Oracle Autonomous Databaseでのセキュリティおよび認証
Oracle Autonomous Databaseは、すべてのデータを暗号化された形式でデータベースに格納します。 認証されたユーザーとアプリケーションのみが、データベースに接続してデータにアクセスできます。
ノート:
Oracle Autonomous Databaseは、権限分析、ネットワーク暗号化、集中管理ユーザー、セキュア・アプリケーション・ロール、透過的なデータ保護など、Oracle Databaseの標準的なセキュリティ機能をサポートしています。 また、Oracle Autonomous Databaseは、追加コストなしでLabel Security、Database Vault、Data Safeおよびその他の高度なセキュリティ機能を追加します。- 構成管理
Oracle Autonomous Databaseは、データベース全体の構成を管理する時間とコストを削減する、標準で強化されたセキュリティ構成を提供します。 - データ暗号化
Oracle Autonomous Databaseでは、静止中および転送中のデータを保護する常時稼働の暗号化を使用します。 保存データと移動中のデータは、デフォルトで暗号化されます。 暗号化をオフにできません。 - データ・アクセス・コントロール
Oracle Autonomous Databaseへのアクセスを保護し、データには様々な種類のアクセス制御を使用します: - Autonomous Databaseの監査の概要
Oracle Autonomous Databaseは、サービス上および特定のデータベースで誰が何をしたかを追跡できる堅牢な監査機能を提供します。 包括的なログ・データを使用すると、リソースに対するアクションを監査および監視できます。これは、セキュリティおよび運用上のリスクを軽減しながら、監査要件を満たすのに役立ちます。 - データベースとそのデータのセキュリティの評価
Oracle Autonomous Databaseは、データベースの評価と保護に役立つように、Oracle Data Safeと統合されます。 - 法令遵守認定
Oracle Autonomous Databaseは、国際および業界固有の幅広いコンプライアンス標準を満たしています。
親トピック: セキュリティ
構成管理
Oracle Autonomous Databaseは、データベース全体の構成を管理する時間とコストを削減する、標準で強化されたセキュリティ構成を提供します。
セキュリティ・パッチとアップデートは自動的に適用されるため、セキュリティを最新の状態に維持するために時間、コスト、注意を払う必要はありません。 これらの機能により、データベースやデータが高コストで、破壊される可能性のあるセキュリティ脆弱性と侵害から保護されます。
データの暗号化
Oracle Autonomous Databaseでは、保存中および転送中のデータを保護する常時暗号化を使用します。 保存データと移動中のデータは、デフォルトで暗号化されます。 暗号化をオフにできません。
保存データの暗号化
保存データは、TDE (透過的データ暗号化)を使用して暗号化されます。TDEは、データの処理、転送およびストレージを保護する暗号化ソリューションです。 「AES256の使用」表領域の暗号化、各データベースには独自の暗号化キーがあり、バックアップにはそれぞれ異なる暗号化キーがあります。
デフォルトでは、Oracle Autonomous Databaseによって、データの保護に使用されるすべてのマスター暗号化キーが作成され、データベースが存在する同じシステム上のセキュアなPKCS 12キーストアに格納されます。 会社のセキュリティ・ポリシーで必要な場合、Oracle Autonomous Databaseでは、かわりにOracle Cloud Infrastructure Vaultサービスで作成および管理するキーを使用できます。 詳細は、「Autonomous Databaseでのマスター暗号化キー管理について」を参照してください。
また、組織のセキュリティ・ポリシーを満たすために、必要に応じて顧客管理キーをローテーションできます。
ノート: データベースをクローニングすると、新しいデータベースは独自の暗号化キーの新しいセットを取得します。
転送中のデータの暗号化
クライアント(アプリケーションとツール)は、SQL*Net、JDBC、ODBCなどのサポートされているプロトコルを使用してOracle Autonomous Databaseに接続します。
「TCPS (Secure TCP)データベース接続サービス」は、接続および対称キーのデータ暗号化に業界標準のTLS 1.2 (Transport Layer Security)プロトコルを使用します。
-
mTLS接続では、Oracle Autonomous Databaseユーザーは、クライアントがTCPSを使用して接続するために必要なすべてのファイルを含む接続ウォレットをダウンロードします。 このウォレットを配布するのは、データベース・アクセスを必要とし、許可されているユーザーにのみです。 クライアント側構成では、ウォレット内の情報を使用して対称キーのデータ暗号化を実行します。
-
デフォルトでは、Autonomous Databaseは相互TLS (mTLS)接続をサポートします。 mTLS接続とTLS接続の両方を許可するようにAutonomous Databaseインスタンスを構成するオプションがあります。 TLS接続を使用する場合、JDBC Thinドライバ・クライアントなどの一部のクライアントは、TLS接続文字列を使用し、Autonomous DatabaseインスタンスでTLSが有効になっている場合はウォレットをダウンロードする必要はありません。
