ホワイト・ペーパー:Oracle Database 12cのセキュリティとコンプライアンス

Oracleホワイト・ペーパー
2014年4月
Oracle Database 12cの
セキュリティとコンプライアンス
Oracle Database 12c のセキュリティとコンプライアンス
はじめに ......................................................................................................................................................2
Oracle Database 12cのセキュリティ .....................................................................................................3
データベースをバイパスする脅威から保護する ................................................................................. 3
アプリケーションでの機密データの公開を制限する ......................................................................... 4
一般的な脅威を防止し、検出する ..........................................................................................................5
データの種別 ........................................................................................................................................... 10
本番環境以外でデータを保護する ....................................................................................................... 11
機密データをロケーティングしカタログ化する .............................................................................. 12
機密データベースの構成を監視する ................................................................................................... 12
データベース・アクティビティを監査する....................................................................................... 13
よりセキュアなアプリケーションを構築する .................................................................................. 14
Oracle Database 12cはデフォルトでセキュアである ..................................................................... 14
Oracle Databaseのセキュリティとアプリケーション ..................................................................... 15
まとめ ....................................................................................................................................................... 16
Oracle Database 12c のセキュリティとコンプライアンス
はじめに
価値のあるデータを盗もうとするハッカーやインサイダーの脅威、組織犯罪などのグループの数が
危機的なほど増加するのに伴い、プライバシや規制を求められる環境が拡大することで、データ保
護の必要性がますます高まっています。セキュリティの実態は複雑です。インターネットへのアク
セスが急速に広がり、これまでにないほどテクノロジーに対する理解が深まり、経済競争が激しく
なり、統合クラウド・コンピューティングによる大幅な効率化の達成が求められることで、その複
雑さは増しています。攻撃の対象となる情報には、住民データ、知的財産、クレジット・カードの
データ、財務情報、行政データ、競争入札情報などがあります。攻撃の方法には、特権ユーザー・
アカウントのハッキング、アプリケーションの脆弱性の悪用、メディアの窃盗、総称してAPT
(Advanced Persistent Threat)として知られるその他の高度な攻撃などがあります。データに対す
る脅威の増大に対応して、米国の州の数々のプライバシ法、クレジット・カード業界のデータ・セ
キュリティ標準(PCI-DSS)、英国のデータ保護法、韓国の個人情報保護に関する法律などの各種規
制が整備されてきました。
データベース・セキュリティの重要性をよく理解するためには、潜在的な脆弱性の要因について考
える必要があります。
•
オペレーティング・システムを対象とする脅威は、生データ・ファイルにアクセスすることでデー
タベースを巧みに回避し、アプリケーションのセキュリティ、データベース内部のアクセス制御、
ネットワーク・セキュリティ、暗号化されたドライブをバイパスします。
•
本番環境の制御が行き届かないほどまでに本番データが増加すると、コンプライアンスの範囲が
拡大し、データに対するリスクが増大します。
•
