日本語PDF

3 Oracle Database Vaultの開始

Oracle Database Vaultを使用して開始する前に、これをOracle Databaseで構成および有効化する必要があります。

• Oracle DatabaseでのOracle Database Vaultの構成および有効化について
  インストール・プロセスでデフォルト・データベースを含めるように選択した場合、Oracle DatabaseにはDatabase Vaultが付属していますが、使用するには構成して有効化する必要があります。
• マルチテナント環境におけるOracle DatabaseでのOracle Database Vaultの構成および有効化
  いくつかのシナリオに基づいて、マルチテナント環境でOracle Database Vaultを構成して有効化できます。
• 非マルチテナント環境におけるOracle Database Vaultの登録
  ユーザーを登録した後に、これらのアカウントを保護するプロファイルを作成する必要があります。
• Oracle Real Application Clusters環境でのOracle Database Vaultの構成および有効化
  各Oracle RACノードを含むOracle Real Application Clusters (Oracle RAC)環境に対してOracle Database Vaultを構成できます。
• Database Vaultが構成および有効化されていることの確認
  DBA_DV_STATUS、CDB_DV_STATUS、DBA_OLS_STATUSおよびCDB_OLS_STATUSデータ・ディクショナリ・ビューは、Oracle Databaseが構成され有効化されているかどうかを確認します。
• Oracle Enterprise Cloud ControlからのOracle Database Vaultへのログイン
  Oracle Enterprise Manager Cloud Control (Cloud Control)には、Oracle Database Vaultの管理用のページが用意されています。
• クイック・スタート・チュートリアル: DBAアクセスからのスキーマの保護
  このチュートリアルでは、HRスキーマの周辺でレルムを作成する方法を示します。

3.1 Oracle DatabaseでのOracle Database Vaultの構成および有効化について

インストール・プロセスでデフォルト・データベースを含めるように選択した場合、Oracle DatabaseにはDatabase Vaultが付属していますが、使用するには構成して有効化する必要があります。

Oracle Databaseには、インストール・プロセスでデフォルトのデータベースを含めるように選択した場合、Database Vaultが付属しますが、このDatabase Vaultを使用するには登録する必要があります。カスタム・データベースを作成する場合、DBCAを使用してDatabase Vaultをインストールし、そのデータベースに対して有効にすることができます。登録プロセスでは、Oracle Label Securityがまだ有効ではない場合、有効になります。Oracle Label SecurityはOracle Database Vaultに必要ですが、別にOracle Label Securityの使用を開始してOracle Label Securityポリシーを作成する場合を除き、別個のライセンスは必要ありません。この手順は、CDBルート、アプリケーション・ルートおよび現在のプラガブル・データベース(PDB)に適用され、単一インスタンスとOracle Real Application Clusters (Oracle RAC)の両方のインストールに適用されます。マルチテナント・データベースでは、PDBのいずれかでDatabase Vaultを構成する前に、Database VaultをCDBルートで構成する必要があります。

構成プロセスの一環として、Database Vault管理者アカウントを作成しました。これらは、Database VaultのロールであるDV_OWNERおよびDV_ACCTMGRを保持するアカウントです。最初にこれらのアカウントを使用して、管理権限を持つ名前付きユーザーにロールをプロビジョニングします。SYSではこれらのロールを持つユーザーのパスワードをリセットできないため、バックアップ・アカウントの保持により、名前付きユーザーの資格証明の紛や資格証明の配置の誤りからリカバリできます。

Oracle Databaseは、マルチテナント環境と非マルチテナント環境の両方に登録できます。マルチテナント環境の場合、登録用に選択できるメソッドがいくつかあります。

ノート:

Oracle Database 12cより前のリリースからアップグレードしてあり、その以前のリリースで以前のOracle Database Vaultが有効になっている場合は、アップグレード・プロセスの完了後に、DBMS_MACADM.ENABLE_DVプロシージャを使用することでOracle Database Vaultを有効にする必要があります。

マルチテナント環境では、リリース12cより前のリリースから非Database Vaultの登録済Oracle Databaseを移行する場合、Database Vaultの手動インストールを実行する必要があります。

3.2 マルチテナント環境におけるOracle DatabaseでのOracle Database Vaultの構成および有効化

いくつかのシナリオに基づいて、マルチテナント環境でOracle Database Vaultを構成して有効化できます。

• マルチテナント環境でのDatabase Vaultの構成および有効化について
  関連するPDBで同じアクションを実行する前に、CDBルートでOracle Database Vaultを構成して有効化する必要があります。
• CDBルートでのDatabase Vaultの構成および有効化
  マルチテナント環境では、CDBルートでDatabase Vault対応ロールを使用する共通ユーザーによりOracle Database Vaultを構成して有効化します。
• 個別PDBを管理するためのDatabase Vault共通ユーザーの登録
  マルチテナント環境では、Oracle Database Vaultをまずルートに登録して、後からPDBに登録する必要があります。
• 特定のPDBを管理するためのDatabase Vaultローカル・ユーザーの構成および有効化
  マルチテナント環境では、最初にルートでOracle Database Vaultを構成して有効化し、次にPDBで構成して有効化する必要があります。
• DV_OWNERおよびDV_ACCTMGRユーザーを保護するプロファイルの作成
  プロファイルは、DV_OWNERおよびDV_ACCTMGRロールを付与されたユーザーに追加の保護を提供します。
• Database Vault対応PDBへの接続
  マルチテナント環境では、SQL*Plusから、すでにDatabase Vaultが有効になっているデータベースに接続できます。
• マルチテナント環境でのOracle Database Vaultの手動インストール
  特定の条件のマルチテナント環境に対しては、Oracle Database Vaultを手動でインストールする必要があります。たとえば、Database Vaultのないリリース11g Oracle Databaseをリリース12cにアップグレードしてから、12c Database Vault対応データベースに接続するPDBに変換します。

3.2.1 マルチテナント環境でのDatabase Vaultの構成および有効化について

関連するPDBで同じアクションを実行する前に、CDBルートでOracle Database Vaultを構成して有効化する必要があります。

CDBルートでDV_OWNERロールとDV_ACCTMGRロールを割り当てられた共通ユーザーも、PDBで同じロールを持つことができます。PDBでは、同じ共通ユーザーを使用してDatabase Vaultを構成して有効化することも、別のPDBローカル・ユーザーを使用することもできます。DV_ACCTMGRロールは、CDBルートの共通ユーザーに共通に付与されます。Database Vaultを構成してCDBルートに登録するときに、DV_OWNERをローカルに、または共通にCDBルート共通ユーザーに付与できます。DV_OWNERを共通ユーザーにローカルに付与すると、共通DV_OWNERユーザーは、どのPDBでもこのロールを使用できなくなります。

3.2.2 CDBルートでのDatabase Vaultの構成および有効化

マルチテナント環境では、CDBルートでDatabase Vault対応ロールを使用する共通ユーザーによりOracle Database Vaultを構成して有効化します。

1. マルチテナント環境において、ユーザー作成権限を持ち、CREATE SESSIONおよびSET CONTAINER権限を付与する権限を持つユーザーとして、データベース・インスタンスのルートにログインします。

