このリリースでの『Oracle Database Advanced Securityガイド』の変更点
ここでは、次の内容について説明します。
Oracle Database Advanced Security 23cにおける変更点
Oracle Database 23cの『Oracle Database Advanced Securityガイド』の変更点は次のとおりです。
- 暗号化アルゴリズムおよびモードの変更
Oracle Database 23c以降、デフォルトの暗号化アルゴリズムおよび暗号化モードが変更されました。 - TDE表領域暗号化のためのAES-XTS暗号化モードのサポート
Oracle Database 23c以降の透過的データベース暗号化(TDE)表領域暗号化では、CREATE TABLESPACEおよびALTER TABLESPACE文でAdvanced Encryption Standard (AES) XTS (Ciphertext Stealingモードを使用したXEXベースのモード)がサポートされます。 - Oracle Data Redactionでアクセス制御を簡素化するスキーマ権限
Oracle Database 23c以降、Oracle Databaseでは、Oracle Data Redactionに影響するスキーマ権限がサポートされます。 - Oracle Data RedactionでのBOOLEANデータ型のサポート
Oracle Database 23c以降、Oracle Data RedactionでBOOLEANデータ型がサポートされます。 - ハイブリッド障害時リカバリ構成でのOracle Data GuardのREDO復号化
このリリースでは、クラウド・データベースがTDEで暗号化され、オンプレミス・データベースがそうではないハイブリッド・クラウド障害時リカバリ構成において、Oracle Data Guardを使用してREDO操作を復号化できるようになりました。
暗号化アルゴリズムおよびモードの変更
Oracle Database 23c以降、デフォルトの暗号化アルゴリズムおよび暗号化モードが変更されました。
暗号化アルゴリズムの変更:
- 暗号化アルゴリズムの変更:
- TDE列暗号化とTDE表領域暗号化の両方のデフォルト暗号化アルゴリズムがAES256になりました。TDE列暗号化の以前のデフォルトは
AES192でした。TDE表領域暗号化の場合、デフォルトはAES128でした。 GOSTおよびSEEDアルゴリズムの復号化ライブラリは非推奨です。新しいキーではこれらのアルゴリズムを使用することはできません。これら両方のライブラリの暗号化ライブラリはサポートされなくなりました。
- TDE列暗号化とTDE表領域暗号化の両方のデフォルト暗号化アルゴリズムがAES256になりました。TDE列暗号化の以前のデフォルトは
- 列暗号化モードは暗号ブロック・チェーン(CBC)ではなくGalois/Counter Mode (GCM)になり、表領域の暗号化は新しいtweakableブロックCiphertext Stealing (XTS)オペレーティング・モードまたはCipher Feedback(CFB)から選択できるようになりました。CFBがデフォルトです。
- 列暗号化キーのOracle Recovery Manager (Oracle RMAN)整合性チェックでは、
SHA1のかわりにSHA512が使用されるようになりました。 - Oracle RMANおよび列キーのキーは、キー生成用に
SHA512/AESから導出されるようになりました。以前のリリースでは、SHA-1/3DESを擬似ランダム関数として使用していました。
これらの機能拡張により、Oracle Database環境は最新の最も安全なアルゴリズムおよび暗号化モードを使用できます。
TDE表領域暗号化のためのAES-XTS暗号化モードのサポート
Oracle Database 23c以降の透過的データベース暗号化(TDE)表領域暗号化では、CREATE TABLESPACEおよびALTER TABLESPACE文でAdvanced Encryption Standard (AES) XTS (Ciphertext Stealingモードを使用したXEXベースのモード)がサポートされます。
AES-XTSは、特にTDEがパラレル処理とプロセッサ・ハードウェアに組み込まれた特殊な命令を利用できるプラットフォーム上で、セキュリティの向上とパフォーマンスの向上を実現します。
Oracle Data Redactionでアクセス制御を簡素化するスキーマ権限
Oracle Database 23c以降、Oracle Databaseではスキーマ権限がサポートされており、これはOracle Data Redactionに影響します。
この機能拡張は次のとおりです。
ADMINISTER REDACTION POLICY権限は、Oracle Database 21cで必要だったCREATE TABLEまたはCREATE ANY TABLEではなく、DBMS_REDACTPL/SQLパッケージを使用するためのシステム権限またはスキーマ権限としてユーザーに付与する必要があります。データ・リダクション・ポリシーに対しては、DBMS_REDACTパッケージのEXECUTE権限に加えて、この権限が必要です。EXEMPT REDACTION POLICY権限は、システム権限またはスキーマ権限のいずれかとして付与できます。
Oracle Data RedactionでのBOOLEANデータ型のサポート
Oracle Database 23c以降、Oracle Data RedactionでBOOLEANデータ型がサポートされます。
BOOLEANデータ型がOracle Databaseの組込みデータ型になりました。
この拡張機能の一部として、DBMS_REDACT.UPDATE_FULL_REDACTION_VALUESプロシージャに、完全リダクションのデフォルト値の変更をサポートするための新しいパラメータboolean_valが追加されました。
ハイブリッド障害時リカバリ構成でのOracle Data GuardのREDO復号化
このリリースでは、クラウド・データベースがTDEで暗号化され、オンプレミス・データベースがそうではないハイブリッド・クラウド障害時リカバリ構成において、Oracle Data Guardを使用してREDO操作を復号化できるようになりました。
この機能を有効にするために、Oracle DatabaseにはTABLESPACE_ENCRYPTION初期化パラメータが導入され、これを使用して、オンプレミス環境およびOracle Cloud Infrastructure (OCI)環境についてプライマリ・データベースとスタンバイ・データベースの両方の表領域の自動暗号化を制御できます。たとえば、オンプレミス・データベースは暗号化せずに、OCIデータベースは暗号化することができます。
ハイブリッド障害時リカバリは、多くの場合、クラウドを迅速に導入する方法の1つとみなされます。オンプレミス・データベースがまだTDEで暗号化されていない場合でも障害時リカバリをすばやく構成できるようにすることで、ハイブリッド障害時リカバリ環境の構成に必要なステップが削減されるとともに、転送プロセス中も確実にREDOデータが暗号化されたままになります。