1 Oracle Databaseセキュリティの概要

Oracle Databaseには、デフォルトのセキュリティ機能が豊富に用意されています。これらを使用して、ユーザー・アカウント、認証、権限、アプリケーション・セキュリティ、暗号化、ネットワーク・トラフィックおよび監査を管理できます。

• Oracle Databaseセキュリティについて
  Oracle Databaseのセキュリティ機能を使用して、リスクを軽減し、盗難、破壊、悪用からデータを保護します。
• その他のOracle Databaseセキュリティ製品
  デフォルトのデータベース・インストールで利用可能なセキュリティ・リソースに加え、Oracle Databaseには、他のいくつかのデータベース・セキュリティ製品が用意されています。

1.1 Oracle Databaseセキュリティについて

Oracle Databaseのセキュリティ機能を使用して、リスクを軽減し、盗難、破壊、悪用からデータを保護します。

セキュリティの取組みに重点を置く一般的な分野には、次のものがあります:

• ユーザー・アカウント。作成したユーザー・アカウントは様々な方法で保護できます。サイトのパスワード・ポリシーを強化するために、パスワード・プロファイルを作成することもできます。Oracle Databaseユーザーのセキュリティの管理では、ユーザー・アカウントの管理方法について説明します。

• 認証方式。Oracle Databaseには、ユーザーおよびデータベース管理者用の認証を構成する方法がいくつかあります。たとえば、ユーザーは、データベース・レベル、オペレーティング・システムおよびネットワークで認証できます。認証の構成では、Oracle Databaseにおける認証の機能について説明します。Microsoft Active Directoryによる集中管理ユーザーの構成も参照してください。

• 権限とロール。権限とロールを使用すると、データに対するユーザー・アクセスを制限できます。次の章では、権限およびロールを管理する方法について説明します。

  • 権限とロール認可の構成

  • 権限分析の実行による権限使用の特定

  • 定義者権限および実行者権限のセキュリティの管理

  • PL/SQLパッケージおよびタイプでのファイングレイン・アクセスの管理

  • Enterprise Managerによるマルチテナント環境のセキュリティの管理

• アプリケーション・セキュリティ。データベース・アプリケーションを作成する最初のステップは、データベース・アプリケーションが適切に保護されるようにすることです。アプリケーション開発者のセキュリティの管理では、アプリケーション・セキュリティをアプリケーション・セキュリティ・ポリシーに組み込む方法について説明します。

• アプリケーション・コンテキストを使用したユーザー・セッション情報。アプリケーション・コンテキストは、セッション情報を保持する名前と値のペアです。この情報に基づいて、ユーザーの名前や端末などのユーザーに関するセッション情報を取得し、そのユーザーのデータベース・アクセスおよびアプリケーション・アクセスを制限できます。「アプリケーション・コンテキストを使用したユーザー情報の取得」では、アプリケーション・コンテキストの使用方法について説明します。

• 仮想プライベート・データベースを使用した行および列レベルでのデータベース・アクセス。仮想プライベート・データベース・ポリシーは、ユーザーが発行したSQL文にWHERE述語を動的に埋め込みます。Oracle Virtual Private Databaseを使用したデータ・アクセスの制御では、仮想プライベート・データベース・ポリシーの作成方法と管理方法について説明します。

• 異なるカテゴリのデータの分類および保護。機密データ(クレジット・カードや社会保障番号など)を保持するデータベースのすべての表の列を確認し、このデータを分類して、指定されたクラスのこのデータ全体を保護するポリシーを作成できます。透過的機密データ保護の使用では、透過的機密データ保護ポリシーの作成方法について説明します。

• ネットワーク・データの暗号化。手動によるデータ暗号化では、ネットワーク・データへの不正アクセスを防止するために、DBMS_CRYPTO PL/SQLパッケージを使用して、ネットワーク・データを暗号化する方法について説明します。Oracle Databaseのネイティブ・ネットワーク・データ暗号化とデータ整合性の構成で説明するように、サーバーとクライアントの両方でOracle Net Servicesのネイティブなデータの暗号化と整合性を構成できます。

• シンJDBCクライアント・ネットワーク構成。シンJava Database Connectivity (JDBC)クライアントを構成して、Oracleデータベースに安全に接続できます。シンJDBCクライアント・ネットワークの構成では、詳細情報について示します。

