Oracle® Key Vault

リリース・ノート

リリース18.1

F18596-02(原本部品番号:E99979-06)

2019年7月

リリース・ノートには、このリリースのOracle Key Vaultの新機能、最新の製品ソフトウェアおよびドキュメントのダウンロード方法、およびOracle Key Vaultの既知の問題の対処方法が記載されています。

• Oracle Key Vaultのこのリリースの変更点
  
• Oracle Key Vaultのソフトウェアおよびドキュメントのダウンロード
  
• 既知の問題
  
• Oracle Key Vaultに関する考慮事項
  
• サポート対象データベースのバージョン
  
• リリース18.1.0.0.0に含まれているクリティカル・パッチ更新
  
• ドキュメントのアクセシビリティについて
  

1.1 Oracle Key Vaultのこのリリースの変更点

Oracle Key Vaultリリース18.1では、大規模な企業でOracle Key Vaultの使用を強化するいくつかの新機能が導入されています。

• マルチマスター・クラスタ
  
• FIPSモードのサポート
  
• RESTful APIの機能拡張
  
• 用語の変更
  

1.1.1 マルチマスター・クラスタ

Oracle Key Vaultリリース18.1では、マルチマスター・クラスタ機能が導入されました。この機能はアクティブ-アクティブの高可用性ソリューションを提供し、データ・センター間および地理的リージョン間にまたがって展開して、障害時リカバリ、および読取りと書込みのキー管理操作の高可用性を提供できます。また、マルチマスター・クラスタ機能を使用すると、データベース・エンドポイントの観点では停止時間がゼロになります。

1.1.2 FIPSモードのサポート

現在、Oracle Key Vaultは、暗号化モジュールのFIPS検証を取得中です。セキュリティが強化されるFIPS 140-2準拠モード(FIPSモード)で動作するようにOracle Key Vaultをインストールできます。FIPSモードを使用するようにOracle Key Vaultをインストールしていない場合、システム管理者ロールを持つユーザーがOracle Key Vault管理コンソールからOracle Key Vaultを有効または無効にできます。

1.1.3 RESTful APIの機能拡張

Oracle Key Vault RESTfulサービス・ユーティリティを使用すると、大規模な分散型デプロイメントのエンドポイントのエンロール、仮想ウォレット管理などのOracle Key Vault管理タスクを自動化できます。Oracle Key Vault 18.1では、ユーザーはキーの管理タスク(エンドポイントのキーの作成、非アクティブ化、キーの削除など)を自動化することもできます。

1.1.4 用語の変更

Oracle Key Vaultリリース18.1からは、以前に高可用性と呼ばれていた構成が、プライマリ/スタンバイと呼ばれるようになりました。

1.2 Oracle Key Vaultのソフトウェアおよびドキュメントのダウンロード

最新バージョンのOracle Key Vaultのソフトウェアおよびドキュメントはいつでもダウンロードできます。

• Oracle Key Vaultインストール・ソフトウェアのダウンロード
  
• Oracle Key Vaultのドキュメントのダウンロード
  

1.2.1 Oracle Key Vaultインストール・ソフトウェアのダウンロード

新規インストールの場合は、Software Delivery CloudからOracle Key Vaultソフトウェアをダウンロードできます。このパッケージは、Oracle Key Vaultのアップグレードには使用できません。既存のOracle Key Vault 12.2デプロイメントからのアップグレードの場合は、Oracle Key Vaultのアップグレード・ソフトウェアをMy Oracle Support Webサイトからダウンロードできます。

1. WebブラウザでOracle Software Delivery Cloudポータルにアクセスします。

   https://edelivery.oracle.com

2. 「Sign In」をクリックし、入力を求められたら、「User ID」および「Password」に入力します。
3. 「All Categories」メニューで、「Release」を選択します。次のフィールドで、「Oracle Key Vault」と入力して、「Search」をクリックします。
4. 表示されたリストから「Oracle Key Vault 18.1.0.0.0」を選択し、「Oracle Key Vault 18.1.0.0.0」の横にある「+Add to Cart」ボタンをクリックします。
   ダウンロードがカートに追加されます。(カートの中身を確認するには、画面の右上にある「View Cart」をクリックします。)
5. 「Checkout」をクリックします。
6. 次のページでインストール・パッケージの詳細を確認して、「Continue」をクリックします。
7. 「Oracle Standard Terms and Restrictions」ページで、契約条件を読み、同意した後、「I have reviewed and accept the terms of the Commercial License, Special Programs License, and/or Trial License」を選択して「Continue」をクリックします。

