1. Oracle Database新機能ガイド
  2. セキュリティ

8 セキュリティ

SQLファイアウォール

Oracle Databaseに含まれるOracle SQLファイアウォール

Oracle Databaseに含まれるSQLファイアウォールは、すべての受信SQL文を検査し、明示的に認可されたSQLのみが実行されるようにします。SQLファイアウォールを使用して、データベースで処理できるSQL文を制御できます。データベース接続およびSQL文に関連付けられた接続パスを制限できます。認可されていないSQLを記録してブロックできます。SQLファイアウォールはOracleデータベースに埋め込まれているため、バイパスできません。ローカル・テキストかネットワーク・テキストか、暗号化テキストかクリア・テキストかに関係なく、すべてのSQL文が検査されます。最上位のSQL、ストアド・プロシージャおよび関連するデータベース・オブジェクトが調査されます。

SQLファイアウォールは、承認されたSQL文または接続にのみデータベース・アクセスを制限することで、一般的なデータベース攻撃に対するリアルタイムの保護を提供します。SQLインジェクション攻撃、異常なアクセス、資格証明の盗難または不正使用によるリスクを軽減します。

SQLファイアウォールは、IPアドレス、オペレーティング・システムのユーザー名、オペレーティング・システム・プログラム名などのセッション・コンテキスト・データを使用して、データベース・アカウントがデータベースに接続する方法を制限します。これにより、アプリケーション・サービス・アカウント資格証明の盗難または誤用のリスクを軽減できます。SQLファイアウォールの一般的なユースケースは、アプリケーションのワークロードに関するものです。

SQLファイアウォールは、ルートとプラガブル・データベース(PDB)の両方で使用できます。

関連リソース

ドキュメントの表示に関する項

暗号化

Oracle DatabaseでサポートされるようになったTransport Layer Security (TLS) 1.3

Transport Layer Security (TLS)バージョン1.3は、Database 23cでサポートされています。TLS 1.3は、Oracleデータベースとのネットワーク接続を保護する最も安全性の高い最新のTLSプロトコルです。

TLS 1.3では初期セッション設定が以前のTLSバージョンより効率的に処理されるため、TLS 1.3に移行するユーザーは、特にデータベースへの接続と再接続が頻繁に行われるアプリケーションではTLSパフォーマンスの向上を確認する必要があります。TLS 1.3では、転送中のデータの機密性を向上させる、より安全で新しい暗号スイートも実装されています。

関連リソース

ドキュメントの表示に関する項

TLS証明書DN一致の動作を制御する新しいパラメータ

SSL_ALLOW_WEAK_DN_MATCHパラメータを使用して、SSL_SERVER_DN_MATCHで部分識別名一致にサービス名を使用できる方法を制御し、データベース・サーバーの証明書のみをチェックできます。

リスナーとサーバーの両方の証明書によるDN一致により、セキュリティが向上し、クライアントが正しいデータベース・サーバーに接続していることをが保証されます。

関連リソース

ドキュメントの表示に関する項

簡略化されたTransport Layer Security構成

データベース・クライアントとサーバー間のTransport Layer Security (TLS)構成は、合理化されたパラメータ、パフォーマンスの向上およびウォレットを見つけるための追加パラメータによって簡素化されています。古いTLSプロトコルも削除されました。

これらの変更により、セキュリティが向上し、TLSの実装が容易になります。

関連リソース

ドキュメントの表示に関する項

クライアント・ウォレットを使用しないTransport Layer Security接続を構成する機能

ローカル・システムの他の場所で既知のCAルート証明書が使用可能な場合に、その証明書を保持するためのウォレットを提供するのに、Oracle Databaseクライアントが不要になりました。

Transport Layer Security (TLS)暗号化には、一方向認証または双方向認証のいずれかが必要です。HTTPS接続に一般的に使用される一方向認証(デフォルト)では、ローカル・システムですでに使用可能な既知のルートCA証明書を使用して、サーバー証明書が検証されます。このリリースから、ルート証明書がすでにローカル・システムで使用可能である場合は、その既知の証明書を保持するウォレットをインストールして構成する必要がなくなります。

