Oracle Autonomous AI Databaseのセキュリティと認証
Oracle Autonomous AI Databaseは、すべてのデータを暗号化された形式でデータベースに格納します。 認証されたユーザーとアプリケーションのみが、データベースに接続してデータにアクセスできます。
ノート:
Oracle Autonomous AI Databaseは、権限分析、ネットワーク暗号化、一元管理ユーザー、セキュアなアプリケーション・ロール、透過的な機密データ保護など、Oracle Databaseの標準セキュリティ機能をサポートしています。 さらに、Oracle Autonomous AI Databaseは、Label Security、Database Vault、Data Safe、その他の高度なセキュリティ機能を追加コストなしで追加できます。- 構成管理
Oracle Autonomous AI Databaseは、データベース全体の構成の管理にかかる時間とコストを削減する、標準的で強化されたセキュリティ構成を提供します。 - データ暗号化
Oracle Autonomous AI Databaseは、保存中および転送中のデータを保護する常時オンの暗号化を使用します。 保存データと移動中のデータは、デフォルトで暗号化されます。 暗号化をオフにできません。 - データ・アクセス制御
Oracle Autonomous AI Databaseおよびデータへのアクセスを保護するには、いくつかの異なる種類のアクセス制御を使用します: - Autonomous AI Databaseに関する監査の概要
Oracle Autonomous AI Databaseには、サービスおよび特定のデータベースで誰が何を実行したかを追跡できる堅牢な監査機能が用意されています。 包括的なログ・データを使用すると、リソースに対するアクションを監査および監視できます。これは、セキュリティおよび運用上のリスクを軽減しながら、監査要件を満たすのに役立ちます。 - データベースとそのデータのセキュリティの評価
Oracle Autonomous AI Databaseは、Oracle Data Safeと統合され、データベースの評価と保護に役立ちます。 - 規制コンプライアンス認定
Oracle Autonomous AI Databaseは、国際的および業界固有の幅広いコンプライアンス標準を満たしています。
親トピック: セキュリティ
構成管理
Oracle Autonomous AI Databaseは、データベース全体の構成を管理するための時間とコストを削減する、標準的で強化されたセキュリティ構成を提供します。
セキュリティ・パッチとアップデートは自動的に適用されるため、セキュリティを最新の状態に維持するために時間、コスト、注意を払う必要はありません。 これらの機能により、データベースやデータが高コストで、破壊される可能性のあるセキュリティ脆弱性と侵害から保護されます。
データの暗号化
Oracle Autonomous AI Databaseは、保存中および転送中のデータを保護する常時オン暗号化を使用します。 保存データと移動中のデータは、デフォルトで暗号化されます。 暗号化をオフにできません。
保存データの暗号化
保存データは、TDE (透過的データ暗号化)を使用して暗号化されます。TDEは、データの処理、転送およびストレージを保護する暗号化ソリューションです。 「AES256の使用」表領域の暗号化、各データベースには独自の暗号化キーがあり、バックアップにはそれぞれ異なる暗号化キーがあります。
デフォルトでは、Oracle Autonomous AI Databaseは、データの保護に使用されるすべてのマスター暗号化キーを作成および管理し、データベースが存在する同じシステム上のセキュアなPKCS 12キーストアに格納します。 会社のセキュリティ・ポリシーで必要な場合、Oracle Autonomous AI Databaseでは、かわりにOracle Cloud Infrastructure Vaultサービスで作成および管理するキーを使用できます。 詳細は、「Autonomous Databaseでのマスター暗号化キー管理について」を参照してください。
また、組織のセキュリティ・ポリシーを満たすために、必要に応じて顧客管理キーをローテーションできます。
ノート: データベースをクローニングすると、新しいデータベースは独自の暗号化キーの新しいセットを取得します。
転送中のデータの暗号化
クライアント(アプリケーションおよびツール)は、SQL*Net、JDBC、ODBCなどのサポートされているプロトコルを使用してOracle Autonomous AI Databaseに接続します。
「TCPS (Secure TCP)データベース接続サービス」は、接続および対称キーのデータ暗号化に業界標準のTLS 1.2 (Transport Layer Security)プロトコルを使用します。
-
mTLS接続では、Oracle Autonomous AI Databaseユーザーは、クライアントがTCPSを使用して接続するために必要なすべてのファイルを含む接続ウォレットをダウンロードします。 このウォレットを配布するのは、データベース・アクセスを必要とし、許可されているユーザーにのみです。 クライアント側構成では、ウォレット内の情報を使用して対称キーのデータ暗号化を実行します。
-