   ダウンロード・ページが表示され、次のOracle Key Vault ISOファイルがリストされます。

   • Vpart_number.iso (Oracle Key Vault 18.1.0.0.0 - ディスク1)

   • Vpart_number.iso (Oracle Key Vault 18.1.0.0.0 - ディスク2)

8. 「Print」ボタンの右側にある「View Digest Details」をクリックします。

   2つのISOファイルのリストを展開すると、各ISOファイルのSHA-1およびSHA-256のチェックサム参照番号が表示されます。

9. SHA-256チェックサム参照番号をコピーし、後で参照するために保存します。
10. 「Download」をクリックして、ISOファイルを保存する場所を選択します。
    各ファイルを個別に保存するには、名前をクリックしてダウンロードする場所を指定します。
11. 「Save」をクリックします。

    両方のISOファイルのサイズの合計は4 GBを超えるため、ネットワーク速度によってはダウンロードに時間がかかることがあります。ダウンロードの推定時間と推定速度が「File Download」ダイアログ・ボックスに表示されます。

12. ISOファイルが指定した場所にダウンロードされたら、ダウンロードされたファイルのSHA-256チェックサムを確認します。
    1. LinuxまたはUnixマシンから、最初のVpart_number.isoのSHA256チェックサムを生成します。

       $ sha256sum Vpart_number.iso

       チェックサムが、ステップ9で「File Download」ダイアログ・ボックスからコピーした値と一致することを確認します。

    2. 2番目のVpart_number.isoのSHA-256チェックサムを生成します。

       $ sha256sum Vpart_number.iso

       チェックサムが、ステップ9で「File Download」ダイアログ・ボックスからコピーした値と一致することを確認します。

13. 必要に応じて、2つのVpart_number.isoファイルをそれぞれDVD-ROMディスクに書き込み、ディスクにラベルを付けます。

    • OKV 18.1 ディスク 1

    • OKV 18.1 ディスク2

これで、サーバー・マシンにOracle Key Vaultをインストールできます。

1.2.2 Oracle Key Vaultのドキュメントのダウンロード

1. Oracleドキュメント・サイトにアクセスします。

   https://docs.oracle.com/en/database/

2. 「Related Products」を選択します。
3. 「Database Security」セクションで、リリース・ノートを含む最新バージョンのOracle Key Vault 18.1ドキュメントを検索してダウンロードします。

1.3 既知の問題

このリリースの時点で、Oracle Key Vaultにはまれな状況で発生する可能性がある問題があります。各問題の回避策が提供されます。

• マルチマスター・クラスタの問題
  
• 一般的な問題
  

1.3.1 マルチマスター・クラスタの問題

この項では、マルチマスター・クラスタ構成に固有のOracle Key Vaultの問題について説明します。

• OKVクラスタで複数のシステム障害が発生した後に、レプリケーションの再開が失敗することがある
  
• 候補ノードに変換された後にOKVシステムで変更されたシステム設定がコントローラ・ノードに反映されない
  
• OKV 18.1: コントローラ・ノードが候補ノードに接続できない場合、ノードの追加の中断に1時間かかる
  
• OKV 18.1: コントローラ以外のノードの「Cluster Management」ページで候補者ノードをクリックすると、間違ったページにリダイレクトされる
  
• OKVサーバー間のクラスタの作成がHSMで失敗する
  
• 同じパスフレーズを使用してHSMから逆移行すると、エラー「ORA-20101: Failed To Change Recovery Passphrase」が発生する
  
• ペアリング中のエラーがOracle Key Vault管理コンソールに伝播されない
  
• OKVサーバー証明書作成の再試行
  

1.3.1.1 OKVクラスタで複数のシステム障害が発生した後に、レプリケーションの再開が失敗することがある

問題: GoldenGateのバグ29624366が原因で、Oracle Key Vaultクラスタで複数のシステム障害が発生した後に、一部のノードからのレプリケーションの再開に失敗することがあります。特に、これが発生すると、GoldenGateのReplicatが終了し、GoldenGate証跡ファイルの新しい変更ログを処理できません。

