1. 管理者ガイド
  2. Oracle Key Vaultのこのリリースでの変更点

Oracle Key Vaultのこのリリースでの変更点

Oracle Key Vaultリリースでは、大規模な企業でOracle Key Vaultの使用を強化する新機能が導入されています。

Oracle Key Vaultリリース18.3での変更点

Oracle Key Vaultリリース18.3には新機能が2つあります。

親トピック: Oracle Key Vaultのこのリリースでの変更点

Oracle Cloud Marketplaceで入手できるOracle Key Vault

このリリース以降では、Oracle Key Vaultをデプロイして、Oracle Cloud Infrastructure (OCI) VMコンピュート・インスタンスで実行できます。

この機能は、Oracle Cloud Marketplaceでクリックするだけでデプロイできるソフトウェアとして入手できます。このタイプのデプロイメントのもう1つの利点は、OCIでのプロビジョニングがより合理化され、オンプレミスでのインストールよりも早くアプリケーションを実行できる状態になることです。オンプレミスでのインストールの場合は、Oracle Key Vaultがインストールされるハードウェアを管理者が管理する必要があります。

関連項目

親トピック: Oracle Key Vaultリリース18.3での変更点

RESTfulサービスを使用してエンドポイント・グループと仮想ウォレットの名前を変更する機能

このリリース以降では、RESTfulサービスを使用してエンドポイント・グループと仮想ウォレットの名前を変更できます。

以前のリリースでは、この機能はOracle Key Vault管理コンソールでのみ使用可能でしたが、次の新しいRESTful APIコマンドで使用できるようになりました。
  • modify_endpoint_group_name
  • modify_wallet_name

関連項目

親トピック: Oracle Key Vaultリリース18.3での変更点

Oracle Key Vaultリリース18.2での変更点

Oracle Key Vaultリリース18.2では、既存の機能全部が拡張され、次の新しいパラメータが追加されました。

親トピック: Oracle Key Vaultのこのリリースでの変更点

その後の診断のためのエンドポイント・ソフトウェアのインストール・ログ環境変数

このリリース以降では、使用可能なエンドポイント・ソフトウェアのインストール・ログに、詳細な情報が記録されます。

Oracle Databaseエンドポイントで使用されるPKCS#11ライブラリでは、ORACLE_HOMEORACLE_BASEOKV_HOMEなどの環境変数を使用して、エンドポイント構成ファイルokvclient.oraを検索します。環境変数は時間とともに変化することがあり、その結果、複数の永続キャッシュが作成されたり、データベース・セッションまたはバックグラウンド・プロセスでエンドポイント構成ファイルを検出できないことがあります。

クイック診断を容易にするために、okvclient.jarをデプロイする際のORACLE_HOMEORACLE_BASEおよび OKV_HOMEに関する追加情報がデプロイメント・ログに含まれています。これは、PKCS#11ライブラリを使用するデータベース・プロセス間で一致する必要があります。この情報はログ・ファイルで入手でき、okvclient.jarのデプロイ時に-vオプションが使用された場合は、このオプションも標準出力に出力されます。

関連項目

親トピック: Oracle Key Vaultリリース18.2での変更点

新しいエンドポイント・データベース永続キャッシュ・パラメータ

Oracle Key Vaultリリース18.2以降、EXPIRE PKCS11 PERSISTENT CACHE ON DATABASE SHUTDOWNパラメータを設定できます。

EXPIRE PKCS11 PERSISTENT CACHE ON DATABASE SHUTDOWNにより、エンドポイント・データベースの停止時に、指定したエンドポイント・データベースのPKCS#11永続キャッシュが自動的に期限切れになります。ただし、このパラメータを使用できるのは、エンドポイント・データベースにバグ29869906: AUTO-LOGIN OKV NEEDS PERSISTENT CACHE PROTECTION KEY FROM RDBMSのパッチが適用されている場合のみです。

