Oracle Database Vault管理者ガイドのこのリリースの変更点

この章の内容は次のとおりです。

Oracle Database Vault 23aiでの変更点

Oracle Database 23aiの『Oracle Database Vault管理者ガイド』の変更点は次のとおりです。

統合監査および従来の監査の認可を制御する機能

Oracle Database 23ai以降では、監査認可を使用して監査管理をより厳密に制御できます。

このリリース以降、Oracle Database Vaultが新規またはアップグレードされたデータベースで構成および有効化されている場合、最初にOracle Database Vaultによって認可されることなく、監査関連の表およびビューを問い合せたり、従来の監査ポリシーまたは統合監査ポリシーを管理するすべてのユーザーに対して監査認可が必要になります。これは、SYSSYSTEMおよびSYSDBA管理権限を持つユーザー、またはDBAAUDIT_ADMINまたはAUDIT_VIEWERロールを持つユーザーに適用されます。

この機能では、Oracle Database Vault環境について監査関連の次の機能拡張が提供されます。

  • 統合監査と従来の監査の両方を保護します。
  • 認可ユーザーがDBMS_AUDIT_MGMT PL/SQLパッケージを使用する場合を除き、SYS.AUD$およびSYS.FGA_LOG$データベース表の直接変更をブロックします。
  • SYSスキーマのAUDSYSスキーマおよび監査関連オブジェクトを保護するために、監査関連オブジェクトの新しい必須のデフォルト・レルム(Oracle Auditレルム)を提供します。

この機能では、次の新しいプロシージャを使用できます。

  • DVSYS.DBMS_MACADM.AUTHORIZE_AUDIT_ADMIN
  • DVSYS.DBMS_MACADM.UNAUTHORIZE_AUDIT_ADMIN
  • DVSYS.DBMS_MACADM.AUTHORIZE_AUDIT_VIEWER
  • DVSYS.DBMS_MACADM.UNAUTHORIZE_AUDIT_VIEWER

次の新しいデータ・ディクショナリ・ビューを使用できます。

  • DVSYS.DBA_DV_AUDIT_ADMIN_AUTH
  • DVSYS.DBA_DV_AUDIT_VIEWER_AUTH

ALTER SYSTEMコマンド・ルールでは、AUDIT_FILE_DESTAUDIT_TRAILAUDIT_SYS_OPERATIONSおよびAUDIT_SYSLOG_LEVELパラメータに対するAUDIT_ADMIN認可が必要になりました。(これらのパラメータは、このリリース以降は非推奨になりました。)SYSおよびAUDSYSスキーマで監査証跡を問い合せるには、AUDIT_ADMINまたはAUDIT_VIEWER認可が必要になりました。

以前のリリースでは、監査を制御または制限するために、Database Vault管理者は、CREATE AUDIT POLICYなどの監査関連PL/SQL文のコマンド・ルールを作成する必要がありました。従来の監査では、AUDIT_FILE_DESTなどのシステム・パラメータを変更する必要があります。この新しい認可は、必要なデータベース権限を統合または置換しません。監査認可は、Oracle Database Vault環境で監査を管理するための追加の要件です。つまり、Oracle Database Vaultが有効な場合に監査を管理するには、十分な権限および監査認可が必要です。この機能拡張により、ユーザーへの監査関連権限の付与が容易になることに加え、Oracle Database Vault環境で監査を管理するための職務分離が強化されます。

Oracle SQL Firewallの認可を制御する機能

Oracle Database 23ai以降では、Oracle Database Vault環境で、このリリースから新しいOracle SQL Firewallを使用するユーザーの認可を制御できます。

ユーザーにSQL Firewall操作を実行する権限を付与するのみでなく、ユーザーがSQL Firewallを使用して、DV_OWNERおよびDV_ACCTMGRロールを付与されたユーザーに影響を与える可能性のあるポリシーを適用しないようにできます。

この機能では、次の新しいDBMS_MACADMパッケージ・プロシージャを使用できます。

  • DVSYS.DBMS_MACADM.AUTHORIZE_SQL_FIREWALL
  • DVSYS.DBMS_MACADM.UNAUTHORIZE_SQL_FIREWALL

この機能拡張には、SQL Firewall認可に関する情報を提供するDBA_DV_SQL_FIREWALL_AUTHデータ・ディクショナリ・ビューも含まれています。

