機械翻訳について
  1. Exadata Database Service on Dedicated Infrastructure
  2. How-toガイド
  3. Oracle Data Safeを使用したデータベース・セキュリティの管理

Oracle Data Safeを使用したデータベース・セキュリティの管理

親トピック: How-toガイド

Oracle Data Safeについて

企業ポリシーでは、データベースをモニターし、監査レコードを保持する必要があります。 開発者は、その新しいアプリケーションの本番データのコピーを要求しています。このアプリケーションに含まれる機密情報は、どのような種類ですか。 その一方で、最近のメンテナンス・アクティビティでは、本番データベースに重要なセキュリティ構成のギャップが残っていないこと、およびスタッフの変更によって休止ユーザー・アカウントがデータベースに残されていないことを確認する必要があります。 Oracle Data Safeは、これらのタスクを支援し、Exadata Database Service*に含まれています。

Oracle Data Safeは統合されたコントロール・センターであり、Oracle Cloud Infrastructure、Cloud@Customer、オンプレミスまたはその他のクラウドで実行されている場合でも、Oracle Databasesの日常的なセキュリティおよびコンプライアンス要件を管理するのに役立ちます。

データ・セーフでは、データの機密性を評価し、本番以外のデータベースの機密データをマスキングすることで、データベースのセキュリティ・コントロールの評価、ユーザー・セキュリティの評価、ユーザー・アクティビティのモニター、およびデータ・セキュリティ・コンプライアンス要件への対処をサポートします。

データ・セーフは次の機能を提供します:

  • セキュリティ評価: 構成エラーと構成ドリフトは、データ侵害の重要な要因です。 セキュリティ評価を使用して、データベースの構成を評価し、Oracleおよび業界のベスト・プラクティスと比較します。 セキュリティ評価は、リスクのある領域についてレポートし、構成が変更されたときに通知します。
  • ユーザー・アセスメント: 多くの侵害は、侵害されたユーザー・アカウントで始まります。 ユーザー評価は、最もリスクの高いデータベース・アカウントを特定するのに役立ちます - 妥協した場合、最も多くの損害を引き起こす可能性のあるアカウント - それを守るための積極的な措置を講じる。 ユーザー評価ベースラインを使用すると、新しいアカウントが追加されたり、アカウントの権限が変更されたりするタイミングを容易に把握できます。 データベースがベースラインから逸脱したときに、OCIイベントを使用して事前通知を受信します。
  • アクティビティ監査: ユーザー・アクティビティ、データ・アクセスおよびデータベース構造に対する変更について理解およびレポートすると、規制コンプライアンス要件がサポートされ、インシデント後の調査に役立ちます。 アクティビティ監査では、データベースから監査レコードが収集され、監査ポリシーの管理に役立ちます。 監査インサイトにより、非効率的な監査ポリシーを簡単に特定でき、監査データに基づくアラートによって、リスクのあるアクティビティが事前に通知されます。
  • 機密データの検出: アプリケーションでどの機密データが管理されているかを知ることは、セキュリティとプライバシにとって重要です。 データ検出では、150を超える様々なタイプの機密データについてデータベースがスキャンされるため、どのタイプおよびどのくらいの機密データを格納するかを把握できます。 これらのレポートを使用して、監査ポリシーの策定、データ・マスキング・テンプレートの開発、および効果的なアクセス制御ポリシーの作成を行います。
  • データ・マスキング: 組織で保持する機密データの量を最小限に抑えることで、コンプライアンス要件を満たし、データ・プライバシ規制を満たすことができます。 データ・マスキングは、機密情報をマスキングされたデータに置き換えることで、非本番データベースからリスクを取り除くのに役立ちます。 再利用可能なマスキング・テンプレート、50を超える付属のマスキング・フォーマット、および組織の一意の要件にあわせてカスタム・フォーマットを簡単に作成する機能により、データ・マスキングにより、アプリケーションの開発およびテスト操作を合理化できます。
  • SQLファイアウォール管理: SQLインジェクション攻撃や侵害されたアカウントなどのリスクから保護します。 Oracle SQL Firewallは、Oracle Database 23aiカーネルに組み込まれた新しいセキュリティ機能であり、これらのリスクに対するクラス最高の保護を提供します。 Oracle Data SafeのSQLファイアウォール機能を使用すると、ターゲット・データベースのSQLファイアウォール・ポリシーを一元的に管理および監視できます。 データ・セーフを使用すると、データベース・ユーザーの認可されたSQLアクティビティを収集し、承認されたSQL文およびデータベース接続パスの許可リストを使用してポリシーを生成および有効化でき、ターゲット・データベースのフリート全体にわたるSQLファイアウォール違反の包括的なビューが提供されます。

*アクティビティ監査の監査収集を使用する場合、データベースごとに1か月当たり100万件の監査レコードが含まれます

親トピック: Oracle Data Safeを使用したデータベース・セキュリティの管理

スタート・ガイド

開始するには、データベースをOracle Data Safeに登録するだけです:

  • Pre-requisite: Data Safeにターゲット・データベースを登録するために必要なIdentity and Access Management (IAM)権限を取得: Oracle CloudデータベースをOracle Data Safeに登録する権限
  • データ・セーフへのデータベースの接続

    • データベースがプライベート仮想クラウド・ネットワーク(VCN)で実行されている場合、「データ・セーフ・プライベート・エンドポイント」を使用してData Safeに接続できます。

