用語集
アクセス制御リスト(ACL)
ユーザーが定義するアクセス・ディレクティブのグループ。ディレクティブは、特定のクライアント、クライアント・グループまたはその両方に対して特定のデータへのアクセス・レベルを付与する。
親トピック: 用語集
Advanced Encryption Standard
Advanced Encryption Standard (AES)は、米国商務省国立標準技術研究所によってDESに代わるものとして承認された新しい暗号アルゴリズムである。AES規格は、米国連邦情報処理標準197番で入手できます。AESアルゴリズムは、128、192および256ビットの長さの暗号キーを使用して、128ビットのデータ・ブロックを処理できる対称型ブロック暗号です。
親トピック: 用語集
アプリケーション・コンテキスト
名前と値のペア。このペアによって、アプリケーションは、ユーザーに関するセッション情報(ユーザーIDや他のユーザー固有の情報など)にアクセスして、その情報をデータベースに安全に引き渡すことができます。
「グローバル・アプリケーション・コンテキスト」も参照してください。
親トピック: 用語集
属性
LDAPディレクトリ内のエントリの性質を説明する情報項目。エントリは属性のセットから構成され、それぞれの属性がオブジェクト・クラスに属する。さらに、各属性にはタイプと値があり、タイプは属性の情報の種類を説明し、値には実際のデータが格納されています。
親トピック: 用語集
アプリケーション・ロール
アプリケーション・ユーザーに付与されるデータベース・ロール。アプリケーション内に埋め込まれているパスワードによって保護されています。
「セキュア・アプリケーション・ロール」も参照してください。
親トピック: 用語集
認証
コンピュータ・システムのユーザー、デバイスまたはその他のエンティティの識別情報を検証するプロセスであり、システムのリソースへのアクセス権を付与するための前提条件となることが多い。認証されたメッセージの受信者は、そのメッセージの発信元(送信者)を確認できる。認証は、第三者が送信者を装っている可能性を排除するものとみなされる。
親トピック: 用語集
認証方式
分散環境のユーザー、クライアントまたはサーバーの識別情報を検証するセキュリティ方式。ネットワーク認証方式では、ユーザーにシングル・サインオン(SSO)の利点も提供できる。次の認証方式がサポートされています:
親トピック: 用語集
認可
オブジェクトまたはオブジェクトのセットにアクセスするためにユーザー、プログラムまたはプロセスに付与される権限。Oracleでは、認可はロール・メカニズムを通じて行われる。1つのユーザーまたはユーザー・グループに対して、1つのロールまたは一連のロールを付与できる。また、ロールに他のロールを付与することもできる。認証されたエンティティが利用できる権限のセット。
親トピック: 用語集
自動ログイン・ウォレット
アクセス時に資格証明を発行しない、サービスへのパスワードベースのアクセスです。自動ログイン・アクセスは、自動ログイン機能がウォレットに対して無効になるまで有効です。ファイル・システム権限では、ウォレットの自動ログインに必要なセキュリティが提供されます。ウォレットに対して自動ログインが有効になっている場合は、そのウォレットを作成したオペレーティング・システム・ユーザーのみ、そのウォレットを使用できます。これらはシングル・サイン・オン機能を提供するため、SSOウォレットと呼ばれることもあります。
親トピック: 用語集
CDB
マルチテナント・コンテナ・データベース。Oracle Databaseインストールには、1つのルートおよび0 (ゼロ)個以上のプラガブル・データベース(PDB)が含まれています。すべてのOracleデータベースはCDBです。
親トピック: 用語集
証明書
識別情報を公開キーに安全にバインドするITU x.509 v3標準データ構造。
証明書は、エンティティの公開キーが、信頼されている機関(認証局)によって署名されたときに作成されます。この証明書は、そのエンティティの情報が正しいこと、および公開キーがそのエンティティに属していることを保証します。
証明書には、エンティティの名前、識別情報および公開キーが含まれます。シリアル番号、有効期限、および証明書に付随する権利、使用および権限も含まれることがあります。最後に、その証明書を発行した認証局に関する情報が含まれます。
親トピック: 用語集
認証局
他のエンティティ(ユーザー、データベース、管理者、クライアント、サーバー)が本物であることを証明する、信頼できる第三者。ユーザーを証明するとき、認証局は最初にそのユーザーが証明書失効リスト(CRL)に掲載されていないことを確認してからそのユーザーのアイデンティティを検証し、証明書を付与し、認証局の秘密キーを使用してその証明書に署名します。認証局には自身の証明書と公開キーがあり、公開されています。サーバーおよびクライアントは、これらを使用して認証局の署名を検証します。認証局は、証明書サービスを提供する外部の会社の場合や、企業のMIS部門のような内部の組織の場合があります。
親トピック: 用語集
証明書リクエスト
認証リクエスト情報、署名アルゴリズム識別子および認証リクエスト情報に対するデジタル署名の3つの部分から構成される証明書リクエスト。認証リクエスト情報は、対象の識別名、公開キーおよびオプションの属性セットから構成される。属性では、対象の識別情報に関する郵便の宛先などの追加情報、または対象エンティティが後で証明書失効を要求するためのチャレンジ・パスワードを提供できる。「PKCS #10」を参照してください。
親トピック: 用語集
証明書失効リスト(CRL)
(CRL)失効した証明書 のリストを含む署名付きデータ構造。CRLの信頼性と整合性は、CRLに付加されているデジタル署名によって提供される。通常、CRLの署名者は、発行された証明書に署名したエンティティと同じである。
親トピック: 用語集
チェックサム
メッセージ・パケットに含まれているデータに基づいてメッセージ・パケットの値を計算し、その値をデータとともに渡して、データが書き換えられていないことを認証するメカニズム。データの受信者は暗号チェックサムを再計算して、それをデータとともに送られた暗号チェックサムと比較します。これらが一致している場合は、データが送信中に書き換えられなかったことの確率的な証明になります。
親トピック: 用語集
暗号ブロック連鎖(CBC)
暗号化メソッドの1つ。先行するすべてのブロックに従って暗号ブロックの暗号化を行い、ブロック再生攻撃からデータを保護します。無許可の復号化が段階的に困難になるように設計されています。Oracle Databaseでは、外部暗号ブロック連鎖が使用されています。これは、内部暗号ブロックよりも安全性が高く、実質的なパフォーマンスの低下を伴わないためです。
親トピック: 用語集
CIDR
