2.5.2 データベース・アクセスの制御

職務の分離は、共謀行動のリスクを減らし、不測のエラーを防止するために、アーキテクチャのすべてのレイヤーで重要です。

たとえば、異なるオペレーティング・システム・アカウントを使用して、Oracle Automatic Storage Management (Oracle ASM)をサポートする管理者を含むデータベース管理者とストレージ管理者のロールを分離します。Oracle Database内では、ユーザーがアクセスを認可されているデータ・オブジェクトにのみアクセスできるように、ユーザーに特定の権限およびロールを割り当てることができます。明示的に許可されないかぎり、データを共有することはできません。

パスワード・ベース認証に加え、Oracle Databaseは、公開キー証明書、RADIUSおよびKerberosもサポートします。Oracle Enterprise User Securityを使用して、データベースを認証および認可用の既存のLDAPリポジトリに統合できます。これらの機能によって、データベースにアクセスするユーザーのIDがより確実に保証されます。

Oracle Database Vaultを使用して、管理および特権ユーザー・アクセスを管理し、アプリケーション・データにどのように、いつ、どこでアクセスできるかを制御できます。Oracle Database Vaultは、盗まれたログイン資格証明の悪用、アプリケーション・バイパス、およびアプリケーションとデータに対する未認可の変更(アプリケーション・データのコピー作成の試みを含む)を阻止します。Oracle Database Vaultは、ほとんどのアプリケーションおよび日常業務に対して透過的です。多元的な認可ポリシーをサポートし、企業活動を中断することなくポリシーのセキュアな強制を可能にします。

Oracle Database Vaultでは、職務分離を強制し、アカウント管理、セキュリティ管理、リソース管理および他の機能が、それらの権限を持つことを認可されたユーザーにのみ許可されるようにできます。