどうかの判断にこのレポートを役立てることができます。
27.4.6 「アイデンティティ構成の問題」レポート
「アイデンティティ構成の問題」レポートは、Oracle Database Vaultファクタ・アイデンティティ構成の問題を示します。
これらの問題は次のとおりです。
-
ラベル・アイデンティティ(このアイデンティティのOracle Label Securityラベル)が削除されていて、すでに存在しない。
-
アイデンティティに対してマップが存在しない。
27.5 Oracle Database Vaultの監査レポート
統合監査を有効にしている場合、Oracle Database Vault監査レポートは、統合監査ポリシーの結果を取得します。
- 「レルムの監査」レポート
「レルムの監査」レポートは、レルム保護およびレルム認可の操作によって生成される監査レコードを示します。 - 「コマンド・ルールの監査」レポート
「コマンド・ルールの監査」レポートは、コマンド・ルール処理の操作によって生成される監査レコードを示します。 - 「ファクタの監査」レポート
「ファクタの監査」レポートは、評価できなかった、または様々な条件下で監査レコードを作成するように設定されたファクタを示します。 - 「Label Security統合の監査」レポート
「Label Security統合の監査」レポートは、セッション初期化の操作によって生成される監査レコード、およびLabel Securityのセッション・ラベル割当ての操作を示します。 - 「コアDatabase Vault監査証跡」レポート
「コアDatabase Vault監査証跡」レポートは、コア・アクセス・セキュリティ・セッション初期化の操作によって生成される監査レコードを示します。 - 「セキュア・アプリケーション・ロールの監査」レポート
「セキュア・アプリケーション・ロールの監査」レポートは、Oracle Database Vaultセキュア・アプリケーション・ロールを有効にする操作によって生成される監査レコードを示します。
親トピック: Oracle Database Vaultレポート
27.5.1 「レルムの監査」レポート
「レルムの監査」レポートは、レルム保護およびレルム認可の操作によって生成される監査レコードを示します。
レルム認可はルール・セットを使用して管理し、そのルール・セットの処理結果を監査できます。レルム違反は、レルムで保護されているオブジェクトに対してアクションを実行するデータベース・アカウントに、そのアクションを実行する権限がない場合に発生します。レルムに関連付けられているルール・セットを指定しない場合でも、Oracle Database Vaultによって違反が監査されます。レルムを構成する際に、レルム違反のインスタンスを監査するように設定できます。この情報を使用して、セキュリティ違反の試行を調査できます。
親トピック: Oracle Database Vaultの監査レポート
27.5.2 「コマンド・ルールの監査」レポート
「コマンド・ルールの監査」レポートは、コマンド・ルール処理の操作によって生成される監査レコードを示します。
コマンド・ルールを構成する際に、ルール・セットの処理結果を監査するように設定できます。
親トピック: Oracle Database Vaultの監査レポート
27.5.3 「ファクタの監査」レポート
「ファクタの監査」レポートは、評価できなかった、または様々な条件下で監査レコードを作成するように設定されたファクタを示します。
また、このレポートにはファクタ設定の失敗も表示されます。
ファクタ・アイデンティティを解決できない、または割り当てることができない(データが見つからない、行が多すぎるなど)インスタンスを監査できます。ファクタには、実行時にアイデンティティをファクタに割り当てるルール・セットを関連付けることができます。ファクタを構成する際に、ルール・セットの処理結果を監査するように設定できます。
親トピック: Oracle Database Vaultの監査レポート
27.5.4 「Label Security統合の監査」レポート
「Label Security統合の監査」レポートは、セッション初期化の操作によって生成される監査レコード、およびLabel Securityのセッション・ラベル割当ての操作を示します。
Label Securityセッションの初期化に失敗したインスタンス、およびセッションで最大セッション・ラベルを超えるラベルの設定がLabel Securityコンポーネントによって妨げられているインスタンスを監査できます。
親トピック: Oracle Database Vaultの監査レポート
27.5.5 「コアDatabase Vault監査証跡」レポート
「コアDatabase Vault監査証跡」レポートは、コア・アクセス・セキュリティ・セッションの初期化操作によって生成された監査レコードを示します。
アクセス・セキュリティ・セッションの初期化に失敗したインスタンスを監査できます。次のデータが表示されます。
データA-R | データR-U |
---|---|
アカウント |
ルール・セット |
コマンド |
タイムスタンプ |
インスタンス番号 |
ルール・セット |
オブジェクト名 |
ユーザー・ホスト |
戻りコード |
- |
親トピック: Oracle Database Vaultの監査レポート
27.6 Oracle Database Vaultの一般セキュリティ・レポート