開発プロセスでの見落としや、古いアプリケーションの変更の複雑さのために、プライバシに関
連する情報が、本当は知る必要のない個人に公開されてしまう可能性があります。
•
特権ユーザー・アカウントや過剰な権限を付与されたアプリケーションは、高度に専門的な攻撃
の対象やインサイダーの脅威の情報源になる可能性があります。
•
権限アカウントでアプリケーション・データに非定型アクセスすることは、内部ポリシー、規制に
よる義務、品質保証契約に違反するだけでなく、データを外部からの攻撃にさらすことになります。
•
SQLインジェクションによってアプリケーションがバイパスされると、攻撃者や未承認ユーザー
に大量の機密データが公開されてしまう可能性があります。
•
内部のデプロイメント標準やセキュリティ上のベスト・プラクティスから外れる構成のずれや変
更は、監査の不適合を招き、ビジネスの継続性に影響を与え、セキュリティ・リスクを増大させ
る可能性があります。
2
Oracle Database 12c のセキュリティとコンプライアンス
Oracle Database 12cのセキュリティ
セキュリティとコンプライアンスには、予防的、発見的、および管理的制御を含む、多層型の縦深
防御セキュリティ・モデルが必要です。各種制御は、データの機密度、保管場所、環境、適用され
る規制に沿ったものでなければなりません。さらに、データの消失や盗難、不正使用が発生した際
のビジネスへの影響を考慮する必要があります。Oracle Database 12cのセキュリティをOracle Audit
Vault and Database Firewallと組み合わせると、データを保護しサイバー攻撃に備えるための、先例
のない機能が提供されます。Oracle Database 12cのセキュリティのデプロイと管理は簡単です。セッ
トアップと構成が簡素化されただけでなく、Oracle Enterprise Manager 12cの新しいセキュリティ・
メニューを使用できます。Oracle Database 12cでは、さまざまなセキュリティ強化が行われ、条件
付き監査、権限分析、データ改訂、強力な暗号化鍵管理、リアル・アプリケーション・セキュリティ、
必須レルム、パフォーマンスの最適化などの新機能が導入されました。Oracle Multitenantが完全に
統合され、個々のプラガブル・データベースに合わせてセキュリティ制御をカスタマイズできます。
データベースをバイパスする脅威から保護する
データベースをバイパスする脅威には、バックアップ・メディア、破棄されたメディア、本番デー
タが常駐する物理ストレージを対象とする攻撃があります。データベースをバイパスする脅威から
保護するために使用されるテクノロジーのうち、もっとも広く使われているテクノロジーは暗号化
です。暗号化テクノロジーに関する認識を広める上で重要な役割を果たしたのは、2003年に制定さ
れたカリフォルニア州法(SB1386)の一節です。SB1386は、幅広い対象者に暗号化の問題を知らせ
るものとなりました。この州法以降、他の多くの州も独自のプライバシ関連法を可決しました。今
日では、企業が自社の業務とビジネスを拡大する際に、プライバシ関連情報保護の必要性はグロー
バルな問題となります。プライバシ法に加えて、クレジット・カード業界のデータ・セキュリティ
標準(PCI-DSS)が2006年にはじめて導入され、セキュリティに関する認識と、カード保有者データ
を保存および送信する場合は、読み取れない形式に変換する必要があるという認識が広く行き渡り
ました。もっともよく理解されているセキュリティ制御はおそらく、バックアップ・メディアの暗
号化とメディアの適切な破棄の2つですが、ますます高度になる攻撃は、今やサーバーそのものを攻
撃し、機密情報が保存されている生データ・ファイルにアクセスすることに集中しています。
Oracle Database 12cのOracle Advanced Securityには、アプリケーションの機密データの保護に不可
欠な、透過的データ暗号化(TDE)による業界をリードする暗号化とデータ改訂機能が用意されてい
ます。TDEによって、アプリケーション・レイヤー、オペレーティング・システム、バックアップ・
メディア、およびデータベース・エクスポートにおける機密情報への不正アクセスを防ぎます。ク
レジット・カード情報や社会保障番号などの機密データを、ストレージで自動的に暗号化できます。
TDEではデータを確実に暗号化することにより、データベース環境外からの不正アクセスから機密
データを保護します。これにより、オペレーティング・システムの特権ユーザーや未承認ユーザー
が、データベース・ファイルの機密情報に直接アクセスすることを防げます。また、データベース・
ストレージのメディアやバックアップの盗難、紛失、および不適切な廃棄も防ぐことができます。
3
Oracle Database 12c のセキュリティとコンプライアンス
図1:Oracle Advanced Securityの透過的データ暗号化
このソリューションはアプリケーションに対して透過的です。データがストレージへの書込み時に
自動的に暗号化され、ストレージからの読取り時に復号化されるためです。データベースとアプリ
ケーション・レイヤーで実施されるアクセス制御は引き続き有効です。SQL問合せを変更することは
なく、アプリケーションのコードや構成の変更は不要です。TDEではOracle Databaseのキャッシン
グ最適化が使用されるため、暗号化と復号化のプロセスが非常に高速です。また、TDEでは、インテ
ル ® AES-NI お よ び Oracle SPARC T シ リ ー ズ の プ ラ ッ ト フ ォ ー ム ( Oracle Exadata や SPARC
SuperClusterなど)のCPUベースのハードウェア・アクセラレーションを利用します。さらに、Exadata
Smart Scanによって複数のストレージ・セルでデータを同時に高速で復号化したり、Exadata Hybrid
Columnar Compressionによって暗号化操作の実行総数を減らしたりすることができます。