Autonomous AI Databaseは、デフォルトで相互TLS (mTLS)接続をサポートしています。 Autonomous AI Databaseインスタンスを構成して、mTLS接続とTLS接続の両方を許可することもできます。 TLS接続を使用する場合、一部のクライアント(JDBC Thinドライバ・クライアントなど)では、TLS接続文字列を使用し、Autonomous AI Databaseインスタンスに対してTLSが有効になっている場合、ウォレットをダウンロードする必要はありません。
詳細は、mTLSまたはTLSを使用したAutonomous AI Databaseへのセキュアな接続を参照してください。
データ・アクセス制御
Oracle Autonomous AI Databaseおよびデータへのアクセスを保護するには、いくつかの異なる種類のアクセス制御を使用します:
- クライアント・アクセス制御
Autonomous AI Databaseインスタンスのクライアント・アクセス制御は、ネットワーク・アクセス制御ポリシー、クライアント接続プロトコル、およびクライアントが接続に使用するデータベース・ユーザーのアクセス権によって適用されます。 - データベース・ユーザー・アクセス制御
Oracle Autonomous AI Databaseは、他のデータベース・アカウントの作成と管理に使用される管理アカウントADMINで構成されます。 Oracle Autonomous AI Databaseは、システム権限やオブジェクト権限、ロールなど、堅牢な一連の機能と制御を提供します。 ユーザー・プロファイルを使用すると、パスワード・ポリシーをカスタマイズして、セキュアなデータベース・ユーザー・アクセス戦略を定義および実装できます。 - Oracle Cloudユーザー・アクセス制御
Identity and Access Management (IAM)サービスを使用して、ユーザーがOracle Autonomous AI Databaseで実行できるアクションを指定することで、Oracle Cloudユーザーの権限を制御します。 - Autonomous AI Databaseでの認可されたアクセス
Autonomous AI Databaseインスタンスへのアクセスが許可されるのは、認可されたユーザーのみです。 - Autonomous AI Databaseフル・マネージド・サービス
Autonomous AI Databaseはフル・マネージド・サービスであり、Oracleは独自のOracle Cloud Infrastructureテナンシを使用してAutonomous AI Databaseサービスを実行します。
クライアント・アクセス制御
Autonomous AI Databaseインスタンスのクライアント・アクセス制御は、ネットワーク・アクセス制御ポリシー、クライアント接続プロトコル、およびクライアントが接続に使用するデータベース・ユーザーのアクセス権によって適用されます。
ネットワーク・アクセス制御
-
プライベート・エンドポイントとセキュリティ・リスト: これは推奨されるオプションです。 プライベート・エンドポイントを使用して、仮想クラウド・ネットワーク(VCN)にOracle Autonomous AI Databaseを作成します。 セキュリティ・リストおよびネットワーク・セキュリティ・グループを使用して、データベースへの接続を作成できるユーザーを指定できます。
これらのリソースの作成の詳細は、「プライベート・エンドポイントを使用したネットワーク・アクセスの構成」を参照してください。
-
パブリック・エンドポイントおよびアクセス制御リスト:クライアント資格証明を持つ任意のクライアントからのアクセスを許可するパブリック・エンドポイントを使用して、Oracle Autonomous AI Databaseを作成します。 ネットワーク・アクセス制御リスト(ACL)を使用してデータベースへのアクセスを制御し、データベースに接続できるIPアドレス、CIDRブロックまたはVCNを指定できます。 パブリックIPの検出と攻撃が容易になり、可能な場合はプライベート・エンドポイントが推奨されます。
ACLの設定の詳細は、既存のAutonomous AIデータベース・インスタンスのアクセス制御リストの構成を参照してください。
クライアント接続制御
クライアントは、標準のTLS 1.2を使用してTCPS (Secure TCP)データベース接続を介して接続し、接続を保護します。 Oracle Autonomous AI Databaseでは、自己署名証明書が使用されます。 組織のセキュリティ・コンプライアンスのニーズを満たすように、Oracle Cloud Infrastructureコンソールから自己署名証明書をローテーションできます。 「即時ローテーションによるウォレット・ローテーション」を参照してください。
クライアントのデータベースに対するアクセスは、クライアントが接続に使用するデータベース・ユーザーのアクセス権によって制限されます。
親トピック: データ・アクセス制御
データベース・ユーザー・アクセス制御
Oracle Autonomous AI Databaseは、他のデータベース・アカウントの作成と管理に使用される管理アカウントADMINで構成されます。 Oracle Autonomous AI Databaseは、システム権限やオブジェクト権限、ロールなど、堅牢な一連の機能と制御を提供します。 ユーザー・プロファイルを使用すると、パスワード・ポリシーをカスタマイズして、セキュアなデータベース・ユーザー・アクセス戦略を定義および実装できます。
標準ユーザー管理の基本情報は、Oracle AI Database概要のユーザー・アカウントを参照してください。 詳細およびガイダンスは、Oracle AI Databaseセキュリティ・ガイドのOracle Databaseユーザーのセキュリティの管理を参照してください。