一般的なセキュリティ・レポートは、PUBLIC
に関連したオブジェクト権限やデータベース・アカウントまたはロールに付与された権限などの情報を追跡します。
- オブジェクト権限レポート
オブジェクト権限レポートは、PUBLIC
の影響を受ける権限、直接オブジェクト権限およびオブジェクトの依存性を追跡します。 - データベース・アカウントのシステム権限レポート
データベース・アカウントのシステム権限レポートは、直接、間接、階層的およびANY
システム権限などのアクティビティを追跡します。 - 機密オブジェクト・レポート
機密オブジェクト・レポートは、SYS
スキーマ・オブジェクトのEXECUTE
権限の付与や機密オブジェクトへのアクセスなどのアクティビティを追跡します。 - 権限管理 - サマリー・レポート
権限管理サマリー・レポートは、権限受領者、所有者および権限別の権限配布を追跡します。 - 強力なデータベース・アカウントおよびロールのレポート
強力なデータベース・アカウントおよびロールのレポートは、WITH ADMIN
権限などの強力な権限を付与されたユーザーに関する情報を追跡します。 - 初期化パラメータおよびプロファイルのレポート
初期化パラメータおよびプロファイルのレポートは、データベース・パラメータ、リソース・プロファイルおよびシステム制限を追跡します。 - データベース・アカウント・パスワードのレポート
データベース・アカウント・パスワードのレポートは、デフォルト・パスワード、およびデータベース・アカウントのアカウント・ステータスを追跡します。 - セキュリティ監査レポート: コア・データベース監査レポート
コア・データベース監査レポートは、データベース監査証跡レコードを示します。 - その他のセキュリティ脆弱性レポート
その他のセキュリティ脆弱性レポートは、Javaポリシーの付与またはオペレーティング・システムのディレクトリ・オブジェクトなど、アクティビティで発生する可能性のある脆弱性の問題を追跡します。
親トピック: Oracle Database Vaultレポート
27.6.1 オブジェクト権限レポート
オブジェクト権限レポートは、PUBLIC
の影響を受ける権限、直接オブジェクト権限およびオブジェクトの依存性を追跡します。
- 「PUBLICを使用したオブジェクト・アクセス」レポート
「PUBLICを使用したオブジェクト・アクセス」レポートは、アクセス権がPUBLIC
に付与されているすべてのオブジェクトを示します。 - 「PUBLIC以外でのオブジェクト・アクセス」レポート
「PUBLIC以外でのオブジェクト・アクセス」レポートは、「レポート・パラメータ」ページでアカウントによって使用されるオブジェクト・アクセスを説明します。 - 「直接オブジェクト権限」レポート
「直接オブジェクト権限」レポートには、非システム・データベース・アカウントに付与されている直接オブジェクト権限が表示されます。 - 「オブジェクトの依存性」レポート
「オブジェクトの依存性」レポートは、データベース内のプロシージャ、パッケージ、ファンクション、パッケージ本体、およびトリガー間の依存性を説明しています。
27.6.1.1 「PUBLICでのオブジェクト・アクセス」レポート
「PUBLICでのオブジェクト・アクセス」レポートは、PUBLIC
にアクセス権が付与されているすべてのオブジェクトをリストします。
「レポート・パラメータ」ページで指定されたデータベース・アカウントについて、PUBLIC
へのオブジェクト付与によるすべてのオブジェクト・アクセスの詳細を示します。レポート・パラメータ・ページでは、権限、オブジェクト所有者またはオブジェクト名に基づいて結果をフィルタ処理できます。
ノート:
このレポートは、デフォルトを選択すると非常に大きなサイズになることがあります。
親トピック: オブジェクト権限レポート
27.6.1.2 「PUBLIC以外でのオブジェクト・アクセス」レポート
「PUBLIC以外でのオブジェクト・アクセス」レポートは、「レポート・パラメータ」ページでアカウントによって使用されるオブジェクト・アクセスを説明します。
PUBLIC
への付与を除く、アカウントへの付与を直接またはロールを通じてチェックします。
「レポート・パラメータ」ページでは、権限、オブジェクト所有者またはオブジェクト名に基づいて結果をフィルタにかけることができます。
ノート:
このレポートは、デフォルトを選択すると非常に大きなサイズになることがあります。
親トピック: オブジェクト権限レポート
27.6.1.3 「直接オブジェクト権限」レポート
「直接オブジェクト権限」レポートは、非システム・データベース・アカウントに付与された直接オブジェクト権限を示します。
次のデータベース・アカウントは、このレポートの対象外です。
アカウントC-O | アカウントP-W |
---|---|
|
|
|
|
|
|
|
|
|
|
|
|
親トピック: オブジェクト権限レポート
27.6.1.4 「オブジェクトの依存性」レポート
「オブジェクトの依存性」レポートは、データベース内のプロシージャ、パッケージ、ファンクション、パッケージ本体、およびトリガー間の依存性を説明しています。
このレポートには、データベース・リンクなしで作成されたビューへの依存性が含まれます。
このレポートは、最低限の権限の原則を使用するセキュリティ・ポリシーを既存のアプリケーション用に開発するために役立ちます。データベース・オブジェクト(UTL_FILE