EXPIRE PKCS11 PERSISTENT CACHE ON DATABASE SHUTDOWNを有効にすると、Oracle Key Vaultソフトウェアをエンドポイント・データベースにインストールする際に作成したパスワードとは関係なく、システム生成のランダム・パスワードによって永続キャッシュは保護されます。つまり、永続キャッシュは自動ログイン・ウォレットにはなりません。常にパスワードで保護されるため、パスワードの選択が自動ログイン・ウォレットである場合にセキュリティが向上します。

関連項目

親トピック: Oracle Key Vaultリリース18.2での変更点

Oracle Key Vaultサーバー証明書のローテーション

このリリース以降では、エンドポイントと証明書の両方の証明書を1回の操作でローテーションできます。この操作では、コンソール証明書はローテーションされません。

証明書は、Oracle Key Vaultサーバーおよびエンドポイントの認証に使用されます。ローテーション処理では、すべてのエンドポイントに新しい証明書がプッシュされます。エンドポイントは、新しい証明書を受信するとすぐにその新しい証明書を使用するように切り替えます。すべてのエンドポイントが新しい証明書を受信して切り替えると、Oracle Key Vaultが新しい証明書を使用するように切り替わります。

Oracle Key Vault内のサーバー証明書は730日間続きます。証明書(サーバー証明書とエンドポイント証明書の両方)をローテーションしない場合、証明書を使用するエンドポイントはOracle Key Vaultサーバーに接続できません。このシナリオを回避するには、サーバー証明書をローテーションしてエンドポイントを再エンロールする必要があります。このシナリオを回避するには、730日の制限が切れる前に証明書をローテーションするよう警告するアラートを構成できます。Oracle Key Vaultサーバー証明書の有効期限を確認するには、Oracle Key Vault管理コンソールで「System」タブの「Manage Server Certificate」ページをチェックします。エンドポイントの証明書の有効期限を確認するには、「Endpoints」ページに移動して、「Certificate Expires」列をチェックする必要があります。

プライマリ/スタンバイまたはマルチマスター・クラスタ構成である場合、Oracle Key Vaultによって両方のシステムの証明書が自動的に同期されます。

関連項目

親トピック: Oracle Key Vaultリリース18.2での変更点

ノード・インダクション中に障害またはエラーが発生した場合の候補ノードのリカバリ

このリリース以降では、候補ノードのインダクションを中断できます。

以前は、候補ノードのインダクションを中断できませんでした。コントローラ・ノードの間違ったリカバリ・パスフレーズ、IPアドレスまたは証明書を入力した場合、これは問題でした。候補を元の候補前の状態に戻す「Abort」ボタンが、候補ノードの「Adding Candidate Node for Cluster」ページに表示されるようになりました。候補ノードは、コントローラ・ノードからのバンドルの受信を開始した後は中断できません。

関連項目

親トピック: Oracle Key Vaultリリース18.2での変更点

ユーザー・パスワードのリセットを電子メールによるリカバリにのみ制限

このリリース以降では、パスワードを失ったユーザーに電子メール・アドレスが構成されている場合にのみ、失われたパスワードを置き換えることができます。

ユーザーがパスワードを変更する必要がある場合、管理者は構成されている電子メール・アドレスを使用して、ランダムに生成されたワンタイム・パスワードをユーザーに送信できます。ユーザーの電子メール・アドレスにワンタイム・パスワードを送信するオプションのみが提供されます。

以前のリリースでは、ユーザーがパスワードを忘れた場合、同じ権限またはより高い権限を持つ別のユーザーが新しいパスワードを手動で作成できましたが、このパスワードはパスワードを変更したユーザーに知られていました。電子メールのみを使用してユーザー・パスワードをリセットしてリカバリする機能は、新しいパスワードを知っているのがパスワードを変更する必要があるユーザーのみであるため、セキュリティが向上します。

