- Oracle Cloud
- Oracle Database
Oracle AI World2025視察記
今年もオラクル社の年次イベント「Oracle AI World 2025」が開催され、アシストからも11名の社員がラスベガス現地で参加しました。 本記事では「Oracle AI World 2025 視察記」として「Oracle AI World 2025のハイライト」と「アシストの注目ポイント」を、Oracle AI World 2025全体の雰囲気とともにお伝えします。
|
|
前編では、データベースセキュリティとは?を整理したうえで、データベースセキュリティを考えるうえでの5つの観点をご紹介し、「1. データの保護」について解説しました。
※前編はこちらから
https://www.ashisuto.co.jp/db_blog/article/database-security-01.html
後編となる本記事では「2. アイデンティティとアクセスの管理」と「3. 発見的統制の実現」について解説します。
データベースに格納されたデータを安全に取り扱うためには「データがしかるべき人物によって、正しい状態のデータをいつでも利用できる状態」であることが重要です。これを実現するために、アイデンティティとアクセスの管理は必ずおこなわなければならないことです。
具体的には以下をおこないます。これらは「知る必要性」の原則に基づいた「最小権限の付与」となります。
【アイデンティティとアクセスの管理の例】
| ポイント | 説明 |
|---|---|
| 職務分掌による役割や権限の明確化と、最小化 | ・オブジェクトの所有者とアプリケーションユーザーの分離 ・アプリケーションユーザーとデータ管理ユーザーの分離 ・SYSDBA、SYSOPER、ANY権限、権限の付与権限の削減 ※SCOTT、DBSNMP、MDSYS、WMSYSなど、業務で利用していないアカウントを使用不可にすることも必要です |
| 認証 | ・データベースにアクセス可能な端末を限定する ・データベースの特権ユーザーの認証をOS認証からパスワード認証へ変更する ・プロファイル機能を使用したデータベースユーザーのお明日ワード管理を強化する ・リスナーによるアクセス許可IPアドレスの制御 |
しかし、ここで見逃せない重要なポイントがあります。データベースの特権ユーザをどのように制御するかです。特権ユーザは、データベース内部のすべてのデータにアクセスが可能です。そのため、特権ユーザによる情報漏洩・データ破壊のリスクも考える必要があります。そこで登場するのがOracle Database Vaultです。
Oracle Database Vaultはデータベースの特権ユーザのアクセス制御をおこなうことができる機能です。この機能を利用して特権ユーザによるデータアクセスを制御することによって、データ漏洩・破壊を防ぐことができます。
一般ユーザのデータ領域をレルムというデータベース内部の仮想的な領域に分割して扱うことによって、特権ユーザからのアクセスを制限することができます。また、特権ユーザ以外のユーザの特定データへのアクセスも曜日・時間帯に応じて制御が可能となるため、よりセキュリティを強固にすることができます。
【Oracle Database Vault機能】
|
|
発見的統制とは、「誰がいつ何のデータにアクセスしたか」に関する証跡(ログ)を残すことです。
アイデンティティとアクセスの管理の章でご紹介したとおり、「しかるべき人物のアクセスのみをデータベースが受け付ける状態」が理想と言えます。加えてデータベースに対して「誰がいつ何のデータにアクセスしたか」を定期的に監視することも非常に重要です。
仮に不正なアクセスが発生した場合、当該のユーザからデータベースに対してどのようなアクセスがあったのか、漏洩したと考えられるデータはどの程度の範囲であったかを把握することは、訴訟問題に発生した際に、自らの立場を正しく証明するためにも非常に重要なことです。
Oracle Database 12cからは統合監査機能が実装され、従来型の監査機能より低負荷で機能強化された監査をおこなうことができます。他にもサードパーティのデータベース監査ツールを導入することによっても、発見的統制の実現が可能となります。
【Oracle Databaseの監査機能】
|
|
データベースに格納されたデータを安全に取り扱うための機能として権限設定とOracle Database Vault、発見的統制の実現のためのOracle Databaseの監査機能をご紹介しました。これらの機能の利用を検討してはいかがでしょうか。
全2回にわたってお話ししたデータベースセキュリティに関する本記事がお役に立てれば幸いです。
|
|
企業の最重要な資産のひとつであるデータベースをクラウドに移行する際、セキュリティで押さえるべき基本とは?
|
|---|
ビジネスインフラ技術本部 データベース技術統括部
2017年入社。Oracle Databaseのプリセールス業務を担当。
あわせて、長年のOracle Databaseセキュリティ製品のフィールドエンジニア経験を活かして、データベースセキュリティ全般の提案/啓蒙活動も担当し、二足の草鞋で活躍中。
■本記事の内容について
本記事に記載されている製品およびサービス、定義及び条件は、特段の記載のない限り本記事執筆時点のものであり、予告なく変更になる可能性があります。あらかじめご了承ください。
■商標に関して
・Oracle®、Java、MySQL及びNetSuiteは、Oracle、その子会社及び関連会社の米国及びその他の国における登録商標です。
・Amazon Web Services、AWS、Powered by AWS ロゴ、[およびかかる資料で使用されるその他の AWS 商標] は、Amazon.com, Inc. またはその関連会社の商標です。
文中の社名、商品名等は各社の商標または登録商標である場合があります。
今年もオラクル社の年次イベント「Oracle AI World 2025」が開催され、アシストからも11名の社員がラスベガス現地で参加しました。 本記事では「Oracle AI World 2025 視察記」として「Oracle AI World 2025のハイライト」と「アシストの注目ポイント」を、Oracle AI World 2025全体の雰囲気とともにお伝えします。
Oracle AI Database 26aiでBlockchain TableのV2が実装されました。これは堅牢なガバナンスと開発・運用の柔軟性という相反する課題を両立させるものでありデータガバナンスやセキュリティを向上させます。V2はどのようにアップデートされたのかを動作検証しました。
データベースの環境準備に時間を要していませんか?OCI BaseDBのクローン機能なら、検証環境を30分未満で作成可能です。本記事では、実際の操作手順から開発・テストでの活用法、コストやIP変更などの注意点までを画像付きで徹底解説します。