IPアドレスに使用する標準の表記法。CIDR表記法では、IPv6サブネットは、サブネット接頭辞およびビットで示した接頭辞のサイズ(小数)がスラッシュ文字(/)で区切られて示されます。たとえば、fe80:0000:0217:f2ff::/64
は、アドレスfe80:0000:0217:f2ff:0000:0000:0000:0000
からfe80:0000:0217:f2ff:ffff:ffff:ffff:ffff
までのサブネットを示します。CIDR表記法には、IPv4アドレスのサポートが含まれます。たとえば、192.0.2.1/24
は、アドレス192.0.2.1
から192.0.2.255
までのサブネットを示します。
親トピック: 用語集
暗号スイート
ネットワーク・ノード間でメッセージを交換するために使用される認証、暗号化およびデータ整合性のアルゴリズムのセット。たとえば、SSLハンドシェイク中に2つのノードがネゴシエーションして、メッセージの送受信中に使用する暗号スイートを確認する。
親トピック: 用語集
共通権限付与
共通ユーザーが、他の共通ユーザーまたは共通ロールに付与する権限。共通権限付与は、システム権限またはオブジェクト権限のいずれかで、CDBのすべてのPDBに適用されます。
「ローカル権限付与」も参照。
親トピック: 用語集
接続記述子
特別にフォーマットされた、ネットワーク接続のための宛先の記述。接続記述子には、接続先のサービスおよびネットワーク・ルート情報が含まれます。接続先サービスは、Oracle9i またはOracle8i データベースのサービス名か、Oracleデータベース・リリース8.0のOracle システム識別子(SID)を使用して指定されます。ネットワーク・ルートは、少なくとも、ネットワーク・アドレスを使用してリスナーの場所を示します。「接続識別子」を参照してください。
親トピック: 用語集
接続識別子
接続記述子を解決する名前、ネット・サービス名またはサービス名。次のように、ユーザーは、接続するサービスに対して、接続文字列内の接続識別子とともにユーザー名とパスワードを渡して、接続要求を実行します。
例:
CONNECT username@connect_identifier Enter password: password
親トピック: 用語集
接続文字列
ユーザー名、パスワード、ネット・サービス名など、ユーザーが接続先のサービスに渡す情報。例:
CONNECT username@net_service_name Enter password: password
親トピック: 用語集
コンテナ・データ・オブジェクト
CDBでは、複数のコンテナと場合によってはCDB全体に関連するデータを、そのようなオブジェクトで特定の共通ユーザーに表示されるデータを1つ以上のコンテナに制限するメカニズムとともに格納する表またはビューです。コンテナ・データ・オブジェクトの例は、Oracle提供のビューで、その名前はV$
およびCDB_
で始まります。
親トピック: 用語集
CRL配布ポイント
(CRL DP) X.509バージョン3証明書標準で指定されるオプションの拡張子であり、証明書の失効情報が格納される区分CRLの位置を示します。通常、この拡張子の値はURLの形式です。CRL DPによって、1つの認証局ドメイン内の失効情報を複数のCRLにポストできます。CRL DPによって、失効情報はより管理しやすい部分に細分化され、CRLが膨大に増加するのが回避されるため、パフォーマンスが向上します。たとえば、CRL DPを証明書に指定し、その証明書の失効情報をダウンロードできる、Webサーバー上のファイルを指すようにできます。
親トピック: 用語集
Data Encryption Standard (DES)
米国連邦情報処理標準の古い暗号化アルゴリズムであり、Advanced Encryption Standard (AES)に置き換えられました。
親トピック: 用語集
データベース管理者
(1)Oracleサーバーまたはデータベース・アプリケーションを操作および管理する個人。(2)DBA権限を付与され、データベース管理機能を実行できるOracleユーザー名。通常、これら2つを同時に意味します。多くのサイトでは複数のDBAが配置されます。
親トピック: 用語集
データベース・インストール管理者
データベース作成者とも呼ばれる。この管理者は、新規データベースの作成を担当する。この作業には、Database Configuration Assistantを使用したディレクトリへの各データベースの登録が含まれる。この管理者は、データベース・サービス・オブジェクトおよび属性に対する作成および変更のアクセス権を持つ。この管理者は、デフォルトのドメインも変更できる。
親トピック: 用語集
データベース・リンク
ローカル・データベースまたはネットワーク定義に格納されるネットワーク・オブジェクトであり、リモート・データベース、そのデータベースへの通信パス、およびオプションでユーザー名とパスワードを識別します。定義された後、データベース・リンクはリモート・データベースへのアクセスに使用されます。
あるデータベースから別のデータベースへのパブリックまたはプライベート・データベース・リンクは、DBAまたはユーザーによってローカル・データベースに作成される。
グローバル・データベース・リンクは、Oracle Namesで各データベースからネットワーク内の他のすべてのデータベースに自動的に作成される。グローバル・データベース・リンクはネットワーク定義に格納される。
親トピック: 用語集
データベース・パスワード・バージョン
ユーザーのデータベース・パスワードから導出された取消しできない値。パスワード・ベリファイアとも呼ばれます。この値は、データベースに対するパスワード認証時に、接続ユーザーの識別情報が正しいことを確認するために使用されます。
親トピック: 用語集
データベース・セキュリティ管理者
データベース・エンタープライズ・ユーザー・セキュリティの最上位レベルの管理者。この管理者は、すべてのエンタープライズ・ドメインに対する権限を持ち、次のことに責任を担っている。
-
Oracle
DBSecurityAdmins
およびOracleDBCreators
グループの管理
新規エンタープライズ・ドメインの作成。
-
エンタープライズ内のあるドメインから別のドメインへのデータベースの移動
親トピック: 用語集
定義者権限プロシージャ
現行ユーザーではなく、所有者の権限で実行されるプロシージャ(プログラム・ユニット)。定義者権限サブプログラムは、これらのサブプログラムが格納されるスキーマにバインドされます。
たとえば、ユーザーblake
とユーザーscott
のそれぞれがdept
という名前の表を、それぞれのユーザー・スキーマの中に持っています。ユーザーblake
がdept
表を更新するためにユーザーscott
が所有している定義者権限プロシージャをコールすると、このプロシージャはdept
