ノート:

• このチュートリアルでは、Oracle Cloudへのアクセスが必要です。無料アカウントにサインアップするには、Oracle Cloud Infrastructure Free Tierの開始を参照してください。
• Oracle Cloud Infrastructureの資格証明、テナンシおよびコンパートメントに例の値を使用します。演習を完了するときは、これらの値をクラウド環境に固有の値に置き換えます。

Oracle Data Safeによるデータベース・セキュリティ体制管理の簡素化

イントロダクション

お客様は、Oracle Data Safeを使用して、オンプレミス、Oracle Cloud Infrastructure(OCI)、サードパーティ・クラウドのいずれで実行しても、データベース・セキュリティを可視化できます。Oracle Data Safeは、セキュリティおよびユーザー評価、アクティビティ監査、Oracle SQL Firewall管理、データ検出、非本番環境のデータ・マスキングなどの包括的なセキュリティ機能スイートを提供します。

Oracle Data Safeは評価機能と緊密に統合されているため、複数のデータベースで評価を同時に実行し、評価をスケジュールし、セキュリティ・ベースラインを確立し、そのベースラインと現在のデータベース・セキュリティ評価の間のドリフトを強調した比較レポートを取得できます。

対象読者

• データベース管理者およびOCIセキュリティ管理者。

目標

• Oracle Data Safeの機能を有効にし、最小限のステップでデータベース・セキュリティ・ポスチャ管理を実現します。

前提条件

• OCIにプロビジョニングされたOracle Database。詳細は、Oracle Databaseを参照してください。

• Oracle Data Safeにデータベースを登録します。このチュートリアルでは、Oracle Autonomous DatabaseのOracle Autonomous Databaseの登録およびその他のデータベースの登録については、ターゲット・データベースの登録を参照してください。

タスク1: Oracle Autonomous DatabaseとOracle Data Safeの登録

1. OCIコンソールにログインし、Oracle Databases、Autonomous Database、データ・セーフに移動し、「登録」をクリックします。

   

2. 登録済データベースは、ターゲット・データベース・セクションに表示されます。「Oracle Databases」、「データ・セーフ」および「ターゲット・データベース」をクリックします。

   

タスク2: デフォルトのグローバル設定の設定

1. OCIコンソールを開き、「Oracle Databases」、「データ・セーフ」および「設定」に移動します。

2. デフォルトでは、Oracle Data Safeでは、1か月以内に無料の100万件の監査レコード制限に達した後も監査収集を続行できます。「グローバル有料使用設定」を無効または有効にできます。

3. グローバル監査レコード保持ポリシーでは、デフォルトのオンライン保持期間は12か月です。アーカイブ保持期間は0から72か月です。「保存」をクリックします。

   

タスク3: セキュリティ・アセスメントでのベースラインの設定および更新スケジュール

セキュリティ評価ダッシュボードでは、すべてのデータベース構成チェックのフリート・ビューが提供されます。

1. OCIコンソールを開き、Oracle Databases、Data Safe、Security CenterおよびSecurity Assessmentに移動します。

   

2. 「Oracle Databases」、「データ・セーフ」、「セキュリティ・センター」、「セキュリティ評価」にナビゲートし、「ターゲットのサマリー」をクリックして、ターゲット・データベースごとの各リスク・レベルの結果の数を表示します。「レポートの表示」をクリックして、最新のレポートを表示します。

   

3. 「Oracle Databases」、「データ・セーフ」、「セキュリティ・センター」、「セキュリティ評価」、「セキュリティ評価の詳細」および「ベースラインの設定」にナビゲートして、セキュリティ・リスクを分析し、ターゲット・データベースの最新のセキュリティ評価をベースラインとして設定します。「ベースラインとして設定しますか?」で「はい」をクリックします。

   

   ベースラインが設定され、Oracle Data Safeコンソールで表示できます。「Oracle Databases」、「Data Safe」、「Security Center」、「Security Assessment」、「Security Assessment Details」および「Assessment Information」にナビゲートします。

   

4. 日次、週次または月次でアセスメントを実行するようにスケジュールを更新します。Oracle Data Safeコンソールで表示できます。非営業時間内に毎週1回は、スケジュールされたレポートを生成するのに適しています。「Oracle Databases」、「Data Safe」、「Security Center」、「Security Assessment」、「Security Assessment Details」にナビゲートし、「Update schedule」をクリックします。

   

   スケジュールはOracle Data Safeコンソールで表示できます。「Oracle Databases」、「Data Safe」、「Security Center」、「Security Assessment」および「Schedules」をクリックします。

   

タスク4: ユーザー・アセスメントでの高リスク・ユーザーの識別、ベースラインの設定および更新スケジュール

ユーザー評価ダッシュボードには、すべてのデータベース構成チェックのフリート・ビューが表示されます。

1. OCIコンソールを開き、「データ・セーフ」、「セキュリティ・センター」および「ユーザー評価」をクリックします。

   