TDEには、データ暗号化鍵とマスター暗号化鍵で構成される2層の暗号化鍵管理アーキテクチャがあ
ります。マスター鍵は、Oracle Walletではデータベースの外部に格納されます。組込みの鍵管理機能
には補助鍵ローテーションがあり、ライフ・サイクル中、鍵のデータおよび管理はすべて再暗号化
されることはありません。TDEは簡単にデプロイでき、データベース インストールの一部としてデ
フォルトでインストールされます。メンテナンス期間中、Oracle Online Table Redefinitionまたは暗
号化オフラインによって、本番システムで既存のデータを停止時間なしで暗号化できます。また、
TDEは標準でOracle Automatic Storage Management(Oracle ASM)と一緒に機能します。
アプリケーションでの機密データの公開を制限する
Oracle Advanced Securityのデータ改訂では、問合せ結果内の機密データがアプリケーションで表示
される前に、選択的にその場で改訂できます。改訂は、データをスクラブするプロセスです。特定
のフィールドが黒色のマーカーで消された紙のドキュメントがあるとします。Oracle Advanced
Securityのデータ改訂は、これに類似する機能ですが、データベースに格納されたアプリケーショ
ン・データに影響を与えます。この機能はデータベース内で実施されるため、同じデータにアクセ
スする異なるアプリケーション・モジュールのすべてで、データベース列を一貫して改訂できます。
データ改訂は、内部データベース・バッファ、キャッシュ、またはストレージにある実際のデータ
は変更せず、さらに変換されたデータをアプリケーションに戻すときに元のデータ型およびデータ
書式設定を維持するので、アプリケーションに対する変更は最小限に抑えられます。バックアップ、
リストア、アップグレード、パッチ適用、高可用性クラスタなどのデータベース操作アクティビティ
に影響を与えることはありません。
4
Oracle Database 12c のセキュリティとコンプライアンス
図2:Oracle Advanced SecurityのData Redaction
アプリケーションの変更や新しいソフトウェア・コンポーネントに依存していた従来の方法とは異
なり、Oracle Advanced Securityのデータ改訂ポリシーはデータベース・カーネルで直接実施されま
す。アプリケーションに依存しないこの方法では、ビジネス要件対応にかかる時間とコストが大幅
に削減されます。規制を取り巻く状況が変わり続けると仮定すると、このことは特に重要です。
宣言的ポリシーは、部分/ランダム/全改訂など、さまざまなデータ変換に適用できます。改訂はデー
タベースによって追跡されたり、アプリケーションからデータベースに渡されたりする各種要素
(ユーザーID、アプリケーションID、クライアントIPアドレスなど)に基づく条件によって変わる場
合があります。改訂形式ライブラリには、一般的な機密情報の種類(クレジット・カード番号、国
民識別番号など)から選択された構成済みの列テンプレートが用意されています。ポリシーを有効
にすると、アクティブなセッションでもすぐに実施されます。Oracle Advanced Securityのデータ改
訂は、Oracle Database 11g Release 2(11.2.0.4)でも利用できます。Oracle Advanced Securityは、
Oracle Multitenantオプションを完全にサポートしています。TDEとデータ改訂は、プラガブル・デー
タベースが新しいマルチテナント・コンテナ・データベースに移動する際も引き続き機能し、転送
中のプラガブル・データベースを保護します。
一般的な脅威を防止し、検出する
多くのデータ侵害の一般的な特徴は、特権ユーザーの資格情報と、特権ユーザーによる広範囲にお
よぶデータベース・アクセスが利用されてきたことです。このようなデータ侵害には、インサイダー
によって実行されたものとハッカーによって実行されたものがあります。データベース内の特権
ユーザー・アカウントと、特権ユーザー・アカウントが24時間365日制限なく行うアプリケーション・
データへのアクセスは、インサイダーによる悪用やハッカーのおもなターゲットとなります。もう1
つの一般的な攻撃手段はSQLインジェクションで、大量の情報への不正アクセスに利用されてきまし
た。このようなタイプの攻撃からの保護には、多重防御のアプローチが必要です。セキュリティ制
御に必要な多重化の程度は、アプリケーションとデータの機密度によって異なります。たとえば、
本番システムでは特権ユーザー制御が不可欠ですが、多くの場合、テスト・システムや開発システ
ムでは機密データがマスクされたり、"本番のような"データで代用されたりするため、特権ユーザー
の制御はそれほど必要ではありません。また、機密度が高いシステムには複数の予防措置を適用し、
機密度が低いシステムにはサブセットを適用することもあります。
5
Oracle Database 12c のセキュリティとコンプライアンス
Oracle Database Vaultでは、データ侵害を防止でき、特権ユーザー制御、構成制御、および職務分離
制御を使用してデータベース全体のセキュリティを強化できます。これらの強力な制御機能を構成
して極めてセキュアなデータベース環境を構築し、組織の内外両方からの攻撃に備え、監査不適合
を招いたり、ハッカーにチャンスを与えたりする可能性のある不正な変更を防ぐことができます。
図3:Oracle Database Vaultのレルムによる特権アカウントでのアクセスの防止
図3に、DBAがアプリケーション・スキーマにアクセスできないようにするDatabase Vaultのレルム
を示します。Oracleデータベース・カーネル内部で実施されるため、レルムが保護するデータへのア
クセス試行がブロックされ、監査されます。このDatabase Vaultの監査レコードを監視することで、
潜在的に悪意のあるアクティビティを早期に検出できます。