表をscott
スキーマで更新します。これは、プロシージャはプロシージャを所有している(定義した)ユーザー(つまりscott
)の権限で実行するためです。
「実行者権限プロシージャ」も参照してください。
親トピック: 用語集
辞書攻撃
パスワードに対する一般的な攻撃。攻撃者は、多数の一般的なパスワードのリストを作成し、それらを暗号化します。次に、攻撃者は暗号化されたパスワードを含むファイルを盗み、暗号化した一般的なパスワードのリストと比較します。暗号化したパスワードの値(ベリファイアと呼ばれる)のいずれかが一致した場合、攻撃者は対応するパスワードを盗むことができます。辞書攻撃は、暗号化の前にパスワードにsaltを使用することで回避できます。「salt」を参照してください。
親トピック: 用語集
Diffie-Hellmanキー交換アルゴリズム
これは、安全でないチャネルを通じて通信する2つのパーティに、それらのパーティのみが知っているランダムな数字を合意させる方法です。Diffie-Hellmanキー交換アルゴリズムの実行中は、当事者は非保護チャネルで情報を交換しますが、攻撃者がネットワーク通信を分析し、当事者の間で取り決めた乱数を計算によって推定するのはほぼ不可能です。Oracle Databaseでは、セッション・キーの生成にDiffie-Hellmanキー交換アルゴリズムが使用されています。
親トピック: 用語集
デジタル署名
デジタル署名は、公開キー・アルゴリズムを使用して送信者の秘密キーで送信者のメッセージに署名するときに作成される。このデジタル署名によって、文書が信頼できるものであること、別のエンティティで偽造されていないこと、変更されていないこと、送信者によって拒否されないことが保証される。
親トピック: 用語集
ディレクトリ・ネーミング
データベース・サービス、ネット・サービス名またはネット・サービス別名を中央ディレクトリ・サーバーに格納されている接続記述子に変換するネーミング・メソッド。A
親トピック: 用語集
ディレクトリ・ネーミング・コンテキスト
ディレクトリ・サーバー内で意味を持つサブツリー。通常は、組織サブツリーの最上位です。あるディレクトリでは、固定のこのようなコンテキストが1個のみ許可されますが、他のディレクトリでは、ディレクトリ管理者によって0個から多数までのコンテキストを構成できます。
親トピック: 用語集
識別名(DN)
ディレクトリ・エントリの一意の名前。親エントリからディレクトリ情報ツリーのルート・エントリまでのすべての個々の名前から構成されます。「ディレクトリ情報ツリー(DIT)」を参照してください。
親トピック: 用語集
ドメイン
ドメイン・ネーム・システム(DNS)ネームスペース内の任意のツリーまたはサブツリー。一般にドメインは、ホスト名が共通の接尾辞(ドメイン名)を共有するコンピュータのグループを表す。
親トピック: 用語集
ドメイン・ネーム・システム(DNS)
ドメインの階層に編成された、コンピュータおよびネットワーク・サービスのネーミングのためのシステム。DNSは、ユーザーにわかりやすい名前でコンピュータの位置を特定するためにTCP/IPネットワークで使用される。DNSは、このわかりやすい名前を、コンピュータが理解できるIPアドレスに変換する。
Oracle Net Servicesでは、DNSはTCP/IPアドレスのホスト名をIPアドレスに変換する。
親トピック: 用語集
サービス拒否(DoS)攻撃
Webサイトをアクセス不能または使用不能にする攻撃。サービス拒否攻撃は様々な手法で行われますが、よく利用される攻撃手法としては、サイトをクラッシュさせるもの、サイトへの接続を拒否するもの、または低速化によりサイトを使用不能にするものがあります。DoS攻撃には、次の2つの形式があります。
-
基本サービス拒否攻撃(1台のみまたは数台のコンピュータが必要)
-
分散型DoS攻撃(多数のコンピュータの実行が必要)
親トピック: 用語集
暗号化テキスト
暗号化アルゴリズムを使用して暗号化されたテキスト。暗号化プロセスの出力ストリーム。最初に復号化の対象とならないかぎり、そのままでは読取りまたは解読できません。暗号文とも呼ばれます。暗号化テキストは、最終的には平文になります。
親トピック: 用語集
エンタープライズ・ドメイン
データベースとエンタープライズ・ロールのグループで構成されたディレクトリ構造。1つのデータベースが同時に複数のエンタープライズ・ドメイン内に存在することはありません。エンタープライズ・ドメインは、共通ディレクトリ・データベースを共有するコンピュータの集合であるWindows 2000ドメインとは異なる。
親トピック: 用語集
エンタープライズ・ロール
エンタープライズ・ユーザーに割り当てられるアクセス権限。エンタープライズ・ドメイン内の1つ以上のデータベースに対するOracleロールベースの認可のセット。エンタープライズ・ロールは、ディレクトリに格納され、1つ以上のグローバル・ロールが含まれています。
親トピック: 用語集
米国連邦情報処理標準(FIPS)
暗号化モジュールのセキュリティ要件を定義する米国連邦政府の標準であり、コンピュータおよびテレコミュニケーション・システム内の非機密情報を保護するセキュリティ・システムで使用されます。米国商務省国立標準技術研究所(NIST)によって発行されます。
親トピック: 用語集
強制クリーン・アップ
すべての監査レコードをデータベースから強制的にクリーン・アップ(つまり、削除)するための機能。この処理を行うには、DBMS_AUDIT_MGMT.CLEAN_AUDIT_TRAIL
プロシージャのUSE_LAST_ARCH_TIMESTAMP
引数をFALSE
に設定します。
「削除ジョブ」も参照してください。
親トピック: 用語集
フォレスト
相互に信頼する1つ以上のActive Directoryツリーのグループ。フォレスト内のすべてのツリーは、共通のスキーマ、構成およびグローバル・カタログを共有する。フォレストに複数のツリーが含まれる場合、ツリーは連続したネームスペースを形成しない。特定フォレスト内のすべてのツリーは、推移的な双方向の信頼関係を介して相互に信頼する。
親トピック: 用語集
転送可能なチケット認可チケット
プロキシに転送できる特殊なKerberosチケット。プロキシ認証用に、プロキシはクライアントにかわって追加Kerberosチケットを取得することが許可されます。
「Kerberosチケット」も参照してください。
親トピック: 用語集
グローバル・ロール
ディレクトリで管理されるロールだが、その権限は単一のデータベースに格納されている。グローバル・ロールは、次の構文を使用してデータベースに作成される。
CREATE ROLE role_name IDENTIFIED GLOBALLY;
親トピック: 用語集
グローバル・アプリケーション・コンテキスト
