Oracle Cloud Infrastructureドキュメント

脆弱性検出およびパッチ管理サービスの開始

ここでは、脆弱性の検出およびパッチ管理を開始する方法について説明します。Vulnerability DetectionおよびPatchingサービスを有効にすると、両方のコンポーネントが有効化され、個別に有効化または無効化できなくなります。

サポートされるバージョン

サポートされているデプロイメント・タイプ 脆弱性検出でサポートされているデータベース・バージョン パッチ管理でサポートされているデータベース・バージョン サポートされているプラットフォーム
外部データベース
  • オンプレミスで実行されているデータベース
  • OCI Database Management内で外部として登録されたOCI VMベースのデータベース
 12c以降 19c以降 Linux

脆弱性の検出およびパッチ適用で使用される用語

脆弱性検出に固有の用語:
  • 脆弱性の検出および修復: これは、データベース・システム内の潜在的なセキュリティの弱点(脆弱性)を識別し、その弱点を修正または軽減し、サイバー攻撃者による悪用リスクを効果的に排除するために必要なアクションを実行するプロセスです。これには、脆弱性をスキャンし、重大度に基づいて優先順位を付け、パッチを適用し、それらに対処するための更新が含まれます。
  • CVE: Common Vulnerabilities and Exposures (CVE)システムは、公開されている情報セキュリティの脆弱性とエクスポージャの参照方法を提供します。CVEプログラムの使命は、公開されているサイバーセキュリティの脆弱性を特定し、定義し、カタログ化することです。

    MITRE Corporationが運営する米国国家サイバーセキュリティFFRDCは、データベースを維持しています。CVEおよびCVE IDは、MitreのシステムおよびUS National Vulnerability Databaseにリストされます。

  • CVSS: Common Vulnerability Scoring System (CVSS)は、重大度の質的メジャーを提供するために使用される方法です。メトリックは、0から10までの数値スコアになります。CVSSは、正確で一貫した脆弱性の重大度スコアを必要とする業界、組織および政府向けの標準測定システムとして適しています。
    CVSS v4.0の定性重大度評価は、次のように評価を示します。
    重要度 スコア範囲
    なし 0.0
    0.1-3.9
    4.0-6.9
    高い 7.0-8.9
    クリティカル 9.0-10.0
パッチ適用に固有の用語
  • BYOL: Bring Your Own License (BYOL)では、オンプレミス環境の既存のOracleソフトウェア・ライセンスを利用して、新しいライセンスを購入せずにOracleクラウド上でアプリケーションを実行できます。Enterprise Manager Database Lifecycle Management (DBLM)パックのライセンスを所有している場合、BYOLオプションを使用すると、OCI脆弱性検出およびパッチ適用サービスを50%のコストで使用することができます。
  • Patch Classification : 推奨セキュリティ/代替パッチ。Oracle Critical Patch Updates (CPU)は、推奨セキュリティ・パッチとみなされ、1月、4月、七月、10月の第3火曜日にリリースされます。

    Oracleでは、サポートされている製品にクリティカル・パッチ・アップデート(CPU)を推奨しています。Vulnerability Detection and Patchingサービスは、必須の推奨セキュリティ・パッチの適用、および推奨代替パッチの評価と適用も推奨します。

  • データベース・リリース: メジャー・リリースを示します(例: 19c、23ai)。
  • ゴールド・イメージ: データベース・リリースを表します。ゴールド・イメージは、データベース・バージョンにマップされたバージョンで構成されます。ゴールド・イメージ(イメージとも呼ばれる)を作成する場合は、バージョンを使用して作成します。Oracleでは、データベース・リリースごとにゴールド・イメージを1つのみ作成することをお薦めします。ゴールド・イメージは空にできません。イメージが含まれている必要があります。

    Oracleによって新しいデータベース・バージョンがリリースされると、新しいバージョンをイメージに追加します。たとえば、19cリリースでは、ゴールド・イメージ19c_Releaseを作成し、1910DBRU1915DBRU1922DBRUなどの新しいバージョンを追加します。Oracleでは、ゴールド・イメージには最大3つのバージョンが含まれているため、メンテナンスと領域の使用が容易になることをお薦めします。

  • データベースの更新: パッチ適用操作で、同じリリース内でデータベースが上位に更新されます。たとえば、Oracle 19.15cから19.22cに更新します。
  • MOS接続および資格証明: MOS (My Oracle Support)に接続してパッチ、リリース更新、月次リリース・パッチ、ARUシード・データ(製品、プラットフォーム、リリース、コンポーネント、動作保証詳細およびパッチ推奨)をダウンロードするサービス。
  • リソース・タイプ: 脆弱性の検出およびパッチ適用は、コンテナ・データベース(CDB)、単一インスタンスおよびRACインスタンス・データベースの外部データベースで使用できます。
    ノート

    現在、オンプレミスまたはLinuxオペレーティング・システム上のOracle Cloud Infrastructure仮想マシンで実行されている外部データベースのみがサポートされています。
  • アウトオブプレース・パッチ適用: 必要なパッチが含まれるゴールド・イメージが新しいホームにデプロイされるメカニズムです。完了したら、新しいホームから実行するようにデータベース・インスタンスを移行して、停止時間を最小限に抑えます。
  • ローリング・モード: このモードでは、クラスタのノードに1つずつ個別にパッチが適用されます。
  • 競合のチェック: データベースごとのパッチ競合を評価し、その後、マージされたパッチの数を減らします。
  • ソフトウェアのデプロイ: Oracleホームのソフトウェア・デプロイメント。
  • パッチ操作: すべてのパッチ管理操作を、操作名、パッチが適用されたデータベースの数、ステータス(成功、エラーありで完了、失敗)、開始時間、終了時間および経過時間別に表示できます。
  • パッチ・コンプライアンス: サブスクライブされたターゲットのうち現行バージョンにあるものの数を表示します。また、コンプライアンスは、サブスクライブされたターゲットがイメージの現在のバージョンにないため、更新する必要があることを示します。

脆弱性とパッチ適用の設定

Vulnerability Detection and Patchingの使用を開始するには、前提条件を満たし、必要な権限を取得し、サービスを有効にします。