この機能により、Oracle Databaseクライアントのインストールと、Oracle Databaseクライアント/サーバー通信を暗号化するTLSプロトコルの使用が大幅に簡略化されます。

関連リソース

ドキュメントの表示に関する項

非推奨の暗号スイートの使用を防止する新しいsqlnet.oraパラメータ

SSL_ENABLE_WEAK_CIPHERS sqlnet.oraパラメータをFALSEに設定することで、非推奨の暗号スイートの使用をブロックできます。

安全性の低い古い暗号スイートを使用不可にすると、データベース間で移動中のデータの保護が向上します。

関連リソース

ドキュメントの表示に関する項

TDE表領域暗号化のためのAES-XTS暗号化モードのサポート

透過的データベース暗号化(TDE)表領域暗号化では、CREATE TABLESPACE文でAdvanced Encryption Standard (AES) XTS (Ciphertext Stealingモードを使用したXEXベースのモード)がサポートされるようになりました。以前のバージョンのOracle Database TDEでは、AES-CFB暗号モードが使用されていました。

AES-XTSは、特にTDEがパラレル処理とプロセッサ・ハードウェアに組み込まれた特殊な命令を利用できるプラットフォーム上で、セキュリティの向上とパフォーマンスの向上を実現します。

関連リソース

ドキュメントの表示に関する項

TDE暗号化アルゴリズムおよびモードの変更

TDE列暗号化とTDE表領域暗号化の両方のデフォルトの暗号化アルゴリズムは、AES256です。TDE列暗号化の以前のデフォルトはAES192でした。TDE表領域暗号化の場合、デフォルトはAES128でした。

GOSTおよびSEEDアルゴリズムの復号化ライブラリは非推奨です。新しいキーではこれらのアルゴリズムを使用することはできません。これらの両方のライブラリの暗号化ライブラリはサポートされなくなります。

列暗号化モードは、暗号ブロック連鎖(CBC)ではなくGalois/Counter Mode (GCM)になり、表領域キーは、暗号フィードバック(CFB)ではなくTweakableブロックCiphertext Stealing (XTS)オペレーティング・モードで使用されるようになりました。

列暗号化キーのOracle Recovery Manager (RMAN)整合性チェックでは、SHA1のかわりにSHA512が使用されるようになりました。

Oracle RMANおよび列キーのキーは、キー生成用にSHA512/AESから導出されるようになりました。以前のリリースでは、SHA-1/3DESを擬似ランダム関数として使用していました。

これらの機能拡張により、Oracle Database環境は最新の最も安全なアルゴリズムおよび暗号化モードを使用できます。

関連リソース

ドキュメントの表示に関する項

ローカル自動ログイン・ウォレットの改善と安全性の向上

ローカル自動ログイン・ウォレットは、作成または変更されたホスト(ベア・メタルと仮想の両方)により厳密にバインドされるようになりました。ローカル自動ログイン・プロセスもより安全になり、追加のデプロイメント要件を必要とせず、rootアクセスを必要としません。

ローカル自動ログイン・ウォレットはより安全になり、ベア・メタル環境と仮想環境の両方をサポートしています。

この機能拡張は、透過的データ暗号化(TDE)自動ログイン・キーストアにも適用されます。

関連リソース

ドキュメントの表示に関する項

監査

表およびビューの列レベルでのオブジェクト・アクションの監査

統合監査ポリシーを作成して、表内およびビュー内の個別の列を監査できます。

この機能を使用すると、より細かく焦点を絞った監査ポリシーを構成でき、不要な監査レコードの作成を減らし、コンプライアンス要件を満たすのに十分な効果が得られるように監査の選択性が確保されます。

関連リソース

ドキュメントの表示に関する項

統合監査および従来の監査の認可の制御

Oracle Database Vault APIを使用して、特権ユーザーがOracle DatabaseのAUDIT_ADMINロールとAUDIT_VIEWERロールを付与および取り消す方法を制御できます。Database Vaultは、認可ユーザーがDBMS_AUDIT_MGMT PL/SQLパッケージを使用する場合を除き、データベース監査表の直接変更をブロックします。新しい必須のデフォルト・レルム(Oracle Auditレルム)により、SYSスキーマのAUDSYSスキーマおよび監査関連オブジェクトが保護されます。

