- Oracle Cloud
- Oracle Database
Computeインスタンスを再作成せずにブートボリュームをリストアする方法とは?
2024年5月のアップデートで、Computeインスタンスを再作成せずにブートボリュームをリストアできるブートボリューム置き換えの機能が追加されました。この機能追加により、従来のリストア方法よりも手順が少なくなり、障害発生時にも迅速な復旧が可能になりました。
|
前編では、データベースセキュリティとは?を整理したうえで、データベースセキュリティを考えるうえでの5つの観点をご紹介し、「1. データの保護」について解説しました。
※前編はこちらから
https://www.ashisuto.co.jp/db_blog/article/database-security-01.html
後編となる本記事では「2. アイデンティティとアクセスの管理」と「3. 発見的統制の実現」について解説します。
データベースに格納されたデータを安全に取り扱うためには「データがしかるべき人物によって、正しい状態のデータをいつでも利用できる状態」であることが重要です。これを実現するために、アイデンティティとアクセスの管理は必ずおこなわなければならないことです。
具体的には以下をおこないます。これらは「知る必要性」の原則に基づいた「最小権限の付与」となります。
【アイデンティティとアクセスの管理の例】
ポイント | 説明 |
---|---|
職務分掌による役割や権限の明確化と、最小化 | ・オブジェクトの所有者とアプリケーションユーザーの分離 ・アプリケーションユーザーとデータ管理ユーザーの分離 ・SYSDBA、SYSOPER、ANY権限、権限の付与権限の削減 ※SCOTT、DBSNMP、MDSYS、WMSYSなど、業務で利用していないアカウントを使用不可にすることも必要です |
認証 | ・データベースにアクセス可能な端末を限定する ・データベースの特権ユーザーの認証をOS認証からパスワード認証へ変更する ・プロファイル機能を使用したデータベースユーザーのお明日ワード管理を強化する ・リスナーによるアクセス許可IPアドレスの制御 |
しかし、ここで見逃せない重要なポイントがあります。データベースの特権ユーザをどのように制御するかです。特権ユーザは、データベース内部のすべてのデータにアクセスが可能です。そのため、特権ユーザによる情報漏洩・データ破壊のリスクも考える必要があります。そこで登場するのがOracle Database Vaultです。
Oracle Database Vaultはデータベースの特権ユーザのアクセス制御をおこなうことができる機能です。この機能を利用して特権ユーザによるデータアクセスを制御することによって、データ漏洩・破壊を防ぐことができます。
一般ユーザのデータ領域をレルムというデータベース内部の仮想的な領域に分割して扱うことによって、特権ユーザからのアクセスを制限することができます。また、特権ユーザ以外のユーザの特定データへのアクセスも曜日・時間帯に応じて制御が可能となるため、よりセキュリティを強固にすることができます。
【Oracle Database Vault機能】
|
発見的統制とは、「誰がいつ何のデータにアクセスしたか」に関する証跡(ログ)を残すことです。
アイデンティティとアクセスの管理の章でご紹介したとおり、「しかるべき人物のアクセスのみをデータベースが受け付ける状態」が理想と言えます。加えてデータベースに対して「誰がいつ何のデータにアクセスしたか」を定期的に監視することも非常に重要です。
仮に不正なアクセスが発生した場合、当該のユーザからデータベースに対してどのようなアクセスがあったのか、漏洩したと考えられるデータはどの程度の範囲であったかを把握することは、訴訟問題に発生した際に、自らの立場を正しく証明するためにも非常に重要なことです。
Oracle Database 12cからは統合監査機能が実装され、従来型の監査機能より低負荷で機能強化された監査をおこなうことができます。他にもサードパーティのデータベース監査ツールを導入することによっても、発見的統制の実現が可能となります。
【Oracle Databaseの監査機能】
|
データベースに格納されたデータを安全に取り扱うための機能として権限設定とOracle Database Vault、発見的統制の実現のためのOracle Databaseの監査機能をご紹介しました。これらの機能の利用を検討してはいかがでしょうか。
全2回にわたってお話ししたデータベースセキュリティに関する本記事がお役に立てれば幸いです。
企業の最重要な資産のひとつであるデータベースをクラウドに移行する際、セキュリティで押さえるべき基本とは?
ビジネスインフラ技術本部 データベース技術統括部
2017年入社。Oracle Databaseのプリセールス業務を担当。
あわせて、長年のOracle Databaseセキュリティ製品のフィールドエンジニア経験を活かして、データベースセキュリティ全般の提案/啓蒙活動も担当し、二足の草鞋で活躍中。
■本記事の内容について
本記事に示した定義及び条件は変更される場合があります。あらかじめご了承ください。
■商標に関して
・Oracle®、Java、MySQL及びNetSuiteは、Oracle、その子会社及び関連会社の米国及びその他の国における登録商標です。
・Amazon Web Services、AWS、Powered by AWS ロゴ、[およびかかる資料で使用されるその他の AWS 商標] は、Amazon.com, Inc. またはその関連会社の商標です。
文中の社名、商品名等は各社の商標または登録商標である場合があります。
2024年5月のアップデートで、Computeインスタンスを再作成せずにブートボリュームをリストアできるブートボリューム置き換えの機能が追加されました。この機能追加により、従来のリストア方法よりも手順が少なくなり、障害発生時にも迅速な復旧が可能になりました。
SQLトレースの取得方法をケース別にまとめました。SQLトレースはSQLのパフォーマンス情報を出力しますが、出力量が多いため、適切な方法で取得する必要があります。
Oracle Cloudで構築したComputeインスタンスは、ハードウェア等インフラ周りはオラクル社が管理しますが、OSやアプリケーションはお客様が管理する必要があります。今回は、事前準備不要で簡単に操作可能なCloud Shellによるコンソール接続をご紹介します。