専用Exadataインフラストラクチャ上のAutonomous AI Databaseのセキュリティ機能

この記事では、専用Exadataインフラストラクチャ上のAutonomous AI Databaseの主なセキュリティ機能について説明します。

この項では、「お客様」という用語は、特定のタスクの実行を担当する組織内の管理者を意味するために広く使用されています。フリート管理者である場合もあれば、データベース管理者である場合もあります。

権限分析、ネットワーク暗号化、一元管理ユーザー、セキュアなアプリケーション・ロール、透過的機密データ保護など、Oracle AI Databaseの標準セキュリティ機能に加えて、専用Autonomous AI DatabaseはDatabase Vault、Data Safe、その他の高度なセキュリティ機能を追加コストなしで追加します。

次に示す専用Autonomous AI Databaseの主なセキュリティ機能のビルディング・ブロックを確認できます。

図adbd-security-features.svgの説明

構成管理

Oracle Cloud Infrastructure上に構築されたAutonomous AI Databaseは、標準的で強化されたセキュリティ構成を提供するため、あなたとあなたのチームは、自律型AIデータベースフリート全体の構成に膨大な時間とお金を費やす必要はありません。SYSやシステムなどのすべてのサービス・アカウントは、90日ごとにローテーションされます。詳細は、Autonomous AI Databaseでの構成管理を参照してください。

セキュリティのパッチと更新は自動的に実行されるため、セキュリティを最新の状態に保つことを気にする必要はありません。これらの機能を使用すると、非常に機密性の高いデータベースおよびデータを、コストがかかり、致命的な可能性のあるセキュリティ脆弱性や侵害から保護できます。詳細は、「専用Autonomous AIデータベースのサービス・メンテナンス」を参照してください。

データ暗号化

Autonomous AI Databaseは、すべてのデータを暗号化された形式でOracle Databaseに格納します。認証されたユーザーとアプリケーションのみが、データベース接続時にデータにアクセスできます。

Autonomous AI Databaseでは、静止中および転送中のデータを保護する常時オンの暗号化を使用します。Oracle Cloudに格納されるデータ、およびOracle Cloudとのネットワーク通信はすべて、デフォルトで暗号化されます。暗号化をオフにすることはできません。

データ暗号化およびマスター暗号化キーの詳細は、「専用Autonomous AIデータベースでのデータ暗号化」を参照してください。

監査

Oracle Autonomous AI Database on Dedicated Exadata Infrastructureには、サービスおよび特定のデータベースに対して誰が何を実行したのかを追跡できる堅牢な監査機能が備わっています。包括的なログ・データによって、リソースに対するアクションを監査およびモニターできるため、セキュリティおよび運用のリスクを軽減しながら監査要件を満たすことができます。

詳細は、「専用Autonomous AIデータベースの監査機能」を参照してください。

アクセス制御

専用Exadata Infrastructure機能を構成する際は、クラウド・ユーザーのアクセス権を、各自 の職務を遂行をするために適切な種類のクラウド・リソースのみを使用および作成できるようにする必要があります。また、認可された担当者およびアプリケーションのみが、専用インフラストラクチャ上に作成されたAutonomous AIデータベースにアクセスできるようにする必要があります。そうしない場合、専用インフラストラクチャ・リソースのランナウェイ消費、またはミッションクリティカルなデータに適切にアクセスできなくなる可能性があります。

データおよびそれが含まれるデータベースへのアクセスを保護する場合、様々な種類のアクセス制御を含めます。詳細は、専用Autonomous AIデータベース内のアクセス制御を参照してください。

証明書管理

クライアントがTCPS (セキュアTCP)データベース接続サービスを介してAutonomous AI Databaseに接続しようとすると、Oracle Autonomous AI Database on Dedicated Exadata Infrastructureでは、標準のTLS 1.2およびTLS 1.3証明書ベースの認証を使用して接続を認証します。ただし、TLS 1.3はOracle AI Database 23ai以降でのみサポートされています。クライアントがTCPSまたはTCPデータベース接続サービスを介して接続しようとするかどうかに関係なく、クライアントによるデータベースへのアクセスは、クライアントによる接続に使用するデータベース・ユーザーのアクセス権によって制限されます。