詳細については、「mTLSまたはTLSを使用したAutonomous Databaseへのセキュアな接続」を参照してください。
データ・アクセス制御
Oracle Autonomous Databaseへのアクセスを保護し、データには様々な種類のアクセス制御が使用されます:
- クライアント・アクセス・コントロール
Autonomous Databaseインスタンスのクライアント・アクセス制御は、ネットワーク・アクセス制御ポリシー、クライアント接続プロトコル、およびクライアントが接続に使用するデータベース・ユーザーのアクセス権によって適用されます。 - データベース・ユーザー・アクセス制御
Oracle Autonomous Databaseは、他のデータベース・アカウントの作成および管理に使用される管理アカウントADMINで構成されます。 Oracle Autonomous Databaseは、システム権限やオブジェクト権限、ロールなどの強力な機能とコントロールを提供します。 ユーザー・プロファイルを使用すると、パスワード・ポリシーをカスタマイズして、セキュアなデータベース・ユーザー・アクセス戦略を定義および実装できます。 - Oracle Cloudユーザー・アクセス制御
Identity and Access Management (IAM)サービスを使用して、Oracle Autonomous Databaseでユーザーが実行できるアクションを指定して、Oracle Cloudユーザーの権限を制御します。 - Autonomous Databaseでのアクセスが認可されました
Autonomous Databaseインスタンスへのアクセスが許可されるのは、認可されたユーザーのみです。 - Autonomous Database完全管理型サービス
Autonomous Databaseはフル・マネージド・サービスで、Oracleは独自のOracle Cloud Infrastructureテナンシを使用してAutonomous Databaseサービスを実行します。
クライアント・アクセス制御
Autonomous Databaseインスタンスのクライアント・アクセス制御は、ネットワーク・アクセス制御ポリシー、クライアント接続プロトコル、およびクライアントが接続に使用するデータベース・ユーザーのアクセス権によって適用されます。
ネットワーク・アクセス制御
-
プライベート・エンドポイントとセキュリティ・リスト: これは推奨されるオプションです。 プライベート・エンドポイントを使用して、仮想クラウド・ネットワーク(VCN)にOracle Autonomous Databaseを作成します。 セキュリティ・リストおよびネットワーク・セキュリティ・グループを使用して、データベースへの接続を作成できるユーザーを指定できます。
これらのリソースの作成の詳細は、「プライベート・エンドポイントを使用したネットワーク・アクセスの構成」を参照してください。
-
パブリック・エンドポイントおよびアクセス制御リスト: クライアント資格証明を持つクライアントからのアクセスを許可するパブリック・エンドポイントを使用して、Oracle Autonomous Databaseを作成します。 ネットワーク・アクセス制御リスト(ACL)を使用してデータベースへのアクセスを制御し、データベースに接続できるIPアドレス、CIDRブロックまたはVCNを指定できます。 パブリックIPの検出と攻撃が容易になり、可能な場合はプライベート・エンドポイントが推奨されます。
ACLの設定の詳細については、「既存のAutonomous Databaseインスタンスのアクセス・コントロール・リストの構成」を参照してください。
クライアント接続制御
クライアントは、標準のTLS 1.2を使用してTCPS (Secure TCP)データベース接続を介して接続し、接続を保護します。 Oracle Autonomous Databaseは自己署名証明書を使用します。 組織のセキュリティ・コンプライアンスのニーズを満たすように、Oracle Cloud Infrastructureコンソールから自己署名証明書をローテーションできます。 「即時ローテーションによるウォレット・ローテーション」を参照してください。
クライアントのデータベースに対するアクセスは、クライアントが接続に使用するデータベース・ユーザーのアクセス権によって制限されます。
親トピック: データ・アクセス制御
データベース・ユーザー・アクセス制御
Oracle Autonomous Databaseは、他のデータベース・アカウントの作成および管理に使用される管理アカウントADMINを使用して構成されます。 Oracle Autonomous Databaseは、システム権限やオブジェクト権限、ロールなどの強力な機能とコントロールを提供します。 ユーザー・プロファイルを使用すると、パスワード・ポリシーをカスタマイズして、セキュアなデータベース・ユーザー・アクセス戦略を定義および実装できます。
標準ユーザー管理の基本情報は、「Oracle Databaseの概念」の「ユーザー・アカウント」を参照してください。 詳細およびガイダンスは、「Oracle Databaseセキュリティ・ガイド」の「Oracle Databaseユーザーのセキュリティの管理」を参照してください。