回避策: そのようなReplicatの位置を手動で変更して、証跡ファイル内のエラーのあるレコードをスキップするか、障害の発生したOracle Key Vaultノードをクラスタから強制的に削除し、新しいノードを追加してそれに置き換えます。

バグ番号: 29700647

1.3.1.2 候補ノードに変換された後にOKVシステムで変更されたシステム設定がコントローラ・ノードに反映されない

問題: Oracle Key Vaultシステムが候補ノードに変換された後にシステム設定が変更され、コントローラ・ノードがその候補ノードの設定を最初に検証しようとして失敗した場合、更新された設定がコントローラ・ノードに反映されません。ペアリング処理を中断して、候補ノードを再インストールする必要があります。

回避策: なし。候補ノードに変換してクラスタに追加する前に、Oracle Key Vaultシステムの設定がクラスタの設定と一致していることを確認します。

バグ番号: 29430349

1.3.1.3 OKV 18.1: コントローラ・ノードが候補ノードに接続できない場合、ノードの追加の中断に1時間かかる

問題: マルチマスター・クラスタにノードを追加しようとしているときに、コントローラ・ノードが候補ノードへの接続に失敗すると、ノードの追加の中断に非常に長い時間がかかることがあります。これは、最終的に失敗して中断が開始される前に、コントローラ・ノードが候補ノードに繰り返し接続しようとしているためです。

回避策: 早く中断されるようにするための回避策はありません。

バグ番号: 29688831

1.3.1.4 OKV 18.1: コントローラ以外のノードの「Cluster Management」ページで候補者ノードをクリックすると、間違ったページにリダイレクトされる

問題: 「Cluster Management」ページの「Cluster Details」表でマルチマスター・クラスタにノードを追加するとき、コントローラ・ノード以外のノードで候補ノードの名前をクリックすると、候補ノードではなく「Add Node to Cluster」ページにリダイレクトされます。

回避策: 「Cluster Details」表で候補ノードの名前をクリックするかわりに、URLを使用して候補ノードに直接移動します。

バグ番号: 29669752

1.3.1.5 OKVサーバー間のクラスタの作成がHSMで失敗する

問題: 16文字を超えるリカバリ・パスフレーズが原因で、コントローラと候補ノードの両方がHSM対応の場合にノード・インダクション・プロセスが失敗しました。

回避策: パッチ29792398に関する情報を、Oracleサポートにお問い合せください。

バグ番号: 29792398

1.3.1.6 同じパスフレーズを使用してHSMから逆移行すると、エラー「ORA-20101: Failed To Change Recovery Passphrase」が発生する

問題: クラスタ内にないときにHSMから逆移行する場合、新旧のリカバリ・パスフレーズの入力に同じリカバリ・パスフレーズを使用すると不適切なエラーが発生します。

回避策: パッチ29792398に関する情報を、Oracleサポートにお問い合せください。

バグ番号: 29799098

1.3.1.7 ペアリング中のエラーがOracle Key Vault管理コンソールに伝播されない

問題: ペアリング中のエラーがOracle Key Vault管理コンソールに伝播されません。

回避策: ペアリングが進行せずに1つのステップで非常に長い時間がかかっている場合、ペアリングが失敗したかどうかを確認してください。これには、ペアリングを開始する前にコントローラと候補ノードの両方でSSHを有効にする必要があります。次のステップで各ノードにログオンします。

1. SSHを使用して、supportユーザーとしてOracle Key Vaultサーバーに接続します。

   ssh support@Oracle_Key_Vault_IP_address

2. ユーザーをrootユーザーに切り替えます。

   su - root

3. ステータス・ファイルの内容を表示してエラー・メッセージを検索し、ペアリングが失敗したかどうかを判断します。
   • 候補ノードにいる場合は、new_node_status.txtファイルの内容を表示します。

     cat /var/okv/log/mmha/new_node_status.txt

   • コントローラ・ノードにいる場合は、welcome_node_status.txtファイルの内容を表示します。

     cat /var/okv/log/mmha/welcome_node_status.txt

1.3.1.8 OKVサーバー証明書作成の再試行

問題: Oracle Key Vault 18.1のマルチマスター・クラスタに新しいノードを追加しようとすると、候補ノードのログ・ファイルに「okv_enroll_cert: Error creating cert」エラーが表示されて、断続的に障害が発生することがあります。