Oracle管理の自己署名証明書

デフォルトでは、Autonomous AI Databaseは自己署名証明書を使用します。自己署名証明書は、システム生成のセキュリティ証明書です。

証明書の生成

Autonomous Exadata VMクラスタ(AVMC)のプロビジョニング中にOracle管理の自己署名証明書が自動的に生成され、そのAVMCで作成されたすべてのデータベースに適用されます。

証明書の管理

自己署名証明書は自動的に生成され、AVMCに関連付けられます。ただし、データベースに接続する前に、Autonomous AI Databaseクライアント・ウォレットをダウンロードする必要があります。自己署名証明書では、ウォレットなしのデータベースへの接続はオプションではありません。データベースのウォレットをダウンロードする手順は、「クライアント資格証明のダウンロード」を参照してください。

要件に応じて、次のいずれかの証明書タイプがAVMCに関連付けられます。

• データベースSSL証明書:データベース・クライアント接続用のSSL証明書。

• ORDS SSL証明書: Application Express (APEX)アプリケーションのSSL証明書。

証明書のローテーション

組織のセキュリティ・コンプライアンスのニーズを満たすために、Oracle Cloud Infrastructure (OCI)コンソールまたはAPIを使用して、Oracle管理の自己署名証明書をローテーションできます。ステップバイステップの手順については、Autonomous Exadata VMクラスタ・リソースのセキュリティ証明書の管理を参照してください。これは証明書のローテーションと呼ばれます。

新しくプロビジョニングされたAutonomous Exadata VMクラスタ(AVMC)リソースの場合、Oracle管理の自己署名証明書は、作成から13か月の有効性を持ちます。コンソールまたはAPIを使用してSSL証明書をローテーションすると、サーバー側証明書とクライアント側証明書の両方がローテーションされ、その有効性が13か月にリセットされます。Oracle管理のサーバー側またはクライアント側の証明書が期限切れ前にローテーションされない場合、Oracleはそれらを自動的にローテーションし、新しいウォレットを生成します。

データベースSSL証明書の場合、証明書のローテーションによって既存の証明書がすぐに無効化されることはありません。

証明書のローテーションから2週間以内に、証明書のローテーションの前後にダウンロードしたAutonomous AI Databaseクライアント・ウォレットを使用してデータベースに接続できます。

証明書のローテーションから2週間後:

• 証明書のローテーション前にダウンロードされたデータベース・ウォレットが無効化され、データベースへの接続に使用できません。

• 証明書のローテーションから2週間以内にダウンロードされたデータベース・ウォレットはアクティブなままであり、データベースへの接続に使用できます。

• 証明書のローテーションから2週間後にダウンロードされた新しいデータベース・ウォレットを使用して、データベースに接続できます。

これを例で説明します。

SSL証明書(C1など)が期限切れになり、この証明書を2月1日にローテーションしたとします。2月1日から2週間、2月14日まで、古い証明書(C1)は引き続き使用できます。古い証明書(C1)を引き続き使用するか、データベース接続用にローテーションされた証明書(C2)の新しいデータベース・ウォレットをダウンロードできます。2月1日から2週間後、つまり2月14日以降、古い証明書(C1)は無効化され、データベース接続に使用できません。この2週間は、証明書ローテーション後(C2)にダウンロードしたデータベース・ウォレットを引き続き使用できます。新しいデータベース・ウォレットをダウンロードして、ローテーションから2週間後にデータベース接続に使用を開始することもできます。

データベースSSL証明書を最新のローテーションから2週間以内にローテーションすることもできます。このシナリオでは、古い証明書(最初のローテーションが原因で無効化される)がただちに無効化されます。次の証明書(最初のローテーションからの結果)はアクティブなままであり、3番目の証明書(2番目のローテーションからの結果)は2番目のローテーションから2週間アクティブ化を待機します。最初のローテーションの前にダウンロードされたデータベース・ウォレットは、2回目のローテーション後すぐに無効化されます。最初のローテーション後、2回目のローテーションから2週間後までダウンロードした任意のデータベース・ウォレットを使用して、引き続きデータベースに接続できます。2回目のローテーションから2週間後に完了した後、2回目のローテーション後にダウンロードされたクライアント・ウォレット、つまり2回目のローテーション以降から2週間以内にダウンロードされたウォレットを使用してのみ、データベースに接続できます。

