5 Oracle Label Securityポリシーの作成

Oracle Label Securityポリシーは、Oracle Label Securityを実装する名前付きのコマンド・セットです。

• Oracle Label Securityポリシーの作成について
  Oracle Label Securityポリシーを作成する場合は、一連の一般的なステップに従う必要があります。
• ステップ1: ラベル・セキュリティ・ポリシー・コンテナの作成
  Oracle Label Securityポリシー・コンテナは、ポリシー設定の格納場所です。
• ステップ2: ラベル・セキュリティ・ポリシーのデータ・ラベルの作成
  ポリシー・コンテナを作成した後は、データベース表の各行にデータ・ラベルを作成できます。
• ステップ3: ラベル・セキュリティ・ポリシーのユーザーの認可
  Oracle Label Securityポリシーで保護されているデータにユーザーがアクセスできるように、事前にユーザーを認可しておく必要があります。
• ステップ4: ユーザーおよびトラステッド・ストアド・プログラム・ユニットへの権限の付与
  Oracle Label Securityポリシーで保護されているデータをユーザーが読み取ることができるように、READなどの権限をユーザーに付与できます。
• ステップ5: データベース表またはスキーマへのポリシーの適用
  Oracle Label Securityポリシーに対する認可および権限を付与した後は、それをデータベース表またはスキーマに適用できます。
• ステップ6: 表の行へのポリシー・ラベルの追加
  ポリシー・ラベルを表の行に追加する必要があります。
• ステップ7: (オプション)監査の構成
  SA_USER_ADMIN P/L SQLパッケージを使用することにより、Oracle Label Securityポリシーを監査できます。
• Enterprise Manager Cloud Controlを使用したOLSポリシーの作成
  Oracle Enterprise Manager Cloud ControlでOracle Label Securityポリシーを作成できます。

5.1 Oracle Label Securityポリシーの作成について

Oracle Label Securityポリシーを作成する場合は、一般的なステップに従う必要があります。

1. ポリシー名、Oracle Label Securityが保護対象の表に追加する列の名前、この列を非表示にするかどうか、ポリシーを有効にするかどうか、およびポリシーのデフォルトの強制オプションを定義するポリシー・コンテナを作成します。

   詳細は、「ステップ1: ラベル・セキュリティ・ポリシー・コンテナの作成」を参照してください。

2. ラベルの機密性レベルの属性を定義します。また、オプションで区分とグループの属性を定義して、ラベルの機密性をさらにフィルタします。属性を定義した後で、ラベル自体を作成し、それらの属性をラベルに関連付けます。

   「ステップ2: ラベル・セキュリティ・ポリシーのデータ・ラベルの作成」を参照してください。

3. ポリシーに対してユーザーを認可します。

   詳細は、「ステップ3: ラベル・セキュリティ・ポリシーのユーザーの認可」を参照してください。

4. これらのユーザーまたはトラステッド・プログラム・ユニットに権限を付与します。

   詳細は、「ステップ4: ユーザーおよびトラステッド・ストアド・プログラム・ユニットへの権限の付与」を参照してください。

5. ポリシーをデータベース表に適用します。または、スキーマ全体にポリシーを適用できます。

   詳細は、「ステップ5: データベース表またはスキーマへのポリシーの適用」を参照してください。

6. ポリシー・ラベルを表の行に追加します。ポリシーに使用される表を更新する必要があります。

   詳細は、「ステップ6: 表の行へのポリシー・ラベルの追加」を参照してください。

7. オプションで、ユーザーの監査設定を構成します。

   詳細は、「ステップ7: (オプション)監査の構成」を参照してください。

5.2 ステップ1: ラベル・セキュリティ・ポリシー・コンテナの作成

Oracle Label Securityポリシー・コンテナは、ポリシー設定の格納場所です。

• ラベル・セキュリティ・ポリシー・コンテナについて
  Oracle Label Securityポリシー・コンテナには、ポリシーの動作を記述するメタデータが格納されます。
• ラベル・ポリシー・コンテナの作成
  SA_SYSDBA.CREATE_POLICYプロシージャを使用して、Oracle Label Securityポリシー・コンテナを作成できます。

5.2.1 ラベル・セキュリティ・ポリシー・コンテナについて

Oracle Label Securityポリシー・コンテナには、ポリシーの動作を記述するメタデータが格納されます。

このコンテナは、ポリシー名、Oracle Label Securityが保護対象の表に追加する列の名前、この列を非表示にするかどうか、およびポリシーのデフォルトの強制オプションを定義します。

保護する表に追加する列には、特定の列の値に基づいて表の特定の行に割り当てられたデータ・ラベル(後で作成)が含まれます。ポリシー作成プロセスでは、ポリシーに特殊なロールを作成し、ポリシーを作成するユーザーにこのロールを付与します。ロール名は、policy_DBAの形式です。たとえば、EMP_OLS_POLというポリシーの場合、ロール名はEMP_OLS_POL_DBAです。このロールは、新規のユーザー・セッションの開始後に有効になります。

Oracle Enterprise Manager Cloud Controlにポリシー・コンテナを作成するか、SA_SYSDBA.CREATE_POLICYプロシージャを使用できます。

5.2.2 ラベル・ポリシー・コンテナの作成

SA_SYSDBA.CREATE_POLICYプロシージャを使用して、Oracle Label Securityポリシー・コンテナを作成できます。

• ポリシーを作成するには、ポリシー名、列名およびデフォルト・オプションを指定してSA_SYSDBA.CREATE_POLICYを実行します。

たとえば:

BEGIN
 SA_SYSDBA.CREATE_POLICY (
  policy_name      => 'emp_ols_pol',
  column_name      => 'ols_col',
  default_options  => 'read_control, update_control');
END;
/

5.3 ステップ2: ラベル・セキュリティ・ポリシーのデータ・ラベルの作成

ポリシー・コンテナを作成した後は、データベース表の各行にデータ・ラベルを作成できます。

• データ・ラベルについて
  データ・ラベルは、データベース表の行の機密性を示します。
• ポリシー・レベルの機密性コンポーネントについて
  レベルは、ラベルを付ける情報の機密性を示すランキングです。
• ポリシー・レベル・コンポーネントの作成
  SA_COMPONENTS.CREATE_LEVELプロシージャは、ポリシー・レベル・コンポーネントを作成します。
• ポリシー区分コンポーネントについて
  区分はラベル付きデータの機密性を記述する領域を識別し、レベルに対して、さらに細分化したレベルを提供します。
• ポリシー区分コンポーネントの作成
  SA_COMPONENTS.CREATE_COMPARTMENTプロシージャは、Oracle Label Security区分を作成します。
• ポリシー・グループ・コンポーネントについて
  グループは、EASTERN_REGION、WESTERN_REGION、WR_SALESなど、データを所有する組織またはデータにアクセスする組織を識別します。
• ポリシー・データ・ラベル・グループの作成
  SA_COMPONENTS.CREATE_GROUPプロシージャは、データ・ラベル・グループを作成します。
• 名前付きデータ・ラベルへのポリシー・コンポーネントの関連付けについて
  データ・ラベル・コンポーネントを定義した後、データ・ラベルを既存のレベルと関連付けることにより、データ・ラベルそのものを作成できます。
• 名前付きデータ・ラベルへのポリシー・コンポーネントの関連付け
  SA_LABEL_ADMIN.CREATE_LABELプロシージャは、データ・ラベルを作成します。

