Oracle Autonomous AI Databaseでのセキュリティおよび認証
Oracle Autonomous AI Databaseは、すべてのデータを暗号化された形式でデータベースに格納します。認証されたユーザーとアプリケーションのみが、データベース接続時にデータにアクセスできます。
ノート
ノート: Oracle Autonomous AI Databaseでは、権限分析、ネットワーク暗号化、集中管理ユーザー、セキュア・アプリケーション・ロール、透過的機密データ保護など、Oracle AI Databaseの標準セキュリティ機能がサポートされています。また、Oracle Autonomous AI Databaseは、Label Security、Database Vault、Data Safe、その他の高度なセキュリティ機能を追加コストなしで追加します。
構成管理
Oracle Autonomous AI Databaseは、データベース全体の構成の管理にかかる時間とコストを削減する、標準的で強化されたセキュリティ構成を提供します。
セキュリティ・パッチと更新は自動的に行われるため、セキュリティを最新の状態に保つために時間や費用、注意を払う必要はありません。これらの機能を使用すると、データベースおよびデータを、コストがかかり、致命的な可能性のあるセキュリティ脆弱性や侵害から保護できます。
データ暗号化
Oracle Autonomous AI Databaseでは、静止中および転送中のデータを保護する常時稼働の暗号化を使用します。休憩中および移動中のデータはデフォルトで暗号化されます。暗号化をオフにすることはできません。
静止中のデータの暗号化
静止中のデータは、TDE (透過的データ暗号化)を使用して暗号化されます。これは、データの処理、転送および格納を保護する暗号化ソリューションです。AES256表領域暗号化を使用すると、各データベースには独自の暗号化キーがあり、バックアップにはそれぞれ異なる暗号化キーがあります。
デフォルトでは、Oracle Autonomous AI Databaseは、データの保護に使用されるすべてのマスター暗号化キーを作成および管理し、データベースに存在するのと同じシステム上のセキュアなPKCS 12キーストアに格納します。会社のセキュリティ・ポリシーに必要であれば、Oracle Autonomous AI Databaseでは、かわりにOracle Cloud Infrastructure Vaultサービスで作成および管理するキーを使用できます。詳細は、Autonomous AI Databaseでのマスター暗号化キー管理についてを参照してください。
さらに、組織のセキュリティ・ポリシーを満たすために、必要に応じて顧客管理キーをローテーションできます。
ノート: データベースをクローニングすると、新しいデータベースは独自の新しい暗号化キーのセットを取得します。
転送中のデータの暗号化
クライアント(アプリケーションおよびツール)は、SQL*Net、JDBC、ODBCなどのサポートされているプロトコルを使用してOracle Autonomous AI Databaseに接続します。
TCPS (Secure TCP)データベース接続サービスでは、接続に業界標準のTLS 1.2 (Transport Layer Security)プロトコルが使用され、対称キー・データ暗号化に使用されます。
-
mTLS接続では、Oracle Autonomous AI Databaseユーザーは、クライアントがTCPSを使用して接続するために必要なすべてのファイルを含む接続ウォレットをダウンロードします。このウォレットは、データベース・アクセスが必要で許可されているユーザーにのみ配布します。クライアント側の構成では、ウォレット内の情報を使用して、対称キー・データ暗号化を実行します。
-
Autonomous AI Databaseは、デフォルトで相互TLS (mTLS)接続をサポートしています。mTLS接続とTLS接続の両方を許可するようにAutonomous AI Databaseインスタンスを構成するオプションがあります。TLS接続を使用すると、JDBC Thinドライバ・クライアントなどの一部のクライアントは、TLS接続文字列を使用し、Autonomous AI DatabaseインスタンスでTLSが有効になっている場合、ウォレットをダウンロードする必要はありません。
詳細は、mTLSまたはTLSを使用したAutonomous AI Databaseへのセキュアな接続を参照してください。
データ・アクセス制御
Oracle Autonomous AI Databaseとデータへのアクセスを保護するには、いくつかの異なる種類のアクセス制御を使用します。
クライアント・アクセス制御