Oracle Database VaultのSQLコマンド制御を使用すると、データベース内の操作を制御でき、セキュ
リティ対策にもコンプライアンスにも影響を与える可能性のある本番環境の不正な変更を防止でき
ます。不正な変更は、データベースのセキュリティを著しく弱めることがあり、監査不適合、コン
プライアンス違反、およびデータ侵害を招きます。コマンド制御機能では、IPアドレス、認証方式、
およびプログラム名などの要素を自在に参照して、選択項目表の作成、データベース・リンクの作
成、およびユーザーの作成などのコマンドの使用方法を制御できます。これらの制御機能により、
誤った構成変更を防止するとともに、ハッカーや悪意のあるインサイダーによるアプリケーション
の改ざんも防止できます。
Oracle Database 12cのOracle Database Vaultでは、新しい制御機能が導入され、アプリケーション・
オブジェクトへのアクセス(オブジェクト所有者などの直接付与されるオブジェクト・アクセス権
限を含む)を制限できます。この強力なセキュリティ機能は必須レルムと呼ばれ、アプリケーショ
ンの所有者でさえデータ・アクセスを許可される前のゲート・チェックとして使用できます。必須
レルムは、保守操作のためにアプリケーション・スキーマへの直接アクセスが必要な場合の機密情
報保護にも使用できます。
6
Oracle Database 12c のセキュリティとコンプライアンス
統合環境やクラウド環境はコストの削減につながるものの、大量の機密アプリケーション・データ
への不正アクセスに関するリスクが増大します。ある国に存在するデータがまったく別の国で提供
される場合がありますが、それらのデータへのアクセスは、データが帰属する国の規制に基づいて
制限される必要があります。Oracle Database Vaultの制御機能は、データベース管理者のアプリケー
ション・データへのアクセスを防止することにより、こうした環境のセキュリティを強化します。
Oracle Database Vaultは、セキュリティ管理、アカウント管理、および日常的なデータベース管理ア
クティビティの3つの職務を明確に分離する制御機能を標準で提供します。Oracle Database Vaultが
提供する職務分離の制御機能はカスタマイズが可能で、リソースが限られている企業では、アプリ
ケーション・データ・アクセスへのセキュリティ制限を維持しながら、Oracle Database Vaultによっ
て分離される複数の職務を同じ管理者に割り当てることもできます。
Oracle Database 12cのOracle Database Vaultでは、権限分析が導入されました。Oracle Database
Vaultの権限分析では、実行時に実際に使用された権限を識別することで、アプリケーションのセキュ
リティを強化できます。未使用と識別された権限は取り消しの可能性を評価でき、これにより攻撃
の対象となる範囲を狭め、最小権限モデルを実現できます。
図4:Oracle Database Vaultの権限分析
権限分析は、アプリケーション開発プロセスに統合でき、よりセキュアなアプリケーション作成を
サポートします。また、通常のデータベース管理業務のエンタイトルメント要件を分析する場合に
も使用できます。
Oracle Database 12cではOracle Database Vaultがデフォルトで事前インストールされるようになっ
たため、簡単に有効化できます。Oracle Database Vaultの管理はOracle Enterprise Manager Cloud
Controlと完全に統合されるため、セキュリティ管理者は、一元化された効率的な管理ができます。
7
Oracle Database 12c のセキュリティとコンプライアンス
発見的統制と予防的統制
境界ファイアウォールは、外部からの不正アクセスに対してデータセンターを保護するために重要
な役割を果たしていますが、データベースへの攻撃は次第に手の込んだものになり、境界セキュリ
ティをバイパスする、信頼されている中間層を利用する、さらには内部の特権ユーザーを装うなど
の手法が使用されるようになってきました。このため、データベース・アクティビティの監視や、
データベース内やその周辺のセキュリティ統制が非常に重要になりました。効果的な監視と監査に
より、ポリシーに違反しようとする行為に対してアラートが発せられ、ブロックが行われます。同
時に、コンプライアンスのために包括的なレポートが作成されます。
Oracle Audit Vault and Database FirewallはOracleデータベースと非Oracleデータベースを最前線で
防御し、データベースやオペレーティング・システム、ディレクトリから得られた監査データを統
合します。これはSQLの文法に基づいた精度の高い分析エンジンで、不正なSQLトラフィックを監視
し、データベースに到達する前にブロックします。ネットワークから得られたデータベースのアク
ティビティに関するデータは、詳しい監査データと結合され、コンプライアンス・レポートの作成
やアラート生成が容易になります。Oracle Audit Vault and Database Firewallを使用すると、エンター
プライズ・セキュリティ要件に合わせて監査や監視の制御を簡単にカスタマイズできます。
図5:Oracle Audit Vault and Database Firewall
Oracle Audit Vault and Database Firewallは、データベース・アクティビティの監視イベントと監査
ログを統合します。ポリシーは、アプリケーションに予想どおりの動作をさせ、SQLインジェクショ
ンやアプリケーション・バイパスなどの悪意のあるアクティビティがデータベースに到達すること
を阻止しながら、データベース内で特権ユーザーやその他のアクティビティを監視し、監査します。
また、Oracle Audit Vault and Database Firewallは、Microsoft Active DirectoryやMicrosoft Windows、