   たとえば:

   sqlplus c##dba_debra
   Enter password: password
   

2. Database Vault所有者(DV_OWNERロール)およびDatabase Vaultアカウント・マネージャ(DV_ACCTMGRロール)のアカウント用に使用されるユーザー・アカウントを選択(または新規ユーザーを作成)選択します。

   これらのアカウント名の先頭にc##またはC##を付加します。たとえば:

   GRANT CREATE SESSION, SET CONTAINER TO c##sec_admin_owen 
     IDENTIFIED BY password CONTAINER = ALL;
   GRANT CREATE SESSION, SET CONTAINER TO c##dbv_owner_root_backup 
     IDENTIFIED BY password CONTAINER = ALL;
   GRANT CREATE SESSION, SET CONTAINER TO c##accts_admin_ace 
     IDENTIFIED BY password CONTAINER = ALL;
   GRANT CREATE SESSION, SET CONTAINER TO c##dbv_acctmgr_root_backup 
     IDENTIFIED BY password CONTAINER = ALL;

   この指定では、2つのシステム権限を付与し、アカウントが存在しない場合はアカウントを作成し、パスワードを割り当て、すべてのユーザーがCDBおよびすべてのPDBデータベースにアクセスできるようにしています。

   • プライマリ・アカウント(c##sec_admin_owenおよびc##accts_admin_ace)が新規ロールDV_ADMINおよびDV_ACCTMGRにまだ存在しない場合、これらを作成します。
   • passwordを安全なパスワードに置き換えます。
3. SYSDBA管理権限を持つユーザーSYSとしてルートに接続します。

   CONNECT SYS AS SYSDBA
   Enter password: password
   

4. 2つのバックアップDatabase Vaultユーザー・アカウントを構成します。
   たとえば:

   BEGIN
    CONFIGURE_DV (
      dvowner_uname         => 'c##dbv_owner_root_backup',
      dvacctmgr_uname       => 'c##dbv_acctmgr_root_backup',
      force_local_dvowner   => FALSE);
    END;
   /

   この例では、force_local_dvownerをFALSEに設定すると、共通ユーザーは、このCDBルートに関連付けられているPDBのDV_OWNER権限を持つことができます。TRUEに設定すると、共通DV_OWNERユーザーはCDBルートにのみDV_OWNERロール権限を持つように制限されます。DV_OWNERをCDBルート共通ユーザーにローカルに付与すると、そのユーザーはその他のユーザーに共通にDV_OWNERロールを付与できません。
5. utlrp.sqlスクリプトを実行して、ルートで無効化されたオブジェクトを再コンパイルします。

   @?/rdbms/admin/utlrp.sql
   

   スクリプトから指示がある場合はそれに従い、再びスクリプトを実行します。指示がなくスクリプトが異常終了した場合は、再びスクリプトを実行します。

6. 先ほど構成したプライマリDatabase Vault所有者ユーザーとして、ルートに接続します。

   たとえば:

   CONNECT c##dbv_owner_root_backup
   Enter password: password
   

7. 次のいずれかのコマンドを使用して、Oracle Database Vaultを有効にします。

   • Oracle Database Vaultで通常モードを使用できるようにするには、次のようにします。

     EXEC DBMS_MACADM.ENABLE_DV;

   • 関連するすべてのPDBがこのデータベースでDatabase Vaultを有効にする必要がある場合、次のコマンドを使用します。(この手順の完了後、これらのPDBをそれぞれ有効にする必要があります。)Database Vaultを有効にしていないPDBは、データベースの再起動後、Database VaultがPDBで有効になるまで制限モードになります。

     EXEC DBMS_MACADM.ENABLE_DV (strict_mode => 'y');

8. SYSOPER管理権限で接続します。

   CONNECT / AS SYSOPER
   

9. データベースを再起動します。
   単一インスタンス・データベースの場合:

   SHUTDOWN IMMEDIATE
   STARTUP

   Oracle Real Application Clusters (Oracle RAC)環境にいる場合は、Oracle RACのローリング有効化を実行できます。

10. SYSDBA管理権限を使用して接続します。

    CONNECT / AS SYSDBA
    

11. Oracle Database VaultおよびOracle Label Securityがインストールされ、有効になっていることを確認します。

    SELECT * FROM CDB_DV_STATUS;
    SELECT * FROM CDB_OLS_STATUS;

12. バックアップDV_OWNERユーザーとして接続し、前に作成したプライマリDV_OWNERユーザーにDV_OWNERロールを付与します(その際はWITH ADMIN OPTION句を指定します)。

    たとえば:

    CONNECT c##dbv_owner_root_backup
    Enter password: password
    
    GRANT DV_OWNER TO c##sec_admin_owen WITH ADMIN OPTION;
    

13. バックアップDV_ACCTMGRユーザーとして接続し、DV_ACCTMGRロールをバックアップDV_ACCTMGRユーザーに付与します(その際はWITH ADMIN OPTION句を指定します)。

    たとえば:

    CONNECT c##dbv_acctmgr_root_backup
    Enter password: password
    
    GRANT DV_ACCTMGR TO c##accts_admin_ace WITH ADMIN OPTION
    CONTAINER=ALL;

14. 2つのバックアップ・アカウント・パスワードを、将来必要になる場合に備えて、特権アカウント管理(PAM)システムなどの安全な場所に格納します。

3.2.3 個別PDBを管理するためのDatabase Vault共通ユーザーの登録

マルチテナント環境では、Oracle Database Vaultをまずルートに登録して、後からPDBに登録する必要があります。

先にPDBに登録しようとすると、ORA-47503「Database VaultはCDB$ROOTで有効化されていません。」エラーが表示されます。

1. まだ実行していない場合、関連するバックアップ・アカウントとともにDatabase Vaultアカウントとして使用する名前付きの共通ユーザー・アカウントを指定または作成します。
2. CDBルートでOracle Database Vaultを構成して有効化し、共通ユーザーにDV_OWNERロールが共通に付与されていることを確認します。
3. PDBに対してローカルである管理者としてPDBに接続します。
   たとえば:

   CONNECT dba_debra@pdb_name
   Enter password: password
   

   利用可能なPDBを検索するには、DBA_PDBSデータ・ディクショナリ・ビューを問い合せます。現在のPDBを確認するには、show con_nameコマンドを実行します。

4. このPDBのためにユーザーにCREATE SESSION権限およびSET CONTAINER権限を付与します。
   たとえば:

   GRANT CREATE SESSION, SET CONTAINER TO c##sec_admin_owen CONTAINER = CURRENT;
   GRANT CREATE SESSION, SET CONTAINER TO c##accts_admin_ace CONTAINER = CURRENT;
   

5. SYSDBA管理権限を持つユーザーSYSとして接続します

   CONNECT SYS@pdb_name AS SYSDBA
   Enter password: password
   

6. PDBにいる間に、2つのバックアップDatabase Vaultユーザー・アカウントを構成します。

   BEGIN
    CONFIGURE_DV (
      dvowner_uname         => 'c##dbv_owner_root_backup',
      dvacctmgr_uname       => 'c##dbv_acctmgr_root_backup');
    END;
   /
   