回避策: ペアリングを中断します。コントローラ・ノードにパッチ22993467を適用します。候補ノードにOracle Key Vault 18.1を再インストールするか、候補ノードとして別の新しくインストールしたOracle Key Vault 18.1システムを使用します。候補者ノードでもパッチ22993467を適用し、クラスタに再度追加してみます。

バグ番号: 29968244

パッチ番号: 22993467

1.3.2 一般的な問題

この項では、Oracle Key Vaultに関する一般的な問題について説明します。

• DNSサーバーがHSMにアクセスするように構成されている場合、データベースをオープンできない
  
• HP-UXシステムで、SELECT FROM V$ENCRYPTION_KEYSを実行するとORA-28407が返されることがある
  
• OKV 12.2 BP1: 複数回ログインに失敗すると、ユーザーがロックされ、ログイン不能になる
  
• 問題の修正後もリストにOKVアラートが表示される
  
• Java Keystoreがokvutilユーティリティの-oオプションを使用してアップロードされた場合、秘密キーが上書きされない
  
• OKV 18.1へのアップグレードが次のいずれかのエラーで失敗する
  

1.3.2.1 DNSサーバーがHSMにアクセスするように構成されている場合、データベースをオープンできない

問題: ユーザーは管理コンソールを使用してDNSサーバーを構成できます。ただし、DNSサーバーに依存してHSMにアクセスする場合、HSMが開始されたときにデータベースのオープンに失敗します。

回避策: DNSサーバーのエントリを/etc/resolv.confに追加します。管理サーバーを使用して同じDNSサーバーを追加します(「System」タブ→「System Settings」ページ→「DNS」セクション)。または、HSMのIPアドレスを指定できます。

バグ番号: 24478865

1.3.2.2 HP-UXシステムで、SELECT FROM V$ENCRYPTION_KEYSを実行するとORA-28407が返されることがある

問題: HP-UXオペレーティング・システムで、長時間実行されているデータベース・プロセスまたはセッションで実行された次のような透過的データ暗号化(TDE)問合せで、ORA-28407 ハードウェア・セキュリティ・モジュール・エラーが検出されましたというエラーが発生することがあります。

SELECT * FROM V$ENCRYPTION_KEYS;

これは、PTHREAD_KEYS_MAX設定によって制御されるプロセスごとのキーの合計数に関するシステムによる制限にプロセスが達したか、超過したため、システムがそれ以上スレッド固有のデータ・キーを作成できなかったためです。通常、PTHREAD_KEYS_MAXは128に設定されています。

回避策: データベース・セッションを切り替えて、TDE問合せを再実行します。セッションを切り替えることができない場合は、データベースおよびリスナーを開始する前に、PTHREAD_USER_KEYS_MAXに16384を設定します。

バグ番号: 28270280

1.3.2.3 OKV 12.2 BP1: 複数回ログインに失敗すると、ユーザーがロックされ、ログイン不能になる

問題: 現在のパスワード・ポリシーでは、ユーザーがパスワードを連続して3回間違って入力した場合、ユーザー・アカウントが1日間ロックされます。このため、そのユーザーは24時間のロックアウト期間が経過した後にのみログインできます。

回避策: パスワードをメモし、安全に保管して参照できるようにします。

バグ番号: 23300720

1.3.2.4 問題の修正後もリストにOKVアラートが表示される

問題: ユーザーがパスワードを変更した後でも、ユーザー・パスワードの期限切れのアラートが引き続き表示されます。

回避策: Oracle Key Vault管理コンソールで、「Reports」、「Configure Reports」の順に選択します。「User Password Expiration」オプションの選択を解除します。または、アラートを無視します。

バグ番号: 27620622

1.3.2.5 Java Keystoreがokvutilユーティリティの-oオプションを使用してアップロードされた場合、秘密キーが上書きされない

問題: okvutil uploadコマンドの-oオプションを使用して、Java keystore (JKS)またはJava Cryptography Extension keystore (JCEKS)をOracle Key Vaultサーバーにアップロードした場合、ユーザー定義のキーは上書きされません。