アプリケーション・コンテキスト値を複数のデータベース・セッションにわたってアクセス可能にする名前と値のペア。
「アプリケーション・コンテキスト」も参照してください。
親トピック: 用語集
グリッド・コンピューティング
多くのサーバーと記憶域を調整して単一の大容量コンピュータとして動作させるコンピューティング・アーキテクチャ。Oracle Grid Computingは、柔軟性のあるオンデマンド・コンピューティング・リソースをすべてのエンタープライズ・コンピューティング・ニーズに対して作成します。Oracle Databaseグリッド・コンピューティング・インフラストラクチャで稼働しているアプリケーションは、フェイルオーバー、ソフトウェア・プロビジョニングおよび管理のための共通インフラストラクチャ・サービスを利用できます。Oracle Grid Computingは、リソースの需要を分析し、それに応じて供給を調整します。
親トピック: 用語集
HTTP
Hypertext Transfer Protocol: World Wide Web上でのファイル(テキスト、グラフィック・イメージ、サウンド、ビデオおよびその他のマルチメディア・ファイル)の交換に関するルール・セット。TCP/IPプロトコル・スイート(インターネット上での情報交換の基礎)に対して、HTTPはアプリケーション・プロトコルである。
親トピック: 用語集
間接的に付与されたロール
ユーザーにすでに付与されている別のロールを通じてこのユーザーに付与されるロールのことです。その後、role2
ロールとrole3
ロールをrole1
ロールに付与します。これで、role2
とrole3
の2つのロールは、role1
に含まれることになります。つまり、psmith
には、直接付与されたrole1
に加え、role2
ロールとrole3
ロールが間接的に付与されたことになります。psmithに対して、直接付与されたロールrole1を使用可能にすると、間接的に付与されたロールrole2およびrole3も同様に使用可能になります。
親トピック: 用語集
識別情報
エンティティの公開キーとその他の公開情報の組合せ。公開情報には、電子メール・アドレスなどのユーザー識別データを含めることができる。宣言どおりのエンティティとして証明されているユーザー。
親トピック: 用語集
アイデンティティ管理
オンライン、すなわちデジタルなエンティティの作成、管理および使用。アイデンティティ管理には、デジタル識別情報の作成(デジタル識別情報のプロビジョニング)から、メンテナンス(電子リソースへのアクセスに関する組織ポリシーの施行)、さらに最終的な終了までのライフ・サイクル全体の安全な管理が含まれる。
親トピック: 用語集
アイデンティティ管理レルム
Oracle Internet Directoryのサブツリーであり、Oracleコンテキストだけでなく、それぞれアクセス制御リストで保護されているユーザーおよびグループの追加サブツリーも含む。
親トピック: 用語集
初期チケット
Kerberos認証では、初期チケットまたはチケット認可チケット(TGT)によって、ユーザーが追加のサービス・チケットを要求する権利を持つものとして識別される。初期チケットがないと、他のチケットは取得できない。初期チケットは、okinit
プログラムを実行し、パスワードを指定することで取得される。
親トピック: 用語集
インスタンス
稼働中のすべてのOracleデータベースは、Oracleインスタンスに関連付けられている。データベースが(コンピュータのタイプに関係なく)データベース・サーバー上で起動すると、Oracleによってシステム・グローバル領域(SGA)というメモリー領域が割り当てられ、Oracleプロセスが起動する。このSGAとOracleプロセスの組合せをインスタンスと呼ぶ。インスタンスのメモリーおよびプロセスは、関連付けられているデータベースのデータを効率的に管理し、1つ以上のデータベース・ユーザーを処理する。
親トピック: 用語集
実行者権限プロシージャ
現行ユーザー、つまりプロシージャを起動するユーザーの権限で実行されるプロシージャ(プログラム・ユニット)。これらのプロシージャは、特定のスキーマにバインドされません。このプロシージャは様々なユーザーが実行でき、これによって、複数のユーザーが、集中化したアプリケーション・ロジックを使用してそれぞれのデータを管理できます。実行者権限プロシージャは、プロシージャ・コードの宣言セクションにあるAUTHID
句を使用して作成されます。
たとえば、ユーザーblake
とユーザーscott
のそれぞれがdept
という名前の表を、それぞれのユーザー・スキーマの中に持っています。ユーザーblake
がdept
表を更新するためにユーザーscott
が所有している実行者権限プロシージャをコールすると、このプロシージャはdept
表をblake
スキーマで更新します。これは、プロシージャはプロシージャを起動したユーザー(つまりblake
)の権限で実行するためです。
「定義者権限プロシージャ」も参照してください。
親トピック: 用語集
Javaコード不明瞭化
Javaコード不明瞭化は、Javaプログラムをリバース・エンジニアリングから保護するために使用される。特別なプログラム(obfuscator)を使用して、コードに見つかったJavaシンボルをスクランブルする。プロセスは、元のプログラム構造をそのまま保持し、意図した動作を隠すためにクラス、メソッドおよび変数の名前を変更する一方でプログラムが正常に稼働するようにする。不明瞭化されていないJavaコードをデコンパイルして読み取ることは可能だが、不明瞭化されたJavaコードのデコンパイルは、米国政府の輸出規制を満たすのに十分なほど困難になっている。
親トピック: 用語集
Java Database Connectivity (JDBC)
Javaプログラムからリレーショナル・データベースに接続するための業界標準のJavaインタフェース。Sun Microsystemsが定義した。
親トピック: 用語集
Kerberos
Massachusetts Institute of TechnologyのAthenaプロジェクトで開発されたネットワーク認証サービスであり、分散環境でのセキュリティを強化します。Kerberosは信頼できるサード・パーティ認証システムであり、共有秘密鍵に基づき、サード・パーティがセキュアであることを前提とします。シングル・サインオン機能とデータベース・リンク認証(MIT Kerberosのみ)があり、パスワードを一元的に保管してPCのセキュリティを強化します。
親トピック: 用語集
Key Distribution Center (KDC)
Kerberos認証では、KDCはユーザー・プリンシパルのリストを管理し、ユーザーの初期チケットに関してkinit
(okinit