   この例では、force_local_dvownerパラメータは不要なため省略されます。PDB内で構成されているすべての共通ユーザーは、PDBの範囲に制限されます。

7. utlrp.sqlスクリプトを実行して、このPDBで無効化されたオブジェクトを再コンパイルします。

   @?/rdbms/admin/utlrp.sql
   

   スクリプトから指示がある場合はそれに従い、再びスクリプトを実行します。指示がなくスクリプトが異常終了した場合は、再びスクリプトを実行します。

8. 先ほど構成したバックアップDatabase Vault所有者ユーザーとして、PDBに接続します。
   たとえば:

   CONNECT c##dbv_owner_root_backup@pdb_name
   Enter password: password
   

9. このPDBでOracle Database Vaultを有効にします。

   EXEC DBMS_MACADM.ENABLE_DV;
   

10. SYSDBA管理権限でCDBに接続します。

    CONNECT / AS SYSDBA
    

11. PDBを閉じてから、再度開きます。
    たとえば:

    ALTER PLUGGABLE DATABASE pdb_name CLOSE IMMEDIATE;
    ALTER PLUGGABLE DATABASE pdb_name OPEN;

12. PDBが構成され、Database Vaultに対して有効になっていることを確認します。

    SELECT * FROM DBA_DV_STATUS;

13. バックアップDV_OWNERユーザーとして接続し、前に作成したプライマリDV_OWNERユーザーに、WITH ADMIN OPTION句を含むDV_OWNERロールを付与します。

    たとえば:

    CONNECT c##dbv_owner_root_backup@pdb_name
    Enter password: password
    
    GRANT DV_OWNER TO c##sec_admin_owen WITH ADMIN OPTION;
    

14. バックアップDV_ACCTMGRユーザーとして接続し、DV_ACCTMGRロールをプライマリDV_ACCTMGRユーザーに付与します(その際はWITH ADMIN OPTION句を指定します)。

    たとえば:

    CONNECT c##dbv_acctmgr_root_backup@pdb_name
    Enter password: password
    
    GRANT DV_ACCTMGR TO c##accts_admin_ace WITH ADMIN OPTION;

15. 2つのバックアップ・アカウント・パスワードを、将来必要になる場合に備えて、特権アカウント管理(PAM)システムなどの安全な場所に格納します。

3.2.4 特定のPDBを管理するためのDatabase Vaultローカル・ユーザーの構成および有効化

マルチテナント環境では、最初にルートでOracle Database Vaultを構成して有効化し、次にPDBで構成して有効化する必要があります。

最初にPDBで構成して有効化しようとすると、ORA-47503「Database VaultはCDB$ROOTで有効化されていません。」エラーが表示されます。

1. マルチテナント環境において、ユーザー作成権限を持ち、CREATE SESSIONおよびSET CONTAINER権限を付与する権限を持つユーザーとして、PDBにログインします。
   たとえば:

   sqlplus sec_admin@pdb_name
   Enter password: password
   

2. 新しいDatabase Vaultロールに対して既存のローカル・ユーザーの名前付きアカウントを使用していない場合は、新しい名前付きローカル・ユーザー・アカウントを作成します。
   どちらの場合も、名前付きユーザーがパスワードを紛失した場合またはパスワードを忘れた場合に備えて、Database Vaultロールを保持するためにバックアップ・アカウントを作成する必要があります。

   GRANT CREATE SESSION, SET CONTAINER TO sec_admin_owen 
     IDENTIFIED BY password;
   GRANT CREATE SESSION, SET CONTAINER TO dbv_owner_backup 
     IDENTIFIED BY password;
   GRANT CREATE SESSION, SET CONTAINER TO accts_admin_ace 
     IDENTIFIED BY password;
   GRANT CREATE SESSION, SET CONTAINER TO dbv_acctmgr_backup 
     IDENTIFIED BY password;
   

3. CDBルートでOracle Database Vaultを構成して有効化したことを確認します。
   ルートに一時的に接続してから、DBA_DV_STATUSビューを問い合せます。

   SELECT * FROM SYS.DBA_DV_STATUS;
   

4. SYSDBA管理権限を持つユーザーSYSとしてPDBに接続します。

   CONNECT SYS@pdb_name AS SYSDBA
   Enter password: password
   

5. PDBにいる間に、2つのバックアップDatabase Vaultユーザー・アカウントを構成します。

   BEGIN
    CONFIGURE_DV (
      dvowner_uname     => 'dbv_owner_backup',
      dvacctmgr_uname   => 'dbv_acctmgr_backup');
    END;
   /
   

   この例では、force_local_dvownerパラメータは不要なため省略されます。Database Vaultロールは、PDBで構成したときにローカルに付与されます。

6. utlrp.sqlスクリプトを実行して、このPDBで無効化されたオブジェクトを再コンパイルします。

   @?/rdbms/admin/utlrp.sql

   スクリプトから指示がある場合はそれに従い、再びスクリプトを実行します。指示がなくスクリプトが異常終了した場合は、再びスクリプトを実行します。

7. 先ほど構成したバックアップDatabase Vault所有者ユーザーとして、PDBに接続します。
   たとえば:

   CONNECT dbv_owner_backup@pdb_name
   Enter password: password
   

8. このPDBでOracle Database Vaultを有効にします。

   EXEC DBMS_MACADM.ENABLE_DV;

9. SYSDBA管理権限でCDBに接続します。

   CONNECT / AS SYSDBA

10. PDBを閉じてから、再度開きます。

    ALTER PLUGGABLE DATABASE pdb_name CLOSE IMMEDIATE;
    ALTER PLUGGABLE DATABASE pdb_name OPEN;
    

11. PDBが構成され、Database Vaultに対して有効になっていることを確認します。

    CONNECT SYS@pdb_name AS SYSDBA
    Enter password: password
    
    SELECT * FROM DBA_DV_STATUS;
    

12. バックアップDV_OWNERユーザーとして接続し、前に作成したプライマリDV_OWNERユーザーに、WITH ADMIN OPTION句を含むDV_OWNERロールを付与します。

    たとえば:

    CONNECT dbv_owner_backuppdb_name
    Enter password: password
    
    GRANT DV_OWNER TO sec_admin_owen WITH ADMIN OPTION;
    

13. バックアップDV_ACCTMGRユーザーとして接続し、バックアップDV_ACCTMGRユーザーに、WITH ADMIN OPTION句を含むDV_ACCTMGRロールを付与します。

    たとえば:

    CONNECT dbv_acctmgr_backup@pdb_name
    Enter password: password
    
    GRANT DV_ACCTMGR TO c##accts_admin_ace WITH ADMIN OPTION;