前述の例では、2月1日から2週間以内に同じ証明書(C1)を再度ローテーションすると、証明書は二重ローテーションされます。この場合、古い証明書(最初のローテーションの前の証明書、つまりC1)はすぐに無効になります。最初のローテーション(C2)の結果の証明書はアクティブなままであり、2番目のローテーションの結果の3番目の証明書(C3など)は、2番目のローテーションから2週間アクティブ化を待機します。2回目のローテーションから2週間後、1回目のローテーション(C2)によって生成された証明書も無効化され、2回目のローテーションの前にダウンロードされたデータベース・ウォレットはデータベース接続に使用できなくなります。この2週間は、証明書ローテーション後(C3)にダウンロードしたデータベース・ウォレットを引き続き使用できます。また、新しいデータベース・ウォレットをダウンロードして、2回目のローテーションから2週間後にデータベース接続に使用を開始することもできます。

ORDS SSL証明書の場合、証明書のローテーションによって既存のすべてのアプリケーション接続が失われ、ORDSを再起動することをお薦めします。前述の2週間のバッファ期間は、ORDS SSL証明書をローテーションする場合には適用されません。

証明書持込み(BYOC)

Bring Your Own Certificate (BYOC)では、Autonomous AI DatabaseでCA署名サーバー側証明書を使用できます。

証明書の生成

独自の証明書を持ち込むには、証明書の作成に示すように、まずOracle Cloud Infrastructure (OCI)証明書サービスを使用して証明書を作成する必要があります。これらの証明書はPEM形式で署名されている必要があります。つまり、ファイル拡張子は.pem、.cerまたは.crtのみである必要があります。

証明書のインストール

CA署名付きサーバー側証明書を作成したら、AVMCとともにインストールして、その証明書内に作成されたすべてのデータベースでセキュアな接続にこの証明書を使用できるようにする必要があります。BYOC証明書とAVMCの関連付けは、OCIコンソールの「証明書の管理」ダイアログから簡単に行えます。このダイアログで、「Bring your own certificate」を選択し、以前に作成した証明書を選択リストから選択します。オプションで、認証局およびCAバンドルを使用してCA証明書を指定することもできます。ただし、ORDS SSL証明書のCAバンドルを選択する場合、バンドルには証明書チェーンの一部である証明書のみが含まれている必要があります。ステップバイステップの手順については、Autonomous Exadata VMクラスタ・リソースのセキュリティ証明書の管理を参照してください。

証明書の管理

Autonomous AI Databaseクライアント・ウォレットの有無にかかわらず、CA署名サーバー側に関連付けられたAutonomous AIデータベースに接続できます。

• データベース・ウォレットを使用してデータベースに接続するには、まずOCIコンソールを使用してデータベースの「詳細」ページからクライアント資格証明をダウンロードする必要があります。手順については、Download Client Credentialsを参照してください。

• クライアント・ウォレットなしでデータベースに接続するには、次のことを確認する必要があります。

  • 一方向TLS接続は、AVMCレベルで有効になります。これは、AVMCのプロビジョニング中に拡張オプションのリスナー・パラメータを使用して定義された設定です。ガイダンスは、Autonomous Exadata VMクラスタの作成を参照してください。

  • CA署名サーバー側の証明書は、既知のパブリックCAによって署名されるため、デフォルトでクライアント操作システムによって信頼されます。

証明書のローテーション

組織のセキュリティ・コンプライアンスのニーズを満たすために、Oracle Cloud Infrastructure (OCI)コンソールまたはAPIを使用して、CA署名サーバー側証明書をローテーションできます。ステップバイステップの手順については、Autonomous Exadata VMクラスタ・リソースのセキュリティ証明書の管理を参照してください。

有効期限より前にローテーションする必要があります。有効な証明書を指定するまで、このAVMC上のデータベースがTLSポートでアクセスできなくなります。ただし、1521などの非TLSポート上のデータベースには引き続きアクセスできます。

証明書イベント

次のイベントがセキュリティー証明書管理用に公開されます。

イベント	生成日時
sslcertificateexpiry.reminder	Autonomous Exadata VMクラスタは、ウォレットの有効期限が6週間未満であると判断します。このイベントは、最大週に1回報告されます。このイベントは、期限切れになるウォレットを使用する接続がある場合にトリガーされます。
sslcertificate.expired	SSL証明書の有効期限が切れます。このAutonomous Exadata VMクラスタに関連するすべてのAutonomous AI Databaseウォレットが期限切れになります。
sslcertificaterotation.reminder	SSL証明書は365日より古く、証明書をローテーションすることをお薦めします。SSL証明書が365日を超えると、ローテーションされるまで週に1回このリマインダが表示されます。
sslcertificate.rotated	SSL証明書は、(Oracle Cloud InfrastructureコンソールまたはAPIを使用して)手動でローテーションするか、その有効期限に自動的にローテーションされます。