• 厳密認証。データベースを構成して、デジタル証明書を使用するSSLを含む様々なサード・パーティ認証サービスをサポートするOracle認証アダプタを使用した厳密認証を使用できます。Oracle Databaseには、次の厳密認証サポートが用意されています。

  • 集中化された認証とシングル・サインオン。

  • Kerberos

  • Remote Authentication Dial-in User Service(RADIUS)

  • Transport Layer Security (TLS) (旧称: Secure Sockets Layer)

  次の章では、厳密認証を扱います。

  • 厳密認証の概要

  • 厳密認証の管理ツール

  • Kerberos認証の構成

  • Transport Layer Security認証の構成

  • RADIUS認証の構成

  • 厳密認証の使用のカスタマイズ

• データベース・アクティビティの監査。データベース・アクティビティは、すべてのSQL文、SQL権限、スキーマ・オブジェクト、ネットワーク・アクティビティの監査など、一般的な条件で監査できます。または、社内ネットワーク外部のIPアドレスが使用されているような場合は、きめ細かい方法で監査できます。この章では、データベース監査証跡の削除方法についても説明します。次の章では、データベース監査の構成および管理方法について説明します。

  • 監査の概要

  • 監査ポリシーの構成

  • 監査証跡の管理

さらに、Oracle Databaseの安全性の維持では、Oracle Databaseインストールを保護する際に従う必要のあるガイドラインを示します。

1.2 その他のOracle Databaseセキュリティ製品

デフォルトのデータベース・インストールで利用可能なセキュリティ・リソースに加え、Oracle Databaseには、他のいくつかのデータベース・セキュリティ製品が用意されています。

これらの製品は次のとおりです。

• Oracle Advanced Securityでは、透過的データ暗号化およびOracle Data Redactionを使用して機密データを保護できます。

• Oracle Label Securityは、分類ラベルをデータに適用して、行レベルのデータのユーザー・アクセスをフィルタ処理できます。

• Oracle Database Vaultには、権限を持つユーザーからのデータ保護など、機密データに対するファイングレイン・アクセス・コントロールが用意されています。たとえば、給与などの従業員情報へのアクセスをデータベース管理者に制限できます。

• Oracle Data Safeでは、Oracleデータベース内のデータの機密性とリスクを分析し、その結果に基づいて、機密データをマスクするポリシーを作成し、セキュリティ制御を作成およびモニターし、ユーザー・セキュリティを評価し、ユーザー・アクティビティをモニターできます。

• Oracle Enterprise User Securityを使用すると、ユーザー・セキュリティをエンタープライズ・レベルで管理できます。

• Oracle Enterprise Manager Data Masking and Subsetting Pack では、元の機密データを架空のデータに不可逆的に置き換え、本番データをIT開発者またはオフショア・ビジネス・パートナと安全に共有できます。

• Oracle Audit Vault and Database Firewallでは、Oracle Databaseの監査証跡表、データベース・オペレーティング・システム監査ファイル、データベースのREDOログなどのソースからデータベース監査データを収集します。Oracle Audit Vault and Database Firewallを使用すると、不審なアクティビティに対するアラートを作成したり、権限を持つユーザーの変更、スキーマの変更およびデータ・レベルのアクセスに関する履歴のレポートを作成できます。

• Oracle Key Vaultを使用すると、暗号化キー、Oracleウォレット、Javaキーストアおよび資格証明ファイルの一元管理によってセキュリティおよび暗号化のデプロイメントを促進できます。これは、Oracleウォレット、JavaキーストアおよびOracle Advanced Security透過的データ暗号化(TDE)マスター・キー用に最適化されています。Oracle Key Vaultでは、OASIS KMIP標準がサポートされています。このフルスタックの、セキュリティが強化されたソフトウェア・アプライアンスは、セキュリティ、可用性およびスケーラビリティのためにOracle LinuxとOracle Databaseのテクノロジを使用しており、互換性のあるハードウェアのうちご希望のものにデプロイできます。

これらの製品に加えて、新製品およびセキュリティ・パッチやアラートに関する重要な情報など、Oracle Databaseセキュリティに関する最新情報を入手するには、Oracle Technology Networkの「Security Technology Center」を参照してください。次の場所でアクセスできます。

http://www.oracle.com/technetwork/topics/security/whatsnew/index.html