1. セキュリティ・ガイド
  2. Oracle Databaseセキュリティの概要

1 Oracle Databaseセキュリティの概要

Oracle Databaseには、デフォルトのセキュリティ機能が豊富に用意されています。これらを使用して、ユーザー・アカウント、認証、権限、アプリケーション・セキュリティ、暗号化、ネットワーク・トラフィックおよび監査を管理できます。

  • Oracle Databaseセキュリティについて
    デフォルトのOracle Database機能を使用すると、Oracle Databaseインストールのいくつかの領域でセキュリティを構成できます。
  • その他のOracle Databaseセキュリティ製品
    デフォルトのデータベース・インストールで利用可能なセキュリティ・リソースに加え、Oracle Databaseには、他のいくつかのデータベース・セキュリティ製品が用意されています。

1.1 Oracle Databaseセキュリティについて

デフォルトのOracle Database機能を使用すると、Oracle Databaseインストールのいくつかの領域でセキュリティを構成できます。

セキュリティを構成できる領域は次のとおりです。

  • ユーザー・アカウント。スキーマが作成されると、そのスキーマの権限を持つローカル・データベース・ユーザー・アカウントが付属します。作成したユーザー・アカウントは様々な方法で保護できます。サイトのパスワード・ポリシーを強化するために、パスワード・プロファイルやリソース制限を作成することもできます。Oracle Databaseには、データベース機能を提供する事前定義済スキーマのセットと、管理権限を持つその他の事前定義済スキーマが用意されています。

  • 認証方式。Oracle Databaseには、ユーザーおよびデータベース管理者用の認証を構成する方法がいくつかあります。たとえば、複数層、グローバル・ユーザーおよびアプリケーション・サーバーに対して、ユーザーの認証をデータベース・レベルで、オペレーティング・システムから、ネットワーク上で実行できます。Microsoft Active Directoryを使用する場合、データベースを使用してMicrosoft Active Directoryユーザーを直接認証および認可できます。

    データベースを構成して、デジタル証明書を使用する様々なサード・パーティ認証サービスをサポートするOracle認証アダプタを使用した強力な認証を使用できます。Oracle Databaseには、次の厳密認証サポートが用意されています。

    • 集中化された認証とシングル・サインオン。

    • Kerberos

    • Remote Authentication Dial-in User Service(RADIUS)

    • 証明書ベースの認証

  • 権限とロール。権限とロールを使用すると、データに対するユーザー・アクセスを次の方法で制限できます。

    • ユーザーまたは他のロールへの権限およびロールの作成および付与
    • 権限分析の実行による、サイトでの権限の使用方法に関する情報の確認
    • アプリケーションの定義者権限および実行者権限の構成
    • PL/SQLパッケージおよびタイプでのファイングレイン・アクセスの管理
    • Enterprise Managerを使用したセキュリティの管理

  • アプリケーション・セキュリティ。データベース・アプリケーションを作成する最初のステップは、アプリケーション・セキュリティがアプリケーション・セキュリティ・ポリシーに適切に組み込まれていることを確認することです。

  • アプリケーション・コンテキストを使用したユーザー・セッション情報。アプリケーション・コンテキストは、セッション情報を保持する名前と値のペアです。この情報に基づいて、ユーザーの名前や端末などのユーザーに関するセッション情報を取得し、そのユーザーのデータベース・アクセスおよびアプリケーション・アクセスを制限できます。

  • 異なるカテゴリのデータの分類および保護。透過的機密データ保護ポリシーを作成して、機密データ(クレジット・カードや社会保障番号など)を保持するデータベースのすべての表の列を確認し、このデータを分類して、指定されたクラスのこのデータ全体を保護するポリシーを作成できます。

  • ネットワーク・データの暗号化。Transport Layer Security (TLS)およびネイティブ・ネットワーク暗号化を使用して、ネットワーク上を移動するデータを暗号化し、そのデータへの不正アクセスを防止できます。サーバーとクライアントの両方について、Oracle Net Services固有のデータの暗号化を構成できます。

  • シンJDBCクライアント・ネットワーク構成。シンJava Database Connectivity (JDBC)クライアントを構成して、Oracleデータベースに安全に接続できます。