Oracle Solaris、Oracle Linux、およびOracle ASM Cluster File Systemから得た監査データを統合する
こともできます。プラグイン・アーキテクチャは、アプリケーション表などのソースから得たカス
タム監査データを統合します。
8
Oracle Database 12c のセキュリティとコンプライアンス
Oracle Database Firewallは、洗練された次世代SQL文法解析エンジンを提供します。このエンジンは
データベースに入ってくるSQL文を検査し、このSQLへの対応(許可、ログ、アラート、置換、また
はブロック)を高い精度で決定します。Oracle Database Firewallはホワイト・リスト、ブラック・リ
スト、例外リストに基づくポリシーをサポートしています。ホワイト・リストは、データベース・
ファイアウォールを通過すると想定されている、承認済みのSQL文を単純にまとめただけのものです。
このリストは、時間をかけて学習させることも、テスト環境で開発することもできます。ブラック・
リストには、そのデータベースには許可されない具体的なユーザーやIPアドレス、特定のタイプの
SQL文がまとめられています。例外リストに基づくポリシーは、ホワイト・リストやブラック・リス
トのポリシーより優先されるため、これを使用するとさらに柔軟なデプロイメントが可能になりま
す。ポリシーは、SQLのカテゴリ、時間帯、アプリケーション、ユーザー、IPアドレスなどの属性に
基づいて適用できます。この柔軟性と高精度のSQL文法解析のおかげで、組織は誤認アラートを最小
限に抑えて、重要なデータだけを集められるようになります。また、Database Firewallイベントは
Audit Vault Serverのログに記録されるので、監査データとともに、ネットワークで観察された情報
までレポートに記載されるようになります。
企業の監査データ統合とライフ・サイクル管理
ネイティブの監査データからは、データベース・アクティビティの全体像だけでなく、SQL文が直接
実行されたか、動的SQLを通じて行われたか、ストアド・プロシージャ経由で実行されたかに関係な
く、すべての実行コンテキストが提供されます。データベース、オペレーティング・システム、ディ
レクトリから得られた監査データの統合に加え、Audit Collectionプラグインを使用して、アプリケー
ション表やXMLファイルから監査データを収集し、Audit Vault Serverに送信することもできます。
データベースから取得された監査データは、Audit Vault Serverへの移動後、自動的に消去されます。
Audit Vault Serverは、内部または外部コンプライアンス要件に適合できるようにするために、ソー
スごとに日、週、または年単位でのデータ保存方針をサポートしています。
標準で搭載されている多数のレポートを利用して、SOX、PCI DSS、およびHIPAAなどの規制に適合
したレポートを簡単にカスタマイズできます。このレポートは、ネットワーク・イベントと、監視
対象のシステムから得られた監査データの両方をまとめたものです。レポートデータはフィルタを
簡単に適用できるため、特定のシステムまたはイベントを迅速に分析することが可能です。セキュ
リティ管理者は、アクティビティに対してしきい値に基づいたアラート条件を設定して、システム
への不正アクセスまたはシステム権限の悪用などのアクティビティを検知できます。複数の組織で
構成される企業の全体に単一リポジトリのデプロイが可能であるため、セキュリティ管理者は、詳
細な権限管理機能を使用して、特定ソースからの情報に監査人や他のユーザーがアクセスするのを
制限できます。
セキュリティ制御は、一部のデータベースではインライン監視とブロックを使用して、一部のデー
タベースでは監視のみを使用してカスタマイズできます。Database Firewallは、利用可能なネット
ワーク構成に合わせて、インライン、アウトオブバウンド、またはプロキシのいずれかのモードで
動作するように導入できます。また、リモート・サーバーを監視するために、データベース・サー
バーのAudit Vault Agentは、ネットワーク・トラフィックをDatabase Firewallに転送できます。さら
に、ソフト・アプライアンスとして配信されたAudit Vault Serverは、無数のデータベースから得た
監査ログとファイアウォール・イベントを統合することができます。フォルト・トレランスのため、
Audit Vault ServerとDatabase Firewallは両方とも、HAモードで構成可能です。
9
Oracle Database 12c のセキュリティとコンプライアンス
データの種別
種別に基づくデータ・アクセス制御は、政府および国防当局の環境で要求される一般的な要件です。
ビジネス・オブジェクトへのアクセスは、一般にマルチレベル・セキュリティとして知られていま
すが、オブジェクトに割り当てられるデータの種別ラベルとユーザーに割り当てられるラベル認可
に基づいて制御されます。データの種別を利用すると、さまざまな機密度の情報を同じアプリケー
ション表に置くことができます。種別ラベルは、マルチレベル・セキュリティ以外にも、同じ表の
情報のストリップや仮想パーティションにも使用でき、カスタム・ビルド・ビューを不要にできま
す。Oracle Label Securityの認可は、Oracle Advanced Security RedactionやOracle Database Vaultの
コマンド・ルールなどのソリューションで要素として使用することもできます。たとえば、ユーザー
のラベル認可に基づいて、データを改訂するかどうか判断できます。
図6:Oracle Label Security
Oracle Label Securityのデータ・ラベルは、3つの構成要素で構成されます。1つ目の構成要素は、必
