1 Oracle Databaseセキュリティの概要

Oracle Databaseには、デフォルトのセキュリティ機能が豊富に用意されています。これらを使用して、ユーザー・アカウント、認証、権限、アプリケーション・セキュリティ、暗号化、ネットワーク・トラフィックおよび監査を管理できます。

• Oracle Databaseセキュリティについて
  デフォルトのOracle Database機能を使用すると、Oracle Databaseインストールのいくつかの領域でセキュリティを構成できます。
• その他のOracle Databaseセキュリティ・リソース
  デフォルトのデータベース・インストールで利用可能なセキュリティ・リソースに加え、Oracle Databaseには、他のいくつかのデータベース・セキュリティ製品が用意されています。

Oracle Databaseセキュリティについて

デフォルトのOracle Database機能を使用すると、Oracle Databaseインストールのいくつかの領域でセキュリティを構成できます。

セキュリティを構成できる領域は次のとおりです。

• ユーザー・アカウント。作成したユーザー・アカウントは様々な方法で保護できます。サイトのパスワード・ポリシーを強化するために、パスワード・プロファイルを作成することもできます。Oracle Databaseユーザーのセキュリティの管理では、ユーザー・アカウントの管理方法について説明します。

• 認証方式。Oracle Databaseには、ユーザーおよびデータベース管理者用の認証を構成する方法がいくつかあります。たとえば、ユーザーは、データベース・レベル、オペレーティング・システムおよびネットワークで認証できます。認証の構成では、Oracle Databaseにおける認証の機能について説明します。Microsoft Active Directoryによる集中管理ユーザーの構成も参照してください。

• 権限とロール。権限とロールを使用すると、データに対するユーザー・アクセスを制限できます。次の章では、権限およびロールを管理する方法について説明します。

  • 権限とロール認可の構成

  • 権限分析を実行した権限の使用の確認

  • 定義者権限および実行者権限のセキュリティの管理

  • PL/SQLパッケージおよびタイプでのファイングレイン・アクセスの管理

  • Enterprise Managerによるマルチテナント環境のセキュリティの管理

• アプリケーション・セキュリティ。データベース・アプリケーションを作成する最初のステップは、データベース・アプリケーションが適切に保護されるようにすることです。アプリケーション開発者のセキュリティの管理では、アプリケーション・セキュリティをアプリケーション・セキュリティ・ポリシーに組み込む方法について説明します。

• アプリケーション・コンテキストを使用したユーザー・セッション情報。アプリケーション・コンテキストは、セッション情報を保持する名前と値のペアです。この情報に基づいて、ユーザーの名前や端末などのユーザーに関するセッション情報を取得し、そのユーザーのデータベース・アクセスおよびアプリケーション・アクセスを制限できます。「アプリケーション・コンテキストを使用したユーザー情報の取得」では、アプリケーション・コンテキストの使用方法について説明します。

• 仮想プライベート・データベースを使用した行および列レベルでのデータベース・アクセス。仮想プライベート・データベース・ポリシーは、ユーザーが発行したSQL文にWHERE述語を動的に埋め込みます。Oracle Virtual Private Databaseを使用したデータ・アクセスの制御では、仮想プライベート・データベース・ポリシーの作成方法と管理方法について説明します。

• 異なるカテゴリのデータの分類および保護。機密データ(クレジット・カードや社会保障番号など)を保持するデータベースのすべての表の列を確認し、このデータを分類して、指定されたクラスのこのデータ全体を保護するポリシーを作成できます。透過的機密データ保護の使用では、透過的機密データ保護ポリシーの作成方法について説明します。

• ネットワーク・データの暗号化。手動によるデータ暗号化では、ネットワーク・データへの不正アクセスを防止するために、DBMS_CRYPTO PL/SQLパッケージを使用して、ネットワーク・データを暗号化する方法について説明します。Oracle Databaseのネイティブ・ネットワーク・データ暗号化とデータ整合性の構成で説明するように、サーバーとクライアントの両方でOracle Net Servicesのネイティブなデータの暗号化と整合性を構成できます。

• シンJDBCクライアント・ネットワーク構成。シンJava Database Connectivity (JDBC)クライアントを構成して、Oracleデータベースに安全に接続できます。シンJDBCクライアント・ネットワークの構成では、詳細情報について示します。

• 厳密認証。データベースを構成して、デジタル証明書を使用するSSLを含む様々なサード・パーティ認証サービスをサポートするOracle認証アダプタを使用した厳密認証を使用できます。Oracle Databaseには、次の厳密認証サポートが用意されています。