関連項目

親トピック: Oracle Key Vaultリリース18.2での変更点

クラスタ内のリバースSSHトンネルに対する変更でのエンドポイント構成の自動更新

エンドポイントで使用できるが、エンドポイントのエンロール後に作成される新しいリバースSSHトンネルは、エンドポイント構成okvclient.oraに自動的に追加されるようになりました。

クラスタ内のノードの追加または削除に応じて、他のエンドポイントのように、DBCSエンドポイントはエンドポイント構成のノードIPアドレスのリストを自動的に更新します。削除されたクラスタのノードで作成されたエンドポイントは、クラスタ内の他のノードからエンドポイント構成の更新を取得します。

新しいトンネルは、そのエンドポイントがトンネルを使用でき、その後再エンロールされていても、既存のエンドポイントのokvclient.oraに含まれません。

その後削除されたクラスタのノードで作成されたエンドポイントは、スキャン・リストの更新を受信しません。

関連項目

親トピック: Oracle Key Vaultリリース18.2での変更点

逆移行を必要としないルート・オブ・トラストとしてHSMを使用したOracle Key Vaultサーバーのアップグレード

このリリース以降では、HSM対応のOracle Key Vaultへのアップグレードがサポートされます。

以前のリリースでは、HSMが有効にされたOracle Key Vaultのアップグレードは、いくつかの理由で実行できませんでした。まず、ホスト名を使用してアクセスする必要があるHSMのクライアントとしてOracle Key Vaultが登録された場合、Oracle Key Vaultサーバーの再起動後、Oracle Key Vault DNSサービスdnsmasqは、Oracle Key VaultがHSMに接続しようとしたときに実行されていませんでした。このため、TDEウォレットを開くことができませんでした。バグ24478865で説明されているとおりこの問題には、DNSサーバー・エントリを/etc/resolv.confに追加する必要があったという回避策がありましたが、アップグレード・プロセスではこのファイルがリセットされるため、HSMアップグレードの有効な回避策ではありませんでした。その後バグ24478865が解決されたため、回避策は必要なくなりました。HSMが有効になっているOracle Key Vaultのアップグレードがブロックされる別の問題はnCipher HSMの問題で、Oracle Key VaultがTDEウォレットを開こうとしたときにhardserverサービスが実行されていませんでした。このため、アップグレード中の再起動後に障害が発生しました。ウォレットを開く前に、必要に応じてOracle Key Vaultがhardserverサービスを開始するようになりました。Oracle Key Vaultバージョン18.1以降のバージョンからアップグレードする場合は、HSMをルート・オブ・トラストとして使用してアップグレードすることが可能です。

関連項目

親トピック: Oracle Key Vaultリリース18.2での変更点

ルート・オブ・トラストとしてのHSMの改善点

この項では、ルート・オブ・トラストとしてのOracle Key Vault HSMの改善点について説明します。

  • HSM設定の定期的な検証
    HSMをルート・オブ・トラストとして使用する以前のバージョンのOracle Key Vaultでは、HSMへの接続はOracle Key Vaultの起動処理時に一度のみ検証されました。
  • HSM機能のエラー・レポートの改善
    HSM機能のエラー処理に対するいくつかの改善が、このリリースで導入されました。

親トピック: Oracle Key Vaultリリース18.2での変更点

HSM設定の定期的な検証

HSMをルート・オブ・トラストとして使用する以前のバージョンのOracle Key Vaultでは、HSMへの接続はOracle Key Vaultの起動処理時に一度のみ検証されました。

HSMが正しく機能していることを検証するために、接続が定期的にチェックされるようになりました。正しく機能していない場合は、Invalid HSM Configurationアラートが発生します。