2. 「Oracle Databases」、「データ・セーフ」、「セキュリティ・センター」、「ユーザー評価」にナビゲートし、「ターゲットのサマリー」をクリックして、ターゲット・データベースごとの各リスク・レベルの結果の数を表示します。「レポートの表示」をクリックして、最新のレポートを表示します。

   

3. 「Oracle Databases」、「データ・セーフ」、「セキュリティ・センター」、「ユーザー評価」、「セキュリティ評価の詳細」および「ベースラインの設定」にナビゲートして、高リスク・ユーザーを分析し、ターゲット・データベースの最新のユーザー評価をベースラインとして設定します。「ベースラインとして設定しますか?」で「はい」をクリックします。

   

   ベースラインが設定され、Oracle Data Safeコンソールで表示できます。「Oracle Databases」、「データ・セーフ」、「セキュリティ・センター」、「ユーザー評価」、「ユーザー評価の詳細」および「評価情報」にナビゲートします。

   

4. 日次、週次または月次でアセスメントを実行するようにスケジュールを更新します。Oracle Data Safeコンソールで表示できます。非営業時間内に毎週1回は、スケジュールされたレポートを生成するのに適しています。「Oracle Databases」、「データ・セーフ」、「セキュリティ・センター」、「ユーザー評価」、「ユーザー評価の詳細」にナビゲートし、「スケジュールの更新」をクリックします。

   スケジュールはOracle Data Safeコンソールで表示できます。「Oracle Databases」、「データ・セーフ」、「セキュリティ・センター」、「ユーザー評価」および「スケジュール」をクリックします。

   

タスク5: 構成およびユーザー変更の電子メール通知の設定

Oracle Data Safeでは、セキュリティ評価関連イベントのイベント通知を作成できます。

1. OCIコンソールを開き、「Oracle Databases」、「データ・セーフ」、「セキュリティ・センター」、「セキュリティ評価」、「通知」に移動して、「セキュリティ評価がベースラインからドリフトされました」をクリックします。

   

2. 共通イベントまたは拡張イベント通知ワークフローのクイックスタート・テンプレートを使用して、通知を作成できます。

   「クイックスタート」をクリックしてターゲット・データベースにアラート・ポリシーを追加し、「通知の作成」をクリックします。

   

3. メッセージを受信するには、電子メール受信ボックスからのサブスクリプションを確認する必要があります。

   

   「データ・セーフ」、「セキュリティ・センター」、「セキュリティ評価」および「通知」にナビゲートして、Oracle Data Safeコンソールに追加されたアラート・ポリシーを表示します。

   

4. Oracle Data Safeでは、ユーザー評価関連イベントのイベント通知を作成できます。

   OCIコンソールを開き、「Oracle Databases」、「データ・セーフ」、「セキュリティ・センター」、「ユーザー評価」、「通知」に移動して、「ユーザー評価がベースラインからドリフトされました」をクリックします。

   

5. 共通イベントまたは拡張イベント通知ワークフローのクイックスタート・テンプレートを使用して、通知を作成できます。

   「クイックスタート」をクリックしてターゲット・データベースにアラート・ポリシーを追加し、「通知の作成」をクリックします。

   

   「データ・セーフ」、「セキュリティ・センター」、「ユーザー評価」および「通知」にナビゲートして、Oracle Data Safeコンソールに追加されたアラート・ポリシーを表示します。

   

6. ベースラインからセキュリティ評価ドリフトが発生した場合のサンプル電子メールを受信します。

   

タスク6: アクティビティ監査での監査証跡の開始および監査ポリシーの有効化

1. オーディット トレイルとは、オーディット データが保存されるターゲット データベース内のオーディット テーブルです。最も一般的な監査証跡はUNIFIED_AUDIT_TRAILデータ・ディクショナリ・ビューで、このビューはすべてのOracle Database監査証跡を1か所に統一されたフォーマットで集約します。

   OCIコンソールを開き、「データ・セーフ」、「セキュリティ・センター」および「アクティビティ監査」に移動します。

   

2. 「データ・セーフ」、「アクティビティ監査」、「監査証跡」の順にナビゲートし、ターゲット・データベースをクリックします。Oracle Data Safeでは、ターゲット・データベースの監査証跡が自動的に検出され、ターゲット・データベースごとに1つの監査証跡リソースが作成されます。

   

3. 「スタート」をクリックしますOracle Data Safe監査証跡を開始すると、Oracle Data Safeでは、ターゲット・データベースの監査証跡からOracle Data Safeリポジトリへの監査レコードのコピーが開始されます。必要に応じて、監査データ収集を開始および停止できます。

   状態の変更が「アクティブ」であることがわかります。

   

4. 監査ポリシーは、ターゲット・データベースに関連する使用可能なすべての監査ポリシーと、対応する監査条件およびターゲット・データベースのプロビジョニング・ステータスを表します。「データ・セーフ」、「アクティビティ監査」、「監査ポリシー」にナビゲートし、ターゲット・データベースをクリックします。

   

5. Oracle Data Safeでは、ターゲット・データベースの監査ポリシー・リソースを1つ自動的に作成します。これは、ターゲット・データベースから監査ポリシーを取得した後に実行されます。監査ポリシー・リソースでは、ユーザーまたはロールの条件付き有効化を使用して、ターゲット・データベース内に統合監査ポリシーをプロビジョニングできます。