14. 2つのバックアップ・アカウント・パスワードを、将来必要になる場合に備えて、特権アカウント管理(PAM)システムなどの安全な場所に格納します。

3.2.5 DV_OWNERおよびDV_ACCTMGRユーザーを保護するプロファイルの作成

プロファイルは、DV_OWNERおよびDV_ACCTMGRロールを付与されたユーザーに追加の保護を提供します。

DV_OWNERまたはDV_ACCTMGRロールを付与されたデータベース・ユーザーは、クリティカルな特権アカウントとみなされます。通常、これらのアカウントはサービス・アカウントとみなしてパスワードのロックアウト要件が適用されないようにする必要があります。Oracleでは、アカウントがロックされないカスタム・プロファイルを作成することをお薦めします。また、これらのDatabase Vault関連のアカウントの失敗したログイン試行の監査も必要です。

1. CREATE PROFILEシステム権限を持つユーザーとして、データベース・インスタンスにログインします。
   • 共通DV_OWNERおよびDV_ACCTMGRユーザーの場合: データベース・インスタンスのルートにログインします。
   • ローカルのDV_OWNERおよびDV_ACCTMGRユーザーの場合: ユーザーを作成したPDBにログインします。
2. 次のようなプロファイルを作成します。
   • 共通DV_OWNERおよびDV_ACCTMGRユーザーの場合: ルートで、次のようなプロファイルを作成します。

     CREATE PROFILE c##dv_profile limit
     FAILED_LOGIN_ATTEMPTS UNLIMITED
     PASSWORD_VERIFY_FUNCTION ORA12C_VERIFY_FUNCTION
     PASSWORD_LOCK_TIME UNLIMITED
     CONTAINER=CURRENT;

   • ローカルDV_OWNERおよびDV_ACCTMGRユーザーの場合: PDBで、次のようなプロファイルを作成します。

     CREATE PROFILE dv_profile limit
     FAILED_LOGIN_ATTEMPTS UNLIMITED
     PASSWORD_VERIFY_FUNCTION ORA12C_VERIFY_FUNCTION
     PASSWORD_LOCK_TIME UNLIMITED
     CONTAINER=CURRENT;

3. このプロファイルを使用するために、DV_OWNERおよびDV_ACCTMGRユーザー・アカウントを更新します。
   • 共通DV_OWNERおよびDV_ACCTMGRユーザーの場合:

     ALTER USER c##sec_admin_owen PROFILE c##dv_profile CONTAINER=ALL;
     ALTER USER c##dbv_owner_root_backup PROFILE c##dv_profile CONTAINER=ALL;
     ALTER USER c##accts_admin_ace PROFILE c##dv_profile CONTAINER=ALL;
     ALTER USER c##dbv_acctmgr_root_backup PROFILE c##dv_profile CONTAINER=ALL;

   • ローカルDV_OWNERおよびDV_ACCTMGRユーザーの場合:

     ALTER USER sec_admin_owen PROFILE dv_profile CONTAINER=CURRENT;
     ALTER USER dbv_owner_backup PROFILE dv_profile CONTAINER=CURRENT;
     ALTER USER accts_admin_ace PROFILE dv_profile CONTAINER=CURRENT;
     ALTER USER dbv_acctmgr_backup PROFILE dv_profile CONTAINER=CURRENT;

4. AUDIT_ADMINロールを付与されたユーザーとして接続します。
5. 統合監査ポリシーを作成して有効化し、DV_OWNERまたはDV_ACCTMGRロールを付与されたユーザーによる失敗したログインを追跡します。
   • 共通DV_OWNERおよびDV_ACCTMGRユーザーの場合: ルートで、次のようなポリシーを作成します。

     CREATE AUDIT POLICY c##dv_logins ACTIONS LOGON;
     AUDIT POLICY c##dv_logins BY USERS WITH GRANTED ROLES DV_OWNER, DV_ACCTMGR WHENEVER NOT SUCCESSFUL;

   • ローカルDV_OWNERおよびDV_ACCTMGRユーザーの場合: PDBで、次のようなポリシーを作成します。

     CREATE AUDIT POLICY dv_logins ACTIONS LOGON;
     AUDIT POLICY dv_logins BY USERS WITH GRANTED ROLES DV_OWNER, DV_ACCTMGR WHENEVER NOT SUCCESSFUL;

3.2.6 Database Vault対応PDBへの接続

マルチテナント環境では、SQL*Plusから、すでにDatabase Vaultが有効になっているデータベースに接続できます。

このシナリオでは、接続されるデータベースには、独自のローカルDatabase Vaultアカウントがあります。Database Vault対応データベースをDatabase Vaultが有効になっていないCDBに接続する場合は、CDBでDatabase Vaultを有効にしてCDBを再起動するまで、PDBは制限されたモードのままになるということを知っておいてください。Database Vaultが有効になっていないPDBをDatabase Vaultが有効になっているCDBに接続する場合は、PDBでDatabase Vaultを有効にしてPDBを再起動するまで、PDBは制限されたモードのままになります。それでも、この接続したDatabase Vault無効のPDBは使用可能です。ただし、このCDBでDatabase Vaultが厳密オプションで有効になっている場合、このPDBでDatabase Vaultを有効にする必要があります。

Database Vault対応PDBに接続する前に、Database Vaultロールが共通ユーザーに付与されている場合、PDBへの接続が共通ユーザーに与える影響を十分に理解してください。

3.2.7 マルチテナント環境でのOracle Database Vaultの手動インストール

特定の条件のマルチテナント環境に対しては、Oracle Database Vaultを手動でインストールする必要があります。たとえば、Database Vaultのないリリース11g Oracle Databaseをリリース12cにアップグレードしてから、12c Database Vault対応データベースに接続するPDBに変換します。

Database VaultおよびLabel SecurityがインストールされているCDBにPDBが接続されており、このPDBにこれらの製品がない場合は、Oracle Database Vault (およびOracle Label Security)をPDBに手動でインストールする必要があります。

1. SYSDBA管理権限を付与されているユーザーとして、Oracle Database VaultをインストールするPDBにログインします。

   たとえば、hr_pdbというPDBにログインするには、次のようにします。

   sqlplus sec_admin@hr_pdb as sysdba
   Enter password: password

   使用可能なPDBを見つけるには、show pdbsコマンドを実行します。現在のPDBを確認するには、show con_nameコマンドを実行します。

2. 必要な場合は、Oracle Database VaultおよびOracle Label SecurityがこのPDBにすでにインストールされているかどうかを確認します。
   DVSYSおよびDVFアカウント(Database Vault用)および LBACSYSアカウント(Label Security用)が存在する場合、Database VaultおよびLabel SecurityがPDBに存在します。

   SELECT USERNAME FROM DBA_USERS WHERE USERNAME IN ('DVSYS', 'DVF', 'LBACSYS');

3. Database VaultもLabel Securityもインストールされていない場合は、catols.sqlスクリプトを実行してOracle Label Securityをインストールします。

   @$ORACLE_HOME/rdbms/admin/catols.sql

   Oracle Database Vaultをインストールする前に、Oracle Label Securityをインストールする必要があります。

4. catmac.sqlスクリプトを実行することで、Oracle Database Vaultをインストールします。

   @$ORACLE_HOME/rdbms/admin/catmac.sql

5. 「1に値を入力してください」プロンプトで、DVSYSをインストールするための表領域としてSYSTEMを入力します。
6. 「2に値を入力してください」プロンプトで、PDBの一時表領域を入力します。