Autonomous AI Databaseインスタンスのクライアント・アクセス制御は、ネットワーク・アクセス制御ポリシー、クライアント接続プロトコル、およびクライアントが接続に使用するデータベース・ユーザーのアクセス権によって適用されます。
ネットワーク・アクセス制御
ネットワーク・アクセス制御は、Oracle Autonomous AI Databaseを設定および構成するときに定義します。考慮するオプションには2つあります。
-
プライベート・エンドポイントおよびセキュリティ・リスト:これは推奨オプションです。プライベート・エンドポイントを使用して、仮想クラウド・ネットワーク(VCN)にOracle Autonomous AI Databaseを作成します。セキュリティ・リストおよびネットワーク・セキュリティ・グループを使用してデータベースへのアクセスを制御し、データベースへの接続を作成できるユーザーを指定できます。
これらのリソースの作成の詳細は、プライベート・エンドポイントを使用したネットワーク・アクセスの構成を参照してください。
-
パブリック・エンドポイントおよびアクセス制御リスト:クライアント資格証明を持つ任意のクライアントからのアクセスを許可するパブリック・エンドポイントを使用して、Oracle Autonomous AI Databaseを作成します。データベースへのアクセスは、ネットワーク・アクセス制御リスト(ACL)を使用して制御します。これにより、データベースに接続できるIPアドレス、CIDRブロックまたはVCNsを指定できます。パブリックIPは検出および攻撃が容易であり、可能な場合はプライベート・エンドポイントが推奨されます。
ACLの設定の詳細は、既存のAutonomous AIデータベース・インスタンスのアクセス制御リストの構成を参照してください。
クライアント接続制御
クライアントは、標準のTLS 1.2を使用してTCPS (セキュアTCP)データベース接続を介して接続し、接続を保護します。Oracle Autonomous AI Databaseでは、自己署名証明書を使用します。自己署名証明書は、組織のセキュリティ・コンプライアンスのニーズを満たすように、Oracle Cloud Infrastructureコンソールからローテーションできます。「即時ローテーションを使用したウォレットのローテーション」を参照してください。
クライアントがデータベースに対して持つアクセスは、クライアントが接続に使用するデータベース・ユーザーのアクセス権によって制限されます。
データベース・ユーザー・アクセス制御
Oracle Autonomous AI Databaseは、他のデータベース・アカウントの作成および管理に使用する管理アカウント(ADMIN)で構成します。Oracle Autonomous AI Databaseは、システム権限とオブジェクト権限、ロールなど、堅牢な一連の機能と制御を提供します。ユーザー・プロファイルを使用すると、パスワード・ポリシーをカスタマイズして、セキュアなデータベース・ユーザー・アクセス戦略を定義および実装できます。
標準のユーザー管理に関する基本情報については、『Oracle AI Database概要』のユーザー・アカウントを参照してください。詳細およびガイダンスは、『Oracle AI Databaseセキュリティ・ガイド』のOracle AI Databaseユーザーのセキュリティの管理を参照してください。
データベース・ユーザー・アクセス戦略で、標準のユーザー管理よりも多くの制御が必要な場合は、Database Vaultを使用してより厳格な要件を満たすようにOracle Autonomous AI Databaseを構成できます。
Microsoft Active Directoryを使用したデータベース・ユーザーの管理
Microsoft Active Directoryをユーザー・リポジトリとして使用する場合、Microsoft Active Directoryユーザーを認証および認可するようにデータベースを構成できます。この統合により、標準的なユーザー管理を使用するかDatabase Vaultを使用するかに関係なく、厳格なデータベース・ユーザー・アクセス戦略を実装しながら、ユーザー・リポジトリを統合できます。
Microsoft Active Directoryとデータベースの統合の詳細は、Autonomous AIデータベースでのMicrosoft Active Directoryの使用を参照してください。
Database Vault
Oracle AI Database Vaultは事前構成済ですぐに使用できます。その強力なセキュリティ制御を使用して、特権データベース・ユーザーによるアプリケーション・データへのアクセスを制限することにより、リスクの脅威を軽減し、一般的なコンプライアンス要件に対処できます。