データベース・ユーザー・アクセス戦略で、標準ユーザー管理で提供されるよりも多くの制御が必要な場合は、Database Vaultを使用してより厳格な要件を満たすようにOracle Autonomous AI Databaseを構成できます。
Microsoft Active Directoryを使用したデータベース・ユーザーの管理
Microsoft Active Directoryをユーザー・リポジトリとして使用する場合は、Microsoft Active Directoryユーザーを認証および認可するようにデータベースを構成できます。 この統合により、標準のユーザー管理とDatabase Vaultのどちらを使用しているかに関係なく、厳格なデータベース・ユーザー・アクセス戦略を実装しながらユーザー・リポジトリを統合できます。
Microsoft Active Directoryとデータベースの統合の詳細は、Autonomous AI DatabaseでのMicrosoft Active Directoryの使用を参照してください。
Database Vault
Oracle Database Vaultは事前構成され、すぐに使用できます。 その強力なセキュリティ制御を使用して、特権データベース・ユーザーによるアプリケーション・データへのアクセスを制限し、リスクの脅威を削減し、共通のコンプライアンス要件に対処することができます。
アプリケーション・データへの特権アカウント・アクセスをブロックし、データベース内の機密操作を制御するための制御を構成します。 トラステッド・パスを構成して、認可されたデータ・アクセス、データベース・オブジェクトおよびデータベース・コマンドにセキュリティ制御を追加します。 Database Vaultは、既存のデータベース環境を透過的に保護し、コストのかかる時間のかかるアプリケーション変更を排除します。
Database Vaultを使用する前に、「Autonomous AI DatabaseでのOracle Database Vaultの使用」を確認して、Database Vaultの構成および有効化の影響を理解してください。
Database Vault機能の実装の詳細は、『Oracle AI Database Vault管理者ガイド』を参照してください。
親トピック: データ・アクセス制御
Oracle Cloudユーザー・アクセス制御
Identity and Access Management (IAM)サービスを使用して、ユーザーがOracle Autonomous AI Databaseで実行できるアクションを指定することで、Oracle Cloudユーザーの権限を制御します。
IAMサービスには、セキュアなクラウド・ユーザー・アクセス戦略の定義および実装に役立つ様々な種類のコンポーネントが用意されています:
-
コンパートメント: 関連するリソースの集まり。 コンパートメントは、クラウド・リソースを編成および分離するためのOracle Cloud Infrastructureの基本コンポーネントです。
-
グループ: 特定のリソースまたはコンパートメントのセットに対して、すべて同じタイプのアクセスを必要とするユーザーのコレクション。
-
動的グループ: 定義したルールに一致するリソースを含む特別なタイプのグループ。 したがって、メンバーシップは、一致するリソースが作成または削除されると動的に変更できます。
-
ポリシー: アクセスできるリソースとその方法を指定する文のグループ。 アクセス権はグループ・レベルおよびコンパートメント・レベルで付与されるため、特定のグループに特定のタイプのリソースに対する特定のタイプのアクセス権を特定のグループに付与するポリシー文を記述することを意味します。
これらのうち、ポリシーは単一のアクセス制約の「対象者」、「方法」、「対象」および「場所」を提供するため、アクセスの制御に使用する主要なツールです。 ポリシー・ステートメントの形式は次のとおりです:
ポリシー文の形式は次のとおりです:
Allow
group <group-name>
to <control-verb>
<resource-type>
in compartment <compartment-name>-
group <group-name>では、既存のIAMグループの名前を指定して「Who」を指定します。 -
to <control-verb>では、あらかじめ定義された次のコントロール動詞のいずれかを使用して、方法を指定します:inspect: 機密情報またはユーザー指定のメタデータにアクセスすることなく、そのリソース・タイプのリソースを表示できます。read:inspectには、ユーザー指定のメタデータと実際のリソース自体を取得する能力も備えています。use:readには、既存のリソースを使用する機能を加えて、作成や削除はできません。 また、"work with"は、異なるリソース・タイプに対する異なる操作を意味します。manage: リソース・タイプのすべての権限(作成と削除を含む)。
-
<resource-type>には、事前定義済のリソース・タイプを使用して何かが指定されます。 インフラストラクチャ・リソースのリソース・タイプの値は、次のとおりです:autonomous-databasesautonomous-backups
テナンシでタグ付けが使用されている場合は、
tag-namespacesリソース・タイプ値を参照するポリシー・ステートメントを作成できます。 -