パッケージなど)がPUBLIC
に付与された権限または他のなんらかのグローバル・ロールを保持する場合、「オブジェクトの依存性」レポートを使用して、そのオブジェクトに依存するアカウントを割り出し、アカウントでオブジェクトをどのように使用しているかを判断できます。レポートを実行するには、依存性を調べるデータベース・アカウントと、そのアカウントが依存するオブジェクトを、レポート・パラメータ・ページに入力します。
「レポート結果」ページには、依存オブジェクトとオブジェクト・タイプの他に、ソース・オブジェクトの名前とタイプが表示されます。このレポートには、機密オブジェクトが使用されている可能性がある場所が示されます。いくつかのアカウントを調べることで、制限付きロールの開発に役立つパターンを発見できることがあります。広く使用されている機密オブジェクトに対するPUBLIC
権限を、これらの制限付きロールで置換えできます。
親トピック: オブジェクト権限レポート
27.6.2 データベース・アカウントのシステム権限レポート
データベース・アカウントのシステム権限レポートは、直接、間接、階層的およびANY
システム権限などのアクティビティを追跡します。
- 「データベース・アカウントごとの直接システム権限」レポート
「データベース・アカウントごとの直接システム権限」レポートは、「レポート・パラメータ」ページで選択されたデータベース・アカウントに直接付与されているシステム権限を示します。 - 「データベース・アカウントごとの直接および間接システム権限」レポート
「データベース・アカウントごとの直接および間接システム権限」レポートには、「レポート・パラメータ」ページで選択されたデータベース・アカウントのシステム権限が表示されます。 - 「データベース・アカウントごとの階層システム権限」レポート
「データベース・アカウントごとの階層システム権限」レポートは、ロールベースのシステム権限および直接システム権限の階層の内訳を示します。 - 「データベース・アカウントのANYシステム権限」レポート
「データベース・アカウントのANYシステム権限」レポートには、指定されたデータベース・アカウントまたはロールに付与されたすべてのANY
システム権限が表示されます。 - 「権限ごとのシステム権限」レポート
「権限ごとのシステム権限」レポートは、「レポート・パラメータ」ページで選択されたシステム権限を持つデータベース・アカウントおよびロールを示します。
27.6.2.1 「データベース・アカウントごとの直接システム権限」レポート
「データベース・アカウントごとの直接システム権限」レポートは、「レポート・パラメータ」ページで選択されたデータベース・アカウントに直接付与されているシステム権限を示します。
このレポートは、権限にWITH ADMIN
オプションが付与されているかどうかも示します。
親トピック: データベース・アカウントのシステム権限レポート
27.6.2.2 「データベース・アカウントごとの直接および間接システム権限」レポート
「データベース・アカウントごとの直接および間接システム権限」レポートは、「レポート・パラメータ」ページで選択されたデータベース・アカウントに対するシステム権限を示します。
システム権限は、直接またはWITH ADMIN
ステータスのデータベース・ロールを介して付与されていることがあります。
親トピック: データベース・アカウントのシステム権限レポート
27.6.2.3 「データベース・アカウントごとの階層システム権限」レポート
「データベース・アカウントごとの階層システム権限」レポートは、ロールベースのシステム権限および直接システム権限の階層の内訳を示します。
これらの権限は、「レポート・パラメータ」ページで指定されたデータベース・アカウントに対して付与されます。
親トピック: データベース・アカウントのシステム権限レポート
27.6.2.4 「データベース・アカウントのANYシステム権限」レポート
「データベース・アカウントのANYシステム権限」レポートは、指定されたデータベース・アカウントまたはロールに付与されているANY
システム権限を示します。
ANY
システム権限は、とても強力であるため、アカウントおよびロールに慎重に割り当てる必要があります。
親トピック: データベース・アカウントのシステム権限レポート
27.6.2.5 「権限ごとのシステム権限」レポート
「権限ごとのシステム権限」レポートは、「レポート・パラメータ」ページで選択されたシステム権限を持つデータベース・アカウントおよびロールを示します。
権限を制御するもう1つの方法は、権限分析ポリシーの作成による権限使用の分析です。
親トピック: データベース・アカウントのシステム権限レポート
27.6.3 機密オブジェクト・レポート
機密オブジェクト・レポートは、SYS
スキーマ・オブジェクトのEXECUTE
権限の付与や機密オブジェクトへのアクセスなどのアクティビティを追跡します。
- 「強力なSYSパッケージに対するEXECUTE権限」レポート
「強力なSYSパッケージに対するEXECUTE権限」レポートは、強力なSYSパッケージに対するEXECUTE
権限を持つデータベース・アカウントおよびロールを示します。 - 「機密オブジェクトへのアクセス」レポート
「機密オブジェクトへのアクセス」レポートには、機密情報を含むシステム表またはビューのオブジェクト権限があるデータベース・アカウントおよびロールが表示されます。 - 「SYS PL/SQLプロシージャに対するPUBLIC EXECUTE権限」レポート
