1. Oracle SQL Firewallユーザーズ・ガイド
  2. Oracle SQL Firewallの構成
  3. Oracle Data Safeを使用したOracle SQL Firewallの構成および管理
  4. SQLファイアウォールの管理

2.2.4 SQLファイアウォールの管理

SQLファイアウォールのポリシーおよび構成を管理することで、データベースが脅威から保護されると同時に、意図したSQLアクションをデータベースに対して実行できるようになります。SQLファイアウォールの構成およびポリシーの更新方法の詳細は、次の各トピックを参照してください。

2.2.4.1 データベース・セキュリティ構成の更新

  1. 「セキュリティ・センター」で、「SQLファイアウォール」をクリックします。
  2. (オプション)「リスト範囲」で、ターゲット・データベースを含むコンパートメントを選択します。必要に応じて、「子コンパートメントを含む」を選択し、子コンパートメントからターゲット・データベースをリストに含めます。
  3. (オプション)「フィルタ」で結果のリストをフィルタ処理し、次を実行します:
    1. (オプション)「期間」メニューから期間を選択します。
    2. (オプション)「ターゲット・データベース」メニューからターゲット・データベースを選択します。
  4. ターゲット・データベースの名前をクリックします。

    「構成詳細」ページが表示されます。

  5. 次のいずれかのタスクを実行します:
    • 「SQLファイアウォール・ステータス」の横にある「無効化」をクリックして、SQLファイアウォールを無効にします。これにより、実行中の収集は停止し、ポリシーは実施されなくなります。

    • 「違反ログの自動パージ」の横にある「オンにする」または「オフにする」をクリックして、これを有効または無効にします。これは、違反ログを収集してData Safeに保持した後、Data Safeがデータベースから違反ログを自動的にパージするかどうかを指定します。

      ノート:

      これを有効にすると、違反ログは7日ごとに自動的にパージされます。
    • 「データベース・ジョブ」の横にある「含める」または「除外する」をクリックして、SQLファイアウォール実施にデータベース・ジョブを含める、または除外します。
    • データベース内でポリシー変更を直近に行った場合は、「最終リフレッシュ時間」の横にある「リフレッシュ」をクリックして、データ・セーフのポリシーのコピーをリフレッシュします。
    • 「リソースの移動」をクリックして、データベース・セキュリティ構成を別のコンパートメントに移動します。

2.2.4.2 SQL収集のパージ

パージは、ユーザーの収集ログを消去するのに役立ちます。通常、アプリケーションの更新後に同じデータベース・ユーザーのアプリケーションSQLワークロードを再キャプチャする必要がある場合は、SQL収集をパージする必要があります。パージ後に、データベース・ユーザーに対してSQL収集を再度開始できます。

  1. 「セキュリティ・センター」で、「SQLファイアウォール」をクリックします。
  2. (オプション)「リスト範囲」で、ターゲット・データベースを含むコンパートメントを選択します。必要に応じて、「子コンパートメントを含む」を選択し、子コンパートメントからターゲット・データベースをリストに含めます。
  3. (オプション)「フィルタ」で結果のリストをフィルタ処理し、次を実行します:
    1. (オプション)「期間」メニューから期間を選択します。
    2. (オプション)「ターゲット・データベース」メニューからターゲット・データベースを選択します。
  4. ターゲット・データベースの名前をクリックします。

    「構成詳細」ページが表示されます。

  5. 「リソース」で、「SQL収集」をクリックします。
  6. データベース・ユーザー名をクリックします。

    「SQL収集の詳細」ページが表示されます。

  7. 「パージ」をクリックして、SQL収集を削除します。これにより、この収集から生成されたSQLファイアウォール・ポリシーは停止されません。

2.2.4.3 SQL収集の削除

削除すると、選択したデータベース・ユーザーのSQL収集および収集ログが削除されます。通常、アクティブでなくなったり、システム内の職責が変更されたデータベース・ユーザーのSQLファイアウォール保護を削除する必要がある場合に、SQL収集を削除する必要があります。

  1. 「セキュリティ・センター」で、「SQLファイアウォール」をクリックします。
  2. (オプション)「リスト範囲」で、ターゲット・データベースを含むコンパートメントを選択します。必要に応じて、「子コンパートメントを含む」を選択し、子コンパートメントからターゲット・データベースをリストに含めます。
  3. (オプション)「フィルタ」で結果のリストをフィルタ処理し、次を実行します:
    1. (オプション)「期間」メニューから期間を選択します。
    2. (オプション)「ターゲット・データベース」メニューからターゲット・データベースを選択します。
  4. ターゲット・データベースの名前をクリックします。

    「構成詳細」ページが表示されます。

  5. 「リソース」で、「SQL収集」をクリックします。
  6. データベース・ユーザー名をクリックします。

    「SQL収集の詳細」ページが表示されます。

  7. 「その他のアクション」をクリックし、「削除」を選択してSQL収集を削除します。SQL収集を削除しても、すでに生成または実施されているSQLファイアウォール・ポリシーには影響しません。