インストールの完了後、PDBでOracle Database Vaultを構成して有効化できます。Database Vaultが構成されておらず、CDBで有効になっていない場合は、PDBを閉じてから、CDBルートでDatabase Vaultを構成して有効化する必要があります。Database VaultをPDBで構成して有効化するには、事前にCDBルートで構成して有効化しておく必要があります。CDBルートでDatabase Vaultを構成して有効化し、データベースを再起動した後、PDBを開いてDatabase Vaultを構成して有効化できます。

3.3 非マルチテナント環境におけるOracle Database Vaultの登録

ユーザーを登録したら、これらのアカウントを保護するプロファイルを作成する必要があります。

• Database Vaultユーザーの登録
  SQL*Plusを使用してOracle Database Vaultを登録できます。
• DV_OWNERおよびDV_ACCTMGRユーザーを保護するプロファイルの作成
  プロファイルは、DV_OWNERおよびDV_ACCTMGRロールを付与されたユーザーに追加の保護を提供します。

3.3.1 Database Vaultユーザーの登録

SQL*Plusを使用してOracle Database Vaultを登録できます。

1. ユーザー・アカウントを作成する権限があるユーザーとして、データベース・インスタンスにログインし、CREATE SESSION権限を他のユーザーに付与します。

   たとえば:

   sqlplus sec_admin
   Enter password: password
   

2. Database Vault所有者(DV_OWNERロール)およびDatabase Vaultアカウント・マネージャ(DV_ACCTMGRロール)のアカウント用に使用される名前付きユーザー・アカウントを指定(または必要に応じて新規名前付きユーザーを作成)します。

   ロールごとに2つのアカウントを作成することをお薦めします。一方のアカウントはその名前付きユーザーのプライマリ・アカウントであり、日常的に使用されます。他方のアカウントは、プライマリ・アカウントのパスワードを忘れてしまいリセットする必要がある場合に備えたバックアップ・アカウントとして使用されます。

   たとえば:

   GRANT CREATE SESSION TO sec_admin_owen IDENTIFIED BY password;
   GRANT CREATE SESSION TO dbv_owner_backup IDENTIFIED BY password;
   GRANT CREATE SESSION TO accts_admin_ace IDENTIFIED BY password;
   GRANT CREATE SESSION TO dbv_acctmgr_backup IDENTIFIED BY password;

   『Oracle Databaseセキュリティ・ガイド』のガイドラインに従って、安全なパスワードでパスワードを置き換えてください。

3. SYSDBA管理権限を使用して接続します。

   CONNECT / AS SYSDBA
   Enter password: password
   

4. 2つのバックアップ・ユーザー・アカウントを使用してDatabase Vaultを構成します。

   BEGIN
    CONFIGURE_DV (
      dvowner_uname         => 'dbv_owner_backup',
      dvacctmgr_uname       => 'dbv_acctmgr_backup');
    END;
   /
   

   これらのユーザー・アカウントに、DV_OWNER、DV_ACCTMGRなどの、Database Vaultロールの名前を入力しないでください。

5. utlrp.sqlスクリプトを実行して、無効化されたオブジェクトを再コンパイルします。

   @?/rdbms/admin/utlrp.sql
   

   スクリプトから指示がある場合はそれに従い、再びスクリプトを実行します。指示がなくスクリプトが異常終了した場合は、再びスクリプトを実行します。

6. 先ほど構成したバックアップDatabase Vault所有者ユーザーとして接続します。

   たとえば:

   CONNECT dbv_owner_backup
   Enter password: password
   

7. Oracle Database Vaultを有効化します。

   EXEC DBMS_MACADM.ENABLE_DV;
   

8. SYSDBA管理権限を使用して接続します。

   CONNECT / AS SYSDBA
   

9. データベースを再起動します。

   SHUTDOWN IMMEDIATE
   STARTUP
   

10. バックアップDV_OWNERユーザーとして接続し、前に作成したプライマリDV_OWNERユーザーにDV_OWNERロールを付与します。

    たとえば:

    CONNECT dbv_owner_backup
    Enter password: password
    
    GRANT DV_OWNER TO sec_admin_owen WITH ADMIN OPTION;
    

11. バックアップDV_ACCTMGRユーザーとして接続してから、DV_ACCTMGRロールをプライマリDV_ACCTMGRユーザーに付与します。

    たとえば:

    CONNECT dbv_acctmgr_backup
    Enter password: password
    
    GRANT DV_ACCTMGR TO accts_admin_ace WITH ADMIN OPTION;

12. 構成が成功したことを確認します。

    CONNECT / AS SYSDBA
    
    SELECT * FROM SYS.DBA_DV_STATUS;
    SELECT * FROM DBA_OLS_STATUS; 
    

13. 2つのバックアップ・アカウント・パスワードを、将来必要になる場合に備えて、特権アカウント管理(PAM)システムなどの安全な場所に格納します。

3.3.2 DV_OWNERおよびDV_ACCTMGRユーザーを保護するプロファイルの作成

プロファイルは、DV_OWNERおよびDV_ACCTMGRロールを付与されたユーザーに追加の保護を提供します。

DV_OWNERまたはDV_ACCTMGRロールを付与されたデータベース・ユーザーは、クリティカルな特権アカウントとみなされます。通常、これらのアカウントはサービス・アカウントとみなしてパスワードのロックアウト要件が適用されないようにする必要があります。Oracleでは、アカウントがロックされないカスタム・プロファイルを作成することをお薦めします。また、これらのDatabase Vault関連のアカウントの失敗したログイン試行の監査も必要です。

1. CREATE PROFILEシステム権限を持つユーザーとして、データベース・インスタンスにログインします。
2. 次のようなプロファイルを作成します。

   CREATE PROFILE dv_profile limit
   FAILED_LOGIN_ATTEMPTS UNLIMITED
   PASSWORD_VERIFY_FUNCTION ORA12C_VERIFY_FUNCTION
   PASSWORD_LOCK_TIME UNLIMITED
   CONTAINER=CURRENT;

3. このプロファイルを使用するために、DV_OWNERおよびDV_ACCTMGRユーザー・アカウントを更新します。
   たとえば:

   ALTER USER sec_admin_owen PROFILE dv_profile;
   ALTER USER dbv_owner_backup PROFILE dv_profile;
   ALTER USER accts_admin_ace PROFILE dv_profile;
   ALTER USER dbv_acctmgr_backup PROFILE dv_profile;

4. AUDIT_ADMINロールを付与されたユーザーとして接続します。
5. 統合監査ポリシーを作成して有効化し、DV_OWNERまたはDV_ACCTMGRロールを付与されたユーザーによる失敗したログインを追跡します。
   たとえば:

   CREATE AUDIT POLICY dv_logins ACTIONS LOGON;
   AUDIT POLICY dv_logins BY USERS WITH GRANTED ROLES DV_OWNER, DV_ACCTMGR WHENEVER NOT SUCCESSFUL;

3.4 Oracle Real Application Clusters環境でのOracle Database Vaultの構成および有効化

各Oracle RACノードを含むOracle Real Application Clusters (Oracle RAC)環境用にOracle Database Vaultを構成できます。