データベース・ユーザー・アクセス戦略で、標準ユーザー管理よりも多くの制御が必要な場合は、Database Vaultを使用して厳格な要件を満たすようにOracle Autonomous Databaseを構成できます。
Microsoft Active Directoryを使用したデータベース・ユーザーの管理
Microsoft Active Directoryをユーザー・リポジトリとして使用する場合は、Microsoft Active Directoryユーザーを認証および認可するようにデータベースを構成できます。 この統合により、標準のユーザー管理とDatabase Vaultのどちらを使用しているかに関係なく、厳格なデータベース・ユーザー・アクセス戦略を実装しながらユーザー・リポジトリを統合できます。
Microsoft Active Directoryとデータベースの統合の詳細は、「Microsoft Active DirectoryとAutonomous Databaseの使用」を参照してください。
Database Vault
Oracle Database Vaultは事前構成され、すぐに使用できます。 その強力なセキュリティ制御を使用して、特権データベース・ユーザーによるアプリケーション・データへのアクセスを制限し、リスクの脅威を削減し、共通のコンプライアンス要件に対処することができます。
アプリケーション・データへの特権アカウント・アクセスをブロックし、データベース内の機密操作を制御するための制御を構成します。 トラステッド・パスを構成して、認可されたデータ・アクセス、データベース・オブジェクトおよびデータベース・コマンドにセキュリティ制御を追加します。 Database Vaultは、既存のデータベース環境を透過的に保護し、コストのかかる時間のかかるアプリケーション変更を排除します。
Database Vaultを使用する前に、必ず「Oracle Database VaultとAutonomous Databaseの使用」を確認して、Database Vaultの構成および有効化の影響を理解してください。
Database Vault機能の実装の詳細は、「Oracle Database Vault管理者ガイド」を参照してください。
親トピック: データ・アクセス制御
Oracle Cloudユーザー・アクセス制御
Identity and Access Management (IAM)サービスを使用して、Oracle Autonomous Databaseでユーザーが実行できるアクションを指定して、Oracle Cloudユーザーの権限を制御します。
IAMサービスには、セキュアなクラウド・ユーザー・アクセス戦略の定義および実装に役立つ様々な種類のコンポーネントが用意されています:
-
コンパートメント: 関連するリソースの集まり。 コンパートメントは、クラウド・リソースを編成および分離するためのOracle Cloud Infrastructureの基本コンポーネントです。
-
グループ: 特定のリソースまたはコンパートメントのセットに対して、すべて同じタイプのアクセスを必要とするユーザーのコレクション。
-
動的グループ: 定義したルールに一致するリソースを含む特別なタイプのグループ。 したがって、メンバーシップは、一致するリソースが作成または削除されると動的に変更できます。
-
ポリシー: アクセスできるリソースとその方法を指定する文のグループ。 アクセス権はグループ・レベルおよびコンパートメント・レベルで付与されるため、特定のグループに特定のタイプのリソースに対する特定のタイプのアクセス権を特定のグループに付与するポリシー文を記述することを意味します。
これらのうち、ポリシーは単一のアクセス制約の「対象者」、「方法」、「対象」および「場所」を提供するため、アクセスの制御に使用する主要なツールです。 ポリシー・ステートメントの形式は次のとおりです:
ポリシー文の形式は次のとおりです:
Allow
group <group-name>
to <control-verb>
<resource-type>
in compartment <compartment-name>-
group <group-name>では、既存のIAMグループの名前を指定して「Who」を指定します。 -
to <control-verb>では、あらかじめ定義された次のコントロール動詞のいずれかを使用して、方法を指定します:inspect: 機密情報またはユーザー指定のメタデータにアクセスすることなく、そのリソース・タイプのリソースを表示できます。read:inspectには、ユーザー指定のメタデータと実際のリソース自体を取得する能力も備えています。use:readには、既存のリソースを使用する機能を加えて、作成や削除はできません。 また、"work with"は、異なるリソース・タイプに対する異なる操作を意味します。manage: リソース・タイプのすべての権限(作成と削除を含む)。
-
<resource-type>には、事前定義済のリソース・タイプを使用して何かが指定されます。 インフラストラクチャ・リソースのリソース・タイプの値は、次のとおりです:autonomous-databasesautonomous-backups
テナンシでタグ付けが使用されている場合は、
tag-namespacesリソース・タイプ値を参照するポリシー・ステートメントを作成できます。 -
in compartment <compartment-name>では、既存のIAMコンパートメントの名前を指定して「場所」を指定します。