「SYS PL/SQLプロシージャに対するPUBLIC EXECUTE権限」のレポートには、SYS
が所有するパッケージに対してEXECUTE
権限を持っているデータベース・アカウントおよびロールが表示されます。 - 「SYSDBA/SYSOPER権限を持つアカウント」レポート
「SYSDBA/SYSOPER権限を持つアカウント」レポートは、SYS
優先接続権限のあるデータベース・アカウントを示します。
27.6.3.1 「強力なSYSパッケージに対するEXECUTE権限」レポート
「強力なSYSパッケージに対するEXECUTE権限」レポートは、強力なSYSパッケージに対するEXECUTE
権限を持つデータベース・アカウントおよびロールを示します。
たとえば、これらのパッケージ・タイプを使用すると、オペレーティング・システム・リソースにアクセスできます。
次のシステムPL/SQLパッケージが対象となります。
パッケージD-D | パッケージD-U |
---|---|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
- |
親トピック: 機密オブジェクト・レポート
27.6.3.2 「機密オブジェクトへのアクセス」レポート
「機密オブジェクトへのアクセス」レポートは、機密情報を含むシステム表またはビューに対してオブジェクト権限を持つデータベース・アカウントおよびロールを示します。
このレポートには、次のシステム表およびビューが含まれます。
表/ビューA-O | 表/ビューP-S |
---|---|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
親トピック: 機密オブジェクト・レポート
27.6.3.3 「SYS PL/SQLプロシージャに対するPUBLIC EXECUTE権限」レポート
「SYS PL/SQLプロシージャに対するPUBLIC EXECUTE権限」レポートは、SYS
が所有する対象に対してEXECUTE
権限を持つデータベース・アカウントおよびロールを示します。
このレポートは、どの権限をPUBLIC
またはその他のアカウントやロールから取り消すことができるかの判断に使用できます。これにより、最低限の権限の原則を使用するセキュリティ・ポリシーの全体的な実装の一部としての脆弱性が軽減されます。
親トピック: 機密オブジェクト・レポート
27.6.3.4 「SYSDBA/SYSOPER権限を持つアカウント」レポート
「SYSDBA/SYSOPER権限を持つアカウント」レポートは、SYS
権限が付与された接続の権限を持つデータベース・アカウントを示します。
このレポートは、そのアカウントが外部パスワードを使用するかどうかも示します。ただし、このレポートには、SYSDBA
になり得るオペレーティング・システム・ユーザーは含まれないことに注意してください。
親トピック: 機密オブジェクト・レポート
27.6.4 権限管理 - サマリー・レポート
権限管理サマリー・レポートは、権限受領者、所有者および権限別の権限配布を追跡します。
- 「権限受領者ごとの権限の配布」レポート
「権限受領者ごとの権限の配布」レポートは、データベース・アカウントまたはロールに付与された権限の総数を示します。 - 「権限受領者、所有者ごとの権限の配布」レポート
「権限受領者、所有者ごとの権限の配布」レポートには、権限受領者およびオブジェクトの所有者ごとに権限数が表示されます。 - 「権限受領者、所有者、権限ごとの権限の配布」レポート
「権限受領者、所有者、権限ごとの権限の配布」レポートは、権限、権限受領者、オブジェクトの所有者ごとの権限数を示します。
関連項目:
これらのレポートに表示された件数の基になっている値を調べるには、「DBA_DV_PUB_PRIVSビュー」を参照してください
27.6.4.1 「権限受領者ごとの権限の配布」レポート
「権限受領者ごとの権限の配布」レポートは、データベース・アカウントまたはロールに付与された権限の総数を示します。
このレポートを使用すると、強力な権限を持つ可能性のあるアカウントおよびロールを認識できます。
親トピック: 権限管理 - サマリー・レポート
27.6.4.2 「権限受領者、所有者ごとの権限の配布」レポート
「権限受領者、所有者ごとの権限の配布」レポートは、オブジェクトの権限受領者および所有者に基づいて権限の総数を示します。
このレポートを使用すると、強力な権限を持つ可能性のあるアカウントまたはロールを認識できます。このレポートは、潜在的な侵入者または内部関係者によって、攻撃または侵害するためのアカウントとして強力な権限を持つアカウントが狙われていると疑われる場合に使用できます。たとえば、侵入者がパスワードを推測することでアカウントを侵害できる場合、侵入者はすでに保持している権限よりも多くの権限を入手できます。
親トピック: 権限管理 - サマリー・レポート
27.6.4.3 「権限受領者、所有者、権限ごとの権限の配布」レポート
「権限受領者、所有者、権限ごとの権限の配布」レポートは、権限、権限受領者およびオブジェクト所有者に基づいて権限の総数を示します。
このレポートを使用すると、強力な権限を持つ可能性のあるアカウントまたはロールを認識できます。
親トピック: 権限管理 - サマリー・レポート
27.6.5 強力なデータベース・アカウントおよびロールのレポート