Oracle RAC環境にOracle Database Vaultを構成するには、1つのノードでOracle Database Vaultを構成して有効化し、各インスタンス・ノードを再起動して、すべてのノードで有効にする必要があります。次の手順では、ノードごとに別個のOracleホームがあると仮定します。

1. CDBルートでOracle Database Vaultを構成して有効化します。
2. SYSDBA管理権限を持つユーザーSYSとして、データベース・インスタンスにログインします。

   sqlplus sys as sysdba 
   Enter password: password
   

3. 各Oracle RACノードで次のALTER SYSTEM文を実行します。

   ALTER SYSTEM SET AUDIT_SYS_OPERATIONS=TRUE SCOPE=SPFILE; -- For non-unified auditing environments
   ALTER SYSTEM SET OS_ROLES=FALSE SCOPE=SPFILE; 
   ALTER SYSTEM SET RECYCLEBIN='OFF' SCOPE=SPFILE; 
   ALTER SYSTEM SET REMOTE_LOGIN_PASSWORDFILE='EXCLUSIVE' SCOPE=SPFILE;
   ALTER SYSTEM SET SQL92_SECURITY=TRUE SCOPE=SPFILE; 
   

4. Oracle Databaseを再起動します。

   CONNECT / AS SYSOPER
   Enter password: password
   
   SHUTDOWN IMMEDIATE
   STARTUP

3.5 Database Vaultが構成および有効化されていることの確認

DBA_DV_STATUS、CDB_DV_STATUS、DBA_OLS_STATUSおよびCDB_OLS_STATUSデータ・ディクショナリ・ビューは、Oracle Databaseが構成され有効になっているかどうかを確認します。

Oracle Database Vault管理者の他に、Oracle Database SYSユーザー、およびDBAロールを付与されているユーザーが、これらのビューを問合せできます。

• Database Vaultの場合:

  • 非マルチテナント・データベースのDatabase Vaultステータス、またはマルチテナント環境においてルートのみか個々のPDBのDatabase Vaultステータスを検索する場合は、データベースにどのユーザーとして接続しているかに応じて、DBA_DV_STATUSまたはSYS.DBA_DV_STATUSビューを問い合せます。次に例を示します。

    • DBAロールまたはSYSDBA管理権限を持つユーザーとして接続している場合:

      SELECT * FROM DBA_DV_STATUS;

    • DV_OWNERロールまたはDV_ADMINロールを持つユーザーとして接続している場合:

      SELECT * FROM SYS.DBA_DV_STATUS;

    次のような出力が表示されます。

    NAME                 STATUS
    -------------------- -----------
    DV_APP_PROTECTION    NOT CONFIGURED
    DV_CONFIGURE_STATUS  TRUE
    DV_ENABLE_STATUS     TRUE

    DV_APP_PROTECTIONは、自律環境、通常のクラウド環境またはオンプレミス環境で、共通ユーザーによるPDBローカル・データへのアクセスを自動的に制限する操作制御を指します。

  • 管理権限がある共通ユーザーとして、マルチテナント環境ですべてのPDBのDatabase Vaultステータスを確認する場合は、コンテナID (CON_ID)フィールドの追加を提供する、CDB_DV_STATUSを問い合せます。

• Oracle Label Securityの場合は、次のデータ・ディクショナリ・ビューを問い合せます。これらは、Database Vaultのそれらに相当するビューに似ています。

  • DBA_OLS_STATUS

  • CDB_OLS_STATUS

3.6 Oracle Enterprise Cloud ControlからのOracle Database Vaultへのログイン

Oracle Enterprise Manager Cloud Control (Cloud Control)には、Oracle Database Vaultの管理用のページが用意されています。

Oracle EM Expressではなく、Oracle Enterprise Manager Cloud Controlのみがサポートされています。Oracle Database Vaultページを使用して、Database Vaultで保護されたデータベースを一元的なコンソールから管理および監視できます。このコンソールでは、アラートの自動化、Database Vaultレポートの表示、およびDatabase Vaultで保護されたその他のデータベースへのDatabase Vaultポリシーの伝播が可能です。

ログインする前に、Oracle Enterprise Managerのオンライン・ヘルプに従って、Database Vaultとともに使用するCloud Controlターゲット・データベースを構成していることを確認してください。また、OracleデータベースでOracle Database Vaultを構成して有効化することも必要です。

1. Cloud Control管理者から提供された資格証明を使用してOracle Enterprise Manager Cloud Controlにログインします。
2. Cloud Controlのホーム・ページで、「ターゲット」メニューから「データベース」を選択します。
3. 「データベース」ページで、接続先のOracle Database Vaultで保護されているデータベースのリンクを選択します。

   データベースのホームページが表示されます。

4. 「セキュリティ」メニューから、「Database Vault」を選択します。

   「データベース・ログイン」ページが表示されます。

5. 次の情報を入力します。

   • ユーザー名: 適切なOracle Database Vaultロールを付与されているユーザーの名前を入力します。

     • Database Vaultポリシーの作成および伝播: DV_OWNERまたはDV_ADMINロール、SELECT ANY DICTIONARY権限

     • Database Vaultアラートおよびレポートの表示: DV_OWNER、DV_ADMINまたはDV_SECANALYSTロール、SELECT ANY DICTIONARY権限

   • パスワード: パスワードを入力します。

   • ロール: リストから「通常」を選択します。

   • 別名保存: 次回このページが表示されるときに、これらの資格証明が自動入力されているようにするには、このチェック・ボックスを選択します。資格証明は、Enterprise Managerに安全な方法で格納されます。これらの資格証明へのアクセスは、現在ログインしているユーザーによって異なります。

   Database Vaultホームページが表示されます。

   
   
   図em_dv_home_page.pngの説明
   

3.7 クイック・スタート・チュートリアル: DBAアクセスからのスキーマの保護

このチュートリアルでは、HRスキーマの周辺でレルムを作成する方法を示します。

• このチュートリアルについて
  このチュートリアルでは、Oracle Database Vault PL/SQLパッケージを使用することで、HRサンプル・データベース・スキーマの周辺でレルムを作成します。
• ステップ1: SYSTEMとしてログインしHRスキーマにアクセスする
  このチュートリアル用にHRスキーマを有効にする必要があります。
• ステップ2: レルムの作成
  レルムでは、1つ以上のスキーマ、個々のスキーマ・オブジェクトおよびデータベース・ロールを保護できます。
• ステップ3: SEBASTIANユーザー・アカウントの作成
  この時点では、レルムが保護するデータベース・オブジェクトにアクセスする、またはそれらを操作するデータベース・アカウントもロールもありません。
• ステップ4: ユーザーSEBASTIANによるレルムのテスト
  この段階で、ユーザーSEBASTIANは、HR.EMPLOYEES表を問い合せることでレルムをテストできます。
• ステップ5: レルムの認可の作成
  次に、HR.EMPLOYEES表にアクセスできるよう、ユーザーSEBASTIANにHR Appsレルムへの認可を与える必要があります。
• ステップ6: レルムのテスト
  レルムをテストするには、HR以外のユーザーとしてEMPLOYEES表にアクセスを試みる必要があります。
• ステップ7: 統合監査が有効ではない場合のレポートの実行
  HR Appsレルムの失敗時の監査を有効にしたため、レポートを生成してセキュリティ違反を検出できます。
• ステップ8: このチュートリアルのコンポーネントの削除
  コンポーネントが不要になった場合、このチュートリアルで作成したコンポーネントを削除できます。