ヒント: OCI Notifications Serviceを使用して、これらのイベントをサブスクライブし、パブリッシュされるたびに受信します。詳細は、「サブスクリプションの作成」を参照してください。

Autonomous AI Databaseイベントの包括的なリストは、専用Exadataインフラストラクチャ上のAutonomous AI Databaseのイベントを参照してください。

データ保護

データ保護は、あらゆるデータベースにおけるデータ・セキュリティの重要な側面です。特権データベース・アカウントは、データベース内の機密性の高いアプリケーション・データへのアクセスを獲得する手段として最もよく使われています。ADMINやOracleオペレータなどの特権ユーザーには、データベースの保守を容易にするために広範囲で無制限のアクセスが必要ですが、同じアクセスによって、大量のデータへのアクセスを許す攻撃ポイントも生じます。

Autonomous AI Databaseでは、次を使用してPrivileged Access Management (PAM)を実装できます:

• Oracle Database Vaultは、Autonomous AI Databaseで事前に構成され、すぐに使用できます。その強力なセキュリティ制御を使用して、特権データベース・ユーザーによるアプリケーション・データへのアクセスを制限することで、内部および外部の脅威のリスクを減らし、一般的なコンプライアンス要件に対応できます。

  特権アカウントによるアプリケーション・データへのアクセスをブロックしたり、データベース内の機密操作を制御するためのコントロールをデプロイできます。トラステッド・パスを構成して、許可されたデータ・アクセスおよびデータベース変更に対してセキュリティ制御を追加できます。権限およびロールの実行時に分析することで、最小権限を実装し、データベース・アカウントの攻撃プロファイルを減らすことにより、既存のアプリケーションのセキュリティを強化できます。Database Vaultは、既存のデータベース環境を透過的に保護することで、コストと時間がかかるアプリケーションの変更を排除します。

  Oracle AI Database Vaultは、主に次のデータベース・セキュリティ上の問題に対処します。

  • アプリケーション・データへの管理権限付きアカウント・アクセス:データベース管理者は最も権限が多く信頼されているユーザーですが、この管理者はデータベース内に存在するアプリケーション・データへのアクセス権は必要ありません。

    Oracle AI Database Vaultのレルムには、アプリケーション・スキーマ、機密性の高い表、およびストアド・プロシージャが入れてあると、特権アカウントを悪用した侵入者や内部犯者による機密アプリケーション・データへのアクセスを阻止するための統制が実施されます。詳細は、『Oracle Database 19c管理者ガイド』のOracle AI Database Vaultによる特権ユーザー・アカウントの保護方法に関する項または『Oracle Database 26ai管理者ガイド』を参照してください。

  • アプリケーション・データ・アクセスの職務の分離: Oracle AI Database Vaultの職務分離制御はカスタマイズでき、リソースが限られている組織は、複数のOracle AI Database Vaultの責務を同じ管理者に割り当てることができますが、あるアカウントは盗用された場合にデータベースへの損害を最小限に抑えられるよう、職務分離ロールごとに別個のアカウントを使用します。詳細は、『Oracle Database 19c管理者ガイド』のOracle AI Database Vaultによるデータベース統合の懸念への対処方法または『Oracle Database 26ai管理者ガイド』を参照してください。

  Database Vaultを使用する前に、『Oracle Database 19c管理者ガイド』または『Oracle Database 26ai管理者ガイド』のOracle AI Database Vaultの有効化後に予想されることを確認して、Database Vaultの構成および有効化の影響を理解してください。

  Autonomous AI DatabaseでDatabase Vaultを構成および有効化する方法の詳細は、「Oracle AI Database Vaultを使用したデータベース・ユーザー権限の管理」を参照してください。

  ヒント: Database Vaultの設定プロセスを実際に試してみる場合は、Oracle Autonomous AI Database Dedicated for Security Administrators Workshopのラボ1: Database Vaultによるデータの保護を実行します。