強力なデータベース・アカウントおよびロールのレポートは、WITH ADMIN
権限などの強力な権限を付与されたユーザーに関する情報を追跡します。
- 「WITH ADMIN権限の付与」レポート
「WITH ADMIN権限の付与」レポートは、WITH ADMIN
句によって権限を付与されているデータベース・アカウントおよびロールをすべて示します。 - 「DBAロールを持つアカウント」レポート
「DBAロールを持つアカウント」レポートは、DBA
ロールが付与されているデータベース・アカウントをすべて示します。 - 「セキュリティ・ポリシー除外」レポート
「セキュリティ・ポリシー除外」レポートは、EXEMPT ACCESS POLICY
システム権限が付与されている(Oracle Database Vault以外の)データベース・アカウントおよびロールを示します。 - BECOME USERレポート
BECOME USERレポートは、BECOME USER
システム権限を持つデータベース・アカウント・ロールを示します。 - 「ALTER SYSTEM」または「ALTER SESSION」レポート
「ALTER SYSTEM」または「ALTER SESSION」レポートには、ALTER SYSTEM
またはALTER SESSION
権限のあるデータベース・アカウントおよびロールが表示されます。 - 「パスワード履歴へのアクセス」レポート
「パスワード履歴へのアクセス」レポートは、各アカウントで前に使用されていたハッシュ・パスワードが格納されているUSER_HISTORY$
表へのアクセス権を持つデータベース・アカウントを示します。 - WITH GRANT権限の付与
「WITH GRANT権限の付与」レポートは、WITH GRANT
句を含む権限を付与されているデータベース・アカウントを示します。 - 「指定されたロールを持つロールとアカウント」レポート
このレポートは、ロールが付与されているデータベース・アカウントおよびロールを示します。 - 「カタログ・ロールを持つデータベース・アカウント」レポート
「カタログ・ロールを持つデータベース・アカウント」レポートは、カタログ関連のロールが付与されているすべてのデータベース・アカウントおよびロールを示します。 - 「AUDIT権限」レポート
「AUDIT権限」レポートは、AUDIT ANY
またはAUDIT SYSTEM
権限を持つデータベース・アカウントおよびロールをすべて示します。 - 「OSセキュリティ脆弱性に関する権限」レポート
「OSセキュリティ脆弱性に関する権限」レポートは、機密情報をオペレーティング・システムにエクスポートするための権限を持つデータベース・アカウントおよびロールを示します。
27.6.5.1 「WITH ADMIN権限の付与」レポート
「WITH ADMIN権限の付与」レポートは、WITH ADMIN句によって権限を付与されているデータベース・アカウントおよび
ロールをすべて示します。
この権限は、別のアカウントに必要以上のシステム権限を付与するために悪用される可能性があります。
親トピック: 強力なデータベース・アカウントおよびロールのレポート
27.6.5.2 「DBAロールを持つアカウント」レポート
「DBAロールを持つアカウント」レポートは、DBAロールが付与されているデータベース・アカウントをすべて示します。
DBA
ロールは、不正に利用される可能性のある特権ロールです。時間を節約し、アカウントに本当に必要な最小権限を判断しないで済むように、このロールがデータベース・アカウントに付与されることはよくあります。このレポートは、最低限の権限の原則を使用するポリシーを、既存のデータベースに適用する際に役立ちます。
関連項目:
権限ロールを持つユーザーの決定に関するガイドラインは、「Oracle Database Vaultセキュリティ・ガイドライン」を参照してください親トピック: 強力なデータベース・アカウントおよびロールのレポート
27.6.5.3 「セキュリティ・ポリシー除外」レポート
「セキュリティ・ポリシー除外」レポートは、EXEMPT ACCESS POLICY
システム権限を持つ(Oracle Database Vault以外の)データベース・アカウントおよびロールを示します。
この権限を持つアカウントは、すべてのVirtual Private Database(VPD)のポリシー・フィルタと、Oracle Virtual Private Databaseを間接的に使用するOracle Label Securityポリシーを無視できます。この権限は、Oracle Virtual Private DatabaseまたはOracle Label Securityによって保護される表の機密情報にアクセスするターゲットを示すため、どうしても必要な場合にかぎり付与すべき強力なシステム権限です。「Oracle Database Vaultの監査」で説明するように監査ポリシーを使用すると、この権限の使用を監査できます。
親トピック: 強力なデータベース・アカウントおよびロールのレポート
27.6.5.4 「BECOME USER」レポート
BECOME USERレポートは、BECOME USER
システム権限を持つデータベース・アカウントおよびロールを示します。
BECOME USER
権限は、非常に強力なシステム権限で、Oracle Data Pumpで使用するIMP_FULL_DATABASE