  • データベース・アクティビティの監査。監査は、ネットワーク上で行われる接続だけでなく、直接ローカル・ログイン、再帰的SQL、動的SQLおよびストアド・プロシージャを介しても、データベース・アクティビティの最も正確なレコードを提供します。データベース監査では、ユーザー・アクション、スキーマ変更、ログオン・イベントなどのアクティビティを追跡する統合監査ポリシーを作成および有効化します。統合監査ではさらに、アプリケーション・コンテキスト値や単純な組込み関数などの様々な条件を追加することで、選択的に監査できます。これにより、監査データの量を削減し、同時に悪意のあるアクティビティを適時に検出できます。

親トピック: Oracle Database Securityの概要

1.2 その他のOracle Databaseセキュリティ製品

デフォルトのデータベース・インストールで利用可能なセキュリティ・リソースに加え、Oracle Databaseには、他のいくつかのデータベース・セキュリティ製品が用意されています。

これらの製品は次のとおりです。

  • Oracle Advanced Securityでは、透過的データ暗号化およびOracle Data Redactionを使用して機密データを保護できます。

  • Oracle Label Securityは、分類ラベルをデータに適用して、行レベルのデータのユーザー・アクセスをフィルタ処理できます。

  • Oracle Database Vaultには、権限を持つユーザーからのデータ保護など、機密データに対するファイングレイン・アクセス・コントロールが用意されています。たとえば、給与などの従業員情報へのアクセスをデータベース管理者に制限できます。

  • Oracle Data Safeでは、Oracleデータベース内のデータの機密性とリスクを分析し、その結果に基づいて、機密データをマスクするポリシーを作成し、セキュリティ制御を作成およびモニターし、ユーザー・セキュリティを評価し、ユーザー・アクティビティをモニターできます。

  • Oracle Enterprise User Securityを使用すると、ユーザー・セキュリティをエンタープライズ・レベルで管理できます。

    エンタープライズ・ユーザー・セキュリティ(EUS)は、Oracle Database 23cで非推奨になりました。

    集中管理ユーザー(CMU)の使用に移行することをお薦めします。この機能を使用すると、データベースに対するエンタープライズ・ユーザー認証および認可のためにディレクトリ・サービスを介在させることなく、Microsoft Active Directoryに直接接続できます。Oracle Databaseがクラウドにある場合は、クラウド・アイデンティティ・プロバイダとの新しい統合のいずれかに移行することも選択できます。

  • Oracle Enterprise Manager Data Masking and Subsetting Pack では、元の機密データを架空のデータに不可逆的に置き換え、本番データをIT開発者またはオフショア・ビジネス・パートナと安全に共有できます。

  • Oracle Audit Vault and Database Firewallでは、Oracle Databaseの監査証跡表、データベース・オペレーティング・システム監査ファイル、データベースのREDOログなどのソースからデータベース監査データを収集します。Oracle Audit Vault and Database Firewallを使用すると、不審なアクティビティに対するアラートを作成したり、権限を持つユーザーの変更、スキーマの変更およびデータ・レベルのアクセスに関する履歴のレポートを作成できます。

  • Oracle Key Vaultを使用すると、暗号化キー、Oracleウォレット、Javaキーストアおよび資格証明ファイルの一元管理によってセキュリティおよび暗号化のデプロイメントを促進できます。これは、Oracleウォレット、JavaキーストアおよびOracle Advanced Security透過的データ暗号化(TDE)マスター・キー用に最適化されています。Oracle Key Vaultでは、OASIS KMIP標準がサポートされています。このフルスタックの、セキュリティが強化されたソフトウェア・アプライアンスは、セキュリティ、可用性およびスケーラビリティのためにOracle LinuxとOracle Databaseのテクノロジを使用しており、互換性のあるハードウェアのうちご希望のものにデプロイできます。

これらの製品に加えて、新製品およびセキュリティ・パッチやアラートに関する重要な情報など、Oracle Databaseセキュリティに関する最新情報を入手するには、Oracle Technology Networkの「Security Technology Center」を参照してください。次の場所でアクセスできます。

http://www.oracle.com/technetwork/topics/security/whatsnew/index.html

親トピック: Oracle Database Securityの概要