Oracle Cloud Infrastructureドキュメント

Oracle Data Safeを使用したデータベース・セキュリティの管理

Oracle Data Safeについて

企業ポリシーでは、データベースを監視し、監査レコードを保持する必要があります。開発者は、その新しいアプリケーションの本番データのコピーを求めており、どのような機密情報が含まれるのか疑問に思っています。一方、最新のメンテナンス・アクティビティで、本番データベースに重要なセキュリティ構成のギャップが残っていないこと、およびスタッフの変更で休眠ユーザー・アカウントがデータベースに残っていないことを確認する必要があります。Oracle Data Safeは、これらのタスクを支援し、Exadata Database Service*に含まれています。

Oracle Data Safeは、Oracle Cloud Infrastructure、Cloud@Customer、オンプレミスまたはその他のクラウドで実行しているかどうかに関係なく、Oracle Databasesの日々のセキュリティおよびコンプライアンス要件を管理するのに役立つ統合コントロールセンターです。

データ・セーフは、データの機密性を評価し、非本番データベースの機密データをマスキングすることで、データベースに対するセキュリティ制御の評価、ユーザー・セキュリティの評価、ユーザー・アクティビティのモニターおよびデータ・セキュリティ・コンプライアンス要件への対応をサポートします。

データ・セーフは次の機能を提供します:

  • セキュリティ評価: 構成エラーおよび構成ドリフトは、データ侵害の重要な要因です。セキュリティ評価を使用してデータベースの構成を評価し、それをOracleおよび業界のベスト・プラクティスと比較します。セキュリティ・アセスメントは、リスクのある領域についてレポートし、構成が変更されたときに通知します。
  • ユーザー評価: 多くの侵害は、侵害されたユーザー・アカウントから始まります。ユーザー・アセスメントは、最もリスクの高いデータベース・アカウント(侵害された場合に最も損傷を引き起こす可能性のあるアカウント)を特定し、それらを保護するためのプロアクティブなステップを実行するのに役立ちます。ユーザー評価ベースラインを使用すると、新しいアカウントが追加されたとき、またはアカウントの権限が変更されたときに簡単に把握できます。OCIイベントを使用して、データベースがベースラインから逸脱したときにプロアクティブな通知を受信します。
  • アクティビティ監査: ユーザー・アクティビティ、データ・アクセスおよびデータベース構造の変更について理解およびレポートすると、規制コンプライアンス要件がサポートされ、インシデント後の調査に役立ちます。アクティビティ監査では、データベースから監査レコードが収集され、監査ポリシーの管理に役立ちます。監査インサイトにより、非効率的な監査ポリシーを簡単に識別でき、監査データに基づくアラートによってリスクのあるアクティビティがプロアクティブに通知されます。
  • 機密データ検出: アプリケーションで管理されている機密データを把握することは、セキュリティおよびプライバシにとって重要です。データ検出では、データベースで150を超える様々なタイプの機密データがスキャンされるため、格納している機密データのタイプや容量を理解するのに役立ちます。これらのレポートを使用して、監査ポリシーの策定、データ・マスキング・テンプレートの開発、および効果的なアクセス制御ポリシーの作成を行います。
  • データ・マスキング: 組織が管理する機密データの量を最小化すると、コンプライアンス要件を満たし、データ・プライバシ規制を満たすのに役立ちます。データ・マスキングは、機密情報をマスクされたデータに置き換えることで、非本番データベースからリスクを取り除くのに役立ちます。再利用可能なマスキング・テンプレート、50を超える付属のマスキング・フォーマット、および組織独自の要件に応じたカスタム・フォーマットを簡単に作成する機能により、データ・マスキングは、アプリケーション開発とテスト操作を合理化できます。

*アクティビティ監査の監査収集を使用する場合、データベース当たり100万件の監査レコードが含まれます

はじめに

開始するには、データベースをOracle Data Safeに登録する必要があります:

  • 前提条件: ターゲット・データベースをデータ・セーフに登録するために必要なIdentity and Access Management (IAM)権限を取得します: Oracle Cloud DatabaseをOracle Data Safeに登録するための権限
  • データ・セーフへのデータベースの接続

    • データベースがプライベート仮想クラウド・ネットワーク(VCN)で実行されている場合は、データ・セーフ・プライベート・エンドポイントを介してデータ・セーフに接続できます。

