このリリースでの『Oracle Database Advanced Securityガイド』の変更点

ここでは、次の内容について説明します。

• Oracle Database Advanced Security 19cにおける変更点
  
• Oracle Advanced Database Security 19cの更新
  

Oracle Database Advanced Security 19cにおける変更点

Oracle Database 19cの『Oracle Database Advanced Securityガイド』の変更点は次のとおりです。

• Oracle管理の表領域の暗号化におけるキー管理サポートの向上
  このリリースでは、Oracle管理の表領域(SYSTEM、SYSAUX、TEMPおよびUNDO表領域)が暗号化されている場合でも、TDEキーストアを閉じることができるようになりました。
• Oracle Managed Files以外のモードでの自動名前変更の透過的オンライン変換のサポート
  このリリース以降、オンライン表領域の暗号化では、ALTER TABLESPACE ENCRYPT SQL文でFILE_NAME_CONVERT句を指定する必要がなくなりました。ファイル名には元の名前が維持されます。
• オフライン表領域の暗号化のためのより多くのアルゴリズムのサポート
  以前のリリースでは、AES128暗号化アルゴリズムのみがオフライン表領域の暗号化でサポートされていました。このリリースでは、AES128に加えて、AES192およびAES256暗号化アルゴリズム、およびオフライン表領域の暗号化用のARIA、GOSTおよび3DES暗号化アルゴリズムのサポートが導入されました。

Oracle管理の表領域の暗号化におけるキー管理サポートの向上

このリリースでは、Oracle管理の表領域(SYSTEM、SYSAUX、TEMPおよびUNDO表領域)が暗号化されている場合でも、TDEキーストアを閉じることができるようになりました。

これらの表領域が暗号化されている場合、それらに対する内部操作はTDEキーストアがCLOSED状態であっても引き続き影響を受けません。

TDEキーストアを閉じても、暗号化されたSYSTEM、SYSAUX、TEMPまたはUNDO表領域の問合せに影響はありません。ユーザー作成の表領域の問合せでは、TDEキーストアを閉じると、ORA-28365 ウォレットがオープンしていませんというエラーが引き続き返されます。

暗号化されたOracle管理の表領域に対してユーザーが開始した復号化などの操作では、TDEキーストアがOPEN状態である必要があります。

Oracle Managed Files以外のモードでの自動名前変更の透過的オンライン変換のサポート

このリリース以降、オンライン表領域の暗号化では、ALTER TABLESPACE ENCRYPT SQL文でFILE_NAME_CONVERT句を指定する必要がなくなりました。ファイル名には元の名前が維持されます。

この拡張機能により、後でファイルを元の名前に戻す必要がなくなり、ファイルが欠落することがなくなります。

オフライン表領域の暗号化のためのより多くのアルゴリズムのサポート

以前のリリースでは、オフライン表領域の暗号化でAES128暗号化アルゴリズムのみがサポートされていました。このリリースでは、AES128に加えて、AES192およびAES256暗号化アルゴリズム、およびオフライン表領域の暗号化用のARIA、GOSTおよび3DES暗号化アルゴリズムのサポートが導入されました。

この機能拡張は、オンライン表領域の暗号化に必要な補助領域の使用量に関して懸念があるシナリオで役に立ちます。

Oracle Advanced Database Security 19cの更新

Oracle Advanced Database Securityリリース19cには、リリース19cの最終更新からの更新が1つあります。

• ハイブリッド障害時リカバリ構成でのOracle Data GuardのREDO復号化
  Oracle Databaseリリース19.16では、クラウド・データベースがTDEで暗号化され、オンプレミス・データベースがそうではないハイブリッド・クラウド障害時リカバリ構成において、Oracle Data Guardを使用してREDO操作を復号化できるようになりました。

ハイブリッド障害時リカバリ構成でのOracle Data GuardのREDO復号化

Oracle Databaseリリース19.16では、クラウド・データベースがTDEで暗号化され、オンプレミス・データベースがそうではないハイブリッド・クラウド障害時リカバリ構成において、Oracle Data Guardを使用してREDO操作を復号化できるようになりました。

ハイブリッド障害時リカバリは、多くの場合、クラウドを迅速に導入する方法の1つとみなされます。オンプレミス・データベースがまだTDEで暗号化されていない場合でも障害時リカバリをすばやく構成できるようにすることで、ハイブリッド障害時リカバリ環境の構成に必要なステップが削減されるとともに、転送プロセス中も確実にREDOデータが暗号化されたままになります。

この機能を有効にするために、Oracle DatabaseにはTABLESPACE_ENCRYPTION初期化パラメータが導入され、これを使用して、オンプレミス環境およびOracle Cloud Infrastructure (OCI)環境についてプライマリ・データベースとスタンバイ・データベースの両方の表領域の自動暗号化を制御できます。たとえば、オンプレミス・データベースは暗号化せずに、OCIデータベースは暗号化することができます。