Oracle Database Vault管理者ガイドのこのリリースの変更点
この章の内容は次のとおりです。
Oracle Database Vault 23aiでの変更点
Oracle Database 23aiの『Oracle Database Vault管理者ガイド』の変更点は次のとおりです。
- 統合監査および従来の監査の認可を制御する機能
Oracle Database 23ai以降では、監査認可を使用して監査管理をより厳密に制御できます。 - Oracle SQL Firewallの認可を制御する機能
Oracle Database 23ai以降では、Oracle Database Vault環境で、このリリースより新しいOracle SQL Firewallを使用するユーザーの認可を制御できます。 - Oracle Database Vaultでの従来の監査のサポート終了
Oracle Database 23ai以降、従来の監査はサポートされなくなりました。
統合監査および従来の監査の認可を制御する機能
Oracle Database 23ai以降では、監査認可を使用して監査管理をより厳密に制御できます。
このリリース以降、Oracle Database Vaultが新規またはアップグレードされたデータベースで構成および有効化されている場合、最初にOracle Database Vaultによって認可されることなく、監査関連の表およびビューを問い合せたり、従来の監査ポリシーまたは統合監査ポリシーを管理するすべてのユーザーに対して監査認可が必要になります。これは、SYS
、SYSTEM
およびSYSDBA
管理権限を持つユーザー、またはDBA
、AUDIT_ADMIN
またはAUDIT_VIEWER
ロールを持つユーザーに適用されます。
この機能では、Oracle Database Vault環境について監査関連の次の機能拡張が提供されます。
- 統合監査と従来の監査の両方を保護します。
- 認可ユーザーが
DBMS_AUDIT_MGMT
PL/SQLパッケージを使用する場合を除き、SYS.AUD$
およびSYS.FGA_LOG$
データベース表の直接変更をブロックします。 SYS
スキーマのAUDSYS
スキーマおよび監査関連オブジェクトを保護するために、監査関連オブジェクトの新しい必須のデフォルト・レルム(Oracle Auditレルム
)を提供します。
この機能では、次の新しいプロシージャを使用できます。
DVSYS.DBMS_MACADM.AUTHORIZE_AUDIT_ADMIN
DVSYS.DBMS_MACADM.UNAUTHORIZE_AUDIT_ADMIN
DVSYS.DBMS_MACADM.AUTHORIZE_AUDIT_VIEWER
DVSYS.DBMS_MACADM.UNAUTHORIZE_AUDIT_VIEWER
次の新しいデータ・ディクショナリ・ビューを使用できます。
DVSYS.DBA_DV_AUDIT_ADMIN_AUTH
DVSYS.DBA_DV_AUDIT_VIEWER_AUTH
ALTER SYSTEM
コマンド・ルールでは、AUDIT_FILE_DEST
、AUDIT_TRAIL
、AUDIT_SYS_OPERATIONS
およびAUDIT_SYSLOG_LEVEL
パラメータに対するAUDIT_ADMIN
認可が必要になりました。(これらのパラメータは、このリリース以降は非推奨になりました。)SYS
およびAUDSYS
スキーマで監査証跡を問い合せるには、AUDIT_ADMIN
またはAUDIT_VIEWER
認可が必要になりました。
以前のリリースでは、監査を制御または制限するために、Database Vault管理者は、CREATE AUDIT POLICY
などの監査関連PL/SQL文のコマンド・ルールを作成する必要がありました。従来の監査では、AUDIT_FILE_DEST
などのシステム・パラメータを変更する必要があります。この新しい認可は、必要なデータベース権限を統合または置換しません。監査認可は、Oracle Database Vault環境で監査を管理するための追加の要件です。つまり、Oracle Database Vaultが有効な場合に監査を管理するには、十分な権限および監査認可が必要です。この機能拡張により、ユーザーへの監査関連権限の付与が容易になることに加え、Oracle Database Vault環境で監査を管理するための職務分離が強化されます。
Oracle SQL Firewallの認可を制御する機能
Oracle Database 23ai以降では、Oracle Database Vault環境で、このリリースから新しいOracle SQL Firewallを使用するユーザーの認可を制御できます。
ユーザーにSQL Firewall操作を実行する権限を付与するのみでなく、ユーザーがSQL Firewallを使用して、DV_OWNER
およびDV_ACCTMGR
ロールを付与されたユーザーに影響を与える可能性のあるポリシーを適用しないようにできます。
この機能では、次の新しいDBMS_MACADM
パッケージ・プロシージャを使用できます。
DVSYS.DBMS_MACADM.AUTHORIZE_SQL_FIREWALL
DVSYS.DBMS_MACADM.UNAUTHORIZE_SQL_FIREWALL
この機能拡張には、SQL Firewall認可に関する情報を提供するDBA_DV_SQL_FIREWALL_AUTH
データ・ディクショナリ・ビューも含まれています。
Oracle Database Vaultでの従来の監査のサポート終了
Oracle Database 23ai以降、従来の監査はサポートされなくなりました。