   「データ・セーフ」、「アクティビティ監査」、「監査ポリシー」、「監査ポリシー情報」にナビゲートし、「更新およびプロビジョニング」をクリックします。

   

   監査ポリシーの有効化:監査ポリシー・リソースでは、ユーザーまたはロールの条件付き有効化を使用して、ターゲット・データベース内に統合監査ポリシーをプロビジョニングできます。プロビジョニングに使用できる監査ポリシーには、様々なカテゴリがあります:

   • 基本監査ポリシー。

   • 管理者アクティビティ監査ポリシー。

   • ユーザー・アクティビティ監査ポリシー。

   • 監査コンプライアンス標準ポリシー。

   • カスタム・ポリシーおよびOracleの事前定義済監査ポリシー。

   

   監査ポリシーがターゲット・データベースにプロビジョニングされると、監査ポリシーに一致するターゲット・データベース内のアクティビティに対して監査レコードが生成されます。詳細は、「Oracle Data Safe監査ポリシーについて」を参照してください。

タスク7: アラート・ポリシーの有効化

1. ターゲット・データベースのアラートを有効にして、特定のユーザー・アクティビティおよび異常な動作をトラッキングして通知できます。

   OCIコンソールを開き、「Oracle Databases」、「データ・セーフ」、「セキュリティ・センター」および「アラート」に移動します。

   

   管理者としてOracle Autonomous Databaseに正常に接続しました。

2. データベース・パラメータや監査ポリシーの変更時、管理者によるログイン失敗時、ユーザーの権限の変更時、ユーザーの作成時または削除時にアラートを受け取ることを選択できます。ターゲット・データベースにアラート・ポリシーを追加するには、「データ・セーフ」、「セキュリティ・センター」、「アラート」、「ターゲット・ポリシー・アソシエーション」にナビゲートし、「ポリシーの適用」をクリックします。

   

   「データ・セーフ」、「セキュリティ・センター」、「アラート」、「ターゲット・ポリシー・アソシエーション」に移動して、Oracle Data Safeコンソールに追加されたアラート・ポリシーを表示します。

タスク8: データ検出による機密データ型の確認

データ検出は、Oracle Database内の機密データの検出に役立ちます。機密データの保護は、保有している機密データとその場所を把握することから始まります。データ検出では、選択したOracleの事前定義済およびユーザー定義の機密タイプを使用して、Oracle Databaseの機密列が検索されます。データ検出に検索対象を定義すると、基準を満たす機密列が検出されます。詳細は、データ検出の概要を参照してください。

タスク9: 非本番データベースでの機密列のデータ・マスキング

データ・マスキングは、静的データ・マスキングとも呼ばれ、現実的な架空データで機密データを完全に置換するプロセスです。これにより、元のデータと同様の特性を持つ現実的で完全に機能するデータを生成し、機密情報と置き換えることができます。詳細については、Data Masking Overviewを参照してください。

タスク10: Oracle Data SafeでのOracle SQL Firewallの使用

Oracle SQL Firewallは、指定されたユーザーに対して認可されたSQL文または接続にのみデータベース・アクセスを制限することで、一般的なデータベース攻撃に対するリアルタイム保護を提供します。

Oracle Data Safe統合コンソールは、Oracle Database 23aiデータベース用のOracle SQL Firewallを管理および監視するために拡張されました。管理者は、Oracle Data Safeを使用して、データベース・アカウントのSQLアクティビティを収集し、収集の進行状況を監視し、収集されたSQLアクティビティから許可リスト・ルール(許可されたコンテキストおよび許可されたSQL文)を使用してOracle SQL Firewallポリシーを作成し、Oracle SQL Firewallポリシーを有効にできます。詳細は、Oracle Data SafeでのOracle SQL Firewallの使用を参照してください。

ノート:

• Oracle Data Safeのハンズ・オン・ツアーは、Oracle LiveLabs: Oracle Data Safe基礎の開始を参照してください。
• 30日間のOracle Cloud Free Tierで独自のデータベースでOracle Data Safeをお試しください。サインアップするOracle Cloudの無料層の詳細は、Oracle Cloud Free Tierを参照してください。

関連リンク

• Autonomous Databaseに対するIdentity and Access Management (IAM)認証の使用

• Oracle Data Safeの開始

• YouTubeビデオ: Oracle Data Safeの概要

承認

• 著者 - Alex Kovuru

• 貢献者 - Indira Balasundaram

その他の学習リソース

docs.oracle.com/learnの他のラボをご覧いただくか、Oracle Learning YouTubeチャネルで無料のラーニング・コンテンツにアクセスしてください。また、education.oracle.com/learning-explorerにアクセスしてOracle Learning Explorerになります。

製品ドキュメントは、Oracle Help Centerを参照してください。

---

タイトルおよび著作権情報

Simplify Database Security Posture Management with Oracle Data Safe

F94884-02

May 2024

Copyright ©2024,

Oracle and/or its affiliates.