1.1.5 ネットワーク・セキュリティの理解

データ・アクセスとデータの安全な転送は、Oracle Databaseをデプロイする際の重要な考慮事項です。データベースへのアクセスの付与や制限は、安全なネットワーク環境を構築するために重要です。Oracle Net Servicesでは、ファイアウォール・アクセス制御と有効なノード登録を使用してデータベース・アクセス制御を実現しています。

関連項目:

有効なノード登録の詳細は、「Oracle Net Listenerのセキュリティの管理」を参照してください

親トピック: Oracle Net Servicesについて

1.1.5.1 ファイアウォール・アクセス制御

Oracle Connection Managerは、特定のデータベース・サービスやコンピュータに対するクライアントのアクセス権限を付与したり、制限するように構成できます。フィルタリング・ルールを指定すれば、次の基準に基づいて、サーバーへの特定のクライアントのアクセスを可能にしたり、制限したりできます。

  • ソース・ホスト名またはクライアントのIPアドレス

  • 接続先ホスト名またはサーバーのIPアドレス

  • 接続先データベース・サービス名

  • Oracle Net Servicesのセキュリティ機能のクライアントでの使用

図1-11では、3つのクライアントとOracle Databaseサーバーの間に位置するOracle Connection Managerを示します。最初の2つのクライアントにはアクセスを許可し、3番目のクライアントのアクセスは制限できるようにOracle Connection Managerを構成します。

図1-11 Oracle Connection Managerによるイントラネット・ネットワークのアクセス制御

図1-11の説明が続きます
「図1-11 Oracle Connection Managerによるイントラネット・ネットワークのアクセス制御」の説明

Oracle Connection Managerは、サード・パーティのファイアウォール製品と統合できませんが、1つのアプリケーション・ゲートウェイとして機能するようにベンダー独自の製品とパッケージ化できます。

一般にファイアウォールは、着信要求を受け取るように、およびOracle Databaseからの発信コールを許可するように設定する必要があります。フィルタリング・ルールを定義することにより、ネットワークへのアクセスを制限できます。

注意:

ファイアウォール・オプションの設定が正しくない場合、セキュリティの問題が発生する可能性があります。ファイアウォールの設定を変更する前に、オプションおよびネットワーク・サイトのポリシーについてシステム管理者に確認してください。

図1-12は、社内と社外のネットワーク間の通信量を制御し、アクセス制御および監査用に単一のチェックポイントを提供するアプリケーション・ゲートウェイを示しています。結果として、権限のないインターネット・ホストは社内のデータベースに直接アクセスできませんが、権限のあるユーザーは企業ネットワークの外部のインターネット・サービスを使用できます。この機能は、機密データへのリモート・アクセスを制限するために、インターネット環境では重要です。

図1-12 アプリケーション・ゲートウェイによるインターネット・ネットワークのアクセス制御

図1-12の説明が続きます
「図1-12 アプリケーション・ゲートウェイによるインターネット・ネットワークのアクセス制御」の説明

1つのファイアウォールが停止した場合に備えて、Oracle Connection ManagerファイアウォールまたはOracle Netファイアウォール・プロキシをインターネット・ネットワーク環境に少なくとも2つデプロイすることが重要です。

親トピック: ネットワーク・セキュリティの理解