統合監査がOracle Database Vaultの監査を実行するための方法になります。統合監査では、選択的かつ効果的な監査をより柔軟に実行できます。これは、企業にとって重要なアクティビティに重点を置くために役立ちます。統合監査には、単一のセキュアな統合証跡、監査選択性に関する条件ポリシーおよび簡潔性に関する事前構成済のデフォルト・ポリシーがあります。セキュリティとコンプライアンスの向上のために、統合監査の使用をお薦めします。
Oracle Database Vaultでの従来の監査のサポート終了の主な影響は、レルム、ルール・セットおよびファクタのAPIにおけるaudit_options
パラメータにあります。
Oracle Database Vault 23aiの更新
Oracle Database 23aiの『Oracle Database Vault管理者ガイド』には、新しいセキュリティ機能が記載されています。
- Oracle Database Vault APIを使用したトレースの設定機能
2つの新しいOracle Database Vault APIを使用して、Database Vaultのトレース設定を制御および表示できるようになりました。 - クライアント・ホストおよびIP情報を検索するための新しいユーティリティ・ファンクション
Oracle Database Vaultの2つの新しいユーティリティ・ファンクションを使用して、クライアント・ホストおよびIPに関する情報を検索できるようになりました。 - コントロールの作成または更新時に指定するパラメータの削減
管理プロシージャの新しいデフォルト動作を使用して、レルム、ルール、コマンド・ルール、ファクタおよびポリシーの作成または更新を大幅に簡素化できるようになりました。
Oracle Database Vault APIを使用したトレースの設定機能
2つの新しいOracle Database Vault APIを使用して、Database Vaultのトレース設定を制御および表示できるようになりました。
これらの新しいAPIは次のとおりです:
DBMS_MACADM.SET_DV_TRACE_LEVEL
DBMS_MACUTL.GET_DV_TRACE_LEVEL
この機能拡張により、DV_ADMIN
ロールを付与されたユーザーは、すべてのデータベース・セッションに適用されるDatabase Vaultのシステム・レベルのトレースを有効または無効にできるようになります。以前のリリースでは、このユーザーは、このタスクを実行するために、DV_ADMIN
ロールに加えて、ALTER SYSTEM
およびALTER SESSION
システム権限が必要でした。(トレース用のALTER SYSTEM
システム・プロシージャは引き続きサポートされています。)この機能拡張には、現在のデータベース・セッションに設定されたトレース・レベルを戻すDBMS_MACUTL.GET_DV_TRACE_LEVEL
関数も用意されています。(このトレース・レベルは、ALTER SYSTEM
、ALTER SESSION
またはDBMS_MACADM.SET_DV_TRACE_LEVEL
によって設定される場合があります。)
クライアント・ホストおよびIP情報を検索するための新しいユーティリティ機能
Oracle Database Vaultの2つの新しいユーティリティ・ファンクションを使用して、クライアント・ホストおよびIPに関する情報を検索できるようになりました。
これらの新しいユーティリティ機能は次のとおりです:
DBMS_MACUTL.CONTAINS_HOST
DBMS_MACUTL.IS_CLIENT_IP_CONTAINED
これらのユーティリティ機能を使用すると、IPアドレス(またはホスト)がドメイン(またはサブネット範囲)に含まれているかどうかを簡単に確認できます。これらは、ルールおよびルール・セットの構成に役立ちます。
コントロールの作成または更新時に指定するパラメータの削減
管理プロシージャの新しいデフォルト動作を使用して、レルム、ルール、コマンド・ルール、ファクタおよびポリシーの作成または更新を大幅に簡素化できるようになりました。
この機能拡張により、Oracle Database Vault構成が合理化され、次の場合にパラメータを省略できるようになります:
- 新しいコントロールを作成する場合に、パラメータを省略してデフォルト値を指定します。
- 既存のコントロールを更新する場合に、パラメータを省略して現在の設定を保持します。
影響を受けるプロシージャは、次のとおりです:
DBMS_MACADM.CREATE_COMMAND_RULE
DBMS_MACADM.CREATE_CONNECT_COMMAND_RULE
DBMS_MACADM.CREATE_FACTOR
DBMS_MACADM.CREATE_POLICY
DBMS_MACADM.CREATE_REALM
DBMS_MACADM.CREATE_RULE
DBMS_MACADM.CREATE_RULE_SET
DBMS_MACADM.CREATE_SESSION_EVENT_CMD_RULE
DBMS_MACADM.CREATE_SYSTEM_EVENT_CMD_RULE
DBMS_MACADM.UPDATE_COMMAND_RULE
DBMS_MACADM.UPDATE_CONNECT_COMMAND_RULE
DBMS_MACADM.UPDATE_FACTOR
DBMS_MACADM.UPDATE_POLICY_STATE
DBMS_MACADM.UPDATE_REALM
DBMS_MACADM.UPDATE_RULE
DBMS_MACADM.UPDATE_RULE_SET
DBMS_MACADM.UPDATE_SESSION_EVENT_CMD_RULE
DBMS_MACADM.UPDATE_SYSTEM_EVENT_CMD_RULE