ロールおよびEXP_FULL_DATABASE
ロールを有効にします。この権限を持つアカウントは、機密情報を入手したり、アプリケーションを侵害するために悪用されたりする可能性があります。
親トピック: 強力なデータベース・アカウントおよびロールのレポート
27.6.5.5 ALTER SYSTEMまたはALTER SESSIONレポート
「ALTER SYSTEM」レポートまたは「ALTER SESSION」レポートは、ALTER SYSTEM
またはALTER SESSION
権限を持つデータベース・アカウントおよびロールをすべて示します。
これらの権限は、本当に必要なアカウントおよびロール(SYS
アカウントやDV_ADMIN
ロールなど)に限定することをお薦めします。ALTER SYSTEM
文を使用すると、Oracle Database Vaultのセキュリティ強化サービスの一部として推奨値に設定されているセキュリティ関連のデータベース初期化パラメータを変更できます。ALTER SYSTEM
文とALTER SESSION
文の両方を使用すると、機密構成情報が含まれる可能性があるデータベース・トレース・ファイルをオペレーティング・システムにダンプできます。
関連項目:
ALTER SYSTEM
およびALTER SESSION
権限の使用のガイドラインは、「ALTER SYSTEMおよびALTER SESSION権限のセキュリティの考慮事項について」を参照してください
親トピック: 強力なデータベース・アカウントおよびロールのレポート
27.6.5.6 「パスワード履歴へのアクセス」レポート
「パスワード履歴へのアクセス」レポートは、各アカウントで前に使用されていたハッシュ・パスワードが格納されているUSER_HISTORY$
表へのアクセス権を持つデータベース・アカウントを示します。
この表には、各アカウントで以前使用されたハッシュ・パスワードが格納されています。
この表へのアクセスにより、データベースをハッキングする何者かがアカウントの既存のパスワードを簡単に推測できるようになります。
親トピック: 強力なデータベース・アカウントおよびロールのレポート
27.6.5.7 WITH GRANT権限レポート
WITH GRANT権限レポートは、WITH GRANT
句によって権限を付与されているデータベース・アカウントを示します。
WITH GRANT
は、オブジェクトレベルの権限に使用されることに注意してください。WITH GRANT
オプションを使用して権限が付与されているアカウントは、別のアカウントにオブジェクト権限を付与するために悪用される可能性があります。
親トピック: 強力なデータベース・アカウントおよびロールのレポート
27.6.5.8 「指定されたロールを持つロールとアカウント」レポート
このレポートは、ロールが付与されているデータベース・アカウントおよびロールを示します。
このレポートは、依存性の分析のために用意されています。
親トピック: 強力なデータベース・アカウントおよびロールのレポート
27.6.5.9 「カタログ・ロールを持つデータベース・アカウント」レポート
「カタログ・ロールを持つデータベース・アカウント」レポートは、カタログ関連のロールが付与されたデータベース・アカウントおよびロールをすべて示します。
これらのロールは次のとおりです。
-
DELETE_CATALOG_ROLE
-
EXECUTE_CATALOG_ROLE
-
RECOVERY_CATALOG_OWNER
-
SELECT_CATALOG_ROLE
これらのカタログベースのロールは、非常に多くの強力な権限を保持します。これらを使用するDBA
ロールと同様に、慎重に付与する必要があります。
親トピック: 強力なデータベース・アカウントおよびロールのレポート
27.6.5.10 「AUDIT権限」レポート
「AUDIT権限」レポートは、AUDIT ANYまたはAUDIT SYSTEM
権限を持つデータベース・アカウントおよびロールをすべて示します。
この権限を使用すると監査を無効にできるため、システムを侵害した侵入者の監査証跡レコードを削除するために使用される可能性があります。この権限を持つアカウントは、侵入者のターゲットになる恐れがあります。
親トピック: 強力なデータベース・アカウントおよびロールのレポート
27.6.5.11 「OSセキュリティ脆弱性に関する権限」レポート
「OSセキュリティ脆弱性に関する権限」レポートは、機密情報をオペレーティング・システムにエクスポートするための権限を持つデータベース・アカウントおよびロールを示します。
このレポートは、オペレーティング・システムに関連する重要な脆弱性を示す可能性があります。
親トピック: 強力なデータベース・アカウントおよびロールのレポート
27.6.6 初期化パラメータおよびプロファイルのレポート
初期化パラメータおよびプロファイルのレポートは、データベース・パラメータ、リソース・プロファイルおよびシステム制限を追跡します。
- 「セキュリティ関連のデータベース・パラメータ」レポート
「セキュリティ関連のデータベース・パラメータ」レポートは、データベース・パラメータの設定が正しくない場合に、セキュリティの脆弱性の原因となる可能性があるこれらのパラメータを示します。 - 「リソース・プロファイル」レポート
「リソース・プロファイル」レポートは、リソース使用量を無制限に許可している可能性があるリソース・プロファイルを示します。 - 「システム・リソース制限」レポート