回避策: ウォレットから秘密キーを削除し、そのキーを再度アップロードします。

バグ番号: 26887060

1.3.2.6 OKV 18.1へのアップグレードが次のいずれかのエラーで失敗する

問題: OKV 18.1へのアップグレードがログ・ファイル内の次のいずれかのエラーで失敗します。

ORA-02437: cannot validate KEYVAULT.ACCESS_MAPPING_PK) - primary key violated

または

Populate KEYVAULT.AO_OBJGRP_CREATOR
...more output...
ORA-01403: no data found

回避策: システムをバックアップから元の状態にリストアします。指示に従ってシステムにパッチ22975725を適用し、アップグレードを再試行します。

バグ番号: 29912855

1.4 Oracle Key Vaultに関する考慮事項

Oracle Key Vault 18.1の動作の詳細および変更点を次に示します。

• Oracle TDEとOracle Key Vaultの統合
  
• レポートがマルチマスター・クラスタの監査レプリケーションの影響を受ける
  
• マルチマスター・クラスタでの更新は単一インスタンスでの更新より遅い
  

1.4.1 Oracle TDEとOracle Key Vaultの統合

使用しているOracle DatabaseのバージョンおよびTDEの機能によっては、スムーズな運用のためにOracleデータベースにパッチ適用する必要がある場合があります。

MOS-NOTEのドキュメントID 2535751.1を参照して、使用しているデプロイメントにデータベース・パッチが必要かどうかを確認します。

MOS-NOTEには、Oracle Key Vaultをキーストアとして使用するように構成されたOracle Database Transparent Data Encryption (TDE)機能の既知の問題がリストされています。このドキュメントには問題を解決するための修正もリストされており、Oracle Database TDEとOracle Key Vaultをよりスムーズに統合できます。問題は、不具合、簡略化された操作によるユーザーの負荷の軽減、またはTDEとOKVの統合の改善です。このドキュメントは、データベース管理者、およびOracle Key Vaultを使用してTDEマスター・キーを管理する担当のユーザーを対象としています。

1.4.2 レポートがマルチマスター・クラスタの監査レプリケーションの影響を受ける

ホームページのOracle Key Vaultのレポートおよび詳細は、Oracle Key Vault監査レコードから生成されます。監査レプリケーションがオフにされている場合、各ノードにはそのノードで行われた操作のレポートが表示されます。監査レプリケーションがオンにされている場合、各ノードにはクラスタのすべてのノードで行われた操作のレポートが表示されます。

監査レプリケーションをオフにして、Oracle Audit Vault and Database Firewall (AVDF)などのセキュリティ情報およびイベント管理(SIEM)ソリューションを使用して、すべてのノードから監査レコードを収集することをお薦めします。

1.4.3 マルチマスター・クラスタでの更新は単一インスタンスでの更新より遅い

マルチマスター・クラスタの更新ではオブジェクトの存在がチェックされることがあり、クラスタ内のすべてのノードがスキャンされて更新操作が遅くなります。時間はクラスタ内のノード数に比例して増加します。更新は完了までに数分かかることがあります。

TDEマスター暗号化キーの設定およびローテーションが、更新操作の例です。

1.5 サポートされるデータベースのバージョン

次のバージョンのOracle Databaseは、Oracle Key Vault 18.1でサポートされます。

• 互換性パラメータを11.2に設定したOracle DB 11.2
• 互換性パラメータを11.2に設定したOracle DB 12.1
• Oracle DB 12.2
• Oracle DB 18c
• Oracle DB 19c

1.6 リリース18.1.0.0.0に含まれているクリティカル・パッチ更新

Oracle Key Vaultリリース18.1では、Oracle Database 18 (18.6 DB RU)の2019年4月のリリース・アップデートを組み込むために、基盤となっているインフラストラクチャが更新されました。詳細についてはサインインしてください。

https://www.oracle.com/technetwork/security-advisory/cpuapr2019-5072813.html

Oracle Key Vaultリリース18.1には、JavaおよびOracle Linux (OL)オペレーティング・システムのセキュリティおよび安定性に関する修正も含まれています。