はOracleバージョン)プログラムを通じてアクセスされます。KDCおよびチケット認可サービスが同じエンティティに結合されることが多いですが、その場合もKDCと呼ばれます。チケット認可サービスは、サービス・プリンシパルのリストを管理し、このようなサービスを提供するサーバーに対してユーザーの認証が必要な場合にアクセスされます。KDCは、セキュア・ホストで実行する必要のある信頼できるサード・パーティです。チケット認可チケットおよびサービス・チケットを作成します。
「Kerberosチケット」も参照してください。
親トピック: 用語集
keytabファイル
1つ以上のサービス・キーを含むKerberosキー表ファイル。キー表ファイルは、ユーザーが各自のパスワードを使用する場合と同様に、ホストまたはサービスで使用されます。
親トピック: 用語集
最終アーカイブ・タイムスタンプ
監査レコードが最後にアーカイブされた時間を示すタイムスタンプ。データベース監査証跡の場合、このタイムスタンプは、最後にアーカイブされた監査レコードを示します。オペレーティング・システム監査ファイルの場合、このタイムスタンプは、アーカイブされた監査ファイルの最終変更タイムスタンプ・プロパティを示します。このタイムスタンプを設定するには、DBMS_AUDIT_MGMT.SET_LAST_ARCHIVE_TIMESTAMP
PL/SQLプロシージャを使用します。
「削除ジョブ」も参照してください。
親トピック: 用語集
ldap.oraファイル
次のディレクトリ・サーバー・アクセス情報を含むファイル。Oracle Net Configuration Assistantによって作成される。
-
ディレクトリ・サーバーのタイプ
-
ディレクトリ・サーバーの場所
-
クライアントまたはサーバーで使用するデフォルトのアイデンティティ管理レルムまたはOracleコンテキスト(ポートを含む)
親トピック: 用語集
Lightweight Directory Access Protocol (LDAP)
標準の拡張可能ディレクトリ・アクセス・プロトコル。LDAPクライアントおよびサーバーが通信に使用する共通言語です。Oracle Internet Directoryなど、業界標準のディレクトリ製品をサポートする設計規則のフレームワーク。
親トピック: 用語集
リスナー
サーバー上のプロセスであり、着信クライアント接続リクエストをリスニングし、サーバーへのトラフィックを管理する。
クライアントがサーバーとのネットワーク・セッションをリクエストするたびに、リスナーが実際のリクエストを受信する。クライアント情報がリスナー情報と一致する場合、リスナーはサーバーへの接続を付与する。
親トピック: 用語集
listener.oraファイル
次の内容を識別するリスナーの構成ファイル。
-
リスナー名
-
接続リクエストを受け入れるプロトコル・アドレス
-
リスニングするサービス
通常、listener.ora
ファイルは、UNIXプラットフォームでは$
ORACLE_HOME
/network/admin
に、WindowsではORACLE_BASE
\
ORACLE_HOME
\network\admin
にあります。
親トピック: 用語集
軽量ユーザー・セッション
ユーザーがログインしているアプリケーションに関連した情報のみが含まれるユーザー・セッションです。軽量ユーザー・セッションには、このセッションのデータベース・リソース(トランザクションやカーソルなど)は入っていません。そのため「軽量」とみなされます。軽量ユーザー・セッションが消費するシステム・リソースは、従来のデータベース・セッションよりはるかに少ない量です。軽量ユーザー・セッションが消費するサーバー・リソースは非常に少ないものになるため、軽量ユーザー・セッションを各エンド・ユーザー専用にして、アプリケーションにより必要とみなされるかぎり持続させることができます。
親トピック: 用語集
介在者
第三者によるメッセージの不正傍受という特徴を持つセキュリティ攻撃。第三者(介在者)は、メッセージを復号化して再暗号化し(元のメッセージを変更する場合と変更しない場合があります)、元の宛先である受信者に転送します。これらの処理はすべて、正当な送受信者が気付かないうちに行われます。このタイプのセキュリティ攻撃は、認証が行われていない場合のみ機能する。
親トピック: 用語集
MD5
メッセージ・ダイジェスト5。与えられたデータから128ビットの暗号メッセージ・ダイジェスト値を生成することにより、データの整合性を保証するアルゴリズム。データの単一ビット値のみ変更された場合、MD5はデータ変更のチェックサムを計算します。MD5で元のデータと同じ結果が生成されるようにデータを偽造することは、計算上不可能と考えられます。
親トピック: 用語集
必須監査
デフォルトで監査されるアクティビティ。管理ユーザーSYS
、SYSDBA
、SYSOPER
、SYSASM
、SYSBACKUP
、SYSDG
およびSYSKM
による、統合監査証跡ポリシー(ALTER AUDIT POLICY
など)および最上位レベルの文への変更などがあります。詳細は、「強制的に監査されるアクティビティ」を参照してください。
親トピック: 用語集
米国商務省国立標準技術研究所(NIST)
米国商務省の機関であり、コンピュータおよびテレコミュニケーション・システム内の暗号ベース・セキュリティ・システムの設計、取得および実装に関連するセキュリティ標準の開発を担う。連邦機関、または連邦の機能を遂行するために連邦政府にかわって情報を処理する連邦機関の請負業者やその他の組織によって運営されている。
親トピック: 用語集
ネット・サービス別名
ディレクトリ・サーバーのディレクトリ・ネーミング・オブジェクトの代替名。ディレクトリ・サーバーには、定義されたネット・サービス名またはデータベース・サービスのネット・サービス別名が格納される。ネット・サービス別名のエントリには、接続記述子情報はない。かわりに、別名の対象のオブジェクトの場所のみ参照する。クライアントがネット・サービス別名のディレクトリ検索をリクエストすると、ディレクトリは、エントリがネット・サービス別名であることを判断し、そのネット・サービス別名が実際に参照しているエントリであるかのように検索を実行する。
親トピック: 用語集
ネット・サービス名
接続記述子に解決されるサービスの単純名。ユーザーは、接続するサービスに対する接続文字列内に、ネット・サービス名とともにユーザー名およびパスワードを渡すことで接続リクエストを開始します。
CONNECT username@net_service_name Enter password: password
必要に応じて、ネット・サービス名は次のような様々な場所に格納できます。
-
各クライアントのローカル構成ファイル、
tnsnames.ora
-
ディレクトリ・サーバー
-
NISなどの外部ネーミング・サービス
親トピック: 用語集
ネットワーク認証サービス