「システム・リソース制限」レポートを使用すると、データベースごとに現在のシステム・リソースの使用率を認識できます。
27.6.6.1 「セキュリティ関連のデータベース・パラメータ」レポート
「セキュリティ関連のデータベース・パラメータ」レポートは、データベース・パラメータの設定が正しくない場合に、セキュリティの脆弱性の原因となる可能性があるこれらのパラメータを示します。
このレポートを使用すると、推奨される設定とデータベース・パラメータ値の現在の状態を比較できます。
親トピック: 初期化パラメータおよびプロファイルのレポート
27.6.6.2 「リソース・プロファイル」レポート
「リソース・プロファイル」レポートは、リソース使用量を無制限に許可している可能性があるリソース・プロファイルを示します。
リソース・プロファイルの例は、CPU_PER_SESSION
およびIDLE_TIME
です。リソースの潜在的使用の抑制が必要なプロファイルは、見直す必要があります。
親トピック: 初期化パラメータおよびプロファイルのレポート
27.6.6.3 「システム・リソース制限」レポート
「システム・リソース制限」レポートを使用すると、データベースごとに現在のシステム・リソースの使用率を認識できます。
このレポートは、既存のアプリケーションの負荷の下で、これらのリソースのいずれかが限界に達しつつあるかどうかを判断するために役立ちます。短期間で大幅な増加を示すリソースは、DoS攻撃を示している可能性があります。リソースの上限を下げて、この先の状況を回避することが必要な場合があります。
親トピック: 初期化パラメータおよびプロファイルのレポート
27.6.7 データベース・アカウント・パスワードのレポート
データベース・アカウント・パスワードのレポートは、デフォルト・パスワード、およびデータベース・アカウントのアカウント・ステータスを追跡します。
- 「データベース・アカウントのデフォルト・パスワード」レポート
「データベース・アカウントのデフォルト・パスワード」レポートは、デフォルト・パスワードを持つデータベース・アカウントを示します。 - 「データベース・アカウントのステータス」レポート
「データベース・アカウントのステータス」レポートは、既存のデータベース・アカウントを示します。
27.6.7.1 「データベース・アカウントのデフォルト・パスワード」レポート
「データベース・アカウントのデフォルト・パスワード」レポートは、デフォルト・パスワードを持つデータベース・アカウントを示します。
デフォルト・パスワードは、Oracle Databaseのインストール時に指定されます。
データベースを保護するために、このレポートに含まれるアカウントのパスワードをデフォルト以外の複雑なパスワードに変更する必要があります。
親トピック: データベース・アカウント・パスワードのレポート
27.6.7.2 「データベース・アカウントのステータス」レポート
「データベース・アカウントのステータス」レポートは、既存のデータベース・アカウントを示します。
このレポートにはアカウントごとにアカウント・ステータスが示されるため、ロックする必要があるアカウントを特定するために役立ちます。ロック日および有効日は、パスワード・エイジングの結果としてアカウントがロックされたかどうかの判断に役立つ情報となります。特殊なパスワードおよびリソース・セキュア・プロファイルが使用されている場合は、それらを使用していないアカウントを特定できます。体系立てて定義されたデフォルト表領域を使用していないアカウントも特定でき、アカウントの一時表領域を割り出すことができます。また、このレポートでは、外部パスワードを使用するアカウントも識別されます。
親トピック: データベース・アカウント・パスワードのレポート
27.6.8 セキュリティ監査レポート: コア・データベース監査レポート
コア・データベース監査レポートは、データベース監査証跡レコードを示します。
このレポートは非統合監査環境に適用されます。
コア・データベース監査レポートは、「Oracle Database Vaultの監査」で定義されている監査ポリシーに対する監査レコード、およびユーザーが定義した監査文に対して生成された監査レコードを返します。
このレポートには、データベース初期化パラメータAUDIT_TRAIL
がDB
に設定されている場合(統合監査は無効になっている)に取得される監査レコードのみが表示されます。
27.6.9 その他のセキュリティ脆弱性レポート
その他のセキュリティ脆弱性レポートは、Javaポリシーの付与またはオペレーティング・システムのディレクトリ・オブジェクトなど、アクティビティで発生する可能性のある脆弱性の問題を追跡します。
- 「Javaポリシーの付与」レポート
「Javaポリシーの付与」レポートは、データベースに格納されるJavaポリシーの権限を示します。 - 「OSディレクトリ・オブジェクト」レポート
「OSディレクトリ・オブジェクト」レポートは、データベース内のディレクトリ・オブジェクト、その権限、およびPUBLIC
で使用できるか否かを示します。 - 「動的SQLに依存するオブジェクト」レポート
「動的SQLに依存するオブジェクト」レポートは、動的SQLを使用するオブジェクトをリストします。 - 「アンラップされたパッケージ本体」レポート
「アンラップされたパッケージ本体」レポートは、ラップされていないPL/SQLパッケージ・プロシージャを示します。 - 「ユーザー名またはパスワード表」レポート