須の階層レベルです。レベルには、パブリック、機密保護、および高機密度などがあります。2つ目
の構成要素はオプションで、コンパートメントと呼ばれます。複数のコンパートメントを1つのデー
タ・ラベルに割り当てることができ、追加の特別なアクセス要件を適用するのに使用できます。た
とえば、あるコンパートメントを特別なプロジェクトに対応させることができます。ラベルの3つ目
のコンポーネントはオプションであり、グループと呼ばれます。複数のグループを1つのラベルに割
り当てることができ、通常は所有権階層や地域、権限に対応させます。
図7:Oracle Label Security
10
Oracle Database 12c のセキュリティとコンプライアンス
Oracle Label Securityの認可は、データベースとアプリケーション・ユーザーに割り当てられます。
基本的なユーザー・ラベル認可は、最小および最大レベル、デフォルト・コンパートメント、およ
びグループで構成されます。Oracle Label Securityでは、認可後に、ビジネス・オブジェクトのデー
タ・ラベルとユーザーのラベル認可が比較され、アクセスが決定されます。Oracle Label Securityの
認可には、データベース・オブジェクトそのものに対する任意の必要な権限の他に、選択、挿入、
更新、および削除が含まれます。Oracle Advanced Security Redactionの条件やOracle Database Vault
のコマンド・ルールを使用する場合に、Oracle Label Securityのols_dominatesファンクションを使用
して、シンプルなポリシー式を作成できます。
本番環境以外でデータを保護する
開発環境やテスト環境で実際のデータセットが必要な場合は、本番アプリケーションの限界を超え
るほどデータが増加してしまうことがあります。この本番データの移動によって、データに対する
リスクが激増し、セキュリティとコンプライアンスにかかるコスト全体が増大します。データを本
番環境から移動する前にマスクすると、本番以外の環境でのデータ侵害のリスクが減少します。そ
のためには、元の機密データを架空のデータへと不可逆的に置き換えて、IT開発者やビジネス・パー
トナーと安全にデータを共有できるようにします。
Oracle Data Maskingは、本番から移動するプロビジョニング・テスト用データベースを規制に準拠
させながらエンド・ツー・エンドで自動化します。クレジット・カード番号や社会保障番号などの
機密情報を置き換えて、セキュリティ境界を拡張することなく開発やテストに使用できます。これ
により、コンプライアンスとセキュリティを監視する必要のあるデータベース・システムの数が少
なくなります。
マスキング時の重要な考慮事項に、マスキング・プロセスの完了後に複数のアプリケーション表の
間で参照関係を維持する能力があります。複数のアプリケーション表に格納され、任意の列でリン
クされているアプリケーション・レコードは、関連する表のすべてで置き換えられた値の一貫性を
維持する必要があります。Oracle Data Maskingでは、これらの関係が把握され、参照関係を維持し
たまま、すべての関連するデータ要素が自動でマスクされます。機密データ列と関連付けられた主
キーと外部キーの関係の組み合わせが、Oracle Enterprise Managerリポジトリのアプリケーション・
データ・モデルに格納されます。
Oracle Data Maskingは、クレジット・カード番号、電話番号、および国民識別番号(米国の社会保
障番号、英国の国民保険番号)などの一般的な機密データに対応した、標準的なマスク・フォーマッ
トの一元化ライブラリを提供します。Data Maskingのフォーマット・ライブラリを利用することで、
企業は、企業内にあるすべてのデータベースの機密データに対して単一のソースからデータ・プラ
イバシ・ルールを適用できるため、確実に規制を遵守できます。また、独自のマスク・フォーマッ
トでこのライブラリを拡張して、企業固有のデータ・プライバシ要件およびアプリケーション要件
に対応することもできます。
マスキングの定義とアプリケーション属性の対応付けが完了すると、フォーマットとデータの対応
付けをアプリケーション・データ・モデルに保存し、テスト、開発、またはパートナーでデータの
リフレッシュが必要になったときに再実行できるようになります。Oracle Data Masking Packでは、
Oracle Database Gatewayを使用したIBM DB2やMicrosoft SQLServerなどの異種データベースでの
データ・マスキングがサポートされています。
11
Oracle Database 12c のセキュリティとコンプライアンス
機密データをロケーティングしカタログ化する
機密データの格納場所を理解することは、多重防御セキュリティ・モデルをデプロイするときの重
要な最初の手順です。実行中のアプリケーションの種類に基づいて機密データを識別することは、
データベースの分類に使用される一般的な方法です。場合によっては、特定のプログラム内のデー
タをより詳細に制御する必要が生じることがあります。アプリケーションは複雑でサイズが大きい
ため、個々のデータの格納場所を理解することは、困難な作業です。Oracle Enterprise Managerの
Data Discovery、Modeling、およびSensitive Data Discovery(SDD)を使用すると、アプリケーショ
ン内での機密データのロケーティングとデータへのセキュリティ制御の適用が容易になります。
SDDをOracle Data Maskingなどのデータベース・セキュリティ・ソリューションと組み合わせて使
用すると、機密データを識別して保護できます。
Oracleは、Oracle FusionアプリケーションとOracle E- Business Suiteのためにアプリケーション・ア
クセラレータを作成しました。このアプリケーション・アクセラレータは、各アプリケーションの
