5 ユーザーの管理とデータベースのセキュリティ保護
各データベースのセキュリティ・ポリシーを設定します。
- データベースに対するセキュリティ・ポリシー設定の重要性
すべてのデータベースに対してセキュリティ・ポリシーを設定することが重要です。セキュリティ・ポリシーによって、不慮または不正によるデータの破壊またはデータベース・インフラストラクチャの損傷からデータベースを保護する方法が設定されます。 - ユーザーとリソースの管理
データベースに接続するには、各ユーザーが、データベースに事前に定義された有効なユーザー名を指定する必要があります。ユーザーにはアカウントが設定され、ユーザーに関する情報がデータベース・ディクショナリに格納されている必要があります。 - ユーザー権限とロール
権限とロールは、ユーザーのデータへのアクセスおよび実行可能なSQL文のタイプを制御するために使用します。 - データベース・アクティビティの監査
選択したユーザーのデータベース操作は、管理者が実行した操作も含めて、監視および記録できます。システム全体の処理および個々のデータベース・オブジェクトで実行された処理を監視できます。このタイプの監視は、データベース監査と呼ばれます。 - 事前定義のユーザー・アカウント
Oracle Databaseには、いくつかの事前定義のユーザー・アカウントが用意されています。
親トピック: 基本データベース管理
5.1 データベースに対するセキュリティ・ポリシー設定の重要性
すべてのデータベースに対してセキュリティ・ポリシーを設定することが重要です。セキュリティ・ポリシーによって、不慮または不正によるデータの破壊またはデータベース・インフラストラクチャの損傷からデータベースを保護する方法が設定されます。
各データベースに、データベースのセキュリティ・ポリシーを実装および維持するセキュリティ管理者と呼ばれる管理者を設定します。データベース・システムが小さい場合は、データベース管理者がセキュリティ管理者を担当することもできます。ただし、データベース・システムが大きい場合は、指定したユーザーまたはユーザーのグループが単独でセキュリティ管理者として担当することもあります。
データベースに対するセキュリティ・ポリシー設定の詳細は、『Oracle Databaseセキュリティ・ガイド』を参照してください。
親トピック: ユーザーの管理とデータベースのセキュリティ保護
5.2 ユーザーとリソースの管理
データベースに接続するには、各ユーザーが、データベースに事前に定義された有効なユーザー名を指定する必要があります。ユーザーにはアカウントが設定され、ユーザーに関する情報がデータベース・ディクショナリに格納されている必要があります。
データベース・ユーザー(アカウント)を作成するときは、ユーザーに関する次の属性を指定します。
-
ユーザー名
-
認証方式
-
デフォルト表領域
-
一時表領域
-
その他の表領域および割当て制限
-
ユーザー・プロファイル
ユーザーの作成および管理方法を学習するには、『Oracle Databaseセキュリティ・ガイド』を参照してください。
親トピック: ユーザーの管理とデータベースのセキュリティ保護
5.3 ユーザー権限とロール
権限とロールは、ユーザーのデータへのアクセスおよび実行可能なSQL文のタイプを制御するために使用します。
次の表は、権限とロールの、3つのタイプを示しています。
| タイプ | 説明 |
|---|---|
|
システム権限 |
通常は管理者によってのみ付与される、システムが定義する権限。これらの権限は、ユーザーによる特定のデータベース操作の実行を許可します。 |
|
オブジェクト権限 |
システムによって定義された権限。特定のオブジェクトへのアクセスを制御します。 |
|
ロール |
権限や他のロールの集合。システムによって定義されたロールも存在しますが、大部分は管理者によって作成されます。権限や他のロールをグループ化するロールによって、複数の権限またはロールをユーザーに容易に付与できます。 |
権限とロールを付与する権限を所有しているユーザーは、権限とロールを他のユーザーに付与できます。権限とロールの付与は、管理者レベルで開始します。データベースの作成時に、管理ユーザーSYSが作成され、システム権限およびOracle Databaseで事前定義されたロールがすべて付与されます。次に、ユーザーSYSは、権限とロールを他のユーザーに付与し、そのユーザーが別のユーザーに対して特定の権限を付与できる権限を与えることもできます。
ユーザーの権限とロールの管理方法を学習するには、『Oracle Databaseセキュリティ・ガイド』を参照してください。
親トピック: ユーザーの管理とデータベースのセキュリティ保護
5.4 データベース・アクティビティの監査
選択したユーザーのデータベース操作は、管理者が実行した操作も含めて、監視および記録できます。システム全体の処理および個々のデータベース・オブジェクトで実行された処理を監視できます。このタイプの監視は、データベース監査と呼ばれます。
統合監査ポリシーを作成し、SQL文を使用してそれらの監査ポリシーを管理できます。Oracle Databaseには標準監査設定を含むデフォルトの統合監査ポリシーが用意されており、カスタム統合監査ポリシーを作成できます。DBMS_FGA PL/SQLパッケージを使用して、ファイングレイン監査ポリシーを作成することもできます。
関連項目:
データベース監査の詳細は、『Oracle Databaseセキュリティ・ガイド』を参照してください。
ノート:
Oracle Databaseリリース21c以降、従来の監査はサポートされていません。Oracleでは、統合監査を使用して、Oracle Database内で選択的でより効果的な監査を行うことをお薦めします。親トピック: ユーザーの管理とデータベースのセキュリティ保護
5.5 事前定義されたユーザー・アカウント
Oracle Databaseには、いくつかの事前定義のユーザー・アカウントが用意されています。
次の3種類の事前定義のアカウントがあります。
-
管理アカウント(
SYS、SYSTEM、SYSBACKUP、SYSDG、SYSKM、SYSRAC、SYSMAN、DBSNMP)SYS、SYSTEM、SYSBACKUP、SYSDG、SYSKM、SYSRACの詳細は、「データベース管理者のセキュリティと権限について」を参照してください。SYSMANは、Oracle Enterprise Manager Cloud Control (Cloud Control)の管理タスクの実行に使用されます。DBSNMPアカウントは、データベースを監視および管理するためにCloud Controlの管理エージェントで使用されます。これらのアカウントは削除することができません。 -
サンプル・スキーマのアカウント
これらのオプションのアカウントは、Oracle Databaseのマニュアルや説明書の例で使用されます。サンプル・スキーマのアカウントは、
HR、SHおよびOEです。 -
内部アカウント
個々のOracle Database機能またはコンポーネントが独自のスキーマを持てるよう、これらのアカウントが作成されます。内部のアカウントを削除しないでください。また内部のアカウントでログインしないでください。
ノート:
Oracle Database 19c以上では、SYSおよびサンプル・スキーマを除き、Oracle Databaseで提供されるユーザー・アカウントのほとんどはスキーマ専用アカウント(つまり、これらのアカウントはパスワードなしで作成される)です。これにより、悪質なユーザーがこれらのアカウントにログインできなくなります。これらのアカウントには、認証する必要が生じたときにいつでもパスワードを割り当てることができますが、セキュリティを強化するために、認証が必要なくなった場合にはこれらのアカウントをスキーマ専用アカウントに戻すことをお薦めします。
関連項目:
-
Oracle Databaseに用意されているすべての事前定義済アカウントの詳細は、Oracle Databaseセキュリティ・ガイドを参照してください。
-
スキーマ専用アカウントの詳細は、Oracle Databaseセキュリティ・ガイドを参照してください。
-
Oracle Databaseに用意されているすべてのサンプル・スキーマの詳細は、Oracle Databaseサンプル・スキーマを参照してください。
親トピック: ユーザーの管理とデータベースのセキュリティ保護