アプリケーション・データに対する特権アカウント・アクセスのブロック、およびデータベース内での機密操作を制御するためのコントロールを構成します。信頼できるパスを構成して、認可されたデータ・アクセス、データベース・オブジェクトおよびデータベース・コマンドにセキュリティ制御を追加します。Database Vaultは、既存のデータベース環境を透過的に保護することで、コストと時間がかかるアプリケーションの変更を排除します。
Database Vaultを使用する前に、必ず、Autonomous AI DatabaseでのOracle AI Database Vaultの使用を参照し、Database Vaultの構成および有効化による影響を把握します。
Database Vaultの機能の実装の詳細は、『Oracle AI Database Vault管理者ガイド』に関する項を参照してください。
Oracle Cloudのユーザー・アクセス制御
Identity and Access Management (IAM)サービスを使用して、Oracle Autonomous AI Databaseでユーザーが実行できるアクションを指定することで、Oracle Cloudユーザーの権限を制御します。
IAMサービスには、セキュアなクラウド・ユーザー・アクセス戦略の定義および実装に役立つ複数の種類のコンポーネントが用意されています:
-
コンパートメント: 関連するリソースの集合。コンパートメントは、クラウド・リソースを編成および分離するためのOracle Cloud Infrastructureの基本コンポーネントです。
-
グループ: 特定のリソースまたはコンパートメントのセットに対して同じアクセス・タイプを必要とするユーザーの集合。
-
動的グループ: 定義したルールに一致するリソースを含む、特別なタイプのグループ。したがって、一致するリソースが作成または削除されると、メンバーシップが動的に変わる可能性があります。
-
ポリシー: 誰がどのリソースにどのようにアクセスできるのかを指定する文のグループ。アクセス権はグループ・レベルおよびコンパートメント・レベルで付与します。つまり、特定のコンパートメント内の特定のリソース・タイプへのアクセス権を特定のグループに付与するポリシー・ステートメントを記述します。
このうち、ポリシーは、単一のアクセス制約の「誰が」、「どのように」、「何を」、「どこで」を指定するため、アクセスを制御するための主要なツールとして使用できます。ポリシー・ステートメントのフォーマットは次のとおりです:
ポリシー・ステートメントのフォーマットは次のとおりです:
Allow
group <group-name>
to <control-verb>
<resource-type>
in compartment <compartment-name>-
group <group-name>は、既存のIAMグループの名前を指定して、「誰が」を指定します。
-
to <control-verb>は、次の事前定義済の制御動詞のいずれかを使用して、「どのように」を指定します:
-
inspect: 特定のタイプのリソースを、それに含まれる可能性がある機密情報やユーザー指定のメタデータにアクセスせずに一覧表示する機能。
-
read:
inspectに加えて、ユーザー指定のメタデータと実際のリソースそのものを取得できます。 -
使用:
readに加えて、既存のリソースを操作できます(作成や削除はできません)。また、「作業する」とは、様々なリソース・タイプで異なる操作を意味します。 -
manage: リソース・タイプに対するすべての権限(作成および削除を含む)。
-
-
<resource-type>は、事前定義済のリソース・タイプを使用して「何を」を指定します。インフラストラクチャ・リソースのリソース・タイプ値は次のとおりです:
-
autonomous-databases
-
自律バックアップ
テナンシ内でタグ付けが使用されている場合は、タグ・ネームスペース・リソース・タイプ値を参照しているポリシー・ステートメントを作成できます。
-
-
in compartment <compartment-name>は、既存のIAMコンパートメントの名前を指定することで、「Where」を指定します。
IAMサービスとそのコンポーネントの仕組みおよび使用方法の詳細は、Oracle Cloud Infrastructure Identity and Access Managementの概要を参照してください。IAMに関する一般的な質問への簡単な回答は、Identity and Access ManagementのFAQを参照してください。
Autonomous AI Databaseへの認可されたアクセス