機密データを一覧表示します。Oracle Data Maskingでは、本番データベースからテスト環境や開発
環境に移動するデータのマスクを簡素化するために、このアプリケーション・アクセラレータを使
用します。Oracle Database 12cの新機能Transparent Sensitive Data Protection(TSDP)では、機密
情報をOracle Enterprise Managerのデータ検出とモデルリングからOracleデータベースにロードし、
Oracle Advanced Security Data Redactionなどのセキュリティ制御を適用できます。
機密データベースの構成を監視する
構成のずれを防止し、検出すると、ビジネスの継続性、高可用性、およびセキュリティが高まりま
す。Oracle Enterprise Manage Database Lifecycle Management Packを使用すると、アカウントのデ
フォルト・パスワード、アカウント・ステータス、およびアカウント・プロファイルのチェックな
ど、さまざまなセキュリティ関連の設定について、データベースをスキャンできます。既存のデー
タベースに対して、100を超える標準のポリシー チェックを簡単に実行できます。さらに、カスタ
ム構成チェックを定義して、Oracleが提供する構成チェックを補完できます。
12
Oracle Database 12c のセキュリティとコンプライアンス
図8:Oracle Enterprise Managerのセキュリティ構成レポート
データベース・アクティビティを監査する
Oracle Database 12cでは、構成と管理を簡素化するためのポリシー・ベースの条件付き監査が導入
されました。監査ポリシーは監査設定をカプセル化するもので、監査条件はデータベース・セッショ
ンに関連付けられた条件に基づいて監査時間を短縮できます。たとえば、特定のIPアドレスとユー
ザー名以外のすべてのアクションを監査する監査ポリシーを定義できます。ポリシーに該当しない
接続は完全に監査し、該当する接続に関する監査データは生成しないことで、高度に選択的で効率
的な監査を実現できます。
図9:Oracle Database 12cの統合型条件付き監査
監査ポリシーと条件の他にも新しいロールが導入され、監査データと監査ポリシーを管理できるよ
うになりました。組込みの監査データ管理パッケージだけで監査データを管理するように制限する
ことで、監査データの整合性が厳しく保護されます。3つのデフォルト監査ポリシーが標準で構成さ
れ、付属しています。以前のリリースで使用できた従来の監査コマンドも、Oracle Database 12cで
引き続きサポートされます。
13
Oracle Database 12c のセキュリティとコンプライアンス
よりセキュアなアプリケーションを構築する
今日、ほとんどのアプリケーションは3層アーキテクチャを使用しており、1人の大きなアプリケー
ション・ユーザーとしてデータベースに接続します。一般的にこのモデルでは、アプリケーション
接続が、データベース内に広範囲かつ強力な権限を持つことになります。この権限が使用される方
法や条件を理解することは、複雑な作業です。さらに、アプリケーション・ユーザー、ロール、お
よび権限はカスタム・アプリケーション表で管理されるのが一般的で、基盤となるデータベースで
は把握できません。広く使用されているこのモデルは、すべてのセキュリティ実施をアプリケーショ
ンに依存しています。データベースへの直接アクセスでは、通常、すべてのアプリケーション・デー
タに無制限にアクセスできます。
コードベース・アクセス制御
Oracle Database 12cのコードベース・アクセス制御では、ストアド・プロシージャ、ストアド・ファ
ンクション、およびストアド・パッケージにデータベース・ロールを付与できます。この新しいセ
キュリティ機能により、ストアド・プログラム・ユニット内で制限付きの権限エレベーションが可
能になります。定義者権限や実行者権限のプロシージャに依存するアプリケーションで、この新し
い機能を使用して、ストアド・プログラム・ユニットにロールを付与できます。ストアド・プログ
ラム・ユニットが実行されると、ストアド・プログラム・ユニットの実行時コンテキストで、付与
されているロールに関連付けられた権限が使用できるようになります。
Real Application Security
Oracle Database 12cでは、アプリケーションのセキュリティ要件をサポートする次世代認可フレー
ムワークが導入されました。Oracleの従来の仮想プライベート・データベース(VPD)とは異なり、
Oracle Database 12cのReal Application Security(RAS)は宣言モデルを提供します。このモデルでは
開発者がOracle Database内のアプリケーション・ユーザー、ロール、および権限に基づいてデータ・
セキュリティ・ポリシーを定義できます。この新しいRASベースのパラダイムは、従来のOracle VPD
テクノロジーと比較して、安全性、スケーラビリティ、およびコスト効率が優れています。
Real Application Securityは、開発者がデータ・セキュリティ・ポリシー、アプリケーション・ロー
ル、アプリケーション・ユーザーを定義できるようにするための宣言型インタフェースを提供しま
す。このため、アプリケーション開発者は、PL/SQLストアド・プロシージャの作成や管理を行う必
要はありません。データ・セキュリティ・ポリシーは、Oracle Database 12c RAS APIを使用してデー
タベース・カーネル内部に定義されます。ビジネス・オブジェクトに関連付けられた権限は、アク
セス制御リスト(ACL)に格納されます。ACLはRASの重要なコンポーネントであり、プリンシパル
に割り当てられた権限を保管し、オブジェクトに対して実行可能なタイプの操作(SELECT、INSERT、
UPDATED、DELETE)を制御します。
Oracle Database 12cはデフォルトでセキュアである