in compartment <compartment-name>では、既存のIAMコンパートメントの名前を指定して「場所」を指定します。
IAMサービスとそのコンポーネントの動作および使用方法の詳細は、「Oracle Cloud Infrastructure Identity and Access Managementの概要」を参照してください。 IAMに関する一般的な質問への迅速な回答は、「Identity and Access ManagementのFAQ」を参照してください。
親トピック: データ・アクセス制御
Autonomous AI Databaseでの認可されたアクセス
Autonomous AI Databaseインスタンスへのアクセスが許可されるのは、認可されたユーザーのみです。
Oracle Cloudオペレータには、Autonomous AI Databaseにアクセスする権限がありません。 問題のトラブルシューティングまたは軽減にデータベースへのアクセスが必要な場合、クラウド・オペレータが限られた期間データベースにアクセスすることを許可できます。
クラウド・オペレータがデータベースにアクセスできるようにするには、プロシージャDBMS_CLOUD_ADMIN.ENABLE_OPERATOR_ACCESSを実行します。 つまり、「Oracle Cloudサポート」を使用してサービス・リクエストを申請する場合、またはサポート担当者に連絡して、Oracle Cloudオペレータがデータベースにアクセスする必要がある場合は、DBMS_CLOUD_ADMIN.ENABLE_OPERATOR_ACCESSを実行してオペレータ・アクセスも有効にする必要があります。
Oracle Cloud演算子による各データベース・アクセスは、リクエストIDおよび理由を使用してログに記録されます。
詳細については、「Oracle Cloudオペレータ・アクセスの管理」と「Oracle Cloud Infrastructure操作アクションの表示」を参照してください。
親トピック: データ・アクセス制御
Autonomous AI Database完全管理型サービス
Autonomous AI Databaseはフル・マネージド・サービスであり、Oracleは独自のOracle Cloud Infrastructureテナンシを使用してAutonomous AI Databaseサービスを実行します。
Oracle Cloudオペレータは顧客テナンシにアクセスできず、クラウド・オペレータはネットワークにアクセスできません。
親トピック: データ・アクセス制御
Autonomous AI Databaseの監査の概要
Oracle Autonomous AI Databaseは、サービスと特定のデータベースで誰が何を実行したかを追跡できる堅牢な監査機能を提供します。 包括的なログ・データを使用すると、リソースに対するアクションを監査および監視できます。これは、セキュリティおよび運用上のリスクを軽減しながら、監査要件を満たすのに役立ちます。
- サービス・レベル・アクティビティの監査
Oracle Autonomous AI Databaseのデプロイメントを構成するリソースに対してOracle Cloudユーザーが実行するすべてのアクションは、使用されるインタフェース(Oracle Cloud Infrastructure Console、REST API、コマンドライン・インタフェース(CLI)、ソフトウェア開発キット(SDK)など)に関係なく、監査サービスによって記録されます。 - データベース・アクティビティの監査
Oracle Autonomous AI Databaseは、Oracle Databaseの統合監査機能を使用するように、作成する自律型データベースを構成します。
サービス・レベル・アクティビティの監査
Oracle Autonomous AI Databaseのデプロイメントを構成するリソースに対してOracle Cloudユーザーが実行するすべてのアクションは、使用されるインタフェース(Oracle Cloud Infrastructure Console、REST API、コマンドライン・インタフェース(CLI)、ソフトウェア開発キット(SDK)など)に関係なく、Auditサービスによって記録されます。
監査サービスを使用して、診断の実行、リソース使用状況の追跡、コンプライアンスの監視、セキュリティ関連イベントの収集を行うことができます。 監査サービスの詳細は、「Oracle Cloud Infrastructureドキュメント」の「監査の概要」を参照してください。
さらに、ユーザーがOracle Autonomous AI Databaseで操作を実行すると、データベースはイベントをOracle Cloud Eventsサービスに公開します。 Oracle Cloudイベント・サービスでは、これらのイベントを取得してアクションを実行するためのルールを作成できます。
イベント・サービスの動作および使用するルールとアクションの設定方法の詳細は、「イベントの概要」を参照してください。 イベントを生成するOracle Autonomous AI Database操作のリストは、Autonomous Databaseイベント・タイプを参照してください。
データベース・アクティビティの監査
Oracle Autonomous AI Databaseは、Oracle Databaseの統合監査機能を使用するように作成する自律型データベースを構成します。
この機能では、次のソースから監査レコードが取得され、単一の監査証跡に統一された形式で収集されます:
