Oracle Database Vault管理者ガイドのこのリリースの変更点
この章の内容は次のとおりです。
Oracle Database Vault 23cでの変更点
Oracle Database 23cのOracle Database Vault管理者ガイドの変更点は次のとおりです。
- 統合監査および従来の監査の認可を制御する機能
Oracle Database 23c以降では、監査認可を使用して監査管理をより厳密に制御できます。 - SQL Firewallの認可を制御する機能
Oracle Database 23c以降では、Oracle Database Vault環境で、このリリースより新しいSQL Firewallを使用するユーザーの認可を制御できます。 - Oracle Database Vaultでの従来の監査のサポート終了
Oracle Database 23c以降、従来の監査はサポートされなくなりました。
統合監査および従来の監査の認可を制御する機能
Oracle Database 23c以降では、監査認可を使用して監査管理をより厳密に制御できます。
このリリース以降、Oracle Database Vaultが新規またはアップグレードされたデータベースで構成および有効化されている場合、最初にOracle Database Vaultによって認可されることなく、監査関連の表およびビューを問い合せたり、従来の監査ポリシーまたは統合監査ポリシーを管理するすべてのユーザーに対して監査認可が必要になります。これは、SYS、SYSTEMおよびSYSDBA管理権限を持つユーザー、またはDBA、AUDIT_ADMINまたはAUDIT_VIEWERロールを持つユーザーに適用されます。
この機能では、Oracle Database Vault環境について監査関連の次の機能拡張が提供されます。
- 統合監査と従来の監査の両方を保護します。
- 認可ユーザーが
DBMS_AUDIT_MGMTPL/SQLパッケージを使用する場合を除き、SYS.AUD$およびSYS.FGA_LOG$データベース表の直接変更をブロックします。 SYSスキーマのAUDSYSスキーマおよび監査関連オブジェクトを保護するために、監査関連オブジェクトの新しい必須のデフォルト・レルム(Oracle Auditレルム)を提供します。
この機能では、次の新しいプロシージャを使用できます。
DVSYS.DBMS_MACADM.AUTHORIZE_AUDIT_ADMINDVSYS.DBMS_MACADM.UNAUTHORIZE_AUDIT_ADMINDVSYS.DBMS_MACADM.AUTHORIZE_AUDIT_VIEWERDVSYS.DBMS_MACADM.UNAUTHORIZE_AUDIT_VIEWER
次の新しいデータ・ディクショナリ・ビューを使用できます。
DVSYS.DBA_DV_AUDIT_ADMIN_AUTHDVSYS.DBA_DV_AUDIT_VIEWER_AUTH
ALTER SYSTEMコマンド・ルールでは、AUDIT_FILE_DEST、AUDIT_TRAIL、AUDIT_SYS_OPERATIONSおよびAUDIT_SYSLOG_LEVELパラメータに対するAUDIT_ADMIN認可が必要になりました。(これらのパラメータは、このリリース以降は非推奨になりました。)SYSおよびAUDSYSスキーマで監査証跡を問い合せるには、AUDIT_ADMINまたはAUDIT_VIEWER認可が必要になりました。
以前のリリースでは、監査を制御または制限するために、Database Vault管理者は、CREATE AUDIT POLICYなどの監査関連PL/SQL文のコマンド・ルールを作成する必要がありました。従来の監査では、AUDIT_FILE_DESTなどのシステム・パラメータを変更する必要があります。この新しい認可は、必要なデータベース権限を統合または置換しません。監査認可は、Oracle Database Vault環境で監査を管理するための追加の要件です。つまり、Oracle Database Vaultが有効な場合に監査を管理するには、十分な権限および監査認可が必要です。この機能拡張により、ユーザーへの監査関連権限の付与が容易になることに加え、Oracle Database Vault環境で監査を管理するための職務分離が強化されます。
SQL Firewallの認可を制御する機能
Oracle Database 23c以降では、Oracle Database Vault環境で、このリリースから新しいSQL Firewallを使用するユーザーの認可を制御できます。
ユーザーにSQL Firewall操作を実行する権限を付与するのみでなく、ユーザーがSQL Firewallを使用して、DV_OWNERおよびDV_ACCTMGRロールを付与されたユーザーに影響を与える可能性のあるポリシーを適用しないようにできます。
この機能では、次の新しいDBMS_MACADMパッケージ・プロシージャを使用できます。
DVSYS.DBMS_MACADM.AUTHORIZE_SQL_FIREWALLDVSYS.DBMS_MACADM.UNAUTHORIZE_SQL_FIREWALL
この機能拡張には、SQL Firewall認可に関する情報を提供するDBA_DV_SQL_FIREWALL_AUTHデータ・ディクショナリ・ビューも含まれています。
Oracle Database Vaultでの従来の監査のサポート終了
Oracle Database 23c以降、従来の監査はサポートされなくなりました。
統合監査がOracle Database Vaultの監査を実行するための方法になります。統合監査では、選択的かつ効果的な監査をより柔軟に実行できます。これは、企業にとって重要なアクティビティに重点を置くために役立ちます。統合監査には、単一のセキュアな統合証跡、監査選択性に関する条件ポリシーおよび簡潔性に関する事前構成済のデフォルト・ポリシーがあります。セキュリティとコンプライアンスの向上のために、統合監査の使用をお薦めします。
Oracle Database Vaultでの従来の監査のサポート終了の主な影響は、レルム、ルール・セットおよびファクタのAPIにおけるaudit_optionsパラメータにあります。