Oracle Database 12cでは、デフォルトで構成のセキュリティを高める、多くの機能強化が行われま
した。これらの機能強化には、SYSDBAへの依存度の低減、機密データ辞書表のセキュリティ強化、
SQL*Plusなどのツールでの認証後の最終ログイン時間の表示、RESOURCEロールからのUNLIMITED
TABLESPACE権限の削除、同じデータベースでの複数の種類の認証サポート、およびSEエディション
とEEエディションのデータベースでのネットワーク暗号化と厳密認証サポートが含まれます。Oracle
Database 12cでは、職務分離のために新しいロールが導入されました。新しいロールには、SYSDG
14
Oracle Database 12c のセキュリティとコンプライアンス
(Data Guard)、SYSBACKUP(Oracle RMAN)
、およびSYSKM(Advanced Security Key Management)
があり、SYSDBAロールを使用する必要がある条件と頻度を減らすことで、データベースのよりセ
キュアな管理を実現します。これに加えて、データベース内の監査管理のために、AUDIT_ADMINと
AUDIT_VIEWERという2つの新しいロールが導入されました。
Oracle Databaseのセキュリティとアプリケーション
Oracle Advanced Security TDEとOracle Database Vaultは、Oracle E-Business Suite、Oracle Siebel
Applications、Oracle PeopleSoft Applications、Oracle JDEdwards EnterpriseOne、Oracle Primavera、
およびOracle Retekなどの多くのアプリケーションで証明されてきました。サード・パーティ証明書
にはSAPとFinacleなどがあります。Oracle Audit Vault and Database Firewallを使用すると、データ
ベースに送信されるSQLトラフィックを監視したり、基盤となるオペレーティング・システムの監査
データとアプリケーションをサポートするディレクトリを統合したりできます。Oracle Audit Vault
and Database Firewallは、アプリケーション固有の表の監査データを統合するためにも使用できます。
15
Oracle Database 12c のセキュリティとコンプライアンス
まとめ
Oracle Database 12cは、予防的、発見的、および管理的制御をサポートする、業界でもっとも高度
なセキュリティ機能を提供します。Oracle Database 12cの先進機能は、一般的な攻撃手段と高度な
攻撃手段の予防と検出を支援するために設計されており、条件付き監査、データ改訂、リアル・ア
プリケーション・セキュリティ、権限分析、強力なアプリケーション・バイパス制御、および一般
タスクのための新しい管理ロールなどの機能があります。Oracle Multitenantが完全に統合され、プ
ラガブル・データベースごとにセキュリティ制御をカスタマイズできます。
Oracle Database 12cの条件付き監査ポリシーでは、監査構成が簡素化されるため、監査担当者とセ
キュリティ担当者双方にとって監査情報の価値が高まります。データ改訂では、アプリケーション
で機密データが公開されるリスクを軽減できます。クレジット・カード・データや誕生日などの個
人を識別できる情報は、アプリケーションに戻される前に、自動的に改訂されます。透過的データ
暗号化(TDE)の新しい鍵管理インタフェースによって、暗号化鍵の管理が簡素化されます。さらに、
新しいロールでは、暗号化鍵の管理に関するセキュリティが高まり職務分離が促進されます。必須
レルムによってアプリケーション・バイパス制御が強化され、アプリケーションと非常に機密度の
高いアプリケーション・オブジェクトのためにセキュリティ境界を追加できるようになりました。
新しい権限分析では、アプリケーション内で実際に使用されたデータベース権限に関する洞察を得
られ、既存のアプリケーションや新しいアプリケーションで最小権限の原則を順守し、攻撃の対象
となる範囲を狭めることができます。Real Application Securityでは、アプリケーションのセキュリ
ティ要件をサポートする新しい強力な認可フレームワークが導入され、アプリケーション・ユーザー、
ロール、および権限をデータベース内で定義できるようになりました。
16
Oracle Database 12cの
セキュリティとコンプライアンス
Copyright © 2014, Oracle and/or its affiliates. All rights reserved.本文書は情報提供のみを目的として提供されており、ここに記載されている
2014年4月
内容は予告なく変更されることがあります。本文書は、その内容に誤りがないことを保証するものではなく、また、口頭による明示的保証や法
律による黙示的保証を含め、商品性ないし特定目的適合性に関する黙示的保証および条件などのいかなる保証および条件も提供するものではあ
Oracle Corporation
りません。オラクルは本文書に関するいかなる法的責任も明確に否認し、本文書によって直接的または間接的に確立される契約義務はないもの
World Headquarters
とします。本文書はオラクルの書面による許可を前もって得ることなく、いかなる目的のためにも、電子または印刷を含むいかなる形式や手段
500 Oracle Parkway
によっても再作成または送信することはできません。
Redwood Shores, CA 94065
U.S.A.
海外からのお問い合わせ窓口:
電話:+1.650.506.7000
ファクシミリ:+1.650.506.7200
oracle.com
Oracleは米国Oracle Corporationおよびその子会社、関連会社の登録商標です。その他の名称はそれぞれの会社の商標です。
0109