Autonomous AI Databaseインスタンスへのアクセスが許可されるのは、認可されたユーザーのみです。
Oracle Cloud Operatorsには、Autonomous AI Databaseにアクセスする権限がありません。問題のトラブルシューティングまたは軽減にデータベースへのアクセスが必要な場合、クラウド・オペレータが限られた時間でデータベースにアクセスすることを許可できます。
クラウド・オペレータがデータベースにアクセスできるようにするには、プロシージャDBMS_CLOUD_ADMIN.ENABLE_OPERATOR_ACCESSを実行します。つまり、Oracle Cloud Supportでサービス・リクエストを申請する場合、またはサポート担当者に連絡して、Oracle Cloud Operatorsがデータベースにアクセスする必要がある場合は、DBMS_CLOUD_ADMIN.ENABLE_OPERATOR_ACCESSを実行してオペレータ・アクセスも有効にする必要があります。
Oracle Cloudオペレータによる各データベース・アクセスには、リクエストIDと理由が記録されます。
詳細は、Oracle Cloudオペレータ・アクセスの管理およびOracle Cloud Infrastructure操作アクションの表示を参照してください。
Autonomous AI Database完全管理サービス
Autonomous AI Databaseはフルマネージド・サービスであり、Oracleは独自のOracle Cloud Infrastructureテナンシを使用してAutonomous AI Databaseサービスを実行します。
Oracle Cloud Operatorsは顧客テナンシにアクセスできず、クラウド事業者はネットワークにアクセスできません。
Autonomous AI Databaseの監査の概要
Oracle Autonomous AI Databaseには、サービスおよび特定のデータベースで誰が何を実行したのかを追跡できる堅牢な監査機能が備わっています。包括的なログ・データによって、リソースに対するアクションを監査およびモニターできるため、セキュリティおよび運用のリスクを軽減しながら監査要件を満たすことができます。
サービス・レベル・アクティビティの監査
Oracle CloudユーザーがOracle Autonomous AI Databaseのデプロイメントを構成するリソースに対して実行するすべてのアクションは、使用されるインタフェース(Oracle Cloud Infrastructure Console、REST API、コマンドライン・インタフェース(CLI)、ソフトウェア開発キット(SDK)など)に関係なく、Auditサービスによって記録されます。
監査サービスを使用して、診断の実行、リソース使用率の追跡、コンプライアンスのモニター、セキュリティ関連イベントの収集を行うことができます。監査サービスの詳細は、Oracle Cloud Infrastructureドキュメントの監査の概要を参照してください。
さらに、ユーザーがOracle Autonomous AI Databaseで操作を実行すると、データベースはイベントをOracle Cloud Eventsサービスに公開します。Oracle Cloud Eventsサービスでは、これらのイベントを取得してアクションを実行するルールを作成できます。
イベント・サービスの仕組みと、使用されるルールおよびアクションの設定方法の詳細は、イベントの概要に関する項を参照してください。イベントを生成するOracle Autonomous AI Database操作のリストは、Autonomous AI Databaseイベント・タイプを参照してください。
データベース・アクティビティの監査
Oracle Autonomous AI Databaseは、Oracle AI Databaseの統合監査機能を使用するように作成する自律型データベースを構成します。
この機能によって、次のソースから監査レコードが取得され、統一されたフォーマットで1つの監査証跡に収集されます:
-
統合監査ポリシーおよび
AUDIT設定による監査レコード(SYS監査レコードを含む) -
DBMS_FGAPL/SQLパッケージによるファイングレイン監査レコード -
Oracle AI Database Real Application Security監査レコード
-
Oracle Recovery Manager監査レコード
-
Oracle AI Database Vault監査レコード
-
Oracle Label Security監査レコード
-
Oracle Data Miningレコード
-
Oracle Data Pump
-