5.3.1 データ・ラベルについて

データ・ラベルは、データベース表の行の機密性を示します。

各ラベルは、ユーザー・アクセスに使用するフィルタのタイプを制御する複数のコンポーネントを持つ単一の属性です。

表5-1に、データ・ラベルの様々なコンポーネントについて説明します。

表5-1 機密性データ・ラベルのコンポーネント

コンポーネント	説明	例
レベル	設定済の順序付けランク内のラベル付きデータの機密性の単一指定	CONFIDENTIAL (1)、SENSITIVE (2)、HIGHLY_SENSITIVE (3)
区分	ラベル付きデータに対応付けられた0個以上のカテゴリ	FINANCIAL、STRATEGIC、NUCLEAR
グループ	データを所有するか、データにアクセスする組織の0個以上の識別子	EASTERN_REGION、WESTERN_REGION

すべてのデータ・ラベルにはレベル・コンポーネントを含める必要がありますが、区分コンポーネントとグループ・コンポーネントはオプションです。区分とグループは、ユーザーがデータに対して持つアクセス権を微調整する方法です。すべてのラベル・コンポーネント指定に有効な文字には、英数字、アンダースコアおよび空白も含まれます。(先頭および後続の空白は無視されます。)データ・ラベル自体を作成する前に、ラベル・コンポーネントを定義する必要があります。

Cloud Controlを使用して、既存のポリシーのラベルとそのコンポーネントを作成できます。また、SA_COMPONENTS PL/SQLパッケージを使用してラベル・コンポーネントを作成し、SA_LABEL_ADMINパッケージを使用してデータ・ラベルを作成できます。

5.3.2 ポリシー・レベルの機密性コンポーネントについて

レベルは、ラベルを付ける情報の機密性を示すランキングです。

情報の機密性が高いほど、レベルも高くなります。情報の機密性が低いほど、レベルも低くなります。

ラベルには必ず1つのレベルを含める必要があります。Oracle Label Securityでは、1つのポリシーに最大10,000のレベルを定義できます。レベルごとに、数値書式、詳細名および必須の簡易名を定義する必要があります。

表5-2にレベルの例を示します。

表5-2 ポリシー・レベルの例

数値	詳細名	短縮名
40	HIGHLY_SENSITIVE	HS
30	SENSITIVE	S
20	CONFIDENTIAL	C
10	PUBLIC	P

表5-2に、レベルの数値書式、詳細名および簡易名を説明します。

表5-3 レベル指定の書式

書式	説明
数値(タグとも呼ばれる)	数値のレベルは0から9999です。機密性はこの数値でランキングされるため、機密性の高いレベルほど大きい数値、機密性の低いレベルほど小さい数値を割り当てる必要があります。表5-2では、40 (HIGHLY_SENSITIVE)は30、20および10より上位レベルです。 管理者は、レベルの数値に連番を使用しないようにします。適切な方法は、レベル間に等間隔の増分(50や100など)を使用することです。これにより、既存の2つのレベル間に後からレベルを追加挿入できます。
詳細名	レベルの詳細名は80文字以内です。
短縮名	短縮名は30文字以内です。

レベル(およびその他の各ラベル・コンポーネント)に詳細名と短縮名の両方を定義しますが、検索時に表示されるのは短縮名のみです。ユーザーがラベルを操作する際は、コンポーネントの短縮名のみが使用されます。

レベルの例は、TOP_SECRET、SECRET、CONFIDENTIAL、UNCLASSIFIED、またはTRADE_SECRET、PROPRIETARY、COMPANY_CONFIDENTIAL、PUBLIC_DOMAINなどの名前です。

レベルのみを使用する場合、この例のレベル40のユーザーであれば、レベル40以下のすべてのデータ行に対して、アクセスまたは変更ができます。

5.3.3 ポリシー・レベル・コンポーネントの作成

SA_COMPONENTS.CREATE_LEVELプロシージャは、ポリシー・レベル・コンポーネントを作成します。

• ポリシー・レベル・コンポーネントを作成するには、ポリシー名とコンポーネントの詳細を指定してSA_COMPONENTS.CREATE_LEVELを実行します。

たとえば:

BEGIN
 SA_COMPONENTS.CREATE_LEVEL (
   policy_name   => 'emp_ols_pol',
   level_num     => 40,
   short_name    => 'HS',
   long_name     => 'HIGHLY_SENSITIVE');
END;
/

5.3.4 ポリシー区分コンポーネントについて

コンパートメントは、ラベルが割り当てられたデータの機密性を表す領域を識別し、レベル内のより詳細なレベルを表します。

区分により、データが1つ以上のセキュリティ領域に対応付けられます。特定のプロジェクトに関連するすべてのデータに、同じ区分をラベル付けすることができます。

表5-4に、区分セットの例を示します。

表5-4 ポリシー区分の例

数値	詳細名	短縮名
85	FINANCIAL	FINCL
65	CHEMICAL	CHEM
45	OPERATIONAL	OP

表5-5に、区分を指定する様々な方法を示します。

表5-5 区分指定の書式

書式	説明
数値	数値の範囲は0から9999です。レベルに使用されている数値とは無関係です。区分の数値は、機密性のレベルを示すわけではありません。区分の数値は、ラベル文字列での区分短縮名の表示順序を制御します。たとえば、表5-4に示した3つの区分すべてとレベルSENSITIVEを持つラベルを作成するとします。このラベルを文字列で表示すると、次のようになります。 S:OP,CHEM,FINCL これは、SENSITIVE: OPERATIONAL, CHEMICAL, FINANCIALを意味します。 表示順序は、区分に割り当てられた数値の順序に従います。45は65より小さく、65は85より小さい数値です。対照的に、FINCL区分に割り当てられた数値が5の場合、ラベルの文字列書式は次のようになります。 S:FINCL,OP,CHEM
詳細名	区分の詳細名は80文字以内です。
短縮名	短縮名は30文字以内です。

区分はオプションです。ラベルには最大10,000区分を含めることができます。

区分を含まないラベルがあってもかまいません。たとえば、HIGHLY_SENSITIVEおよびCONFIDENTIALレベルは区分なしで指定し、SENSITIVEレベルは区分を含むように指定できます。

データの機密性を分析すると、一部の区分が特定のレベルでのみ有用であることがわかる場合があります。

次の図では、区分を使用するとどのようにデータを分類できるかを示します。

図5-1 ラベル内の区分

「図5-1 ラベル内の区分」の説明

この図では、区分FINCL、CHEMおよびOPがレベルHIGHLY_SENSITIVE (HS)とともに使用されています。ラベルHIGHLY_SENSITIVE:FINCL, CHEMは、2つの名前付き区分を持つレベル40を示します。区分FINCLとCHEMの機密性は同じです。保護されている表の一部のデータがどの区分にも属さない場合もあることに注意してください。

区分を指定した場合、行データへのアクセスが通常は許可されるレベルのユーザーであっても、行ラベルで表示されるすべての区分もユーザーのラベルに含まれていないかぎりアクセスは禁止されます。たとえば、HSレベルへのアクセス権を付与されるユーザーhprestonには、FINCLおよびCHEMへのアクセス権のみ付与され、OPへのアクセス権は付与されません。

5.3.5 ポリシー区分コンポーネントの作成

SA_COMPONENTS.CREATE_COMPARTMENTプロシージャは、Oracle Label Security区分を作成します。

• 区分を作成するには、ポリシー名と区分の詳細を指定して、区分を作成するためのSA_COMPONENTS.CREATE_COMPARTMENTプロシージャを実行します。

たとえば:

BEGIN
  SA_COMPONENTS.CREATE_COMPARTMENT (
   policy_name     => 'emp_ols_pol',
   comp_num        => '85',
   short_name      => 'FINCL',
   long_name       => 'FINANCIAL');
END;
/