3.7.1 このチュートリアルについて

このチュートリアルでは、Oracle Database Vault PL/SQLパッケージを使用することで、HRサンプル・データベース・スキーマの周辺でレルムを作成します。

HRスキーマのEMPLOYEES表には、管理権限を使用したアクセスも含め、企業内のほとんどの社員に公開しない給与などの情報が含まれています。これを実現するには、HRスキーマをデータベース内の保護ゾーン(Oracle Database Vaultではレルムと呼ぶ)のセキュア・オブジェクトに追加します。そして、このレルムに制限付きの認可を付与します。その後、レルムをテストして適切に保護されていることを確認します。最後に、レポートを実行し、レルムをテストする際に試行するような疑わしいアクティビティの監査証跡をOracle Database Vaultがどのように作成するかを確認します。

3.7.2 ステップ1: SYSTEMとしてログインしHRスキーマにアクセスする

このチュートリアル用にHRスキーマを有効にする必要があります。

このチュートリアルを開始する前に、HRサンプル・スキーマがインストールされていることを確認してください。Oracle Databaseサンプル・スキーマは、サンプル・スキーマのインストール方法を説明しています。

1. DBAロールを付与されたユーザーとしてデータベース・インスタンスにログインしてから、HRスキーマにアクセスします。

   たとえば:

   sqlplus system
   Enter password: password
   

2. マルチテナント環境で、適切なPDBに接続します。

   たとえば:

   CONNECT SYSTEM@my_pdb
   Enter password: password
   

   使用可能なPDBを見つけるには、show pdbsコマンドを実行します。現在のPDBを確認するには、show con_nameコマンドを実行します。

3. HR.EMPLOYEES表に次のように問い合せます。

   SELECT FIRST_NAME, LAST_NAME, SALARY FROM HR.EMPLOYEES WHERE ROWNUM < 10;
   

   次のような出力が表示されます。

   FIRST_NAME           LAST_NAME                     SALARY
   -------------------- ------------------------- ----------
   Steven               King                           24000
   Neena                Kochhar                        17000
   Lex                  De Haan                        17000
   Alexander            Hunold                          9000
   Bruce                Ernst                           6000
   David                Austin                          4800
   Valli                Pataballa                       4800
   Diana                Lorentz                         4200
   Nancy                Greenberg                      12008
   
   9 rows selected.
   

4. HRスキーマがロックされて無効になっている場合は、DV_ACCTMGRユーザーとしてデータベース・インスタンスにログインし、アカウントをロック解除して有効にします。たとえば:

   sqlplus accts_admin_ace -- For a multitenant environment, sqlplus bea_dvacctmgr@hrpdb
   Enter password: password
   
   ALTER USER HR ACCOUNT UNLOCK IDENTIFIED BY password
   

   『Oracle Databaseセキュリティ・ガイド』のガイドラインに従って、安全なパスワードでパスワードを置き換えてください。

   この例からわかるように、SYSTEMにはHRスキーマのEMPLOYEES表の給与情報へのアクセス権があります。SYSTEMには、SELECT ANY TABLEシステム権限を含むDBAロールが自動的に付与されるためです。

5. SQL*Plusを終了しないでください。

3.7.3 ステップ2: レルムの作成

レルムでは、1つ以上のスキーマ、個々のスキーマ・オブジェクトおよびデータベース・ロールを保護できます。

レルムを作成したら、レルム内のスキーマやスキーマ・オブジェクトに適用するセキュリティ制限を作成します。HRスキーマにレルムを作成する必要があります。

1. DV_OWNERまたはDV_ADMINロールおよびSELECT ANY DICTIONARY権限を付与されているユーザーとして、Cloud ControlからOracle Database Vault Administratorにログインします。ログイン方法については、「Oracle Enterprise Cloud ControlからのOracle Database Vaultへのログイン」を参照してください。
2. 「管理」ページの「Database Vaultコンポーネント」で、「レルム」をクリックします。
3. Oracle Database Vault Administratorの「レルム」ページで、「作成」をクリックします。
4. 「レルムの作成」ページの「一般」で、「名前」の後にHR Appsと入力します。
5. 「説明」フィールドに、Realm to protect the HR schemaと入力します。
6. 「必須レルム」チェック・ボックスの選択を解除したままにします。
7. 「ステータス」に「有効」が選択されていて、そのレルムが使用可能になっていることを確認します。
8. 「監査オプション」で、「失敗時に監査」が選択されていて、後から監査証跡を作成できることを確認します。
9. 「次へ」をクリックして、「レルム・セキュア・オブジェクト」ページを表示します。
10. 「追加」ボタンをクリックして、「セキュア・オブジェクトの追加」ダイアログ・ボックスで次の情報を入力します。

    • 所有者: HRと入力してHRスキーマを選択します。

    • オブジェクト・タイプ: TABLEと入力します。

    • オブジェクト名: EMPLOYEESと入力します。

11. 「OK」をクリックします。

    HR.EMPLOYEES表は、「レルムの作成 : レルム・セキュア・オブジェクト」ページに追加されます。

12. 「完了」、「終了」の順にクリックします。

この段階で、レルムが作成されていますが、それに対する認可は割り当てられていません。このチュートリアルで後ほど対応します。

3.7.4 ステップ3: SEBASTIANユーザー・アカウントの作成

この時点では、レルムが保護するデータベース・オブジェクトにアクセスする、またはそれらを操作するデータベース・アカウントもロールもありません。

そのため、このステップでデータベース・アカウントまたはデータベース・ロールを認可し、レルム内のスキーマにアクセスできるようにします。SEBASTIANユーザー・アカウントを作成します。

1. DV_ACCTMGRロールを持つDatabase Vaultアカウント・マネージャとしてSQL*Plusに接続し、ローカル・ユーザーSEBASTIANを作成します。

   たとえば:

   CONNECT accts_admin_ace -- Or, CONNECT accts_admin_ace@hrpdb
   Enter password: password
   
   GRANT CREATE SESSION TO SEBASTIAN IDENTIFIED BY password;

   passwordを安全なパスワードに置き換えます。パスワードを作成するための最小限の要件は、『Oracle Databaseセキュリティ・ガイド』を参照してください。

2. SYSDBA権限を持つSYSとして接続し、SEBASTIANに次の追加権限を付与します。

   CONNECT SYS AS SYSDBA -- Or, CONNECT SYS@hrpdb AS SYSDBA
   Enter password: password
   
   GRANT READ ANY TABLE TO SEBASTIAN;
   

(「ステップ6: レルムのテスト」でレルムをテストする際に必要なため、SQL*Plusを終了しないでください。)