      プライベート・エンドポイントは、基本的に、選択したサブネットにプライベートIPアドレスを持つVCN内のOracle Data Safeサービスを表します。

      プライベート・エンドポイントは、登録前または登録プロセス中に、データベースのVCNに作成できます。 プライベート・エンドポイントの作成方法の詳細は、「Oracle Data Safeプライベート・エンドポイントの作成」を参照してください。

  • データ・セーフへのデータベースの登録

親トピック: Oracle Data Safeを使用したデータベース・セキュリティの管理

Oracle Data Safeの使用

データベースがData Safeに登録されると、すべての機能を利用できます。

セキュリティ・アセスメント

セキュリティ・アセスメントは、データ・セーフで週に1回自動的にスケジュールされ、データベースのセキュリティ状況の全体像を提供します。 データベース構成、ユーザー、ユーザー権限およびセキュリティ・ポリシーを分析して、セキュリティ・リスクを発見し、組織内のOracle Databasesのセキュリティ状況を改善します。 セキュリティ・アセスメントでは、リスクを軽減または軽減するためのベスト・プラクティスに従う改善アクティビティの推奨事項が示されます。

データベースのセキュリティ評価レポートの確認から開始: ターゲット・データベースの最新のアセスメントの表示

セキュリティ評価の詳細は、「セキュリティ評価の概要」を参照してください。

ユーザー・アセスメント

ユーザー・アセスメントは、データ・セーフで週に1回自動的にスケジュールされ、誤用または漏洩した場合に脅威となる可能性のある高い特権ユーザー・アカウントを識別するのに役立ちます。 ユーザー・アセスメントでは、ターゲット・データベースのデータ・ディクショナリ内のユーザーに関する情報をレビューし、システム権限およびロール付与に基づいて各ユーザーの潜在的なリスクを計算します。

データベースのユーザー評価レポートの確認から開始: ターゲット・データベースの最新のユーザー評価の表示

ユーザー評価の詳細は、「ユーザー評価の概要」を参照してください。

データ検出

データ検出では、データベースの機密列が検索されます。 事前定義された150を超える機密タイプが付属しており、独自の機密タイプを作成することもできます。 データベース全体をスキャンするか、特定のスキーマのみを検索するか、および検索する機密情報のタイプを検索するかをデータ検出に指示し、基準を満たす機密列を検出して機密データ・モデル(SDM)に格納します。

データベース内の機密データの検出から開始: 機密データ・モデルの作成

データ検出の詳細は、「データ検出の概要」を参照してください。

データ・マスキング

データ・マスキング(静的データ・マスキングとも呼ばれる)は、非本番データベースの機密情報または機密情報を、元のデータと同じような特性を持つ現実的で完全に機能するデータに置き換えるのに役立ちます。 データ・セーフには、事前定義された機密タイプのそれぞれに事前定義されたマスキング・フォーマットが付属しており、独自の機密タイプにも使用できます。

機密データがデータベースに格納される場所がわかると(たとえば、データ・セーフでデータ検出を実行した後)、マスキング・ポリシーの作成から開始できます: マスキング・ポリシーの作成

マスキング・ポリシーを作成して本番データベースをコピーした後、非本番コピーをマスクできます: ターゲット・データベースでの機密データのマスク

データ・マスキングの詳細は、「データ・マスキングの概要」を参照してください。

アクティビティ監査

Oracle Data Safeのアクティビティ監査は、アカウンタビリティを確保し、規制コンプライアンスを改善するのに役立ちます。 アクティビティ監査を使用すると、業界および規制のコンプライアンス要件ごとに監査レコードを収集して保持し、事前定義済レポートおよびアラートを使用してOracleデータベースでのユーザー・アクティビティを監視できます。 たとえば、機密データ、セキュリティ関連イベント、管理者およびユーザー・アクティビティ、Center for Internet Security (CIS)などのコンプライアンス規制で推奨されるアクティビティおよび自分の組織で定義されたアクティビティへのアクセスを監査できます。

Data Safeで監査収集を使用している場合、Cloud@Customerデータベースには、ターゲット・データベース当たり最大100万の監査レコードが含まれます。

アクティビティ監査を使用するには、データ・セーフでターゲット・データベースの監査証跡を開始: 監査証跡の開始

監査証跡が開始されると、事前定義された監査レポートを使用して監査データを監視および分析できます: 事前定義済監査レポートまたはカスタム監査レポートの表示

アクティビティ監査の詳細は、「アクティビティ監査の概要」を参照してください。

SQLファイアウォール*

Oracle Data SafeのSQLファイアウォールを使用すると、SQLファイアウォールを一元的に管理でき、ターゲット・データベースのフリート全体にわたるSQLファイアウォール違反の包括的なビューが提供されます。 データ・セーフを使用すると、保護するデータベース・ユーザーの認可済SQLアクティビティを収集し、収集の進行状況を監視し、承認されたSQL文およびデータベース接続パスの許可リストを使用してポリシーを生成および有効化できます。

23aiターゲット・データベースでSQLファイアウォールを有効にすることから開始: ターゲット・データベースでのSQLファイアウォールの有効化

次に、保護するデータベース・ユーザーの許可リストを使用してSQLファイアウォール・ポリシーを生成し、有効にする必要があります: SQLファイアウォール・ポリシーの生成および強制

SQLファイアウォール・ポリシーの適用を開始したら、事前定義済の違反レポートで違反を監視および分析できます: 違反レポートの表示および管理

SQLファイアウォールの詳細は、「SQLファイアウォールの概要」を参照してください。

*SQLファイアウォールは、Oracle Databases 23aiでのみ使用できます。

親トピック: Oracle Data Safeを使用したデータベース・セキュリティの管理