5.3.6 ポリシー・グループ・コンポーネントについて

グループでは、EASTERN_REGION、WESTERN_REGION、WR_SALESなど、データを所有する組織またはデータにアクセスする組織を識別します。

特定の部門に関連するすべてのデータに、その部門のグループをラベル付けすることができます。グループは、データを制御された方法で配布したり、組織の変更に適切なタイミングで対処する場合に役立ちます。会社組織の再編時には、データ・アクセス権も再編成に沿って適切に変更できます。

グループは階層型です。組織のインフラストラクチャに基づいてデータにラベルを付けることができます。つまり、グループを親グループに対応付けることができます。

図5-2は、次のような組織階層に対応するグループ・セットを定義する方法を示しています。

図5-2 グループの例

「図5-2 グループの例」の説明

WESTERN_REGIONグループには、3つのサブグループWR_SALES、WR_HUMAN_RESOURCESおよびWR_FINANCEが含まれています。WR_FINANCEサブグループは、WR_ACCOUNTS_RECEIVABLEおよびWR_ACCOUNTS_PAYABLEに分割されています。

表5-6に、この例の組織構造をOracle Label Securityのグループの書式で表す方法を示します。グループに割り当てられた数値書式は表示順序のみに影響します。階層(つまり、親子関係)を別々に指定します。最初にリストされるグループWESTERN_REGIONは、表の残りのグループの親グループです。

表5-6 グループの例

数値	詳細名	短縮名	親グループ
1000	WESTERN_REGION	WR
1100	WR_SALES	WR_SAL	WR
1200	WR_HUMAN_RESOURCES	WR_HR	WR
1300	WR_FINANCE	WR_FIN	WR
1310	WR_ACCOUNTS_PAYABLE	WR_AP	WR_FIN
1320	WR_ACCOUNTS_RECEIVABLE	WR_AR	WR_FIN

表5-7に、グループを指定する際に使用する必要のある書式を示します。

表5-7 グループ指定の書式

書式	説明
数値	グループの数値の範囲は0から9999で、ポリシーごとに一意である必要があります。 数値は、ランキングを示すわけではありません。また、親子関係も機密性レベルも示しません。単に、ラベル文字列でのグループの短縮名の表示順序を制御します。 たとえば、表5-6にリストしたようにレベルSENSITIVE、区分CHEMICAL、グループWESTERN_REGIONおよびWR_HUMAN_RESOURCESを持つラベルが作成されているとします。このラベルを文字列で表示すると、次のようになります。 S:CHEM:WR,WR_HR 1000は1200より前に位置するため、WRはWR_HRより前に表示されます。
詳細名	グループの詳細名は80文字以内です。
短縮名	短縮名は30文字以内です。

グループはオプションです。ラベルには10,000グループまで含むことができます。

すべてのラベルにグループは必要ではありません。データの機密性を分析すると、一部のグループが特定のレベルでのみ使用されている場合があります。たとえば、HIGHLY_SENSITIVEおよびCONFIDENTIALラベルはグループなしで指定し、SENSITIVEラベルはグループを含むように指定できます。

5.3.7 ポリシー・データ・ラベル・グループの作成

SA_COMPONENTS.CREATE_GROUPプロシージャは、データ・ラベル・グループを作成します。

• 必要なデータ・ラベル・グループごとにSA_COMPONENTS.CREATE_GROUPプロシージャを実行します。

次の例では、最初のCREATE_GROUPプロシージャは親グループWRを作成し、2番目のプロシージャはparent_nameパラメータを使用して2番目のグループをWRグループに関連付けます。

BEGIN
 SA_COMPONENTS.CREATE_GROUP (
  policy_name     => 'emp_ols_pol',
  group_num       => 1000,
  short_name      => 'WR',
  long_name       => 'WESTERN_REGION');
END;
/
BEGIN
 SA_COMPONENTS.CREATE_GROUP (
  policy_name     => 'emp_ols_pol',
  group_num       => 1100,
  short_name      => 'WR_SAL',
  long_name       => 'WR_SALES',
  parent_name     => 'WR');
END;
/

5.3.8 名前付きデータ・ラベルへのポリシー・コンポーネントの関連付けについて

データ・ラベル・コンポーネントを定義した後、データ・ラベルを既存のレベルと関連付けることにより、データ・ラベルそのものを作成できます。

オプションで、この関連付けに区分とグループを含めることもできます。

Oracle Enterprise Manager Cloud ControlまたはSA_LABEL_ADMIN.CREATE_LABELプロシージャを使用できます。ラベルの文字列表現の構文は、次のとおりです。

level:compartment1,...,compartmentn:group1,...,groupn

ラベルを指定するテキスト文字列は、英数字、空白およびアンダースコアを含めて4,000文字以内です。ラベル名は、大文字/小文字を区別します。そのため大文字、小文字または大/小文字両方で入力できますが、文字列がデータ・ディクショナリに格納され、表示されるときには大文字が使用されます。各コンポーネントのセットをコロンで区切ります。この構文では、後続のデリミタを入力する必要はありません。

たとえば、次のような有効なラベルを作成できます。

SENSITIVE:FINANCIAL,CHEMICAL:EASTERN_REGION,WESTERN_REGION
CONFIDENTIAL:FINANCIAL:VP_GRP
SENSITIVE
HIGHLY_SENSITIVE:FINANCIAL 
SENSITIVE::WESTERN_REGION

5.3.9 名前付きデータ・ラベルへのポリシー・コンポーネントの関連付け

SA_LABEL_ADMIN.CREATE_LABELプロシージャは、データ・ラベルを作成します。

• ポリシー名およびポリシー・コンポーネントの詳細を指定してSA_LABEL_ADMIN.CREATE_LABELを実行します。

たとえば:

BEGIN
 SA_LABEL_ADMIN.CREATE_LABEL  (
  policy_name     => 'emp_ols_pol',
  label_tag       => '1310',
  label_value     => 'S:FINCL,CHEM:ER,WR',
  data_label      => TRUE);
END;
/

この例では、label_value設定は短縮名書式であり、次の詳細名書式に変換されます。

SENSITIVE:FINANCIAL,CHEMICAL:EASTERN_REGION,WESTERN_REGION

データ・ラベルを作成する場合、2つの追加アクションが発生します。

• ラベルが有効なデータ・ラベルとして自動的に指定されます。この機能では、データに割当て可能なラベルが制限されます。Oracle Label Securityでは、Oracle Internet Directoryで事前定義済のデータ・ラベルから、有効なデータ・ラベルを実行時に動的に作成することもできます。ただし、ほとんどのユーザーは、データ・ラベルの増加を制限するために、ラベルを手動で作成する方法を選択します。

• ラベルを表すテキスト文字列に数値ラベル・タグが関連付けられます。保護されている表のポリシー・ラベル列には、テキスト文字列ではなく、このラベル・タグが格納されます。

  ノート:

  Oracle Internet Directoryを使用しないOracle Label Securityインストールでは、有効なデータ・ラベルの動的作成にはTO_DATA_LABELファンクションを使用します。また、その使用は厳密に制御する必要があります。