IAMサービスとそのコンポーネントの動作および使用方法の詳細は、「Oracle Cloud Infrastructure Identity and Access Managementの概要」を参照してください。 IAMに関する一般的な質問への迅速な回答は、「Identity and Access ManagementのFAQ」を参照してください。
親トピック: データ・アクセス制御
Autonomous Databaseでのアクセスが認可されました
Autonomous Databaseインスタンスへのアクセスが許可されるのは、認可されたユーザーのみです。
Oracle Cloud演算子には、Autonomous Databaseにアクセスする権限がありません。 問題のトラブルシューティングまたは軽減にデータベースへのアクセスが必要な場合、クラウド・オペレータが限られた期間データベースにアクセスすることを許可できます。
クラウド・オペレータがデータベースにアクセスできるようにするには、プロシージャDBMS_CLOUD_ADMIN.ENABLE_OPERATOR_ACCESSを実行します。 つまり、「Oracle Cloudサポート」を使用してサービス・リクエストを申請する場合、またはサポート担当者に連絡して、Oracle Cloudオペレータがデータベースにアクセスする必要がある場合は、DBMS_CLOUD_ADMIN.ENABLE_OPERATOR_ACCESSを実行してオペレータ・アクセスも有効にする必要があります。
Oracle Cloud演算子による各データベース・アクセスは、リクエストIDおよび理由を使用してログに記録されます。
詳細については、「Oracle Cloudオペレータ・アクセスの管理」と「Oracle Cloud Infrastructure操作アクションの表示」を参照してください。
親トピック: データ・アクセス制御
Autonomous Database完全管理型サービス
Autonomous Databaseはフル・マネージド・サービスで、Oracleは独自のOracle Cloud Infrastructureテナンシを使用してAutonomous Databaseサービスを実行します。
Oracle Cloudオペレータは顧客テナンシにアクセスできず、クラウド・オペレータはネットワークにアクセスできません。
親トピック: データ・アクセス制御
Autonomous Databaseの監査の概要
Oracle Autonomous Databaseには、サービスおよび特定のデータベースで誰が何を実行したかを追跡できる堅牢な監査機能があります。 包括的なログ・データを使用すると、リソースに対するアクションを監査および監視できます。これは、セキュリティおよび運用上のリスクを軽減しながら、監査要件を満たすのに役立ちます。
- サービス・レベル・アクティビティの監査
Oracle CloudユーザーがOracle Autonomous Databaseのデプロイメントを構成するリソースに対して実行するすべてのアクションは、使用されるインタフェースに関係なく、監査サービスによって記録されます: Oracle Cloud Infrastructureコンソール、REST API、コマンドライン・インタフェース(CLI)、ソフトウェア開発キット(SDK)など。 - データベース・アクティビティの監査
Oracle Autonomous Databaseは、ユーザーが作成したAutonomous Databaseを、Oracle Databaseの統合監査機能を使用するように構成します。
サービス・レベル・アクティビティの監査
Oracle CloudユーザーがOracle Autonomous Databaseのデプロイメントを構成するリソースで実行するすべてのアクションは、使用されるインタフェースに関係なく、Auditサービスによって記録されます: Oracle Cloud Infrastructureコンソール、REST API、コマンドライン・インタフェース(CLI)、ソフトウェア開発キット(SDK)など。
監査サービスを使用して、診断の実行、リソース使用状況の追跡、コンプライアンスの監視、セキュリティ関連イベントの収集を行うことができます。 監査サービスの詳細は、「Oracle Cloud Infrastructureドキュメント」の「監査の概要」を参照してください。
また、ユーザーがOracle Autonomous Databaseで操作を実行すると、データベースは「イベント」をOracle Cloudイベント・サービスに公開します。 Oracle Cloudイベント・サービスでは、これらのイベントを取得してアクションを実行するためのルールを作成できます。
イベント・サービスの動作および使用するルールとアクションの設定方法の詳細は、「イベントの概要」を参照してください。 イベントを生成するOracle Autonomous Database操作のリストについては、「Autonomous Databaseイベント・タイプ」を参照してください。
親トピック: Autonomous Databaseの監査の概要
データベース・アクティビティの監査
Oracle Autonomous Databaseは、Oracle Databaseの統合監査機能を使用するために作成する自律型データベースを構成します。
この機能では、次のソースから監査レコードが取得され、単一の監査証跡に統一された形式で収集されます:
- 統合監査ポリシーおよび