分散環境で、クライアントからサーバー、サーバー間およびユーザーからクライアントとサーバーの両方を認証する手段。ネットワーク認証サービスは、ユーザーに関する情報、ユーザーがアクセスする様々なサーバー上のサービスに関する情報、およびネットワーク上のクライアントとサーバーに関する情報を格納するためのリポジトリである。認証サーバーは、物理的に異なるコンピュータにすることも、システム内の別のサーバー上の共同の場所にある設備にすることもできる。可用性を保証するために、一部の認証サービスを複製してシングル・ポイント障害を回避できる。
親トピック: 用語集
オブジェクト・クラス
名前を持った属性のグループ。エントリに属性を割り当てるには、これらの属性を保持するオブジェクト・クラスをそのエントリに割り当てる。同じオブジェクト・クラスに関連付けられているすべてのオブジェクトは、同じ属性を共有する。
親トピック: 用語集
Oracleコンテキスト
1. LDAP準拠のインターネット・ディレクトリ内にあるcn=OracleContext
というエントリ。このディレクトリには、Oracle Net Servicesディレクトリ・ネーミングおよびチェックサムのセキュリティのエントリなど、Oracleソフトウェア関連のすべての情報が格納されている。
1つのディレクトリに1つ以上のOracleコンテキストを設定できる。Oracleコンテキストは、通常はアイデンティティ管理レルムにある。
親トピック: 用語集
Oracle Virtual Private Database
行および列レベルでデータベース・アクセスを制御するセキュリティ・ポリシーを作成できる一連の機能。基本的には、Oracle Virtual Private Databaseのセキュリティ・ポリシーが適用された表、ビューまたはシノニムに対して発行されるSQL文に、動的なWHERE
句が追加されます。
親トピック: 用語集
Oracle Net Services
OracleサーバーまたはDesigner/2000などのOracleのツール製品を実行する2台以上のコンピュータがサード・パーティ・ネットワークを通じてデータを交換できるようにするOracle製品。Oracle Net Servicesは、分散処理および分散データベース機能をサポートする。Oracle Net Servicesは、通信プロトコルに依存しないためオープン・システムであり、ユーザーは多くのネットワーク環境へのインタフェースとしてOracle Netを使用できる。
親トピック: 用語集
PCMCIAカード
Personal Computer Memory Card International Association (PCMCIA)標準に準拠する小さなクレジット・カード・サイズのコンピューティング・デバイス。これらのデバイスはPCカードとも呼ばれ、メモリー、モデムまたはハードウェア・セキュリティ・モジュールの追加に使用される。PCMCIAカードは、ハードウェア・セキュリティ・モジュールが公開キーと秘密キーのペアの秘密キー・コンポーネントを安全に格納する際に使用され、暗号操作も実行するものもあります。
親トピック: 用語集
ピア識別情報
SSL接続セッションは、特定のクライアントと特定のサーバー間のセッションである。ピアの識別情報は、セッションのセットアップの一部として設定される場合がある。接続先は、X.509証明連鎖によって識別されます。
親トピック: 用語集
PEM
インターネット上で安全な電子メールを提供するためにInternet Architecture Boardによって採用されたInternet Privacy-Enhanced Mailプロトコル標準。PEMプロトコルは、暗号化、認証、メッセージ整合性およびキー管理を提供する。PEMは、データ暗号化キーを暗号化するための対称型スキームと公開キー・スキームの両方を含む様々なキー管理アプローチと互換性を持つよう意図された包括的な標準である。PEMの仕様は、4つのInternet Engineering Task Force (IETF)ドキュメント、RFC 1421、1422、1423および1424に記載されている。
親トピック: 用語集
PKCS #10
認証リクエストの構文を記述するRSA Security社のPublic-Key Cryptography Standards (PKCS)仕様。認証リクエストは、識別名、公開キーおよびオプションの属性セットから構成され、証明書をリクエストするエンティティによって一括して署名される。このマニュアルでは、認証リクエストを証明書リクエストと呼ぶ。「証明書リクエスト」を参照してください。
親トピック: 用語集
PKCS #11
暗号情報を保持し、暗号操作を実行するデバイスに対する、Cryptokiと呼ばれるアプリケーション・プログラミング・インタフェース(API)を定義するRSA Security社のPublic-Key Cryptography Standards (PKCS)仕様。「PCMCIAカード」を参照してください。
親トピック: 用語集
PKCS #12
通常はウォレットと呼ばれる形式で個人認証資格証明を格納および転送するための転送構文を記述するRSA Security社のPublic-Key Cryptography Standards (PKCS)仕様。
親トピック: 用語集
プリンシパル
Kerberos資格証明のセットが割り当てられているクライアントまたはサーバーを一意に識別する文字列。通常、これにはkservice/kinstance@REALM
という3つの部分が含まれます。ユーザーの場合、kservice
はユーザー名です。「kservice」、「kinstance」および「レルム」も参照してください。
親トピック: 用語集
プロキシ認証
ファイアウォールなどの中間層を伴う環境で一般に使用されるプロセス。エンド・ユーザーは中間層に対して認証を行い、中間層はエンド・ユーザーのプロキシとして、ユーザーのかわりにディレクトリに対して認証を実施します。中間層は、プロキシ・ユーザーとしてディレクトリにログインします。プロキシ・ユーザーは識別情報を切り替えることができ、ディレクトリにログインするとエンド・ユーザーの識別情報に切り替わります。プロキシ・ユーザーは、特定のエンド・ユーザーに適した認可を使用して、そのエンド・ユーザーにかわって操作を実行できます。
親トピック: 用語集
公開キーと秘密キーのペア
暗号化および復号化に使用される2つの数値のセットであり、一方を秘密キーと呼び、もう一方を公開キーと呼ぶ。通常、公開キーは広範に使用可能であるが、秘密キーはそれぞれの所有者が保持する。数学的な関連性はあるが、一般には公開キーから秘密キーを導出するのは計算上不可能とみなされている。公開キーと秘密キーは、公開キー暗号化アルゴリズムまたは公開キー暗号方式とも呼ばれる非対称型暗号化アルゴリズムでのみ使用される。キーのペアの公開キーまたは秘密キーのいずれかで暗号化されたデータは、キーのペアのうち関連付けられているキーで復号化できる。ただし、公開キーで暗号化されたデータを同じ公開キーで復号化することはできず、秘密キーで暗号化されたデータを同じ秘密キーで復号化することはできない。