      プライベート・エンドポイントは、基本的に、選択したサブネット内のプライベートIPアドレスを持つVCN内のOracle Data Safeサービスを表します。

      登録前または登録プロセス中に、データベースのVCNにプライベート・エンドポイントを作成できます。プライベート・エンドポイントの作成方法の詳細は、「Oracle Data Safeプライベート・エンドポイントの作成」を参照してください。

  • データベースをデータ・セーフに登録

Oracle Data Safeの使用方法

データベースがデータ・セーフに登録されると、すべての機能を活用できます。

セキュリティ・アセスメント

セキュリティ評価は、データ・セーフで週に1回自動的にスケジュールされ、データベース・セキュリティ状態の全体像を提供します。データベース構成、ユーザーおよびユーザー権限、およびセキュリティ・ポリシーを分析して、セキュリティ・リスクを明らかにし、組織内のOracle Databasesのセキュリティ体制を改善します。セキュリティー・アセスメントでは、リスクを軽減または緩和するためのベスト・プラクティスに従った改善活動に関する結果を提示します。

まず、データベースのセキュリティ・アセスメント・レポートを確認します: ターゲット・データベースの最新の評価を表示します

セキュリティ評価の詳細は、セキュリティ評価の概要を参照してください。

ユーザー・アセスメント

ユーザー評価は、データ・セーフで週に1回自動的にスケジュールされ、悪用または危殆化した場合に脅威となる可能性のある高度に権限を持つユーザー・アカウントを識別するのに役立ちます。ユーザー評価では、ターゲット・データベースのデータ・ディクショナリ内のユーザーに関する情報を確認し、システム権限およびロール付与に基づいて各ユーザーの潜在的なリスクを計算します。

まず、データベースのユーザー評価レポートを確認します: ターゲット・データベースの最新のユーザー評価を表示します

ユーザー評価の詳細は、ユーザー評価の概要を参照してください。

データ検出

データ検出では、データベース内の機密列が検索されます。150を超える事前定義済の機密タイプが付属しており、独自の機密タイプを作成することもできます。データ検出では、データベース全体または特定のスキーマのみをスキャンするかどうか、および検索する機密情報のタイプを指定します。これにより、基準を満たす機密列が検出され、機密データ・モデル(SDM)に格納されます。

データベース内の機密データを検出することから開始します: 機密データ・モデルの作成

データ検出の詳細は、「データ検出の概要」を参照してください。

データ・マスク

データ・マスキング(静的データ・マスキングとも呼ばれる)は、非本番データベースの機密情報または機密情報を、元のデータと同様の特性を持つ現実的で完全に機能するデータに置き換えるのに役立ちます。データ・セーフには、事前定義済の機密タイプごとに事前定義済のマスキング・フォーマットが付属しており、独自の機密タイプにも利用できます。

機密データがデータベースに格納されている場所(たとえば、データ・セーフでデータ検出を実行した後)がわかったら、まずマスキング・ポリシーマスキング・ポリシーの作成を作成できます

マスキング・ポリシーを作成して本番データベースをコピーした後、非本番コピー(ターゲット・データベースでの機密データのマスク)をマスキングできます

データ・マスキングの詳細は、「データ・マスキングの概要」を参照してください。

アクティビティ監査

Oracle Data Safeのアクティビティ監査は、アカウンタビリティを保証し、規制のコンプライアンスを向上させるのに役立ちます。アクティビティ監査では、業界および規制のコンプライアンス要件ごとに監査レコードを収集および保持し、事前定義済のレポートおよびアラートを使用してOracleデータベースでのユーザー・アクティビティをモニターできます。たとえば、機密データへのアクセス、セキュリティ関連のイベント、管理者およびユーザー・アクティビティ、Center for Internet Security (CIS)などのコンプライアンス規制で推奨されるアクティビティ、および独自の組織で定義されたアクティビティを監査できます。

データ・セーフで監査収集を使用している場合、Cloud@Customerデータベースには、ターゲット・データベース当たり最大100万の監査レコード/月が含まれます。

アクティビティ監査を使用するには、データ・セーフでターゲット・データベースの監査証跡を開始します: 監査証跡の開始

監査証跡が開始されると、事前定義済監査レポート(事前定義済監査レポートまたはカスタム監査レポートの表示)を使用して監査データを監視および分析できます。

アクティビティ監査の詳細は、「アクティビティ監査の概要」を参照してください。