「ユーザー名またはパスワード表」レポートは、ユーザー名とパスワード文字列を格納するデータベース内のアプリケーション表を識別します。 - 「表領域割当て制限」レポート
「表領域割当て制限」レポートは、1つ以上の表領域に割当て制限があるすべてのデータベース・アカウントを示します。 - 「所有者でないオブジェクトのトリガー」レポート
「所有者でないオブジェクトのトリガー」レポートは、所有者ではないトリガーを示します。
27.6.9.1 「Javaポリシーの付与」レポート
「Javaポリシーの付与」レポートは、データベースに格納されるJavaポリシーの権限を示します。
このレポートは、最低限の権限の原則に対する違反の検出に役立ちます。必ずしも権限を必要としないPUBLIC
およびその他のアカウントやロールに対するGRANT
、READ
またはWRITE
権限を見つけます。データベースでJavaが必要ない場合は、PUBLIC
のJavaロード権限を無効にすることをお薦めします。
ノート:
「Javaポリシーの付与」レポートを実行するには、Oracle JVM(Oracle Database Vaultに用意されたJava仮想マシン・オプション)をインストールする必要があります。
親トピック: その他のセキュリティ脆弱性レポート
27.6.9.2 「OSディレクトリ・オブジェクト」レポート
「OSディレクトリ・オブジェクト」レポートは、データベース内のディレクトリ・オブジェクト、その権限、およびPUBLIC
で使用できるか否かを示します。
ディレクトリ・オブジェクトは保護されたオペレーティング・システム(OS)に対してのみ存在し、データベース内でのディレクトリ・オブジェクトへのアクセスは保護する必要があります。リモート・データベース・セッションでデバイス上のすべてのファイルが参照できるようになるため、オペレーティング・システムのルート・ディレクトリ(/
など)を任意のストレージ・デバイス上で使用しないでください。
親トピック: その他のセキュリティ脆弱性レポート
27.6.9.3 「動的SQLに依存するオブジェクト」レポート
「動的SQLに依存するオブジェクト」レポートは、動的SQLを使用するオブジェクトを示します。
パラメータ・チェックまたはバインド変数が使用されない場合、潜在的な侵入者がこのチャネルを使用する可能性が大きくなります。このレポートにより、動的SQLを使用しているユーザーが明らかになり、問題を探す範囲を狭めることができます。このようなオブジェクトは、SQLインジェクション攻撃のターゲットとなる可能性があり、この種の攻撃を回避するために保護する必要があります。動的SQLを使用するオブジェクトを特定したら、次のようにします。
-
そのオブジェクトに対してクライアント・アプリケーション(Webアプリケーションなど)が保持する権限を確認します。
-
そのオブジェクト用に
PUBLIC
またはより広範なアカウント・ベースに付与されたアクセス権を確認します。 -
パラメータを確認します。
-
可能な場合は、バインド変数を使用します。
親トピック: その他のセキュリティ脆弱性レポート
27.6.9.4 アンラップされたPL/SQLパッケージ本体レポート
「アンラップされたパッケージ本体」レポートは、ラップされていないPL/SQLパッケージ・プロシージャを示します。
データ・ディクショナリまたはデータ・ディクショナリ・ビューで読み取ることができない程度にコードを不明瞭化するラップ・ユーティリティが用意されています。このユーティリティを使用すると、データを操作するソース・コードの読取りを不可能にすることで、侵入者がデータ保護を回避する能力を削ぐことができます。
親トピック: その他のセキュリティ脆弱性レポート
27.6.9.5 「ユーザーまたはパスワード表」レポート
「ユーザー名またはパスワード表」レポートは、ユーザー名とパスワード文字列を格納するデータベース内のアプリケーション表を識別します。
これらの表を調査して、情報が暗号化されているかどうかを判断する必要があります。(%USER%NAME%
や%PASSWORD%
などの列名を検索してください。)暗号化されていない場合は、これらの表を使用するコードおよびアプリケーションを変更して、データベース・セッションから見えないように保護してください。
親トピック: その他のセキュリティ脆弱性レポート
27.6.9.6 「表領域割当て制限」レポート
「表領域割当て制限」レポートは、1つ以上の表領域に割当て制限があるすべてのデータベース・アカウントを示します。
これらの表領域は、DoS攻撃の潜在的なターゲットになり得ます。
親トピック: その他のセキュリティ脆弱性レポート
27.6.9.7 「所有者でないオブジェクトのトリガー」レポート
「所有者でないオブジェクトのトリガー」レポートは、所有者ではないトリガーを示します。
これらは、トリガーが動作するデータベース・オブジェクトを所有するアカウントとは別のデータベース・アカウントが所有するトリガーです。
トリガーが信頼できるデータベース・アプリケーションに属していない場合、Oracle Label SecurityやVirtual Private Database(VPD)によって保護されている表などから機密データが盗まれ、保護されていない表に挿入されて、後で表示やエクスポートが行われる可能性があります。
親トピック: その他のセキュリティ脆弱性レポート