- 統合監査ポリシーおよび
AUDIT設定による監査レコード(SYS監査レコードを含む) DBMS_FGAPL/SQLパッケージによるファイングレイン監査レコード- Oracle Database Real Application Security監査レコード
- Oracle Recovery Manager監査レコード
- Oracle Database Vault監査レコード
- Oracle Label Security監査レコード
- Oracle Data Miningのレコード
- Oracle Data Pump
- Oracle SQL*Loaderダイレクト・ロード
監査情報は最大14日間保持され、その後自動的にパージされます。 監査情報をより長く保持し、データベース・アクティビティを簡単に分析およびレポートするには、Oracle Data Safe (Oracle Autonomous AI Databaseサブスクリプションに付属)を使用します。
詳細は、Autonomous AI Databaseの監査についてを参照してください。
データベースとそのデータのセキュリティのアセス
Oracle Autonomous AI Databaseは、Oracle Data Safeと統合され、データベースの評価と保護に役立ちます。
Oracle Data Safeは、データの機密性の把握、データに対するリスクの評価、機密データのマスキング、セキュリティ制御の実装と監視、ユーザー・セキュリティのアセス、ユーザー・アクティビティの監視、データベース内のデータ・セキュリティ・コンプライアンス要件への対応を支援します。
Oracle Data Safeを使用して、データベースをData Safeに登録することで、Oracle Autonomous AI Databaseの機密データおよび規制対象データを識別および保護します。 次に、データベースの詳細ページからData Safeコンソールを直接使用します。
Data Safeの使用方法の詳細は、「Oracle Data Safe機能の使用」を参照してください。
法令遵守認定
Oracle Autonomous AI Databaseは、国際的および業界固有の幅広いコンプライアンス標準を満たしています。
| 証明 | 説明 |
|---|---|
|
C5 |
クラウド・コンピューティング・コンプライアンス・コントロール・カタログ(C5) |
|
CSA STAR |
The Cloud Security Alliance (CSA) Security Trust, Assurance and Risk (STAR) |
|
Cyber Essentials (UK) Cyber Essentials Plus (UK) |
Oracle Cloud Infrastructureは、次のリージョンでCyber EssentialsおよびCyber Essentials Plusの認定を取得しました:
|
|
DESC (UAE) |
Dubai Electronic Security Center CSP Security Standard |
|
DoD IL4/IL5 |
これらのリージョンでのDISA影響レベル5認可:
|
|
ENS High (スペイン) |
認定HighのレベルのEsquema Nacional de Seguridad。 |
|
FedRAMP高 |
連邦リスクおよび承認管理プログラム(米国政府リージョンのみ) |
|
FSI (S. 大韓民国) |
金融セキュリティ研究所 |
|
HDS |
フランスの公衆衛生コードで、Hébergeur de Données de Santé (HDS)認定および認定されたインフラストラクチャ、ホスティングおよびプラットフォーム・サービス・プロバイダを使用するために、健康または医療データを制御、処理または格納する医療組織が必要です |
|
HIPAA |
Health Insurance Portability and Accountability Act |
|
HITRUST |
健康情報信託同盟 |
|
IRAP (オーストラリア) |
Infosec Registered評価プログラム。 シドニーおよびメルボルン・リージョン |
|
ISMS (S. 大韓民国) |
情報セキュリティ管理システム |
|
ISO/IEC 27001:2013 |
International Organization for Standardization 27001 |
|
ISO/IEC 27017:2015 |
クラウド・サービス向けのISO/IEC 27002に基づく情報セキュリティ制御の実践コード |
|
ISO/IEC 27018:2014 |
PIIプロセッサとして動作するパブリック・クラウドにおける個人識別情報(PII)の保護の実務指針 |
|
MeitY (インド) |
電子情報技術省 |
|
MTCS(シンガポール) |
Multi-Tier Cloud Service (MTCS)レベル3 |
|
PASF (UK OC4) |
これらのリージョンのPolice Assured Secure Facilities (PASF):
|
|
PCI DSS |
クレジット・カード業界データ・セキュリティ基準は、クレジット・カード情報を処理、保存または送信するすべての会社がセキュアな環境を維持するようにするための一連の要件です |
|
SOC 1 |
システムおよび組織統制1 |
|
SOC 2 |
システムおよび組織管理2 |
動作保証の詳細および完全なリストは、「Oracle Cloudコンプライアンス」を参照してください。