この新しいDatabase Vaultレルムにより、Database Vaultの監査が簡素化され、監査に必要な権限が1つの認可メカニズムに統合されます。この機能拡張により、ユーザーへの監査関連権限の付与が容易になることに加え、Oracle Database Vault環境で監査を管理するための職務分離が強化されます。

関連リソース

ドキュメントの表示に関する項

認証

Microsoft Azure Active Directoryとその他のOracle Database環境との統合

Microsoft Azure Active Directory (Azure AD)シングル・サインオンのOAuth2アクセス・トークンを使用して、Oracle Databaseにログインできます。この機能はOracle Databaseリリース19.16以降(Oracle Database 21cを除く)にバックポートされています。

このマルチクラウド機能は、Azure ADおよびOracle Databaseの間で認証と認可を統合します。

関連リソース

ドキュメントの表示に関する項

ODP.NET: Azure Active Directoryシングル・サインオン

ODP.NETは、Microsoft Azure Active Directory (Azure AD) OAuth 2.0アクセス・トークンを使用してOracleデータベースにログインできます。ユーザーは、Azure ADを使用して1回サインオンし、そのトークンを取得し、オンプレミスおよびクラウドベースのOracleデータベースにアクセスできます。この機能は、ODP.NET CoreおよびManaged ODP.NETで使用できます。

このマルチクラウド機能により、ユーザー・アクセスおよび管理が簡略化されることで、Azure ADとOracle Databaseの間の認証と認可が容易になります。

関連リソース

ドキュメントの表示に関する項

Oracle Databaseのパスワード長の増加

Oracle Databaseでは、最大1024バイトの長さのパスワードがサポートされるようになりました。以前のリリースでは、Oracle Databaseのパスワードの長さおよび安全性の高いロールのパスワードの長さは最大30バイトでした。

パスワードを長くすると、より強力な認証を目指す業界全体のトレンドがサポートされます。パスワードを使用する必要がある場合、長さを伸ばすと、より推測しにくいパスワードになります。

関連リソース

ドキュメントの表示に関する項

JDBC-Thinでの長いパスワードのサポート

データベース・ユーザー認証のパスワードは1024文字までです。

この機能により、クラウドおよびオンプレミス環境でのJavaアプリケーションの認証セキュリティが強化されます。

関連リソース

ドキュメントの表示に関する項

Oracle Data Pump ExportおよびImportによるより長い暗号化パスワードのサポート

Oracle Data Pumpでは、最大1024バイトの暗号化パスワードを使用してエクスポート・ファイルを保護できます。

Oracle Data Pumpは、最大1024バイトの暗号化パスワードをサポートすることで、セキュリティを強化します。

関連リソース

ドキュメントの表示に関する項

Oracle Call Interface (OCI)およびOracle C++ Call Interface (OCCI)のパスワードの長さの増加

Oracle Call Interface (OCI)およびOracle C++ Call Interface (OCCI)は、最大1024バイトの長さのデータベース・ユーザー認証のパスワードをサポートするようになりました。

この機能により、セキュリティを向上させるために使用するパスワードが長くなります。また、長いパスワードを生成するツールでデータベースの使用を支援します。

関連リソース

ドキュメントの表示に関する項

Kerberosライブラリの更新とその他の改善点

Oracle DatabaseはMIT Kerberosライブラリ・バージョン1.20.1をサポートし、複数のプリンシパル、クロスドメインおよびWindows Credential Guardのサポートなど、その他の改善を実現します。

これらのKerberosの改善により、セキュリティが向上し、Kerberosをより多くのOracle Database環境で使用できるようになります。

関連リソース

ドキュメントの表示に関する項

RADIUS構成の拡張

RADIUSは、Oracle Databaseのマルチファクタ認証(MFA)を提供するために頻繁に使用されます。Oracle Database 23cは、RADIUSのRFC 6613および6614のガイドラインに対応し、デフォルトでTCP over Transport Layer Security (TLS)を実装するようになりました。この機能拡張により、新しい標準に対応する新しいRADIUS関連のsqlnet.oraのパラメータが導入されました。この機能拡張により、新しい標準に対応するために必要でなくなったいくつかのRADIUS関連のsqlnet.oraパラメータも非推奨になります。

