脆弱性検出およびパッチ管理サービスの開始

ここでは、脆弱性検出およびパッチ管理を開始する方法について説明します。脆弱性検出およびパッチ適用サービスを有効にすると、両方のコンポーネントが有効化され、個別に有効化または無効化できないことに注意してください。

サポートされるバージョン

サポートされているデプロイメント・タイプ 脆弱性検出でサポートされているデータベース・バージョン パッチ管理でサポートされているデータベース・バージョン サポートされているプラットフォーム
外部データベース
  • オンプレミスで実行されているデータベース
  • OCI Database Management内に外部として登録されたOCI VMベースのデータベース
12c以降 19c以降 Linux

脆弱性の検出およびパッチ適用で使用される用語

脆弱性検出に固有の用語:
  • 脆弱性の検出と修復: データベース・システム内の潜在的なセキュリティの弱点(脆弱性)を特定し、その弱点を修正または軽減し、サイバー攻撃者による悪用のリスクを効果的に排除するために必要なアクションを実行するプロセスです。これには、脆弱性のスキャン、重大度に基づく優先順位付け、パッチの適用、およびそれらに対処するための更新が含まれます。
  • CVE: Common Vulnerabilities and Exposures (CVE)システムは、公開されている情報セキュリティの脆弱性およびエクスポージャのリファレンス方法を提供します。CVEプログラムの使命は、公開されているサイバーセキュリティ脆弱性を特定し、定義し、カタログ化することです。

    MITRE Corporationが運営する米国国立サイバーセキュリティFFRDCは、データベースを維持しています。CVEおよびCVE IDは、Mitreのシステムおよび米国National Vulnerability Databaseにリストされています。

  • CVSS: 共通脆弱性スコアリング・システム(CVSS)は、重大度の定性的な測定を提供するために使用される方法です。メトリックの結果、0から10までの範囲の数値スコアになります。CVSSは、正確で一貫した脆弱性の重大度スコアを必要とする業界、組織および政府向けの標準測定システムとして適しています。
    CVSS v4.0の定性的重大度評価は、次のように評価を示します。
    重大度 スコア範囲
    なし 0.0
    最小 0.1-3.9
    標準 4.0-6.9
    最大 7.0-8.9
    クリティカル 9.0-10.0
パッチ適用に固有の用語
  • BYOL: Bring Your Own License (BYOL)では、オンプレミス環境から既存のOracleソフトウェア・ライセンスを利用して、新しいライセンスを購入することなくOracleクラウドでアプリケーションを実行できます。Enterprise Manager Database Lifecycle Management (DBLM)パックがライセンスされている場合、BYOLオプションを使用すると、OCI脆弱性検出およびパッチ適用サービスを50%のコストで利用できます。
  • パッチ分類: 推奨されるセキュリティ/代替パッチ。Oracle Critical Patch Updates (CPU)は、推奨セキュリティ・パッチとみなされ、1月、4月、7月および10月の第3火曜日にリリースされます。

    Oracleでは、サポートされている製品にクリティカル・パッチ・アップデート(CPU)を推奨しています。脆弱性検出およびパッチ適用サービスでは、必須の推奨セキュリティ・パッチを適用し、推奨の代替パッチも評価および適用することをお薦めします。

  • データベース・リリース: メジャー・リリース(19c、23aiなど)を示します。
  • ゴールド・イメージ: データベース・リリースを表し、ゴールド・イメージはデータベース・バージョンにマップされたバージョンで構成されます。ゴールド・イメージ(イメージとも呼ばれる)を作成する場合は、バージョンを使用して作成します。Oracleでは、データベース・リリースごとに1つのゴールド・イメージのみを作成することをお薦めします。ゴールド・イメージは空にできません。イメージを含める必要があります。

    Oracleによって新しいデータベース・バージョンがリリースされると、新しいバージョンをイメージに追加します。たとえば、19cリリースで、ゴールド・イメージ19c_Releaseを作成し、1910DBRU1915DBRU1922DBRUなどの新しいバージョンを追加します。Oracleでは、ゴールド・イメージに最大3つのバージョンを含めることをお薦めします。これにより、メンテナンスや領域の使用が容易になります。

  • データベースの更新: パッチ適用操作で、同じリリース内でデータベースを上位に更新します。たとえば、Oracle 19.15cから19.22cに更新します。
  • MOS接続および資格証明: MOS (My Oracle Support)に接続して、パッチ、リリース更新、月次リリース・パッチ、ARUシード・データ(製品、プラットフォーム、リリース、コンポーネント、動作保証詳細およびパッチ推奨)をダウンロードするサービス。
  • リソース・タイプ: 脆弱性の検出およびパッチ適用は、コンテナ・データベース(CDB)、単一インスタンスおよびRACインスタンス・データベースの外部データベースで使用できます。
    ノート

    現在サポートされているのは、オンプレミスまたはLinuxオペレーティング・システム上のOracle Cloud Infrastructure仮想マシンで実行されている外部データベースのみです。
  • アウトオブプレース・パッチ適用: 必要なパッチを含むゴールド・イメージが新しいホームにデプロイされるメカニズムです。完了したら、新しいホームから実行するようにデータベース・インスタンスを移行して、停止時間を最小限に抑えます。
  • ローリング・モード: このモードでは、クラスタのノードに1つずつ個別にパッチが適用されます。
  • 競合のチェック: データベースごとのパッチ競合を評価し、その後、マージされたパッチの数を減らします。
  • ソフトウェアのデプロイ: Oracleホーム・ソフトウェアのデプロイメント。
  • パッチ操作: すべてのパッチ管理操作は、操作名、パッチが適用されたデータベースの数、ステータス(成功、エラーありで完了、失敗)、開始時間、終了時間および経過時間別に表示できます。
  • パッチ・コンプライアンス: サブスクライブされたターゲットのうち現在のバージョンにあるものの数が表示されます。コンプライアンスは、サブスクライブされたターゲットがイメージの現在のバージョンではなく、更新する必要があることも示します。

脆弱性とパッチ適用の設定

脆弱性検出およびパッチ適用の使用を開始するには、前提条件を満たし、必要な権限を取得してサービスを有効にします。