Oracle SQL*Loaderダイレクト・ロード
監査情報は最大14日間保持され、その後自動的にパージされます。監査情報をより長く保持し、データベース・アクティビティを簡単に分析およびレポートするには、Oracle Data Safe (Oracle Autonomous AI Databaseサブスクリプションに付属)を使用します。
詳細は、Autonomous AI Databaseの監査についてを参照してください。
データベースとそのデータのセキュリティを評価する
Oracle Autonomous AI Databaseは、Oracle Data Safeと統合され、データベースの評価と保護に役立ちます。
Oracle Data Safeは、データベースの機密性の理解、データへのリスクの評価、機密データのマスク、セキュリティ制御の実装と監視、ユーザー・セキュリティの評価、ユーザー・アクティビティのモニター、およびデータ・セキュリティ・コンプライアンス要件への対応に役立ちます。
Oracle Data Safeを使用して、Data Safeにデータベースを登録することで、Oracle Autonomous AI Databaseの機密データと規制対象データを識別および保護します。次に、データベースの「詳細」ページからData Safeコンソールを直接使用します。
Data Safeの使用の詳細は、Oracle Data Safe機能の使用を参照してください。
規制コンプライアンスの認証
Oracle Autonomous AI Databaseは、幅広い国際的および業界固有のコンプライアンス標準を満たしています。
| 認定 | 摘要 |
|---|---|
| C5 | Cloud Computing Compliance Controlsカタログ(C5) |
| CSA STAR | Cloud Security Alliance (CSA) Security Trust, Assurance and Risk (STAR) |
Cyber Essentials(イギリス) Cyber Essentials Plus(英国) |
Oracle Cloud Infrastructureは、次のリージョンでCyber EssentialsとCyber Essentials Plusの認定を取得しました。
|
| 摘要(UAE) | ドバイ電子セキュリティセンターCSPセキュリティ標準 |
| DoD IL4/IL5 | DISA Impact Level 5認可の地域は次のとおりです。
|
| ENS High(スペイン) | Esquema Nacional de Seguridad認定レベル高。 |
| FedRAMP高 | 米国連邦リスク承認管理プログラム(U.S.)政府リージョンのみ) |
| FSI (S) 大韓民国) | 金融セキュリティ研究所 |
| HDS | フランスの公衆衛生法では、医療データを管理、処理、または保存し、HébergeurdeDonnéesdeSanté(HDS)認定および認定を受けたインフラストラクチャ、ホスティングおよびプラットフォーム・サービス・プロバイダを使用する必要があります |
| HIPAA | 医療保険の相互運用性と説明責任に関する法律 |
| 独占 | Health Information Trust Alliance(HITRUST) |
| IRAP(オーストラリア) | Infosec Registered Assessorsプログラムシドニーおよびメルボルン地域 |
| ISMS (S) 大韓民国) | 情報セキュリティマネジメントシステム |
| ISO/IEC 27001:2013 | 国際標準化機構27001 |
| ISO / IEC 27017:2015 | ISO/IEC 27002に基づくクラウド・サービスのための情報セキュリティ管理の実務規程 |
| ISO / IEC 27018:2014 | PIIプロセッサとして機能するパブリック・クラウドにおける個人識別情報(PII)の保護のための実務規程 |
| MeitY(インド) | 電子情報技術省 |
| MTCS(シンガポール) | Multi-Tier Cloud Service(MTCS)レベル3 |
| パスフ(OK OC4) | 警察は、これらの地域の安全設備(PASF)を保証しました:
|
| PCI DSS | クレジット・カード業界データ・セキュリティ基準は、クレジット・カード情報を処理、保存または送信するすべての会社がセキュアな環境を維持するようにするための一連の要件です |
| SOC 1 | システムおよび組織管理1 |
| SOC 2 | システムおよび組織管理2 |
詳細および完全な認証リストについては、Oracle Cloudのコンプライアンスを参照してください。