2 Oracle Database Vaultの有効化後のヒント
Oracle Database Vaultを有効化すると、デフォルトのユーザー認可など、いくつかのOracle Databaseセキュリティ機能が、より強力なセキュリティ制限を提供するよう変更されます。
- 変更される初期化およびパスワード・パラメータ設定
Oracle Database Vault構成では、データベース構成の安全を強化するために複数のデータベース初期化パラメータ設定を変更できます。 - Oracle Database Vaultによるユーザー認可の制限
Oracle Database構成には、4つの管理データベース・アカウント名(2つのプライマリ・アカウントと2つのバックアップ・アカウント)が必要です。 - 職務分離を実施するためのOracle Database Vault固有のデータベース・ロール
Oracle Database Vaultの構成は、セキュリティを改善し、法規、プライバシーおよびその他のコンプライアンス要件を満たすことができるように、職務分離の概念を実現します。 - 既存のユーザーおよびロールから取り消される権限
Oracle Database Vault構成により、職務分離を強化するために、Oracle Databaseで提供されている複数のユーザーおよびロールから権限が取り消されます。 - 既存のユーザーおよびロールに対して阻止される権限
Oracle Database Vaultの構成により、ユーザーSYSおよびSYSTEMなど、これらの権限が付与されているすべてのユーザーおよびロールに対していくつかの権限が阻止されます。 - 非統合監査環境の変更されたAUDIT文の設定
Oracle Database Vaultを構成する際に統合監査を使用しない場合、Database Vaultは、複数のAUDIT文を構成します。
2.1 変更される初期化およびパスワード・パラメータ設定
Oracle Database Vault構成では、データベース構成の安全を強化するために複数のデータベース初期化パラメータ設定を変更できます。
これらの変更が組織のプロセスやデータベースのメンテナンス手順に影響する場合は、問題を解決するためにOracleサポートにご連絡ください。
表2-1で、Oracle Database Vaultにより変更される初期化パラメータ設定を説明します。初期化パラメータは、init.ora初期化パラメータ・ファイルに格納されます。初期化パラメータの詳細は、『Oracle Databaseリファレンス』を参照してください。
表2-1 変更されるデータベース初期化パラメータ設定
| パラメータ | データベースのデフォルト値 | Database Vaultにより設定される新しい値 | 変更の影響 |
|---|---|---|---|
|
|
|
|
ユーザー |
|
|
構成されていません |
|
オペレーティング・システムによる、ユーザーへのロールの付与と取消しの完全な管理を無効にします。以前に |
|
|
|
|
Oracle Databaseがパスワード・ファイルをチェックするかどうかを指定します。 |
|
|
|
|
ユーザーに ユーザーに( |
2.2 Oracle Database Vaultによるユーザー認可の制限
Oracle Database構成には、4つの管理データベース・アカウント名(2つのプライマリ・アカウントと2つのバックアップ・アカウント)が必要です。
また、データベース・ロールが複数作成されます。これらのロールは、Oracle Database Vaultにより実現される職務分離の一部です。複数の大企業に影響を与えている共通の監査問題の1つは、データベース管理者による本番インスタンス内での新規データベース・アカウントの不正な作成です。Oracle Database Vaultのインストール時に、Oracle Database Vaultアカウント・マネージャ、またはOracle Database Vaultアカウント・マネージャ・ロールを付与されたユーザー以外はデータベース内にユーザーを作成することができなくなります。
関連トピック
2.3 職務分離を実施するためのOracle Database Vault固有のデータベース・ロール
Oracle Database Vaultの構成は、セキュリティを改善し、法規、プライバシーおよびその他のコンプライアンス要件を満たすことができるように、職務分離の概念を実現します。
Oracle Database Vaultでは、アカウント管理の職責、データ・セキュリティの職責およびデータベース管理の職責がデータベース内で明確に分離されます。つまり、データとシステム構成の両方について1人のユーザーがすべての権限を持たないように、多くの権限を持つロール(DBAなど)という概念が複数の新しいデータベース・ロールに分割されています。Oracle Database Vaultでは、特権ユーザー(DBAとその他の特権ロールおよびシステム権限があるユーザー)が、レルムという指定され保護されたデータベース領域にアクセスできないようになっています。Oracle Database Vault所有者(DV_OWNER)およびOracle Database Vaultアカウント・マネージャ(DV_ACCTMGR)と呼ばれる新しいデータベース・ロールも導入されています。これらの新規データベース・ロールにより、データ・セキュリティとアカウント管理が従来のDBAロールから分離されます。これらのロールは、組織内の別々のセキュリティの専門家にマップします。
2.4 既存のユーザーおよびロールから取り消される権限
Oracle Database Vault構成により、職務分離を強化するために、Oracle Databaseで提供されている複数のユーザーおよびロールから権限が取り消されます。
表2-2に、Oracle Database Vaultによって、Oracle Databaseで提供されている複数のユーザーおよびロールから取り消される権限の一覧を示します。Oracle Database Vaultを無効にすると、これらの権限は取り消されたままになるので注意してください。アプリケーションがこれらの権限に依存する場合は、アプリケーションの所有者に権限を直接付与します。マルチテナント環境では、これらの権限はCDBルートとそのPDBのユーザーおよびロールからと、アプリケーション・ルートとそのPDBから取り消されます。
表2-2 Oracle Database Vaultで取り消される権限
| ユーザーまたはロール | 取り消される権限 |
|---|---|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
脚注1
Oracle Data Pumpを使用してデータをエクスポートおよびインポートするようユーザーに認可を与えるには、「Oracle Database VaultでのOracle Data Pumpの使用」を参照してください。
脚注2
データベース・ジョブをスケジュールするようユーザーに認可を与えるには、「Oracle Database VaultでのOracle Schedulerの使用」を参照してください。
ノート:
SYSおよびSYSTEMユーザーは両方とも、デフォルト・パスワードを使用するユーザー・アカウントを示すDBA_USERS_WITH_DEFPWDデータ・ディクショナリ・ビューに対するSELECT権限を保持します。他のユーザーにこのビューへのアクセス権を付与するには、SELECT権限を付与します。
2.5 既存のユーザーおよびロールに対して阻止される権限
Oracle Database Vaultの構成により、ユーザーSYSおよびSYSTEMなど、これらの権限が付与されているすべてのユーザーおよびロールに対していくつかの権限が阻止されます。
DV_ACCTMGRロールには、職務分離に対する次の権限があります。
-
ALTER PROFILE -
ALTER USER -
CREATE PROFILE -
CREATE USER -
DROP PROFILE -
DROP USER
セキュリティの強化および職務分離規定の維持のために、SYSユーザーやSYSTEMユーザーにはユーザー・アカウントを作成または管理する権限を与えないでください。
任意のロールをユーザーSYSに付与できますが、SYSセッションではロールが有効化されていないため、SYSはこのロールを使用できません。