このRADIUS標準サポートの更新により、RADIUSベースの認証を使用する顧客のセキュリティが向上します。

関連リソース

ドキュメントの表示に関する項

UTL_HTTPによるSHA-256およびその他のダイジェスト認証標準のサポート

UTL_HTTPは、ダイジェスト認証でSHA-256とSHA-512/256の両方をサポートするように拡張され、上位互換性を確保します。

UTL_HTTPは、標準ブラウザと同様に、クライアント側のHTTPアクセス用のAPIとみなすことができます。ダイジェスト認証用にSHA-256とSHA-512/256の両方をサポートすることで、UTL_HTTPを他の標準ブラウザと同等にすることができます。

関連リソース

ドキュメントの表示に関する項

XDB HTTP SHA512ダイジェスト認証

Oracle XDB HTTPプロトコル・サーバーは、ダイジェスト認証のSHA512認証をサポートするようになりました。これは、MD5よりもセキュアなダイジェスト・アルゴリズムです。

この機能により、WebからOracle XDBを使用するときのセキュリティが向上します。

関連リソース

ドキュメントの表示に関する項

認可

アクセス制御を簡略化するスキーマ権限

Oracle Databaseでは、既存のオブジェクト、システムおよび管理権限に加えて、スキーマに関する権限の付与がサポートされています。

この機能により、特に新しいオブジェクトを頻繁に追加するスキーマについて、データベース・オブジェクトの認可を簡素化することで、セキュリティが向上します。データベース全体に適用される広範なシステム・レベル(* ANY)権限を付与するかわりに、個々のスキーマ・レベルで権限を付与できるようになりました。

関連リソース

ドキュメントの表示に関する項

新しいLBAC_TRIGGERスキーマに含まれるOracle Label Securityトリガー

新しいスキーマLBAC_TRIGGERが、以前にLBACSYSスキーマによって所有されていた内部トリガーを所有するために導入されています。既存のLBACSYSトリガーをこの新しいスキーマに移行できます。

LBACSYSスキーマとLBAC_TRIGGERスキーマは、どちらもOracleで管理され、ディクショナリで保護されています。

この機能により、Oracle Label Securityオプションを使用する際のセキュリティが向上します。

関連リソース

ドキュメントの表示に関する項

職務分離保護による、SYS以外のOracleスキーマまで拡張されたOracleデータ・ディクショナリ保護

Oracle Databaseスキーマでは、SYSOPERSYSASMSYSBACKUPSYSKMSYSRACおよびSYSDGの職務分離をさらに保護することで、データ・ディクショナリ保護を可能にします。

Oracleスキーマには、Oracle Databaseの機能に不可欠な機能があります。これらのスキーマが追加の職務分離を含むディクショナリ保護を受けることができるようになると、Oracle Databaseの機能を危険にさらす可能性のあるこれらのスキーマ内での不注意な変更や悪意のある変更を防ぐことができます。

関連リソース

ドキュメントの表示に関する項

GoldenGateでのユーザー・ロールの取得および適用

適切な取得権限および適用権限をGoldenGateおよびXStream管理者に付与するために、新しいロールOGG_CAPTUREOGG_APPLYOGG_APPLY_PROCREPXSTREAM_CAPTUREXSTREAM_APPLYが作成されました。これらの新しいロールは、現在サポートされていないDBMS_GOLDENGATE_AUTHおよびDBMS_XSTREAM_AUTHパッケージのプロシージャの機能を置き換えます。

この機能により、管理タスクが簡略化されます。

関連リソース

ドキュメントの表示に関する項

Autonomous Database

Oracle Autonomous Cloud DatabaseとIdentity and Access Managementの統合

Identity and Access Management (IAM)パスワードまたはトークンベース認証を使用して、追加のOracle Database Oracle Cloud Infrastructure (OCI) DBaaSプラットフォームにログインできるようになりました。SQL*PlusやSQLclなどのツールからこれらのIAM資格証明を使用して、これらのデータベースにログインできます。

