Database Support Blog

  • Oracle Database
2021.12.22

今だから見直そうデータベースセキュリティ(後編) 

データベースセキュリティ Oracle

前編では、データベースセキュリティとは?を整理したうえで、データベースセキュリティを考えるうえでの5つの観点をご紹介し、「1. データの保護」について解説しました。
※前編はこちらから
https://www.ashisuto.co.jp/db_blog/article/database-security-01.html

後編となる本記事では「2. アイデンティティとアクセスの管理」と「3. 発見的統制の実現」について解説します。

アイデンティティとアクセスの管理(権限設定、Database Vault)

データベースに格納されたデータを安全に取り扱うためには「データがしかるべき人物によって、正しい状態のデータをいつでも利用できる状態」であることが重要です。これを実現するために、アイデンティティとアクセスの管理は必ずおこなわなければならないことです。

具体的には以下をおこないます。これらは「知る必要性」の原則に基づいた「最小権限の付与」となります。

  • データベースに格納されたデータを分類する。
  • データベースに格納されたさまざまなデータに個別にアクセス可能な人物・グループを特定する。
  • その人物・グループにしかるべき権限・ロールを与える。
  • その人物・グループがデータベースにアクセスする際のパスワード管理を徹底する。
  • データベースに対する正規のアクセス経路を確認する。

【アイデンティティとアクセスの管理の例】

ポイント 説明
職務分掌による役割や権限の明確化と、最小化 ・オブジェクトの所有者とアプリケーションユーザーの分離
・アプリケーションユーザーとデータ管理ユーザーの分離
・SYSDBA、SYSOPER、ANY権限、権限の付与権限の削減

※SCOTT、DBSNMP、MDSYS、WMSYSなど、業務で利用していないアカウントを使用不可にすることも必要です
認証 ・データベースにアクセス可能な端末を限定する
・データベースの特権ユーザーの認証をOS認証からパスワード認証へ変更する
・プロファイル機能を使用したデータベースユーザーのお明日ワード管理を強化する
・リスナーによるアクセス許可IPアドレスの制御

しかし、ここで見逃せない重要なポイントがあります。データベースの特権ユーザをどのように制御するかです。特権ユーザは、データベース内部のすべてのデータにアクセスが可能です。そのため、特権ユーザによる情報漏洩・データ破壊のリスクも考える必要があります。そこで登場するのがOracle Database Vaultです。

Oracle Database Vaultはデータベースの特権ユーザのアクセス制御をおこなうことができる機能です。この機能を利用して特権ユーザによるデータアクセスを制御することによって、データ漏洩・破壊を防ぐことができます。

一般ユーザのデータ領域をレルムというデータベース内部の仮想的な領域に分割して扱うことによって、特権ユーザからのアクセスを制限することができます。また、特権ユーザ以外のユーザの特定データへのアクセスも曜日・時間帯に応じて制御が可能となるため、よりセキュリティを強固にすることができます。


【Oracle Database Vault機能】

データベース 権限の最適化


発見的統制の実現

発見的統制とは、「誰がいつ何のデータにアクセスしたか」に関する証跡(ログ)を残すことです。

アイデンティティとアクセスの管理の章でご紹介したとおり、「しかるべき人物のアクセスのみをデータベースが受け付ける状態」が理想と言えます。加えてデータベースに対して「誰がいつ何のデータにアクセスしたか」を定期的に監視することも非常に重要です。

仮に不正なアクセスが発生した場合、当該のユーザからデータベースに対してどのようなアクセスがあったのか、漏洩したと考えられるデータはどの程度の範囲であったかを把握することは、訴訟問題に発生した際に、自らの立場を正しく証明するためにも非常に重要なことです。

Oracle Database 12cからは統合監査機能が実装され、従来型の監査機能より低負荷で機能強化された監査をおこなうことができます。他にもサードパーティのデータベース監査ツールを導入することによっても、発見的統制の実現が可能となります。


【Oracle Databaseの監査機能】

Oracle Database 監査機能


さいごに

データベースに格納されたデータを安全に取り扱うための機能として権限設定とOracle Database Vault、発見的統制の実現のためのOracle Databaseの監査機能をご紹介しました。これらの機能の利用を検討してはいかがでしょうか。

全2回にわたってお話ししたデータベースセキュリティに関する本記事がお役に立てれば幸いです。


DBセキュリティウェビナーのご案内

「データベースセキュリティ」に焦点を当てて、以下のポイントをご紹介します。
・ハイブリッドクラウドで必要となる基本的な対策を振り返り
・クラウドならではのセキュリティ対策の最適なアプローチ

クラウドならではのセキュリティ対策を知りたい方は、ぜひこちらのウェビナーにご参加ください!

詳細とお申し込みはこちらから



執筆者情報

わたなべ あつし プロフィール画像

ビジネスインフラ技術本部 データベース技術統括部

2017年入社。Oracle Databaseのプリセールス業務を担当。
あわせて、長年のOracle Databaseセキュリティ製品のフィールドエンジニア経験を活かして、データベースセキュリティ全般の提案/啓蒙活動も担当し、二足の草鞋で活躍中。


■商標に関して
OracleとJavaは、Oracle Corporation 及びその子会社、関連会社の米国及びその他の国における登録商標です。
文中の社名、商品名等は各社の商標または登録商標である場合があります。

関連している記事

  • Oracle Database
2022.01.14

Oracleのジョブ・チェーンを使用して複数処理を1つのジョブに登録する方法

Oracle Database のジョブ・チェーン機能を使用すると、OSのバッチファイルやジョブ管理ツールを利用せずジョブ結果に基づいて後続の複数処理を1つのジョブとして実行できます。SE/EEエディションを問わず標準機能として提供されているジョブ・チェーン機能についてご紹介します。

  • Oracle Database
  • Exadata
2021.12.23

Exadataをフル活用しよう!性能をさらに引き上げるチューニング方法(Smart Scan編)

本記事では、Oracle Exadata Database MachineにおけるSQLチューニングの手法をご紹介します。

  • Oracle Database
2021.12.17

Oracle Databaseのサポート対応で依頼することの多いファイルとコマンド

お客様がOracle Databaseの運用中に問題が発生した場合、サポートセンターにお問い合わせをいただきます。調査のために依頼することの多いログファイルとコマンドをまとめましたので、情報取得の際にお役立てください。

ページの先頭へ戻る