4 Oracle Database Applianceをセキュアに保つ方法
この章で説明されているポリシーおよび手順に従って、Oracle Database Applianceをセキュアに保ってください。
内容は次のとおりです。
- 「ハードウェアの保護」
Oracleでは、ここで説明するセキュリティ・ポリシーを実装してハードウェアへのアクセスを制限することをお薦めします。 - 「ソフトウェアの保護」
Oracleでは、ソフトウェアを保護するためにソフトウェア・ポリシーを実装することをお薦めします。 - 「安全な環境の維持」
アプライアンスにセキュリティ・ポリシーおよびメソッドを実装した後、これらのトピックを参照して、セキュアな環境を維持する方法を理解してください。
ハードウェアの保護
ここで説明されているセキュリティ・ポリシーを実装して、ハードウェアへのアクセスを制限することをお薦めします。
Oracle Database Applianceのインストール後は、ハードウェアを保護します。
ハードウェアの保護方法と手順
-
Oracle Database Applianceと関連する設備は、ロックがかけられアクセスが制限された部屋に設置します。
-
ホットプラガブルまたはホットスワップ可能なデバイスは、容易に取り外せる設計になっているため、アクセスを制限します。
-
SSHリスニング・ポートは管理ネットワークおよびプライベート・ネットワークに限定します。
-
SSHプロトコル2 (SSH-2)および連邦情報処理規格140-2 (FIPS 140-2)で承認されている暗号を使用します。
-
SSHの許可された認証メカニズムに限定します。 デフォルトでは、本質的にセキュリティ保護されていないSSH認証メカニズムを無効にします。
-
FRUなど、コンピュータ・ハードウェアのすべての重要アイテムにマークを付けます。
-
Oracle Database Applianceのコンポーネントのシリアル番号を記録し、記録を安全な場所に保管します。 Oracle Database Applianceのすべてのコンポーネントにシリアル番号があります。
ソフトウェアの保護
ソフトウェア・ポリシーを実装して、ソフトウェアを保護することをお薦めします。
アプライアンス・ソフトウェアのセキュリティ機能やポリシーを確認、実装します。
Oracle Database Applianceオペレーティング・システムおよびサーバー・セキュリティ・ポリシー
-
サイトにシステムを設置したら、すべてのデフォルト・パスワードを変更します。
Oracle Database Applianceは、初期インストールとデプロイメントに、広く知られているデフォルトのパスワードを使用します。 デフォルトのパスワードを有効のままにしておくと、装置への不正なアクセスにつながる可能性があります。 ネットワーク・スイッチなどのデバイスは、複数のユーザー・アカウントを持ちます。 ラック内のコンポーネントの、すべてのアカウント・パスワードを変更してください。
-
個々のユーザーに対してOracle Integrated Lights Out Manager (ILOM)のユーザー・アカウントを作成し使用します。
ILOMのユーザー・アカウントを使用することで、監査証跡に明確な識別情報を残し、管理者がチームまたは会社を離れているときの保守を減少できます。
-
USBポート、ネットワーク・ポートおよびシステム・コンソールへの物理アクセスを制限します。
サーバーおよびネットワーク・スイッチにはポートとコンソール接続があり、これによってシステムに直接アクセスできます。
-
ネットワークを介したシステム再起動の機能を制限します。
-
『Oracle Databaseセキュリティ・ガイド』に説明されている利用可能なデータベース・セキュリティ機能を有効にします。
Oracle Databaseセキュリティ機能
Oracle Database Applianceは、レガシー・プラットフォームにインストールされたOracle Databaseで利用できる、すべてのセキュリティ機能を活用できます。 Oracle Databaseのセキュリティ製品および機能には、次のものがあります。
-
Oracle Advanced Security
-
データ・マスキング
-
Oracle Database Firewall
-
Oracle Database Vault
-
Oracle Label Security
-
Oracle Secure Backup
-
Oracle Total Recall
- Oracle Audit Vault Oracle Database Applianceで直接実行するようにOracle Audit Vaultが構成されていない場合があることに注意してください。 かわりに、別のサーバーで実行されるOracle Audit Vaultのインスタンスを使用するようにOracle Database Applianceを構成できます。
お客様は、Oracleの権限ユーザーおよびマルチファクタ・アクセス制御、データ分類、透過的データ暗号化、監査、監視およびデータ・マスキングを使用して、既存のアプリケーションの変更が不要な、信頼できるデータ・セキュリティ・ソリューションをデプロイできます。
セキュアな環境の維持
セキュリティ・ポリシーおよびその方法を実装したら、次の内容を確認し、セキュアな環境を維持する方法を理解してください。