5.4 ステップ3: ラベル・セキュリティ・ポリシーのユーザーの認可

Oracle Label Securityポリシーで保護されているデータにユーザーがアクセスできるように、事前にユーザーを認可しておく必要があります。

• ラベル・セキュリティ・ポリシーのユーザーの認可について
  ユーザーを認可する場合、データ・ラベルの定義方法に基づいて行データにアクセスできるようにします。
• レベルの認可について
  デフォルト、最小および最大の認可レベルを明示的に設定できます。
• レベルの認可
  SA_USER_ADMIN.SET_LEVELSプロシージャは、ポリシー・レベル・コンポーネントに対してユーザーを認可します。
• 区分の認可について
  特定のレベルに対してユーザーを認可した後、オプションでセッション・ラベルに追加する区分を指定できます。
• 区分の認可
  SA_USER_ADMIN.SET_COMPARTMENTSプロシージャは、区分コンポーネントに対してユーザーを認可します。
• グループの認可について
  ユーザーがセッション・ラベルに配置できるグループのリストを指定できます。
• グループの認可
  SA_USER_ADMIN.SET_GROUPSプロシージャは、ポリシー・グループに対してユーザーを認可します。

5.4.1 ラベル・セキュリティ・ポリシーのユーザーの認可について

ユーザーを認可する場合、データ・ラベルの定義方法に基づいて行データにアクセスできるようにします。

まず、ラベルに関連付けられる各レベル、区分およびグループについてユーザーの認可を設定します。ユーザーに現在付与されている権限は、DBA_SA_USER_PRIVSデータ・ディクショナリ・ビューを問い合せることで確認できます。

5.4.2 レベルの認可について

デフォルト、最小および最大の認可レベルを明示的に設定できます。

表5-8 管理者が設定する認可レベル

認可	意味
最大レベル	ユーザーが読取りおよび書込み操作中にアクセスできる機密性の最大ランキング。
最小レベル	ユーザーが書込み操作中にアクセスできる機密性の最小ランキング。最大レベルは最小レベル以上に設定する必要があります。
デフォルト・レベル	Oracle Databaseへの接続時にデフォルトで想定されるレベル
デフォルト行レベル	Oracle Databaseへのデータの挿入時にデフォルトで使用されるレベル

たとえば、ユーザーhprestonに対して次の認可レベルを設定できます。

タイプ	短縮名	詳細名	説明
最大値	HS	HIGHLY_SENSITIVE	ユーザーの最上位レベル
最小値	P	PUBLIC	ユーザーの最下位レベル
デフォルト	C	CONFIDENTIAL	ユーザーのデフォルト・レベル
行	C	CONFIDENTIAL	INSERTの行レベル

5.4.3 レベルの認可

SA_USER_ADMIN.SET_LEVELSプロシージャは、ポリシー・レベル・コンポーネントに対してユーザーを認可します。

レベルを指定する場合は、詳細名ではなく簡易名を常に使用する必要があります。

• ポリシー名、ユーザー名およびレベルを指定して、レベルを認可するためのSA_USER_ADMIN.SET_LEVELSを実行します。

たとえば:

BEGIN
 SA_USER_ADMIN.SET_LEVELS (
  policy_name   => 'ols_admin_pol',
  user_name     => 'hpreston', 
  max_level     => 'HS',
  min_level     => 'P',
  def_level     => 'C',
  row_level     => 'C');
END;
/

5.4.4 区分の認可について

特定のレベルに対してユーザーを認可した後、オプションでセッション・ラベルに追加する区分を指定できます。

区分ごとに、書込みアクセス権を明示的に指定する必要があります。ユーザーは、書込み認可を持たない区分を含む行を直接挿入、更新または削除することはできません。

たとえば、ユーザーhprestonに対して次の認可区分を設定できます。

短縮名	詳細名	書込み	デフォルト	行
CHEM	CHEMICAL	あり	あり	なし
FINCL	FINANCIAL	あり	あり	なし
OP	OPERATIONAL	あり	あり	あり

5.4.5 区分の認可

SA_USER_ADMIN.SET_COMPARTMENTSプロシージャは、区分コンポーネントに対してユーザーを認可します。

区分を指定する場合は、詳細名ではなく簡易名を常に使用する必要があります。

• ポリシー名、ユーザー名および区分の詳細を指定して、区分に対してユーザーを認可するためのSA_USER_ADMIN.SET_COMPARTMENTSを実行します。

たとえば:

BEGIN
 SA_USER_ADMIN.SET_COMPARTMENTS (
  policy_name   => 'ols_admin_pol',
  user_name     => 'hpreston', 
  read_comps    => 'FINCL',
  write_comps   => 'FINCL',
  def_comps     => 'FINCL',
  row_comps     => 'FINCL');
END;
/

このプロシージャを実行した後で、SA_USER_ADMIN.ADD_COMPARTMENTSプロシージャを実行することで追加区分に対してユーザーを認可できます。

5.4.6 グループの認可について

ユーザーがセッション・ラベルに配置できるグループのリストを指定できます。

リストに含めるグループごとに、書込みアクセス権を明示的に指定する必要があります。

たとえば、次の認可グループを設定できます。

短縮名	詳細名	書込み	デフォルト	行	親
WR_HR	WR_HUMAN_RESOURCES	あり	あり	あり	WR
WR_AP	WR_ACCOUNTS_PAYABLE	あり	あり	なし	WR_FIN
WR_AR	WR_ACCOUNTS_RECEIVABLE	あり	あり	なし	WR_FIN

5.4.7 グループの認可

SA_USER_ADMIN.SET_GROUPS プロシージャは、ポリシー・グループに対してユーザーを認可します。

• ポリシー名、ユーザー名および目的の認可を指定して、ユーザーを認可するためのSA_USER_ADMIN.SET_GROUPSを実行します。グループを指定する場合は、詳細名ではなく簡易名を使用する必要があります。

たとえば:

BEGIN
 SA_USER_ADMIN.SET_GROUPS (
  policy_name   => 'ols_admin_pol',
  user_name     => 'hpreston', 
  read_groups   => 'WR_AP',
  write_groups  => 'WR_AP',
  def_groups    => 'WR_AP',
  row_groups    => 'WR_AP');
END;
/

5.5 ステップ4: ユーザーおよびトラステッド・ストアド・プログラム・ユニットへの権限の付与

Oracle Label Securityポリシーで保護されているデータをユーザーが読み取ることができるように、READなどの権限をユーザーに付与できます。

• ポリシーのユーザーおよびトラステッド・プログラム・ユニットへの権限の付与について
  ポリシー・レベル、区分およびグループに対してユーザーを認可した後で、ユーザー権限を付与する準備ができます。
• ユーザーへの権限の付与
  SA_USER_ADMIN.SET_USER_PRIVSプロシージャは、ユーザーに権限を付与します。
• トラステッド・プログラム・ユニットへの権限の付与
  SA_USER_ADMIN.SET_PROG_PRIVSプロシージャは、トラステッド・プログラム・ユニットに権限を付与します。

5.5.1 ポリシーのユーザーおよびトラステッド・プログラム・ユニットへの権限の付与について

ポリシー・レベル、区分およびグループに対してユーザーを認可した後で、ユーザー権限を付与する準備ができます。

トラステッド・プログラム・ユニットは、Oracle Label Security権限を付与されているファンクション、プロシージャまたはパッケージです。トラステッド・ストアド・プログラム・ユニットの作成方法は、標準的なプロシージャ、ファンクションまたはパッケージを作成する場合と同じで、CREATE PROCEDURE、CREATE FUNCTIONまたはCREATE PACKAGEおよびCREATE PACKAGE BODYの各文を使用します。プログラム・ユニットは、Oracle Label Security権限を付与するとトラステッド・プログラム・ユニットになります。