Oracle Database Vaultでの従来の監査のサポート終了

Oracle Database 23ai以降、従来の監査はサポートされなくなりました。

統合監査がOracle Database Vaultの監査を実行するための方法になります。統合監査では、選択的かつ効果的な監査をより柔軟に実行できます。これは、企業にとって重要なアクティビティに重点を置くために役立ちます。統合監査には、単一のセキュアな統合証跡、監査選択性に関する条件ポリシーおよび簡潔性に関する事前構成済のデフォルト・ポリシーがあります。セキュリティとコンプライアンスの向上のために、統合監査の使用をお薦めします。

Oracle Database Vaultでの従来の監査のサポート終了の主な影響は、レルム、ルール・セットおよびファクタのAPIにおけるaudit_optionsパラメータにあります。

Oracle Database Vault 23aiの更新

Oracle Database 23aiの『Oracle Database Vault管理者ガイド』には、新しいセキュリティ機能が記載されています。

Oracle Database Vault APIを使用したトレースの設定機能

2つの新しいOracle Database Vault APIを使用して、Database Vaultのトレース設定を制御および表示できるようになりました。

これらの新しいAPIは次のとおりです:

  • DBMS_MACADM.SET_DV_TRACE_LEVEL
  • DBMS_MACUTL.GET_DV_TRACE_LEVEL

この機能拡張により、DV_ADMINロールを付与されたユーザーは、すべてのデータベース・セッションに適用されるDatabase Vaultのシステム・レベルのトレースを有効または無効にできるようになります。以前のリリースでは、このユーザーは、このタスクを実行するために、DV_ADMINロールに加えて、ALTER SYSTEMおよびALTER SESSIONシステム権限が必要でした。(トレース用のALTER SYSTEMシステム・プロシージャは引き続きサポートされています。)この機能拡張には、現在のデータベース・セッションに設定されたトレース・レベルを戻すDBMS_MACUTL.GET_DV_TRACE_LEVEL関数も用意されています。(このトレース・レベルは、ALTER SYSTEMALTER SESSIONまたはDBMS_MACADM.SET_DV_TRACE_LEVELによって設定される場合があります。)

クライアント・ホストおよびIP情報を検索するための新しいユーティリティ機能

Oracle Database Vaultの2つの新しいユーティリティ・ファンクションを使用して、クライアント・ホストおよびIPに関する情報を検索できるようになりました。

これらの新しいユーティリティ機能は次のとおりです:

  • DBMS_MACUTL.CONTAINS_HOST
  • DBMS_MACUTL.IS_CLIENT_IP_CONTAINED

これらのユーティリティ機能を使用すると、IPアドレス(またはホスト)がドメイン(またはサブネット範囲)に含まれているかどうかを簡単に確認できます。これらは、ルールおよびルール・セットの構成に役立ちます。

コントロールの作成または更新時に指定するパラメータの削減

管理プロシージャの新しいデフォルト動作を使用して、レルム、ルール、コマンド・ルール、ファクタおよびポリシーの作成または更新を大幅に簡素化できるようになりました。

この機能拡張により、Oracle Database Vault構成が合理化され、次の場合にパラメータを省略できるようになります:

  • 新しいコントロールを作成する場合に、パラメータを省略してデフォルト値を指定します。
  • 既存のコントロールを更新する場合に、パラメータを省略して現在の設定を保持します。

影響を受けるプロシージャは、次のとおりです:

  • DBMS_MACADM.CREATE_COMMAND_RULE
  • DBMS_MACADM.CREATE_CONNECT_COMMAND_RULE
  • DBMS_MACADM.CREATE_FACTOR
  • DBMS_MACADM.CREATE_POLICY
  • DBMS_MACADM.CREATE_REALM
  • DBMS_MACADM.CREATE_RULE
  • DBMS_MACADM.CREATE_RULE_SET
  • DBMS_MACADM.CREATE_SESSION_EVENT_CMD_RULE
  • DBMS_MACADM.CREATE_SYSTEM_EVENT_CMD_RULE
  • DBMS_MACADM.UPDATE_COMMAND_RULE
  • DBMS_MACADM.UPDATE_CONNECT_COMMAND_RULE
  • DBMS_MACADM.UPDATE_FACTOR
  • DBMS_MACADM.UPDATE_POLICY_STATE
  • DBMS_MACADM.UPDATE_REALM
  • DBMS_MACADM.UPDATE_RULE
  • DBMS_MACADM.UPDATE_RULE_SET
  • DBMS_MACADM.UPDATE_SESSION_EVENT_CMD_RULE
  • DBMS_MACADM.UPDATE_SYSTEM_EVENT_CMD_RULE