この機能により、OCI DBaaSデータベース・インスタンスの資格証明を一元管理することでセキュリティが向上します。

関連リソース

ドキュメントの表示に関する項

ODP.NET: Oracle Identity and Access Management

ODP.NETでは、Oracle Cloud Database Servicesを含め、Oracleクラウド・サービス全体にわたり統合されたアイデンティティを実現するための、Oracle Identity and Access Management (IAM)クラウド・サービスがサポートされています。ODP.NETでは、IAM SSOトークンを使用して、Oracle CloudおよびOracleクラウド・データベースに対する認証と認可に同じOracle IAM資格証明を使用できるようになりました。この機能は、ODP.NET CoreおよびManaged ODP.NETで使用できます。

この機能により、シングル・サインオンが可能になり、Azure Active DirectoryおよびMicrosoft Active Directory (オンプレミス)を介したフェデレーション・ユーザーを含めOracle IAMでサポートされているすべてのサービスにアイデンティティを伝播できるようになります。統合されたアイデンティティにより、管理者とエンド・ユーザーにとってユーザー管理とアカウント管理が容易になります。

関連リソース

ドキュメントの表示に関する項

Oracle Clientでのデータベース・パスワード長の拡張

このリリース以降、Oracle Databaseおよびクライアント・ドライバでは最大1024バイトの長さのパスワードがサポートされています。

Oracle Databaseおよびクライアントのパスワード長は30バイトから1024バイトに増え、ユーザーは必要に応じてより長いパスワードを設定できるようになりました。最大文字数は、一部の文字が1バイトを超えるため、使用される文字セットに基づきます。

関連リソース

ドキュメントの表示に関する項

その他

セキュアな分散トランザクション・リカバリ・バックグラウンド・プロセス(RECO)

Oracle Databaseでは、異なるデータベースでホストされているオブジェクトに対する問合せおよびDMLが可能です。リモート・データベースでオブジェクトが更新されると、ソース・データベースのトランザクションは分散トランザクションになります。分散トランザクションが失敗した場合、データベース・バックグラウンド・プロセス(RECO)は、未通知の下位との接続を定期的に再確立し、それらのリモート・データベースに最終結果をプッシュします。

セキュアな分散トランザクション・リカバリ・バックグラウンド・プロセス(RECO)は、RECOプロセスに追加のセキュリティを提供します。

関連リソース

ドキュメントの表示に関する項

CMANでのIPレート制限

Oracle Connection Manager (CMAN)を使用して、指定した時間単位でIPアドレスから許可される新規接続の数を制限できます。このIPレート制限機能により、データベースを潜在的なサービス拒否(DoS)攻撃から保護できます。

悪意のあるクライアントは、サーバー・ノードに過剰な接続リクエストを送信する可能性があります。これは、CMANが新しい接続を処理する秒当たりの容量を飽和させ、データベースへのDoS攻撃を引き起こす可能性があります。このセキュリティ機能を使用すると、そのようなクライアントを早期に検出し、それらの接続を拒否することで、このようなタイプの攻撃を防止できます。

関連リソース

ドキュメントの表示に関する項

Microsoft Azure Active Directoryとその他のOracle Database環境との統合のためのOCI属性

Microsoft Azure Active Directory (Azure AD)シングル・サインオンのOAuth2アクセス・トークンを使用して、追加のOracle Database環境にログインできます。以前のリリースでは、Oracle Cloud Infrastructure (OCI) Autonomous Database (共有インフラストラクチャ)のAzure AD統合がサポートされていました。このリリースでは、Azure AD統合が拡張され、オンプレミスのOracle Databaseリリース19.16以降をサポートするようになりました。このプロジェクトでは、接続の作成にベアラー・トークンを提供するために必要なOCI属性を追加します。

このマルチクラウド機能は、Azure ADと、Oracle Cloud InfrastructureおよびオンプレミスのOracle Databasesの間で認証と認可を統合します。

関連リソース

ドキュメントの表示に関する項

ODP.NETでのTransport Layer Security (TLS) 1.3

ODP.NETでは、Core、管理対象および管理対象外プロバイダで、Transport Layerバージョン1.3がサポートされています。TLSは、データの暗号化と接続の認証に使用されます。

TLS 1.3では、TLS 1.2よりも優れたセキュリティとパフォーマンスが提供されます。

関連リソース

ドキュメントの表示に関する項