2 Oracle Database Vaultの有効化後のヒント
Oracle Database Vaultを有効化すると、デフォルトのユーザー認可など、いくつかのOracle Databaseセキュリティ機能が、より強力なセキュリティ制限を提供するよう変更されます。
- 変更される初期化およびパスワード・パラメータ設定
Oracle Database Vault構成では、データベース構成の安全を強化するために複数のデータベース初期化パラメータ設定を変更できます。 - Oracle Database Vaultによるユーザー認可の制限
Oracle Database構成では、2つの追加管理データベース・アカウント名が必要です。 - 職務分離を実施するための新規データベース・ロール
規制、プライバシおよびその他のコンプライアンス要件を満たすために、Oracle Database Vaultの構成では、職務分離という概念が実装されています。 - 既存のユーザーおよびロールから取り消される権限
Oracle Database Vault構成により、職務分離を強化するために、Oracle Databaseで提供されている複数のユーザーおよびロールから権限が取り消されます。 - 既存のユーザーおよびロールに対して阻止される権限
Oracle Database Vaultの構成により、ユーザーSYS
およびSYSTEM
など、これらの権限が付与されているすべてのユーザーおよびロールに対していくつかの権限が阻止されます。 - 非統合監査環境の変更されたAUDIT文の設定
Oracle Database Vaultを構成する際に統合監査を使用しない場合、Database Vaultは、複数のAUDIT
文を構成します。
2.1 変更される初期化およびパスワード・パラメータ設定
Oracle Database Vault構成では、データベース構成の安全を強化するために複数のデータベース初期化パラメータ設定を変更できます。
これらの変更が組織のプロセスやデータベースのメンテナンス手順に影響した場合、問題を解決するには、Oracleサポートにご連絡ください。
表2-1で、Oracle Database Vaultにより変更される初期化パラメータ設定を説明します。初期化パラメータは、init.ora
初期化パラメータ・ファイルに格納されます。UNIXおよびLinuxでは、このファイルは$ORACLE_HOME/dbs
にあります。Windowsでは、このファイルは$ORACLE_HOME/database
にあります。このファイルの詳細は、Oracle Databaseリファレンスを参照してください。
表2-1 変更されるデータベース初期化パラメータ設定
パラメータ | データベースのデフォルト値 | Database Vaultにより設定される新しい値 | 変更の影響 |
---|---|---|---|
|
|
|
ユーザー
|
|
構成されていません |
|
オペレーティング・システムによる、ユーザーへのロールの付与と取消しの完全な管理を無効にします。以前に
|
|
|
|
Oracle Databaseがパスワード・ファイルをチェックするかどうかを指定します。
|
|
|
|
ユーザーに ユーザーに(
|
2.2 Oracle Database Vaultによるユーザー認可の制限
Oracle Database構成では、2つの追加管理データベース・アカウント名が必要です。
また、データベース・ロールが複数作成されます。これらのアカウントは、Oracle Database Vaultにより実現される職務分離の一部です。複数の大企業に影響を与えている共通の監査問題の1つは、データベース管理者による本番インスタンス内での新規データベース・アカウントの不正な作成です。Oracle Database Vaultのインストール時に、Oracle Database Vaultアカウント・マネージャ、またはOracle Database Vaultアカウント・マネージャ・ロールを付与されたユーザー以外はデータベース内にユーザーを作成することができなくなります。
関連トピック
2.3 職務分離を実施するための新規データベース・ロール
規制、プライバシおよびその他のコンプライアンス要件を満たすために、Oracle Database Vaultの構成では、職務分離という概念が実装されています。
Oracle Database Vaultでは、アカウント管理の職責、データ・セキュリティの職責およびデータベース管理の職責がデータベース内で明確に分離されます。つまり、データとシステム構成の両方についてすべての権限を持つユーザーがいないよう、多くの権限を持つユーザー(DBA
など)という概念が複数の新しいデータベース・ロールに分割されています。Oracle Database Vaultでは、特権ユーザー(DBA
とその他の特権ロールおよびシステム権限があるユーザー)が、レルムという指定され保護されたデータベース領域にアクセスできないようになっています。Oracle Database Vault所有者(DV_OWNER
)およびOracle Database Vaultアカウント・マネージャ(DV_ACCTMGR
)と呼ばれる新しいデータベース・ロールも導入されています。これらの新規データベース・ロールにより、データ・セキュリティとアカウント管理が従来のDBA
ロールから分離されます。これらのロールは、組織内の別々のセキュリティの専門家にマップします。
2.4 既存のユーザーおよびロールから取り消される権限
Oracle Database Vault構成により、職務分離を強化するために、Oracle Databaseで提供されている複数のユーザーおよびロールから権限が取り消されます。
表2-2に、Oracle Database Vaultによって、Oracle Databaseで提供されている複数のユーザーおよびロールから取り消される権限の一覧を示します。Oracle Database Vaultを無効にすると、これらの権限は取り消されたままになるので注意してください。アプリケーションがこれらの権限に依存する場合は、アプリケーションの所有者に権限を直接付与します。マルチテナント環境では、これらの権限はCDBルートとそのPDBのユーザーおよびロールからと、アプリケーション・ルートとそのPDBから取り消されます。
表2-2 Oracle Database Vaultで取り消される権限
ユーザーまたはロール | 取り消される権限 |
---|---|
|
|
|
|
|
|
|
|
|
|
脚注1
Oracle Data Pumpを使用してデータをエクスポートおよびインポートするようユーザーに認可を与えるには、「Oracle Database VaultでのOracle Data Pumpの使用」を参照してください。
脚注2
データベース・ジョブをスケジュールするようユーザーに認可を与えるには、「Oracle Database VaultでのOracle Schedulerの使用」を参照してください。
ノート:
SYS
およびSYSTEM
ユーザーは両方とも、デフォルト・パスワードを使用するユーザー・アカウントを示すDBA_USERS_WITH_DEFPWD
データ・ディクショナリ・ビューに対するSELECT
権限を保持します。他のユーザーにこのビューへのアクセス権を付与するには、SELECT
権限を付与します。
2.5 既存のユーザーおよびロールに対して阻止される権限
Oracle Database Vaultの構成により、ユーザーSYS
およびSYSTEM
など、これらの権限が付与されているすべてのユーザーおよびロールに対していくつかの権限が阻止されます。
DV_ACCTMGR
ロールには、職務分離に対する次の権限があります。
-
ALTER PROFILE
-
ALTER USER
-
CREATE PROFILE
-
CREATE USER
-
DROP PROFILE
-
DROP USER
セキュリティの強化および職務分離規定の維持のために、SYS
ユーザーやSYSTEM
ユーザーにはユーザー・アカウントを作成または管理する権限を与えないでください。
任意のロールをユーザーSYS
に付与できますが、SYS
セッションではロールが有効化されていないため、SYS
はこのロールを使用できません。