2.2.4.4 SQLファイアウォール・ポリシーの表示および管理

  1. 「セキュリティ・センター」で、「SQLファイアウォール」をクリックします。
  2. (オプション)「リスト範囲」で、ターゲット・データベースを含むコンパートメントを選択します。必要に応じて、「子コンパートメントを含む」を選択し、子コンパートメントからターゲット・データベースをリストに含めます。
  3. (オプション)「フィルタ」で結果のリストをフィルタ処理し、次を実行します:
    1. (オプション)「期間」メニューから期間を選択します。
    2. (オプション)「ターゲット・データベース」メニューからターゲット・データベースを選択します。
  4. ターゲット・データベースの名前をクリックします。

    「構成詳細」ページが表示されます。

  5. 「リソース」で、「SQLファイアウォール・ポリシー」をクリックします。
  6. データベース・ユーザー名をクリックします。

    「ファイアウォール・ポリシー詳細」ページが表示されます。

  7. (オプション)許可されたSQLセッション・コンテキスト値を必要に応じて更新します。
    1. 各行の「更新」をクリックします。
    2. 値を削除するには、パネルの行の最後にある「X」をクリックします。
    3. 値を追加するには、「追加」をクリックし、空のフィールドに新しい値を入力します。
    4. 選択したコンテキスト情報に応じて、「クライアントIPの更新」/「クライアント・プログラムの更新」/「クライアントOSユーザーの更新」をクリックします。
  8. (オプション)すべての一意の許可されたSQL文のPDFまたはXLSレポートをダウンロードします。
    1. 「レポートの生成」をクリックします。

      ポップアップが表示されます。

    2. レポートの形式(「PDF」または「XLS」)を選択します。
    3. レポートの名前を入力します。
    4. 必要に応じて、レポートの説明を入力します。
    5. 「レポートの生成」をクリックします。
    6. レポートをダウンロードします。次の2つのオプションがあります。
      • 「レポートの生成」ウィンドウで、「ここ」リンクをクリックします。ドキュメントのダウンロードが開始されます。
      • 「閉じる」をクリックして、「レポートの生成」ウィンドウを閉じます。次に、「レポートのダウンロード」ボタンをクリックします。ドキュメントを開いたり保存するためのオプションが提示されるダイアログ・ボックスが表示されます。

2.2.4.5 SQLファイアウォール・ポリシーの更新

  1. 「セキュリティ・センター」で、「SQLファイアウォール」をクリックします。
  2. (オプション)「リスト範囲」で、ターゲット・データベースを含むコンパートメントを選択します。必要に応じて、「子コンパートメントを含む」を選択し、子コンパートメントからターゲット・データベースをリストに含めます。
  3. (オプション)「フィルタ」で結果のリストをフィルタ処理し、次を実行します:
    1. (オプション)「期間」メニューから期間を選択します。
    2. (オプション)「ターゲット・データベース」メニューからターゲット・データベースを選択します。
  4. ターゲット・データベースの名前をクリックします。

    「構成詳細」ページが表示されます。

  5. 「リソース」で、「SQL収集」をクリックします。
  6. データベース・ユーザー名をクリックします。

    「SQL収集の詳細」ページが表示されます。

  7. 「SQL収集の情報」タブにある関連付けられたSQLファイアウォール・ポリシーをクリックします。

    「ファイアウォールの詳細」ページが表示されます。

  8. 「無効化」をクリックして、SQLファイアウォール・ポリシーを一時的に無効にします。「無効化」をクリックして、ポップアップで無効化を確認します。
  9. ページ・ブレッドクラムで「SQL収集の詳細」をクリックして、SQL収集に戻ります。
  10. 「開始」をクリックして、SQL文をキャプチャします。
  11. ターゲット・データベースに追加するSQL文を開始します。
  12. SQL文を収集したら、「停止」をクリックします。
  13. 「ファイアウォール・ポリシーの更新」をクリックして、関連付けられたポリシーに新しいSQL文を追加します。
  14. 「SQL収集の情報」タブにある関連付けられたSQLファイアウォール・ポリシーをクリックします。

    「ファイアウォールの詳細」ページが表示されます。

  15. 「デプロイと実施」をクリックします。
    1. 「実施スコープ」を選択します:
      • すべて(セッション・コンテキストとSQL文)
      • セッション・コンテキストのみ - このオプションは、データベース接続パスに対してのみチェックを実施します。
      • SQL文のみ - このオプションは、SQL文に対してのみチェックを実施します。
    2. 違反に対するアクションを選択します:
      • 違反の検出(許可)とログ記録 - このオプションは、すべてのSQL文およびデータベースへの接続を検出および許可すると同時に、違反をログに記録します。
      • 違反のブロックとログ記録 - このオプションは、ポリシーにリストされていないSQL文およびデータベース接続をすべてブロックし、違反をログに記録します。SQLファイアウォールでデータベースへの認可されていないSQLトラフィックを防止する場合は、このオプションを検討してください。
    3. 違反がないか監査します
      • オン - このオプションでは、違反レコードが監査証跡に書き込まれます。アラートを有効にし、監査要件へのコンプライアンスを示すのに役立ちます。監査イベントを収集するには、必ずData Safeで監査証跡を開始してください。これらの監査イベントは、ターゲット・データベースごとに1か月当たり100万件の監査レコードという月間無料制限に加算されます。
      • オフ
    4. 「デプロイと実施」をクリックします。