表5-9に、ユーザーまたはトラステッド・ストアド・プログラム・ユニットに付与できる権限のサマリーを示します。

表5-9 Oracle Label Securityの権限

セキュリティ権限	説明
READ	ポリシーで保護されている全データへの読取りアクセスを許可します。
FULL	ポリシーで保護されている全データへの完全な読取りおよび書込みアクセスを許可します。
COMPACCESS	行のグループから独立して、行の区分で認可されているデータへのセッション・アクセスを許可します。
PROFILE_ACCESS	セッションに対して、そのラベルと権限を別のユーザーのラベルおよび権限に変更することを許可します。
WRITEUP	ユーザーに対して、行ラベル内でそのユーザーが認可されている最大レベル以下のレベルのみの設定または引上げを許可します。(LABEL_UPDATEがアクティブな場合にのみアクティブです。)
WRITEDOWN	ユーザーに対して、行ラベル内でそのユーザーが認可されている最小レベル以上のレベルへの設定または引下げを許可します。(LABEL_UPDATEがアクティブな場合にのみアクティブです。)
WRITEACROSS	ユーザーに対して、行ラベルのグループと区分の設定または変更は許可し、レベルの変更は禁止します。(LABEL_UPDATEがアクティブな場合にのみアクティブです。)

5.5.2 ユーザーへの権限の付与

SA_USER_ADMIN.SET_USER_PRIVSプロシージャは、ユーザーに権限を付与します。

• ポリシー名、ユーザー名および付与する権限を指定して、SA_USER_ADMIN.SET_USER_PRIVSを実行します。

たとえば:

BEGIN
 SA_USER_ADMIN.SET_USER_PRIVS(
  policy_name   => 'ols_admin_pol',
  user_name     => 'hpreston', 
  privileges    => 'WRITEDOWN');
END;
/

5.5.3 トラステッド・プログラム・ユニットへの権限の付与

SA_USER_ADMIN.SET_PROG_PRIVSプロシージャは、トラステッド・プログラム・ユニットに権限を付与します。

• ポリシー名、スキーマ名、プログラム・ユニット名および付与する権限を指定して、権限を付与するためのSA_USER_ADMIN.SET_PROG_PRIVSを実行します。

たとえば:

BEGIN
 SA_USER_ADMIN.SET_PROG_PRIVS (
  policy_name         => 'oe_ols_pol',
  schema_name         => 'oe',
  program_unit_name   => 'check_order_updates',
  privileges          => 'READ');
END;
/

5.6 ステップ5: データベース表またはスキーマへのポリシーの適用

Oracle Label Securityポリシーに対する認可および権限を付与した後は、それをデータベース表またはスキーマに適用できます。

• データベース表またはスキーマへのポリシーの適用について
  表にポリシーを適用すると、ポリシーは自動的に有効になります。
• スキーマへのポリシーの適用
  SA_POLICY_ADMIN.APPLY_TABLE_POLICYプロシージャは、ポリシーをスキーマ内の表かスキーマ全体のどちらかに適用します。

5.6.1 データベース表またはスキーマへのポリシーの適用について

表にポリシーを適用する場合、ポリシーは自動的に有効になります。

ポリシーを無効にすると保護がオフになりますが、ポリシーは表に適用されたままになります。ポリシーを有効にすると、特定の表またはスキーマに対するそのポリシーの保護がオンになり、強制されます。

ポリシーを削除すると、表またはスキーマから完全に削除されます。ただし、ポリシーのラベル列およびそのラベルは、明示的に削除しないかぎり表に残ります。

今後スキーマに作成できる表のデフォルトのポリシー強制オプションを変更できます。ただし、この変更は、スキーマにある既存の表のポリシー施行オプションには反映されません。

既存の表の強制オプションを変更するには、最初に表からポリシーを削除し、目的の変更を行ってから、ポリシーを表に再適用します。

外部表に対してOracle Label Securityポリシーを強制することはできません。

ポリシー・コンポーネントを作成し、ユーザー認証、権限およびそれらの監査を構成した後で、ポリシーをデータベース表またはスキーマ全体に適用できます。

ポリシーをデータベース表に適用する場合、ポリシー名およびターゲット・スキーマ表に加えて、次の情報を指定する必要があります。

• table_options: 表に使用するポリシー強制オプションのカンマ区切りのリストです。NULLの場合は、ポリシーのデフォルト・オプションが使用されます。

• label_function: デフォルトとして使用するラベル値を戻すファンクションをコールする文字列です。たとえば、my_label(:new.dept,:new.status)を指定すると、行のDEPT列とSTATUS列の新規の値に基づいてラベルが計算されます。

• predicate: READ_CONTROLのラベルベースの述語と(ANDまたはORを使用して)結合する追加の述語です。

スキーマでOracle Label Securityのポリシーを使用する場合は、次の側面に注意してください。

• ポリシーを空のスキーマに適用すると、そのスキーマ内で表を作成するたびにポリシーが適用されます。ポリシーをスキーマに適用すると、選択したデフォルト・オプションは追加するすべての表に適用されます。

• 保護を解除するために表からポリシーを削除してから、SA_POLICY_ADMIN.ENABLE_SCHEMA_POLICYを実行しても、その表の保護は解除されたままになります。表を再び保護する場合は、その表にポリシーを適用するか、スキーマにポリシーを再適用する必要があります。

すでにポリシーで保護されている表を含むスキーマにポリシーを適用すると、将来のすべての表には、ポリシーの適用時に指定した新規オプションが設定されます。既存の表に設定されていたオプションは変更されません。

5.6.2 スキーマへのポリシーの適用

SA_POLICY_ADMIN.APPLY_TABLE_POLICYプロシージャは、ポリシーをスキーマ内の表かスキーマ全体のどちらかに適用します。

• ポリシー名、スキーマ名および必要なオプションを指定して、ポリシーをスキーマに適用するためのSA_POLICY_ADMIN.APPLY_TABLE_POLICYを実行します。

次の例に、SA_POLICY_ADMIN.APPLY_TABLE_POLICYプロシージャを使用してols_admin_polポリシーをHR.EMPLOYEES表に適用する方法を示します。

BEGIN
 SA_USER_ADMIN.APPLY_TABLE_POLICY (
  policy_name    => 'ols_admin_pol',
  schema_name    => 'hr', 
  table_name     => 'employees',
  table_options  => 'READ_CONTROL,WRITE_CONTROL,CHECK_CONTROL',
  label_function => ''hr.gen_emp_label(:new.department_id,:new.salary',
  predicate      => NULL);
END;
/

この例では、SA_POLICY_ADMIN.APPLY_SCHEMA_POLICYプロシージャを使用してポリシーをスキーマ全体に適用する方法を示します。

BEGIN
 SA_USER_ADMIN.APPLY_SCHEMA_POLICY (
  policy_name      => 'ols_admin_pol',
  schema_name      => 'hr', 
  default_options  => NULL);
END;
/

5.7 ステップ6: 表の行へのポリシー・ラベルの追加

ポリシー・ラベルを表の行に追加する必要があります。

• 表の行へのポリシー・ラベルの追加について
  ポリシーを表に適用した後は、データ・ラベルを表の行に追加する必要があります。
• 表の行へのポリシー・ラベルの追加
  ポリシー・ラベルを追加する表を更新する必要があります。

5.7.1 表の行へのポリシー・ラベルの追加について

ポリシーを表に適用した後は、データ・ラベルを表の行に追加する必要があります。

これらのラベルは、以前に表内に作成したポリシーのラベル列に格納されています。表を更新するユーザーには、ポリシーに対するFULLセキュリティ権限が必要です。通常、このユーザーは表の所有者です。

