このリリースでの『Oracle Database Advanced Securityガイド』の変更点
ここでは、次の内容について説明します。
Oracle Database Advanced Security 20cにおける変更点
Oracle Database 20cの『Oracle Database Advanced Securityガイド』の変更点は次のとおりです。
- 更新されたPKCS#11ライブラリへのスイッチオーバーのためのダウンタイムなしのデータベース可用性の強化
このリリース以降、Oracle Databaseでは、システム停止時間を発生させることなく、更新されたPKCS#11ライブラリに切替えることができます。 - デフォルトの表領域暗号化アルゴリズムを設定する機能
TABLESPACE_ENCRYPTION_DEFAULT_ALGORITHM動的パラメータを設定して、表領域作成操作のデフォルトの暗号化アルゴリズムを定義できるようになりました。
更新されたPKCS#11ライブラリへのスイッチオーバーのためのダウンタイムなしのデータベース可用性の強化
このリリース以降、Oracle Databaseでは、システム停止時間を発生させることなく、更新されたPKCS#11ライブラリにスイッチオーバーできます。
このリリースでは新しいADMINISTER KEY MANAGEMENT SWITCHOVER TO LIBRARY FOR ALL CONTAINERS 'updated_fully_qualified_file_name_of_library' FOR ALL CONTAINERS;文が導入され、Oracleデータベースが、現在使用しているPKCS#11ライブラリから更新されたPKCS#11ライブラリに切り替えることができるようになりました。
以前のリリースでは、Oracle Key Vaultエンドポイント・ソフトウェアの更新をインストールする前に、Oracle Key VaultでオンラインTDEマスター暗号化鍵を使用したTDE対応データベースを完全に停止する必要がありました。更新されたPKCS#11ライブラリをインストールした後、TDE対応データベースを再度起動する必要がありました。データベース・インスタンスの長時間実行されるバックグラウンド・プロセスに、以前のPKCS#11ライブラリをアンロードして更新されたものをロードするように指示できなかったため、この完全停止の後にデータベース・インスタンスの起動が必要でした。
このリリース以降では、更新されたエンドポイントの共有PKCS#11ライブラリを使用するようにデータベース・サーバーを切り替えるには、ADMINISTER KEY MANAGEMENT SWITCHOVER TO LIBRARY 'updated_fully_qualified_file_name_of_library' FOR ALL CONTAINERS;文を実行して切替え操作を開始します。データベース構成にSPFILEが使用されている場合は、このコマンドを実行すると、新しいPKCS#11ライブラリの場所を指すようにPKCS11_LIBRARY_LOCATIONパラメータも更新されます。
デフォルトの表領域暗号化アルゴリズムを設定する機能
TABLESPACE_ENCRYPTION_DEFAULT_ALGORITHM動的パラメータを設定して、表領域作成操作についてデフォルトの暗号化アルゴリズムを定義できるようになりました。
たとえば、TABLESPACE_ENCRYPTION_DEFAULT_ALGORITHMをAES256に設定した場合、それ以降の表領域作成操作ではAES256がデフォルトの暗号化アルゴリズムとして使用されます。TABLESPACE_ENCRYPTION_DEFAULT_ALGORITHMは、オフライン表領域暗号化操作とオンライン表領域暗号化操作の両方に適用されます。また、Database Configuration Assistant (DBCA)を使用して新しい表領域を作成する際に、サイレントインストールのDBCAコマンドラインを使用して、デフォルトの表領域暗号化アルゴリズムを設定できます。
サポートされる暗号化アルゴリズムは、AES128、AES192、AES256および3DES168です。TABLESPACE_ENCRYPTION_DEFAULT_ALGORITHMを設定しない場合、デフォルトの暗号化アルゴリズムは、以前のリリースで使用されていたデフォルト(AES128)です。
Oracle Database Advanced Security 19cにおける変更点
Oracle Database 19cの『Oracle Database Advanced Securityガイド』の変更点は次のとおりです。
- Oracle管理の表領域の暗号化におけるキー管理サポートの向上
このリリースでは、Oracle管理の表領域(SYSTEM、SYSAUX、TEMPおよびUNDO表領域)が暗号化されている場合でも、TDEキーストアを閉じることができるようになりました。 - Oracle Managed Files以外のモードでの自動名前変更の透過的オンライン変換のサポート
このリリース以降では、Oracle Managed Files以外のモードでの透過的データ暗号化オンライン変換で、ADMINISTER KEY MANAGEMENTSQL文にFILE_NAME_CONVERT句を含めることは強制されなくなりました。ファイル名には元の名前が維持されます。 - オフライン表領域の暗号化のためのより多くのアルゴリズムのサポート
以前のリリースでは、AES128暗号化アルゴリズムのみがオフライン表領域の暗号化でサポートされていました。このリリースでは、AES128に加えて、AES192およびAES256暗号化アルゴリズム、およびオフライン表領域の暗号化用のARIA、GOSTおよび3DES暗号化アルゴリズムのサポートが導入されました。
Oracle管理の表領域の暗号化におけるキー管理サポートの向上
このリリースでは、Oracle管理の表領域(SYSTEM、SYSAUX、TEMPおよびUNDO表領域)が暗号化されている場合でも、TDEキーストアを閉じることができるようになりました。
これらの表領域が暗号化されている場合、それらに対する内部操作はTDEキーストアがCLOSED状態であっても引き続き影響を受けません。
TDEキーストアを閉じても、暗号化されたSYSTEM、SYSAUX、TEMPまたはUNDO表領域の問合せに影響はありません。ユーザー作成の表領域の問合せでは、TDEキーストアを閉じると、ORA-28365 ウォレットがオープンしていませんというエラーが引き続き返されます。
暗号化されたOracle管理の表領域に対してユーザーが開始した復号化などの操作では、TDEキーストアがOPEN状態である必要があります。
Oracle Managed Files以外のモードでの自動名前変更の透過的オンライン変換のサポート
このリリース以降、Oracle Managed Files以外のモードでの透過的データ暗号化オンライン変換では、ADMINISTER KEY MANAGEMENT SQL文にFILE_NAME_CONVERT句を含めることは強制されなくなりました。ファイル名には元の名前が維持されます。
この拡張機能により、後でファイルを元の名前に戻す必要がなくなり、ファイルが欠落することがなくなります。