• また、PAMは、お客様の許可された使用のためにデータを保護し、不正アクセスからデータを保護するためにも使用されます。これには、Oracle Cloud Operationsおよびサポート・スタッフによる顧客データへのアクセスの防止が含まれます。Oracle Operations Access Controlは、Oracle Cloudの運用およびサポート・スタッフがパフォーマンスの監視および分析に使用するユーザー・アカウントが、Autonomous AI Databaseのデータにアクセスできないようにします。詳細は、Privileged Access Managementを参照してください。

機密データの検出とデータ・マスキング

機密データ(クレジット・カード番号、SSNなど)を特定し、必要に応じてそれらをマスキングまたはリダクションすることで、データ保護と全体的なデータ・セキュリティを強化します。

• Oracle Autonomous AI Database on Dedicated Exadata Infrastructureでは、データベースの評価と保護に役立つ、Oracle Data Safeサービスとの統合をサポートしています。Oracle Data Safeは、データベースの機密性の理解、データへのリスクの評価、機密データのマスク、セキュリティ制御の実装と監視、ユーザー・セキュリティの評価、ユーザー・アクティビティのモニター、およびデータ・セキュリティ・コンプライアンス要件への対応に役立ちます。

  使いやすい1つの管理コンソールに次の機能セットが用意されています:

  • セキュリティ・アセスメントは、データベース構成のセキュリティを評価するのに役立ちます。

  • ユーザー・アセスメントは、データベース・ユーザーのセキュリティを評価し、リスクの高いユーザーを特定するのに役立ちます。

  • データ検出は、データベース内の機密データを検出するのに役立ちます。データ・マスキングは、非本番の目的でデータが安全になるように機密データをマスキニングする方法です。

  • アクティビティ監査を使用すると、データベースでのユーザー・アクティビティを監視できるため、データベースの使用状況をモニターし、異常なデータベース・アクティビティについてのアラートを受けることができます。

  Data Safeの使用の詳細は、Oracle Data Safeの使用のOracle Data Safeの概要に関する項を参照してください。

  Oracle Data Safeを使用してAutonomous AI Databaseの機密データおよび規制対象データを識別および保護するには、データベースをData Safeに登録する必要があります。Data Safeにデータベースを登録した後、Autonomous AI Databaseの「詳細」ページからData Safeコンソールに直接移動できます。データベースの登録の詳細は、Data Safeでの専用Autonomous AIデータベースの登録または登録解除に関する項を参照してください。

• 実行時にアプリケーションによって発行された問合せによって、クレジット・カード番号や個人IDなどの機密情報を含む結果セットが返された場合、Oracle Data Redactionでは、結果セットをアプリケーションに返す前に機密詳細をマスクできます。**DBMS_REDACT** PL/SQLパッケージを使用して、データ・リダクションのポリシーを実装できます。『Oracle Database 19c PL/SQLパッケージおよびタイプ・リファレンス』のDBMS_REDACTに関する項または『Oracle Database 26ai PL/SQLパッケージおよびタイプ・リファレンス』を参照してください。

規制コンプライアンスの認証

Autonomous AI Database on Dedicated Exadata Infrastructureは、次のような幅広い国際および業界固有のコンプライアンス標準を満たしています。

• FedRAMP High - 米国連邦リスク承認管理プログラム(U.S.)政府リージョンのみ)

• HIPAA - 医療保険の相互運用性と説明責任に関する法律

• ISO/IEC 27001:2013 - 国際標準化機構27001

• ISO/IEC 27017:2015 - クラウド・サービスのためのISO/IEC 27002に基づく情報セキュリティ管理の実務規程

• ISO/IEC 27018:2014 - PIIプロセッサとして機能するパブリック・クラウド内の個人識別可能情報(PII)の保護のための実務規程

• PCI DSS - Payment Card Industry Data Security Standardは、クレジット・カード情報を処理、保存または送信するすべての企業がセキュアな環境を維持することを意図した一連の要件です

• SOC 1 - システムおよび組織管理1

• SOC 2 - システムおよび組織管理2

詳細および完全な認証リストについては、Oracle Cloudのコンプライアンスを参照してください。証明ドキュメントのコピーをダウンロードするには、コンプライアンス・ドキュメントを参照してください。

関連コンテンツ

• Data Safeへの登録または登録解除

• アクセス制御リストの設定

• 暗号化キーをローテーション