5.7.2 表の行へのポリシー・ラベルの追加

ポリシー・ラベルを追加する表を更新する必要があります。

1. 表にデータ・ラベルを追加するには、SQL*Plusで、次の構文を使用してUPDATE文を入力します。

   UPDATE table_name
   SET ols_column = CHAR_TO_LABEL('ols_policy','data_label')
   WHERE UPPER(table_column) IN (column_data);
   

   たとえば、LABCSYSがACCESS_LOCATIONSというポリシーを作成した後、HR.LOCATIONS表の北京、東京およびシンガポールの各都市にラベルSENSを追加するとします。ポリシーのラベル列はROW_LABELであるとします。UPDATE文は、次のようになります。

   UPDATE LOCATIONS
   SET ROW_LABEL = CHAR_TO_LABEL('ACCESS_LOCATIONS','SENS')
   WHERE UPPER(city) IN ('BEIJING', 'TOKYO', 'SINGAPORE');
   

2. 次のSELECT文を実行して、ポリシーが表に追加されたことを確認します。

   SELECT LABEL_TO_CHAR (ROW_LABEL) FROM LOCATIONS;

5.8 ステップ7: (オプション)監査の構成

SA_USER_ADMIN P/L SQLパッケージを使用することにより、Oracle Label Securityポリシーを監査できます。

• 監査の構成について
  ポリシーに対してユーザーを認可し、権限を付与した後で、各ユーザーおよびポリシー自体について監査を構成できます。
• 監査の構成
  SA_USER_ADMIN.AUDITプロシージャは、非統合監査環境でユーザーに対して監査を構成します。

5.8.1 監査の構成について

ポリシーに対してユーザーを認可し、権限を付与した後で、各ユーザーおよびポリシー自体について監査を構成できます。

統合監査が有効になっていない場合は、この項の手順を使用して監査を構成します。有効になっている場合は、『Oracle Databaseセキュリティ・ガイド』の説明に従って統合監査ポリシーを作成する必要があります。

表5-10で、使用可能な監査オプションについて説明します。

表5-10 Oracle Label Securityの監査オプション

オプション	説明
APPLY	表およびスキーマに対する指定したOracle Label Securityポリシーの適用を監査します。
REMOVE	表およびスキーマからの指定したOracle Label Securityポリシーの削除を監査します。
SET	ユーザー認証およびユーザーとプログラムの権限の設定を監査します。
PRIVILEGES	ポリシー固有のすべての権限の使用を監査します。

5.8.2 監査の構成

SA_USER_ADMIN.AUDITプロシージャは、非統合監査環境でユーザーに対して監査を構成します。

• ポリシー名、1人以上のユーザー、および適切な監査オプションを指定して、ユーザーの監査を構成するためのSA_USER_ADMIN.AUDITを実行します。

たとえば:

BEGIN
 SA_USER_ADMIN.AUDIT(
  policy_name   => 'ols_admin_pol',
  users         => 'hpreston', 
  audit_option  => 'REMOVE',
  audit_type    => 'BY ACCESS',
  success       => NULL);
END;
/

5.9 Enterprise Manager Cloud Controlを使用したOLSポリシーの作成

Oracle Enterprise Manager Cloud ControlでOracle Label Securityポリシーを作成できます。

• Cloud Controlを使用したラベル・セキュリティ・ポリシー・コンテナの作成
  Cloud ControlでOracle Label Securityポリシー・コンテナを作成できます。
• Cloud Controlを使用したポリシー・コンポーネントの作成
  ポリシーのコンテナを作成し、その強制オプションを設定した後は、ポリシーに区分を作成できます。
• Cloud Controlを使用したポリシーのデータ・ラベルの作成
  Cloud ControlでOracle Label Securityポリシーのデータ・ラベルを作成できます。
• Cloud Controlを使用したポリシーに対するユーザーの認可、権限付与および監査
  ユーザー作成プロセスで、ポリシーのユーザーに対して認可、権限の付与、および監査の設定を行うことができます。
• Cloud Controlを使用したトラステッド・プログラム・ユニットへの権限の付与
  Cloud Controlで、トラステッド・プログラム・ユニットに権限を付与できます。
• Cloud Controlを使用したデータベース表へのポリシーの適用
  Cloud Controlで、Oracle Label Securityポリシーをデータベース表に適用できます。
• Cloud Controlを使用した表の行へのポリシー・ラベルの適用
  Cloud Controlで、Oracle Label Securityポリシー・ラベルを表の行に適用できます。
• Cloud Controlを使用したOracle Label Securityポリシーの監査
  統合監査を使用している場合以外は、Cloud ControlでOracle Label Securityポリシーを監査できます。

5.9.1 Cloud Controlを使用したラベル・セキュリティ・ポリシー・コンテナの作成

Cloud ControlでOracle Label Securityポリシー・コンテナを作成できます。

1. ユーザーSYSTEMとしてCloud Controlにログインします。
2. 使用するデータベースに移動するには、「ターゲット」メニューから「データベース」を選択します。
3. 表示されたリストで、データベース名をクリックします。

   データベースのページが表示されます。

4. 「管理」メニューで、「セキュリティ」、「Oracle Label Security」の順に選択します。「Label Securityポリシー」ページが表示されます。

   適切な資格証明でデータベースにログインする必要があります。LBACSYSアカウントの資格証明を使用できます。

5. 「作成」をクリックし、新しいLabel Securityポリシーの作成を開始します。「Label Securityポリシーの作成」ページが表示されます。
6. ポリシーの名前、ラベル列およびデフォルトのポリシー施行オプションを定義します。

   • 名前: ポリシーの名前を入力します(たとえば、ACCESS_LOCATIONS)。

   • ラベル列: (オプション) OLS_COLUMNなど、ラベル列の名前を入力します。列名を指定せずにOLSポリシーを作成した場合、列名はPol_name_COLとして自動生成されます。後で表にポリシーを適用する際に、ラベル列がその表に追加されます。デフォルトでは、ポリシーのラベル列のデータ型はNUMBER(10)です。NUMBER(10)データ型の既存の表の列をラベル列として指定することもできます。

   • ラベル列の非表示: 列を非表示にする場合に選択します。ポリシーを初めて作成する場合、ポリシーの開発中は「ラベル列の非表示」を無効にできます。ポリシーが完成し使用準備が整った時点で、アプリケーションに対して透過的になるように列を非表示にします。

   • 有効: ポリシーを有効または無効に切り替えます。

   • デフォルトのポリシー強制オプション: ポリシーの適用時に、デフォルトのポリシー強制オプションが使用されます。これらのオプションが、ポリシーを適用するアプリケーションのニーズと一致していることを確認してください。

     次のオプションから選択します。

     • ポリシー強制を適用しない(NO_CONTROL)

     • ポリシー強制の適用

       すべての問合せ用(READ_CONTROL)

       INSERT操作用(INSERT_CONTROL)

       UPDATE操作用(UPDATE_CONTROL)

       ラベル列の更新にセッションのデフォルト・ラベルを使用(LABEL_DEFAULT)

       ラベル列を更新する操作(LABEL_UPDATE)

       読取りアクセスが可能になるUPDATEおよびINSERT操作(CHECK_CONTROL)

7. 「OK」をクリックします。

   新しいポリシーが「Oracle Label Securityポリシー」ページに表示されます。

5.9.2 Cloud Controlを使用したポリシー・コンポーネントの作成

ポリシーのコンテナを作成し、その強制オプションを設定した後は、ポリシーに区分を作成できます。

1. 「Oracle Label Securityポリシー」ページで、前述のステップで作成したポリシーを選択します。「編集」をクリックします。
2. 「Label Securityポリシーの編集」ページで、「ラベル・コンポーネント」タブを選択します。
3. 「レベル」の下の「5行追加」をクリックし、ポリシーのレベルを追加します。作成する各レベルに対して、詳細名、短縮名および数値タグを入力します。この数値タグは、レベルの機密性に対応しています。レベルをさらに作成する場合は、「5行追加」を再度クリックします。同じステップを使用して、区分と行を作成します。区分とグループの場合、数値タグは機密性に対応していません。