AUDIT設定による監査レコード(SYS監査レコードを含む) DBMS_FGAPL/SQLパッケージによるファイングレイン監査レコード- Oracle Database Real Application Security監査レコード
- Oracle Recovery Manager監査レコード
- Oracle Database Vault監査レコード
- Oracle Label Security監査レコード
- Oracle Data Miningのレコード
- Oracle Data Pump
- Oracle SQL*Loaderダイレクト・ロード
監査情報は最大14日間保持され、その後自動的にパージされます。 監査情報を長期間保持し、データベース・アクティビティを簡単に分析およびレポートするには、Oracle Data Safe (Oracle Autonomous Databaseサブスクリプションに含まれる)を使用します。
詳細については、「Autonomous Databaseの監査について」を参照してください。
親トピック: Autonomous Databaseの監査の概要
データベースとそのデータのセキュリティのアセス
Oracle Autonomous DatabaseはOracle Data Safeと統合され、データベースのアセスと保護に役立ちます。
Oracle Data Safeは、データの機密性の把握、データに対するリスクの評価、機密データのマスキング、セキュリティ制御の実装と監視、ユーザー・セキュリティのアセス、ユーザー・アクティビティの監視、データベース内のデータ・セキュリティ・コンプライアンス要件への対応を支援します。
Oracle Data Safeを使用して、データベースをData Safeに登録して、機密で規制されているデータをOracle Autonomous Databaseで識別および保護します。 次に、データベースの詳細ページからData Safeコンソールを直接使用します。
Data Safeの使用方法の詳細は、「Oracle Data Safe機能の使用」を参照してください。
法令遵守認定
Oracle Autonomous Databaseは、国際および業界固有の幅広いコンプライアンス標準を満たしています。
| 証明 | 説明 |
|---|---|
|
C5 |
クラウド・コンピューティング・コンプライアンス・コントロール・カタログ(C5) |
|
CSA STAR |
The Cloud Security Alliance (CSA) Security Trust, Assurance and Risk (STAR) |
|
Cyber Essentials (UK) Cyber Essentials Plus (UK) |
Oracle Cloud Infrastructureは、次のリージョンでCyber EssentialsおよびCyber Essentials Plusの認定を取得しました:
|
|
DESC (UAE) |
Dubai Electronic Security Center CSP Security Standard |
|
DoD IL4/IL5 |
これらのリージョンでのDISA影響レベル5認可:
|
|
ENS High (スペイン) |
認定HighのレベルのEsquema Nacional de Seguridad。 |
|
FedRAMP高 |
連邦リスクおよび承認管理プログラム(米国政府リージョンのみ) |
|
FSI (S. 大韓民国) |
金融セキュリティ研究所 |
|
HDS |
フランスの公衆衛生コードで、Hébergeur de Données de Santé (HDS)認定および認定されたインフラストラクチャ、ホスティングおよびプラットフォーム・サービス・プロバイダを使用するために、健康または医療データを制御、処理または格納する医療組織が必要です |
|
HIPAA |
Health Insurance Portability and Accountability Act |
|
HITRUST |
健康情報信託同盟 |
|
IRAP (オーストラリア) |
Infosec Registered評価プログラム。 シドニーおよびメルボルン・リージョン |
|
ISMS (S. 大韓民国) |
情報セキュリティ管理システム |
|
ISO/IEC 27001:2013 |
International Organization for Standardization 27001 |
|
ISO/IEC 27017:2015 |
クラウド・サービス向けのISO/IEC 27002に基づく情報セキュリティ制御の実践コード |
|
ISO/IEC 27018:2014 |
PIIプロセッサとして動作するパブリック・クラウドにおける個人識別情報(PII)の保護の実務指針 |
|
MeitY (インド) |
電子情報技術省 |
|
MTCS(シンガポール) |
Multi-Tier Cloud Service (MTCS)レベル3 |
|
PASF (UK OC4) |
これらのリージョンのPolice Assured Secure Facilities (PASF):
|
|
PCI DSS |
クレジット・カード業界データ・セキュリティ基準は、クレジット・カード情報を処理、保存または送信するすべての会社がセキュアな環境を維持するようにするための一連の要件です |
|
SOC 1 |
システムおよび組織統制1 |
|
SOC 2 |
システムおよび組織管理2 |
動作保証の詳細および完全なリストは、「Oracle Cloudコンプライアンス」を参照してください。