3.7.5 ステップ4: ユーザーSEBASTIANによるレルムのテスト

この段階で、ユーザーSEBASTIANは、HR.EMPLOYEES表を問い合せることでレルムをテストできます。

1. ユーザーSEBASTIANとして接続します。

   CONNECT sebastian
   Enter password: password

2. HR.EMPLOYEES表を問い合せます。

   SELECT COUNT(*) FROM HR.EMPLOYEES;

   次の出力が表示されます。

   ERROR at line 1:
   ORA-01031: insufficient privileges
   

ユーザーSEBASTIANはREAD ANY TABLEシステム権限がありますが、HR.EMPLOYEES表を問合せできません。これは、HR AppsレルムがREAD ANY TABLEシステム権限よりも優先されるためです。

3.7.6 ステップ5: レルムの認可の作成

次に、HR.EMPLOYEES表にアクセスできるよう、ユーザーSEBASTIANにHR Appsレルムへの認可を与える必要があります。

この認可により、SEBASTIANは、このレルムによって保護されているHR.EMPLOYEES表に対するREAD ANY TABLEシステム権限を使用できます。

1. Database Vault Administratorの「レルム」ページで、レルムのリストから「HR Apps」を選択し、「編集」をクリックします。
2. 「レルム認可」ページになるまで、「次へ」ボタンをクリックします。
3. 「追加」をクリックし、「認可の追加」ダイアログ・ボックスに次の情報を入力します。

   • レルム認可の権限受領者: SEBASTIANと入力します。

   • レルム認可タイプ: リストから「参加者」を選択します。

   • レルム認可ルールセット: このフィールドは空白のままにします。

4. 「OK」をクリックします。

   「参加者」認可により、HR Appsレルム内のユーザーSEBASTIANは、HR Appsレルムで保護されるオブジェクトのアクセス、操作および作成を管理できるようになります。この場合、EMPLOYEES表の表示を許可されているのは、HRユーザーおよびSEBASTIANのみです。

5. 「完了」、「終了」の順にクリックします。

3.7.7 ステップ6: レルムのテスト

レルムをテストするには、HR以外のユーザーとしてEMPLOYEES表にアクセスを試みる必要があります。

SYSTEMアカウントには通常、SELECT ANY TABLE権限があるため、HRスキーマのすべてのオブジェクトに対するアクセス権がありますが、この場合はOracle Database Vaultを使用してEMPLOYEES表を保護しているため、アクセス権はありません。

1. SQL*Plusで、SYSTEMとして接続します。

   CONNECT SYSTEM -- Or, CONNECT SYSTEM@hrpdb
   Enter password: password
   

2. EMPLOYEES表の任意の行を再度問い合せてみます。
   たとえば:

   SELECT FIRST_NAME, LAST_NAME, SALARY FROM HR.EMPLOYEES WHERE ROWNUM <10;

   次の出力が表示されます。

   Error at line 1:
   ORA-01031: insufficient privileges
   

   SYSTEMにはEMPLOYEES表へのアクセス権はなくなります。(実際に、ユーザーSYSでもこの表にはアクセスできません。)ただし、ユーザーSEBASTIANはHR Appsレルムの認可された参加者であるため、SEBASTIANにはこの情報へのアクセス権があります。

3. ユーザーSEBASTIANとして接続します。

   CONNECT sebastian -- Or, CONNECT sebastian@hrpdb
   Enter password: password

4. 次の問合せを実行します。

   SELECT FIRST_NAME, LAST_NAME, SALARY FROM HR.EMPLOYEES WHERE ROWNUM <10;

   次のような出力が表示されます。

   FIRST_NAME           LAST_NAME                     SALARY
   -------------------- ------------------------- ----------
   Steven               King                           24000
   Neena                Kochhar                        17000
   Lex                  De Haan                        17000
   Alexander            Hunold                          9000
   Bruce                Ernst                           6000
   David                Austin                          4800
   Valli                Pataballa                       4800
   Diana                Lorentz                         4200
   Nancy                Greenberg                      12008
   
   9 rows selected.

3.7.8 ステップ7: 統合監査が有効ではない場合のレポートの実行

HR Appsレルムの失敗時の監査を有効にしたため、レポートを生成してセキュリティ違反を検出できます。

たとえば、「ステップ6: レルムのテスト」で試行した違反のレポートを生成できます。

1. ユーザーSYSTEMとしてSQL*Plusに接続し、統合監査が有効ではないことを確認します。

   CONNECT SYSTEM -- Or, CONNECT SYSTEM@hrpdb
   Enter password: password
   
   SQL> SELECT VALUE FROM V$OPTION WHERE PARAMETER = 'Unified Auditing';
   

   VALUEがTRUEを戻す場合、この項を完了できません。「ステップ8: このチュートリアルのコンポーネントの削除」に進みます。

   統合監査が有効な場合、イベントを取得する統合監査ポリシーを作成する必要があります。Oracle Database Vaultの統合監査ポリシーの作成方法については、『Oracle Databaseセキュリティ・ガイド』を参照してください。

2. 「Database Vault Administrator」ページで、「ホーム」をクリックしてホーム・ページを表示します。
3. Database Vaultの「ホーム」ページの「レポート」で、「Database Vaultレポート」を選択します。
4. 「Database Vaultレポート」ページで、「Database Vault強制監査レポート」を選択します。
5. Database Vault監査レポートリストで、「レルム監査レポート」を選択します。
6. 「検索」領域で、「コマンド」メニューから「等しい」を選択し、テキスト・フィールドにSELECTと入力します。次に「検索」をクリックします。

   「検索」リージョンの後の表にレポートが表示されます。

7. 「OK」をクリックしてレポートを終了します。

Oracle Database Vaultにより、違反の種類(この場合は前の項目で入力したSELECT文)、発生した時間と場所、違反を試みたユーザーのログイン・アカウント、および違反の内容などを示すレポートが生成されます。

3.7.9 ステップ8: このチュートリアルのコンポーネントの削除

コンポーネントが不要になった場合、このチュートリアルで作成したコンポーネントを削除できます。

1. ユーザーSEBASTIANを削除します。

   SQL*Plusで、次のようにOracle Database Vaultアカウント・マネージャ(たとえばaccts_admin_ace)としてログインし、SEBASTIANを削除します。

   sqlplus accts_admin_ace -- Or, CONNECT bea_dvacctmgr@hrpdb
   Enter password: password
   
   DROP USER SEBASTIAN;
   

2. HR Appsレルムを削除します。

   1. Cloud Controlで、DV_OWNERロールがあるユーザーとしてログインしていることを確認します。

   2. Database Vaultの「ホーム」ページで、「管理」をクリックします。

   3. 「レルム」ページで、レルムのリストからHR Appsを選択します。

   4. 「削除」をクリックして、「確認」ウィンドウで「はい」をクリックします。

3. 必要な場合は、SQL*Plusで、HRアカウントをロックし、無効にします。

   1. DV_ACCTMGRロールを持つユーザーとして接続します(ユーザーaccts_admin_aceなど)。
   2. 次のALTER USER文を実行します。

      ALTER USER HR ACCOUNT LOCK PASSWORD EXPIRE;