   少なくとも1つのレベル(SECRETなど)を作成する必要があります。区分とグループの作成はオプションです。

   レベル番号は、対応しているラベルの機密性レベルを示します。番号が大きいほど機密性が大きいことを意味します。セキュリティ・ポリシーに追加のレベルが必要になる場合に備えて、後で拡張できるような数値の範囲を選択します。たとえば、レベルをPUBLIC (7000)およびSENSITIVE (8000)として作成すると、後でCONFIDENTIALという中間レベルを作成することになった場合に、このレベルに対して7500という数値を割り当てることができます。

   区分は、データに関連付けられているカテゴリを識別し、レベル内にさらに細分化したレベルを提供します。たとえば、1つの表に様々な部門に対応したデータがあり、そのデータを分類するために区分が必要な場合があります。区分はオプションです。

   グループは、データを所有する組織またはデータにアクセスする組織を識別します。グループは、データを制御された方法で配布したり、組織の変更に適切なタイミングで対処する場合に役立ちます。グループはオプションです。

4. 「適用」をクリックします。

5.9.3 Cloud Controlを使用したポリシーのデータ・ラベルの作成

Cloud ControlでOracle Label Securityポリシーのデータ・ラベルを作成できます。

1. 「Label Securityポリシー」ページで、ラベルをレベルにリンクする必要のあるポリシーを選択します。
2. 「アクション」ボックスで、「データ・ラベル」を選択します。「実行」をクリックします。

   「データ・ラベル」ページが表示されます。

3. 「追加」をクリックします。

   「データ・ラベルの作成」ページが表示されます。

4. 次の情報を入力します。

   • 数値タグ: ラベルを一意に識別する番号を入力します。この番号は、すべてのポリシーにわたって一意である必要があります。

   • レベル: リストからレベルを選択します。

5. 必要に応じて、ラベルに追加する区分を選択できます。区分を追加するには、「区分」の下の「追加」をクリックします。ラベルに追加する区分を選択します。「選択」をクリックして区分を追加します。
6. オプションで、グループを追加するには、「グループ」の下の「追加」をクリックします。ラベルに追加するグループを選択します。「選択」をクリックしてグループを追加します。
7. 「データ・ラベルの作成」ページの「OK」をクリックします。

   「データ・ラベル」ページにデータ・ラベルが表示されます。

8. 追加のデータ・ラベルを作成するには、ステップ3から7を繰り返します。

また、SA_LABEL_ADMINパッケージを使用してポリシーのラベル・コンポーネントを定義できます。

関連項目:

SA_LABEL_ADMINラベル管理PL/SQLパッケージ

5.9.4 Cloud Controlを使用したポリシーに対するユーザーの認可、権限付与および監査

ユーザー作成プロセスで、ポリシーのユーザーに対して認可、権限の付与、および監査の設定を行うことができます。

1. 「Label Securityポリシー」ページで、認可が必要なポリシーを選択します。
2. 「アクション」ボックスで、「認可」を選択します。「実行」をクリックします。

   「ユーザーの作成」ページが表示されます。

3. 次の手順でユーザーを追加します。

   • 「データベース・ユーザー」の下の「追加」をクリックします。「検索と選択」ウィンドウで、目的のユーザーを選択して「選択」をクリックします。

   • 「データベース以外のユーザー」については、その下の「5行追加」をクリックし、追加対象となるデータベース以外のユーザーのユーザー名を追加します。ほとんどのアプリケーション・ユーザーは、データベース以外のユーザーと考えられます。データベース以外のユーザーはデータベースには存在しません。Oracle Databaseの命名方式に一致し、VARCHAR2(30)の長さのフィールドに適合していれば、どのユーザー名も追加できます。ただし、アプリケーションがデータベースに接続する際、データベース以外のユーザーに関するセキュリティ情報は自動的に構成されないことに注意してください。この場合、アプリケーションでは、Oracle Label Securityのファンクションをコールして、実質的なデータベース・ユーザーでない特定ユーザーのラベル認可を想定する必要があります。

4. 「ユーザーの作成」ページで、認可するユーザーを選択します。「次へ」をクリックします。複数のユーザーが同じ認可を必要としている場合は、同じ認可を必要とするすべてのユーザーを選択します。「次へ」をクリックします。

   「権限」ステップが表示されます。

5. ここでは、前述のステップで選択したユーザーに権限を割り当てることができます。権限によって、データベース・ユーザーはポリシーで施行される特定の制約をバイパスできます。付与する権限を選択します。「次へ」をクリックします。

   ユーザーに権限を割り当てない場合は、権限を選択せずに「次へ」をクリックします。

   「レベル、区分およびグループ」ステップが表示されます。

6. 次に、ユーザーのユーザー・ラベルを作成するには、「レベル」で懐中電灯のアイコンを使用して次のフィールドに入力するデータを選択します。

   • 最大レベル: このユーザーに対する読取りおよび書込みアクセスの最上位レベルを入力します。

   • 最小レベル: 書込みアクセスの最下位レベルを入力します。

   • デフォルト・レベル: ユーザーがログインする際のデフォルトのレベルを入力します。

     最小レベル以上かつ最大レベル以下の値を指定します。

   • 行レベル: ユーザーが表に書き込む際の、行に指定されるレベルを入力します。

7. 「区分」で「追加」をクリックして、ユーザー・ラベルに区分を追加します。追加する区分を選択します。「選択」をクリックします。
8. 追加する各区分については、次のプロパティを選択できます。

   • 書込み: ユーザーは、その区分をラベルの一部として持つデータに書き込むことができます。

   • デフォルト: その区分を、ユーザーのデフォルトのセッション・ラベルに追加します。

   • 行: ユーザーが表に書き込む際に、その区分をデータ・ラベルに追加します。

9. 「グループ」の下の「追加」をクリックし、グループをユーザー・ラベルに追加します。グループを選択し、「選択」をクリックします。
10. 追加する各グループについては、次のプロパティを選択できます。

    • 書込み: ユーザーは、そのグループをラベルの一部として持つデータに書き込むことができます。

    • デフォルト: そのグループを、ユーザーのデフォルトのセッション・ラベルに追加します。

    • 行: ユーザーが表に書き込む際に、そのグループをデータ・ラベルに追加します。

11. 「次へ」をクリックします。

    「監査」ステップが表示されます。

12. 次の監査オプションから選択します。

    • 適用されたポリシー:

      「成功時に監査」では、表またはスキーマへのポリシー適用で、成功した適用について監査します。アクセスごとに監査する場合はACCESSを、セッションごとに監査する場合はSESSIONを選択します。

      「失敗時に監査」では、表またはスキーマへのポリシーの適用で、失敗した適用について監査します。アクセスごとに監査する場合はACCESSを、セッションごとに監査する場合はSESSIONを選択します。

    • 削除されたポリシー:

      「成功時に監査」では、表またはスキーマからのポリシーの削除で、成功した削除について監査します。アクセスごとに監査する場合はACCESSを、セッションごとに監査する場合はSESSIONを選択します。

      「失敗時に監査」では、表またはスキーマからのポリシーの削除で、失敗した削除について監査します。アクセスごとに監査する場合はACCESSを、セッションごとに監査する場合はSESSIONを選択します。