2.2.4.6 SQLファイアウォール・ポリシーの実施の更新

  1. 「セキュリティ・センター」で、「SQLファイアウォール」をクリックします。
  2. (オプション)「リスト範囲」で、ターゲット・データベースを含むコンパートメントを選択します。必要に応じて、「子コンパートメントを含む」を選択し、子コンパートメントからターゲット・データベースをリストに含めます。
  3. (オプション)「フィルタ」で結果のリストをフィルタ処理し、次を実行します:
    1. (オプション)「期間」メニューから期間を選択します。
    2. (オプション)「ターゲット・データベース」メニューからターゲット・データベースを選択します。
  4. ターゲット・データベースの名前をクリックします。

    「構成詳細」ページが表示されます。

  5. 「リソース」で、「SQLファイアウォール・ポリシー」をクリックします。
  6. リストからSQLファイアウォール・ポリシーを選択します。

    「ファイアウォール・ポリシー詳細」ページが表示されます。

  7. 「デプロイと実施」をクリックします。
    1. 「実施スコープ」を選択します:
      • すべて(セッション・コンテキストとSQL文)
      • セッション・コンテキストのみ - このオプションは、データベース接続パスに対してのみチェックを実施します。
      • SQL文のみ - このオプションは、SQL文に対してのみチェックを実施します。
    2. 違反に対するアクションを選択します:
      • 違反の検出(許可)とログ記録 - このオプションは、すべてのSQL文およびデータベースへの接続を検出および許可すると同時に、違反をログに記録します。
      • 違反のブロックとログ記録 - このオプションは、ポリシーにリストされていないSQL文およびデータベース接続をすべてブロックし、違反をログに記録します。SQLファイアウォールでデータベースへの認可されていないSQLトラフィックを防止する場合は、このオプションを検討してください。
    3. 違反がないか監査します
      • オン - このオプションでは、違反レコードが監査証跡に書き込まれます。アラートを有効にし、監査要件へのコンプライアンスを示すのに役立ちます。監査イベントを収集するには、必ずData Safeで監査証跡を開始してください。これらの監査イベントは、ターゲット・データベースごとに1か月当たり100万件の監査レコードという月間無料制限に加算されます。
      • オフ
    4. 「デプロイと実施」をクリックします。

2.2.4.7 SQLファイアウォール・ポリシーの無効化または有効化

  1. 「セキュリティ・センター」で、「SQLファイアウォール」をクリックします。
  2. (オプション)「リスト範囲」で、ターゲット・データベースを含むコンパートメントを選択します。必要に応じて、「子コンパートメントを含む」を選択し、子コンパートメントからターゲット・データベースをリストに含めます。
  3. (オプション)「フィルタ」で結果のリストをフィルタ処理し、次を実行します:
    1. (オプション)「期間」メニューから期間を選択します。
    2. (オプション)「ターゲット・データベース」メニューからターゲット・データベースを選択します。
  4. ターゲット・データベースの名前をクリックします。

    「構成詳細」ページが表示されます。

  5. 「リソース」で、「SQLファイアウォール・ポリシー」をクリックします。
  6. リストからSQLファイアウォール・ポリシーを選択します。

    「ファイアウォール・ポリシー詳細」ページが表示されます。

  7. 「無効化」または「有効化」をクリックします。無効にすると、SQLファイアウォールは、このSQLファイアウォール・ポリシーに照らして着信SQLトラフィックを評価しなくなります。ただし、これによってポリシーは削除されず、後で再度有効にできます。

2.2.4.8 SQLファイアウォール・ポリシーの削除

  1. 「セキュリティ・センター」で、「SQLファイアウォール」をクリックします。
  2. (オプション)「リスト範囲」で、ターゲット・データベースを含むコンパートメントを選択します。必要に応じて、「子コンパートメントを含む」を選択し、子コンパートメントからターゲット・データベースをリストに含めます。
  3. (オプション)「フィルタ」で結果のリストをフィルタ処理し、次を実行します:
    1. (オプション)「期間」メニューから期間を選択します。
    2. (オプション)「ターゲット・データベース」メニューからターゲット・データベースを選択します。
  4. ターゲット・データベースの名前をクリックします。

    「構成詳細」ページが表示されます。

  5. 「リソース」で、「SQLファイアウォール・ポリシー」をクリックします。
  6. リストからSQLファイアウォール・ポリシーを選択します。

    「ファイアウォール・ポリシー詳細」ページが表示されます。

  7. 「削除」をクリックします。これにより、SQLファイアウォール・ポリシーが削除され、このポリシーを再作成するにはSQL収集を再度開始する必要があります。