  • 集中化された認証とシングル・サインオン。

  • Kerberos

  • Remote Authentication Dial-in User Service(RADIUS)

  • Secure Sockets Layer(SSL)

  次の章では、厳密認証を扱います。

  • 厳密認証の概要

  • 厳密認証の管理ツール

  • Kerberos認証の構成

  • Secure Sockets Layer認証の構成

  • RADIUS認証の構成

  • 厳密認証の使用のカスタマイズ

• データベース・アクティビティの監査。データベース・アクティビティは、すべてのSQL文、SQL権限、スキーマ・オブジェクト、ネットワーク・アクティビティの監査など、一般的な条件で監査できます。または、社内ネットワーク外部のIPアドレスが使用されているような場合は、きめ細かい方法で監査できます。この章では、データベース監査証跡の削除方法についても説明します。次の章では、データベース監査の構成および管理方法について説明します。

  • 監査の概要

  • 監査ポリシーの構成

  • 監査証跡の管理

さらに、Oracle Databaseの安全性の維持では、Oracle Databaseインストールを保護する際に従う必要のあるガイドラインを示します。

その他のOracle Databaseセキュリティ・リソース

デフォルトのデータベース・インストールで利用可能なセキュリティ・リソースに加え、Oracle Databaseには、他のいくつかのデータベース・セキュリティ製品が用意されています。

これらの製品は次のとおりです。

• Oracle Advanced Security。透過的データ暗号化およびOracle Data Redactionの詳細は、『Oracle Database Advanced Securityガイド』を参照してください。

• Oracle Label Security。Oracle Label Securityは、分類ラベルをデータに適用して、行レベルのデータのユーザー・アクセスをフィルタ処理できます。Oracle Label Securityの詳細は、『Oracle Label Security管理者ガイド』を参照してください。

• Oracle Database Vault。Oracle Database Vaultには、権限を持つユーザーからのデータ保護など、機密データに対するファイングレイン・アクセス・コントロールが用意されています。Oracle Database Vaultの使用方法は、『Oracle Database Vault管理者ガイド』を参照してください。

• Oracle Enterprise User Security。Oracle Enterprise User Securityを使用すると、ユーザー・セキュリティをエンタープライズ・レベルで管理できます。Oracle Enterprise User Securityの構成方法は、『Oracle Databaseエンタープライズ・ユーザー・セキュリティ管理者ガイド』を参照してください。

• Oracle Enterprise Manager Data Masking and Subsetting Pack。Data Masking and Subsetting Packを使用すると、元の機密データを架空のデータに不可逆的に置き換え、本番データをIT開発者またはオフショア・ビジネス・パートナと安全に共有できるようにすることで、このようなリスクを低減できます。詳細は、Oracle Database Testingガイドを参照してください。

• Oracle Audit Vault and Database Firewall。Oracle Audit Vault and Database Firewallでは、Oracle Databaseの監査証跡表、データベース・オペレーティング・システム監査ファイル、データベースのREDOログなどのソースからデータベース監査データを収集します。Oracle Audit Vault and Database Firewallを使用すると、不審なアクティビティに対するアラートを作成したり、権限を持つユーザーの変更、スキーマの変更およびデータ・レベルのアクセスに関する履歴のレポートを作成できます。

• Oracle Key Vault。Oracle Key Vaultを使用すると、暗号化キー、Oracleウォレット、Javaキーストアおよび資格証明ファイルの一元管理によってセキュリティおよび暗号化のデプロイメントを促進できます。これは、Oracleウォレット、JavaキーストアおよびOracle Advanced Security透過的データ暗号化(TDE)マスター・キー用に最適化されています。Oracle Key Vaultでは、OASIS KMIP標準がサポートされています。このフルスタックの、セキュリティが強化されたソフトウェア・アプライアンスは、セキュリティ、可用性およびスケーラビリティのためにOracle LinuxとOracle Databaseのテクノロジを使用しており、互換性のあるハードウェアのうちご希望のものにデプロイできます。

これらの製品に加えて、新製品およびセキュリティ・パッチやアラートに関する重要な情報など、Oracle Databaseセキュリティに関する最新情報を入手するには、Oracle Technology Networkの「Security Technology Center」を参照してください。次の場所でアクセスできます。

http://www.oracle.com/technetwork/topics/security/whatsnew/index.html