    • 設定されたラベルと権限:

      「成功時に監査」では、ユーザーの認証および権限の設定で、成功した設定について監査します。アクセスごとに監査する場合はACCESSを、セッションごとに監査する場合はSESSIONを選択します。

      「失敗時に監査」では、ユーザーの認証および権限の設定で、失敗した設定について監査します。アクセスごとに監査する場合はACCESSを、セッションごとに監査する場合はSESSIONを選択します。

    • すべてのポリシー固有の権限:

      「成功時に監査」では、ポリシー権限の使用で、成功した使用について監査します。アクセスごとに監査する場合はACCESSを、セッションごとに監査する場合はSESSIONを選択します。

      「失敗時に監査」では、ポリシー権限の使用で、失敗した使用について監査します。アクセスごとに監査する場合はACCESSを、セッションごとに監査する場合はSESSIONを選択します。

13. 「次へ」をクリックします。
14. ポリシー認可設定を確認できます。ポリシー認可を作成するには、「終了」をクリックします。「戻る」をクリックして、認可設定を変更することもできます。

また、SA_USER_ADMINパッケージを使用してユーザーを認可する方法もあります。

5.9.5 Cloud Controlを使用したトラステッド・プログラム・ユニットへの権限の付与

Cloud Controlで、トラステッド・プログラム・ユニットに権限を付与できます。

1. 「Label Securityポリシー」ページで、認可が必要なポリシーを選択します。
2. 「アクション」ボックスで、「認可」を選択します。「実行」をクリックします。

   「認可」ページが表示されます。

3. 「トラステッド・プログラム・ユニット」タブをクリックします。
4. 「追加」をクリックして、プロシージャ、ファンクションまたはパッケージに対するOracle Label Security権限を追加します。

   「プログラム・ユニットの作成」ページが表示されます。

5. 「プログラム・ユニット」フィールドに、権限を付与する必要があるプロシージャ、ファンクションまたはパッケージの名前を入力します。「検索」アイコンを使用して、プロシージャ、ファンクションまたはパッケージを検索することもできます。
6. プログラム・ユニットに付与する必要があるポリシー固有の権限を1つ以上選択します。「OK」をクリックします。

   「認可」ページに、トラステッド・プログラム・ユニットが追加されます。

また、SA_USER_ADMINパッケージを使用してトラステッド・プログラム・ユニットを認可する方法もあります。

5.9.6 Cloud Controlを使用したデータベース表へのポリシーの適用

Cloud Controlで、Oracle Label Securityポリシーをデータベース表に適用できます。

1. 「Label Securityポリシー」ページで、表に適用する必要があるポリシーを選択します。
2. 「アクション」ボックスから「適用」を選択します。「実行」をクリックします。

   「適用」ページが表示されます。

3. ポリシーを表に適用するには、「表」タブを選択します。

   ポリシーをスキーマに適用する場合は「スキーマ」タブを選択します。手順は、ポリシーを表に適用する場合と同じです。

4. 「作成」をクリックします。

   「表の追加」ページが表示されます。

5. 「表」ボックスの横にある懐中電灯アイコンをクリックします。
6. 「検索と選択」ウィンドウの「検索」の下に、次の情報を入力します。

   • スキーマ: 表が表示されるスキーマの名前を入力します。このフィールドを空のままにすると、すべてのスキーマの表が表示されます。

   • 名前: 必要に応じて表の名前を入力します。このボックスを空のままにすると、スキーマ内のすべての表が表示されます。

   ワイルドカードを使用して検索範囲を絞り込むには、パーセント(%)符号を使用します。たとえば、Oの文字で開始する表をすべて検索するには、O%と入力します。

7. 表を選択し、「選択」をクリックします。

   「表の追加」ページが表示されます。

8. 次の情報を入力します。

   • ポリシー強制オプション: 必要に応じて施行オプションを選択します。これらのオプションは、「ステップ1: ラベル・セキュリティ・ポリシー・コンテナの作成」でポリシーを作成したときに選択した強制オプションに加えて表に適用されます。

     施行オプションを変更しない場合、つまり、前述のステップで作成した内容と同じ施行オプションを使用する場合は、「デフォルトのポリシー強制を使用」を選択します。施行オプションをさらに追加する場合は、リストされている他のオプションを選択します。

   • Labeling Function: (オプション)新しい行または更新された行に関連付けるラベルを自動的に計算する、ラベル付けの関数を指定します。アクティブなラベル付けの関数は、ラベルを提供する他の方法よりも優先されるため、この関数は常に実行され、ポリシーに書き込まれたデータ・ラベルを提供します。

   • 述語: 必要に応じて、READ_CONTROLのラベルベースの述語と(ANDまたはORを使用して)結合する追加の述語を指定します。

9. 「OK」をクリックします。

5.9.7 Cloud Controlを使用した表の行へのポリシー・ラベルの適用

Cloud Controlで、Oracle Label Securityポリシー・ラベルを表の行に適用できます。

1. 「ラベル・セキュリティ・ポリシー」ページで、ACCESS_LOCATIONSなどのポリシーを選択します。
2. 「アクション」ボックスから「認可」を選択します。「実行」をクリックします。

   「認可」ページが表示されます。

3. 「追加」をクリックします。

   「ユーザーの作成」ページが表示されます。

4. 「データベース・ユーザー」の下の「追加」をクリックします。

   「検索と選択」ウィンドウが表示されます。

5. 表を所有するユーザーに対応するチェック・ボックスを選択します。「選択」をクリックします。

   追加されたユーザーが「ユーザーの作成」ページにリストされます。

6. 「次へ」をクリックします。

   「権限」ステップが表示されます。

7. ユーザーに対して適切な権限を選択し、「次へ」をクリックします。

   ラベル、区分およびグループ・ページが表示されます。

8. 「次へ」をクリックします。

   「監査」ステップが表示されます。

9. 「次へ」をクリックします。

   「確認」ステップが表示されます。

10. 「終了」をクリックします。

5.9.8 Cloud Controlを使用したOracle Label Securityポリシーの監査

統合監査を使用している場合以外は、Cloud ControlでOracle Label Securityポリシーを監査できます。

1. 「Label Securityポリシー」ページで、構成する必要があるポリシーを選択します。
2. 「編集」をクリックします。

   Label Securityポリシー設定の編集ページが表示されます。

3. 「詳細」タブをクリックします。「監査」セクションの下の監査設定を編集します。
4. ユーザー・セッション・ラベルを監査表に含める場合は、「監査ラベル」の下の「ラベルを監査証跡に含める」を選択します。
5. 「監査設定」の下で、監査する「操作」を選択します。次の操作から選択できます。

   • 適用されたポリシー: 表またはスキーマに対するポリシーの適用を監査します。

   • 削除されたポリシー: 表またはスキーマからのポリシーの削除を監査します。

   • 設定されたラベルと権限: ユーザーの認証と権限の設定を監査します。

   • すべてのポリシー固有の権限: ポリシー権限の使用を監査します。

6. 「適用されたポリシー」の下の「追加」をクリックして、前述のステップで選択した「操作」に対して監査されるユーザーを追加します。

   「検索と選択」ウィンドウが表示されます。

7. 追加する必要があるユーザーを選択します。「選択」をクリックします。
8. 追加するユーザーごとに、「成功時に監査」および「失敗時に監査」の値を選択します。

   追加したユーザーごとに、選択した操作の成功したインスタンスの監査および失敗したインスタンスの監査を選択できます。アクセスごとに監査するか、セッションごとに監査するかも選択できます。

9. 監査する操作ごとに、ステップ5から8を繰り返します。