1.7 ドキュメントのアクセシビリティについて

Oracleのアクセシビリティについての詳細情報は、Oracle Accessibility ProgramのWeb サイト(http://www.oracle.com/pls/topic/lookup?ctx=acc&id=docacc)を参照してください。

Oracleサポートへのアクセス

サポートをご契約のお客様には、My Oracle Supportを通して電子支援サービスを提供しています。詳細情報はhttp://www.oracle.com/pls/topic/lookup?ctx=acc&id=infoか、聴覚に障害のあるお客様はhttp://www.oracle.com/pls/topic/lookup?ctx=acc&id=trsを参照してください。

---

Oracle Key Vaultリリース・ノート, リリース18.1

F18596-02

Copyright © 2013, 2019, Oracle and/or its affiliates. All rights reserved.

このソフトウェアおよび関連ドキュメントの使用と開示は、ライセンス契約の制約条件に従うものとし、知的財産に関する法律により保護されています。ライセンス契約で明示的に許諾されている場合もしくは法律によって認められている場合を除き、形式、手段に関係なく、いかなる部分も使用、複写、複製、翻訳、放送、修正、ライセンス供与、送信、配布、発表、実行、公開または表示することはできません。このソフトウェアのリバース・エンジニアリング、逆アセンブル、逆コンパイルは互換性のために法律によって規定されている場合を除き、禁止されています。

ここに記載された情報は予告なしに変更される場合があります。また、誤りが無いことの保証はいたしかねます。誤りを見つけた場合は、オラクル社までご連絡ください。

このソフトウェアまたは関連ドキュメントを、米国政府機関もしくは米国政府機関に代わってこのソフトウェアまたは関連ドキュメントをライセンスされた者に提供する場合は、次の通知が適用されます。

U.S. GOVERNMENT END USERS: Oracle programs, including any operating system, integrated software, any programs installed on the hardware, and/or documentation, delivered to U.S. Government end users are "commercial computer software" pursuant to the applicable Federal Acquisition Regulation and agency-specific supplemental regulations. As such, use, duplication, disclosure, modification, and adaptation of the programs, including any operating system, integrated software, any programs installed on the hardware, and/or documentation, shall be subject to license terms and license restrictions applicable to the programs. No other rights are granted to the U.S. Government.

このソフトウェアもしくはハードウェアは様々な情報管理アプリケーションでの一般的な使用のために開発されたものです。このソフトウェアもしくはハードウェアは、危険が伴うアプリケーション(人的傷害を発生させる可能性があるアプリケーションを含む)への用途を目的として開発されていません。このソフトウェアもしくはハードウェアを危険が伴うアプリケーションで使用する際、安全に使用するために、適切な安全装置、バックアップ、冗長性(redundancy)、その他の対策を講じることは使用者の責任となります。このソフトウェアもしくはハードウェアを危険が伴うアプリケーションで使用したことに起因して損害が発生しても、オラクル社およびその関連会社は一切の責任を負いかねます。

OracleおよびJavaはOracle Corporationおよびその関連企業の登録商標です。その他の名称は、それぞれの所有者の商標または登録商標です。

Intel、Intel Xeonは、Intel Corporationの商標または登録商標です。すべてのSPARCの商標はライセンスをもとに使用し、SPARC International, Inc.の商標または登録商標です。AMD、Opteron、AMDロゴ、AMD Opteronロゴは、Advanced Micro Devices, Inc.の商標または登録商標です。UNIXはThe Open Groupの登録商標です。

このソフトウェアまたはハードウェア、そしてドキュメントは、第三者のコンテンツ、製品、サービスへのアクセス、あるいはそれらに関する情報を提供することがあります。適用されるお客様とOracle Corporationとの間の契約に別段の定めがある場合を除いて、Oracle Corporationおよびその関連会社は、第三者のコンテンツ、製品、サービスに関して一切の責任を負わず、いかなる保証もいたしません。適用されるお客様とOracle Corporationとの間の契約に定めがある場合を除いて、Oracle Corporationおよびその関連会社は、第三者のコンテンツ、製品、サービスへのアクセスまたは使用によって損失、費用、あるいは損害が発生しても一切の責任を負いかねます。