親トピック: 用語集
公開キー・インフラストラクチャ(PKI)
公開キー暗号化の原理を利用した情報セキュリティ・テクノロジ。公開キー暗号化には、共有の公開キーと秘密キーのペアを使用した情報の暗号化および復号化が含まれる。パブリック・ネットワーク内にセキュアでプライベートな通信を提供する。
親トピック: 用語集
PUBLICロール
すべてのデータベース・アカウントが自動的に保有する特殊なロール。デフォルトでは割り当てられている権限がありませんが、多くのJavaオブジェクトに対する付与があります。PUBLIC
ロールは削除できません。また、ユーザー・アカウントは常にこのロールを前提とするため、このロールの手動の付与や取消しは意味がありません。PUBLIC
ロールはすべてのデータベース・ユーザー・アカウントが前提とするため、DBA_ROLES
およびSESSION_ROLES
データ・ディクショナリ・ビューには表示されません。
親トピック: 用語集
削除ジョブ
DBMS_AUDIT_MGMT.CREATE_PURGE_JOB
プロシージャにより作成されたデータベース・ジョブで、監査証跡の削除を管理します。データベース管理者が削除ジョブをスケジューリングおよび使用可能/使用禁止にします。削除ジョブはアクティブになると、監査レコードをデータベース監査表から削除したり、Oracle Databaseオペレーティング・システム監査ファイルを削除します。
「強制クリーン・アップ」、「最終アーカイブ・タイムスタンプ」も参照してください。
親トピック: 用語集
RADIUS
Remote Authentication Dial-In User Service(RADIUS)は、リモート・アクセス・サーバーが中央サーバーと通信してダイアルイン・ユーザーを認証し、リクエストされたシステムまたはサービスへのアクセスを認可できるようにするクライアント/サーバー・プロトコルおよびソフトウェアです。
親トピック: 用語集
レルム
1. アイデンティティ管理レルムの省略形。 2.Kerberosオブジェクト。1つのKey Distribution Center/Ticket Granting Service (KDC/TGS)の下で動作するクライアントとサーバーのセット。同じ名前を共有する異なるレルム内のサービス(kserviceを参照)は一意である。
親トピック: 用語集
root
すべてのPDBが属している、オラクル社が提供したスキーマとユーザーが作成したスキーマのコレクション。コンテナ・データベースでは、ルートは1つのみです。各PDBは、このルートの子であるとみなされます。ルートは、データ・ディクショナリに各PDBの存在を示すエントリを持っています。
親トピック: 用語集
salt
暗号化技術において、暗号化されたデータのセキュリティを強化する方法。データが暗号化される前に追加されるランダムな文字列で、攻撃者が暗号文のパターンを既知の暗号文サンプルに一致させてデータを盗むことを困難にします。saltは通常、辞書攻撃(悪意のあるハッカー(攻撃者)がパスワードを盗むために使用する方法)を防ぐために、暗号化される前のパスワードにも追加されます。暗号化されたsalt処理済の値により、暗号化されたパスワードのハッシュ値(ベリファイアとも呼ばれます)と、一般のパスワード・ハッシュ値の辞書リストとの照合が困難になります。
親トピック: 用語集
スキーマ
1. データベース・スキーマ: 表、ビュー、クラスタ、プロシージャ、パッケージ、属性、オブジェクト・クラスなどのオブジェクトと、それらに対応する一致ルールの名前付きコレクションであり、特定のユーザーに関連付けられています。 2.LDAPディレクトリ・スキーマ: 属性、オブジェクト・クラス、およびそれらに対応する一致ルールのコレクション。
親トピック: 用語集
セキュア・アプリケーション・ロール
アプリケーション・ユーザーに付与されるデータベース・ロール。ただし、実行者権限ストアド・プロシージャを使用して保護され、ロールのパスワードをデータベース表から取得します。セキュア・アプリケーション・ロールのパスワードは、アプリケーション内に埋め込まれていません。
「アプリケーション・ロール」も参照してください。
親トピック: 用語集
Secure Hash Algorithm (SHA)
指定されたデータから160ビットの暗号メッセージ・ダイジェスト値を生成することにより、データの整合性を保証するアルゴリズム。データのわずか1ビットが変更された場合でも、データのSecure Hash Algorithmチェックサムが変更される。Secure Hash Algorithmで元のデータと同じ結果が生成されるように指定されたデータ・セットを偽造することは、計算上不可能と考えられる。
264ビット未満の長さのメッセージを受け取り、160ビットのメッセージ・ダイジェストを生成するアルゴリズムである。このアルゴリズムはMD5 (Oracle Databaseではサポート対象外になった)に比べて少し低速だが、メッセージ・ダイジェストが長いほど、総当たり攻撃と侵入攻撃に対する安全度が増す。
親トピック: 用語集
Secure Sockets Layer (SSL)
ネットワーク接続を保護するためにNetscape社が開発した業界標準プロトコル。SSLは、公開キー・インフラストラクチャ(PKI)を使用した認証、暗号化、およびデータの整合性を提供する。
Transport Layer Security (TLS)プロトコルは、SSLプロトコルの後継です。
親トピック: 用語集
業務分離
アクティビティを、それを実行する必要があるユーザーのみに制限すること。たとえば、SYSDBA
管理権限は一般ユーザーには付与しないようにします。この権限は管理ユーザーにのみ付与します。業務分離は、多くのコンプライアンス・ポリシーで必要です。適切なユーザーへの権限付与に関するガイドラインは、「ユーザー・アカウントと権限の保護に関するガイドライン」を参照してください。
親トピック: 用語集
サービス
1. Oracleデータベース・サーバーなど、クライアントによって使用されるネットワーク・リソース。
2. Windowsレジストリにインストールされ、Windowsによって管理される実行可能プロセス。サービスが作成され、開始された後は、コンピュータにログオンしているユーザーがいない場合でも実行できる。
親トピック: 用語集
サービス・キー表
Kerberos認証では、サービス・キー表はkinstanceに存在するサービス・プリンシパルのリストです。KerberosをOracleで使用するには、その前にこの情報をKerberosから抽出し、Oracleサーバー・コンピュータにコピーする必要がある。