HSM機能のエラー・レポートの改善

HSM機能のエラー処理に対するいくつかの改善が、このリリースで導入されました。

エラー処理が次のように改善されました。
  • 「Old Recovery Passphrase」および「New Recovery Passphrase」フィールドに同じリカバリ・パスフレーズが設定されているスタンドアロン・モード(クラスタではなく、プライマリ・スタンバイではない)のOracle Key Vaultリリース18.1のHSMからの逆移行では、ORA-20101: リカバリ・パスフレーズの変更に失敗しましたなどのエラー・メッセージが表示されます。古いリカバリ・パスフレーズおよび新しいリカバリ・パスフレーズは、逆移行時に同じにできるようになりました。
  • バンドルの適用中にエラーが発生したときに、一般的なエラー・メッセージを受信していました。これらのエラー・メッセージは、問題を適切に診断するためにより具体的になりました。
  • 「Set Credential」ボタンを使用して、同じ資格証明でHSMの資格証明を2回設定すると、エラーが発生しました。これは、問題なく完了できるようになりました。
  • 間違ったHSM資格証明を使用してHSMバンドルを作成したときに受信したエラー・メッセージは、特定の問題を示していませんでした。このエラー・メッセージは、問題の原因に関してより具体的になりました。

RESTfulサービスの改善点

この項では、Oracle Key VaultでのRESTfulサービスの改善点について説明します。

親トピック: Oracle Key Vaultリリース18.2での変更点

KMIP REST Locateでのキー名によるフィルタリングのサポート

Oracle Key VaultのRESTfulサービスのlocateコマンドに、KMIP UUIDをより簡単に取得できる新しいオプションが追加されました。

人間が読めるKMIPオブジェクト名を指定すると、ユーザーはオブジェクトに関連付けられたKMIP識別子を見つけることができます。Oracle Key Vault RESTfulサービスでは、UUIDを覚えておくことが難しいため、locateコマンドに-nameオプションを指定してKMIP UUIDを簡単に取得できるようになりました。locateコマンドで-nameオプションを使用してUUIDを取得すると、そのUUIDを他のKMIP RESTコールで使用できます。

関連項目

親トピック: RESTfulサービスの改善点

単一のRESTfulコマンドによるすべてのエンドポイントの再エンロール

単一のRESTfulコマンドre_enroll_allを使用して、すべてのエンドポイントを1回の操作で再エンロールできるようになりました。

re_enroll_allコマンドは、多数のエンドポイントがあるOracle Key Vaultのデプロイメントで役に立ちます。以前のリリースでは、RESTful APIを使用する場合でも、すべてのエンドポイントを1つずつ再エンロールする必要があり、時間がかかることがありました。

RESTプロビジョニング・コマンドの新しいwallet_rootオプション

新しいwallet_rootオプションがRESTfulサービスprovisionコマンドに追加されました。

dirオプションとは異なり、wallet_rootオプションではエンドポイント名のディレクトリは作成されません。その結果、ユーザーはこのオプションでTDE WALLET_ROOTルート・ディレクトリを指定できます。ユーザーは、要件に基づいて、wallet_rootオプションまたはdirオプションを選択できます。

長時間実行されているプロセスでのキャッシュされたOracle Key Vault構成の定期的なリフレッシュ

以前のリリースでは、エンドポイント・データベースのgen0プロセスは新しいokvclient.ora値を定期的に取得していませんでした。

その結果、okvclient.oraのパラメータ(SERVERリスト、PKCS11_CACHE_TIMEOUT、PKCS11_PERSISTENT_CACHE_TIMEOUTPKCS11_PERSISTENT_CACHE_REFRESH_WINDOWなど)への変更は、キーがOracle Key Vaultからリフレッシュされたときでも取得されませんでした。プロセスごとに、okvclient.oraが最後に読み取られてからの時間が、新しいPKCS11_CONFIG_PARAM_REFRESH_INTERVAL値(分単位)よりも大きい場合は、次回インメモリー・キャッシュ・キーが期限切れになり、永続キャッシュまたはOracle Key Vaultサーバーからリフレッシュする必要があるときに、okvclient.oraは再度読み取られ、変更された値はプロセスで取り込まれます。

関連項目

親トピック: Oracle Key Vaultリリース18.2での変更点