内容は次のとおりです。
- 「セキュアな環境について」
Oracleでは、安全な環境を維持するために、操作および管理のアクセス・ポリシーを定期的に確認および更新することをお薦めします。 - 「ネットワーク・セキュリティの管理」
セキュリティ・ガイドラインに基づいてネットワークを構成したら、定期的な確認とメンテナンスを実行して、セキュアなホストおよびILOMの設定をそのまま維持し、有効にします。 - 「ソフトウェアおよびファームウェアの更新」
Oracleでは通常、新しいリリースやパッチ・セットでのセキュリティ機能強化が導入されています。 - 「Oracle Database Applianceの外部でのデータ・セキュリティの確認」
データを外部ストレージにバックアップする際のセキュリティ・プラクティスに従ってください。
セキュアな環境について
業務および管理のアクセス・ポリシーを定期的に見直し、更新してセキュアな環境を維持します。
セキュリティ・ポリシーとその機能を実装したら、組織内でセキュリティ・レビュー・ポリシーを設定することをお薦めします。 セキュリティ・ポリシーの一環として、ソフトウェア、ハードウェア、ユーザー・アクセスを定期的に更新し確認してください。
たとえば、Oracle Database Applianceやデプロイされた関連サービスへのアクセスを許可されたユーザーおよび管理者をすべてチェックします。 各ユーザーおよび管理者に許可したアクセスと権限のレベルが適切であることを確認します。
定期的にセキュリティ・レビューを行わないと、ロールの変更またはデフォルト設定の変更によって、個々に付与したアクセスのレベルが意図しないうちに高くなる可能性があります。 業務および管理のタスクへのアクセス権を定期的に確認することをお薦めします。 定期的に確認することで、ユーザー・レベルで許可されたアクセスが各ユーザーの役割と責務に合っているか確認できます。
親トピック: 安全な環境の維持
ネットワークのセキュリティの維持
セキュリティのガイドラインに基づいてネットワークを構成した後は、ホストとILOMのセキュリティが完全に保護されて有効な状態が保たれるよう、定期的に確認と保守をします。
ローカルおよびリモートでのシステム・アクセスのセキュリティを確認するには、次のガイドラインに従います。
-
管理ネットワークのスイッチを構成するファイルの管理はオフラインで行い、ファイルへのアクセスは権限の付与された管理者のみに制限します。
-
構成ファイルには、各設定について説明するコメントを加えます。 構成ファイルの静的コピーを、ソース・コードの管理システムに保持することを検討してください。
-
アクセス制御リストを使用して、適切に制限を適用します。
-
長時間セッションのタイムアウトを設定し、権限レベルを設定します。
-
ローカルおよびリモートでのスイッチへのアクセスに、認証、認可、アカウント(AAA)機能を使用します。
-
侵入検出システム(IDS)アクセスに、スイッチのポート・ミラー化機能を使用します。
-
ポート・セキュリティを実装してMACアドレスに基づいてアクセスを限定します。 Oracle Database Applianceに接続するすべてのスイッチについて、すべてのポートの自動トランキングを無効にします。
-
リモート構成を、SSHを使用する特定のIPアドレスに限定します。
-
最低限のパスワードの複雑さのルールとパスワード有効期限ポリシーを設定して、ユーザーに強いパスワードの使用を義務付けます。
-
ログ記録を有効にし、ログを専用のセキュアなログホストに送信します。
-
NTPとタイムスタンプを使用して、ログ記録に正確な時刻情報を含めるように構成します。
-
ログでインシデント発生の可能性を確認し、組織のセキュリティ・ポリシーに従ってログをアーカイブします。
親トピック: 安全な環境の維持
ソフトウェアおよびファームウェアの更新
セキュリティ拡張は、新しいリリースおよびパッチ・セットによって定期的に導入されます。
有効でプロアクティブなパッチ管理は、システム・セキュリティの重要な部分です。 ソフトウェアの最新リリースと、すべての必要なセキュリティ・パッチを、設備にインストールすることをお薦めします。
ベースライン・セキュリティを確立するには、Oracleが推奨するソフトウェアやセキュリティ・パッチのみを適用することをお薦めします。
親トピック: 安全な環境の維持
Oracle Database Appliance外部のデータ・セキュリティの保証
データを外部記憶装置にバックアップする際は、セキュリティ・プラクティスに従ってください。
データを外部記憶装置にバックアップできます。 バックアップをオフサイトのセキュアな場所に保管することをお薦めします。 バックアップは、組織のポリシーおよび要件に沿って保持します。
古いディスク・ドライブを廃棄するときは、ドライブを物理的に破壊するか、ドライブ上のすべてのデータを完全に消去します。 ファイルの削除またはディスク・ドライブの再フォーマットでは、ドライブ上のアドレス・テーブルが削除されるだけです。 ファイルの削除またはディスク・ドライブの再フォーマット後も、ドライブから情報を復元できます。 交換したディスク・ドライブやフラッシュ・ドライブをオラクル社へ返却せずに手元に残しておきたい場合は、Oracle Database Applianceディスク保管サポート・オプションをご利用ください。
親トピック: 安全な環境の維持