親トピック: 用語集
サービス・チケット
サービス・チケットは、事前定義された期間、特定のサービスまたはサーバーに対してクライアントを認証するために使用する信頼できる情報です。初期チケットを使用してKDCから取得されます。「Kerberosチケット」も参照してください。
親トピック: 用語集
セッション・キー
少なくとも二者(通常はクライアントとサーバー)によって共有されるキーであり、単一の通信セッション中のデータ暗号化に使用されます。セッション・キーは通常、ネットワーク・トラフィックを暗号化するために使用されます。クライアントとサーバーはセッションの開始時にセッション・キーをネゴシエーションすることができ、そのキーはそのセッションの関係者間のすべてのネットワーク・トラフィックを暗号化するために使用されます。クライアントとサーバーが新しいセッションで再び通信する場合は、新しいセッション・キーをネゴシエーションします。
親トピック: 用語集
セッション・レイヤー
プレゼンテーション・レイヤーのエンティティが必要とするサービスを提供するネットワーク・レイヤーであり、エンティティで対話の編成と同期およびデータ交換の管理を行えるようにする。このレイヤーは、クライアントとサーバー間でネットワーク・セッションを確立、管理および終了する。セッション・レイヤーの例には、ネットワーク・セッションがある。
親トピック: 用語集
共有スキーマ
複数のエンタープライズ・ユーザーが使用できるデータベースまたはアプリケーション・スキーマ。Oracle Databaseでは、データベース上の同じ共有スキーマへの複数のエンタープライズ・ユーザーのマッピングがサポートされます。これにより、管理者はそれぞれのデータベースでユーザーごとにアカウントを作成する必要がなくなります。管理者は、ユーザーを1つの場所、つまり、エンタープライズ・ディレクトリに作成して、そのユーザーを共有スキーマにマップできます。この共有スキーマには他のエンタープライズ・ユーザーもマップできます。ユーザー/スキーマの分割とも呼ばれます。
親トピック: 用語集
単一パスワード認証
単一パスワードを使用して複数のデータベースでユーザーを認証する機能。Oracle Databaseの実装では、パスワードはLDAP準拠ディレクトリに格納され、暗号化やアクセス制御リストで保護されます。
親トピック: 用語集
シングル・サインオン(SSO)
ユーザーが1度認証を受けると、その後の他のデータベースまたはアプリケーションへの接続に、厳密な認証が透過的に実施される機能。シングル・サインオンでは、ユーザーは1回の接続中に入力した単一のパスワードで複数のアカウントおよびアプリケーションにアクセスできます。単一のパスワードによる単一の認証です。Oracle Databaseは、KerberosおよびSSLベースのシングル・サインオンをサポートしています。
親トピック: 用語集
スマートカード
ユーザー名やパスワードなどの情報を格納するため、また認証交換に関連する計算を実行するための集積回路が埋め込まれた(クレジット・カードに似た)プラスチックのカード。スマートカードは、クライアントまたはサーバーでハードウェア・デバイスによって読み取られる。
スマートカードは、1回かぎりのパスワードとして使用できる乱数を生成できる。この場合、スマートカードは、サーバー上のサービスと同期するため、サーバーはスマートカードによって同じパスワードが生成されると想定する。
親トピック: 用語集
システム識別子(SID)
Oracleインスタンスの一意の名前。Oracleデータベース間を切り替えるには、ユーザーが目的のSIDを指定する必要がある。SIDは、tnsnames.oraファイル内の接続記述子のCONNECT DATA
部分と、listener.oraファイル内のネットワーク・リスナーの定義に含まれる。
親トピック: 用語集
tnsnames.ora
接続記述子が含まれているファイル。各接続記述子はネット・サービス名にマップされます。すべてのクライアントまたは各クライアントで使用するために、このファイルを集中して維持することも、ローカルで維持することもできます。このファイルは通常、プラットフォームに応じて次の場所にあります。
-
(UNIXの場合)
ORACLE_HOME
/network/admin
-
(Windowsの場合)
ORACLE_BASE\ORACLE_HOME
\network\admin
親トピック: 用語集
トークン・カード
ユーザーが容易に認証サービスを利用できるように、数種類のメカニズムを提供するデバイス。一部のトークン・カードは、認証サービスと同期されている1回かぎりのパスワードを提供する。サーバーは認証サービスとやりとりすることにより、トークン・カードが提供するパスワードをいつでも検証できる。チャレンジ・レスポンス・ベースで動作するトークン・カードもある。その場合、サーバーはユーザーがトークン・カードに入力するチャレンジ(番号)を提供する。そして、トークン・カードは別の番号(チャレンジから暗号的に導出)を提供し、それをユーザーがサーバーに提供する。
親トピック: 用語集
トランスポート・レイヤー
データ・フロー制御とエラー・リカバリ方式を通じてエンドツーエンドの信頼性を維持するネットワーキング・レイヤー。Oracle Net Servicesは、トランスポート・レイヤーにOracleプロトコル・サポートを使用します。
親トピック: 用語集
Transport Layer Security (TLS)
ネットワーク接続を保護するための業界標準プロトコル。TLSプロトコルはSSLプロトコルの後継です。公開キー・インフラストラクチャ(PKI)を使用した認証、暗号化およびデータの整合性を提供します。TLSプロトコルは、Internet Engineering Task Force (IETF)によって開発されています。
親トピック: 用語集
信頼できる証明書
一定の信頼度を有すると認定されたサード・パーティの識別情報で、ルート・キー証明書とも呼ばれることがある。信頼できる証明書は、エンティティが本人(本物)であるという識別情報を検証する際に使用される。通常は、信頼する認証局を信頼できる証明書と呼ぶ。複数レベルの信頼できる証明書がある場合、証明連鎖で下位レベルにある信頼できる証明書では、それより上位レベルの証明書すべての再検証を必要としない。
親トピック: 用語集
ユーザー・スキーマ・マッピング
ユーザーが存在するディレクトリ内のベースおよびユーザーがマップされるデータベース・スキーマの名前という値のペアを含むLDAPディレクトリ・エントリ。マッピングで参照されるユーザーは、データベースへの接続時に指定されたスキーマに接続されます。ユーザー・スキーマ・マッピング・エントリは、1つのデータベースにのみ適用できるか、ドメイン内のすべてのデータベースに適用できる。「共有スキーマ」を参照してください。
親トピック: 用語集