- Oracle Cloud
- Oracle Database
【OCI】BaseDBでDataPumpを利用する際のストレージ・サービス比較
BaseDBの運用でData Pump用の領域が不足した際、外部ストレージの活用が有効です。本記事では3つのストレージについて1TB利用時のコスト目安や性能、運用負荷を徹底比較します。自社環境に最適な外部ストレージ選びのポイントが分かります。
|
|
前編では、データベースセキュリティとは?を整理したうえで、データベースセキュリティを考えるうえでの5つの観点をご紹介し、「1. データの保護」について解説しました。
※前編はこちらから
https://www.ashisuto.co.jp/db_blog/article/database-security-01.html
後編となる本記事では「2. アイデンティティとアクセスの管理」と「3. 発見的統制の実現」について解説します。
データベースに格納されたデータを安全に取り扱うためには「データがしかるべき人物によって、正しい状態のデータをいつでも利用できる状態」であることが重要です。これを実現するために、アイデンティティとアクセスの管理は必ずおこなわなければならないことです。
具体的には以下をおこないます。これらは「知る必要性」の原則に基づいた「最小権限の付与」となります。
【アイデンティティとアクセスの管理の例】
| ポイント | 説明 |
|---|---|
| 職務分掌による役割や権限の明確化と、最小化 | ・オブジェクトの所有者とアプリケーションユーザーの分離 ・アプリケーションユーザーとデータ管理ユーザーの分離 ・SYSDBA、SYSOPER、ANY権限、権限の付与権限の削減 ※SCOTT、DBSNMP、MDSYS、WMSYSなど、業務で利用していないアカウントを使用不可にすることも必要です |
| 認証 | ・データベースにアクセス可能な端末を限定する ・データベースの特権ユーザーの認証をOS認証からパスワード認証へ変更する ・プロファイル機能を使用したデータベースユーザーのお明日ワード管理を強化する ・リスナーによるアクセス許可IPアドレスの制御 |
しかし、ここで見逃せない重要なポイントがあります。データベースの特権ユーザをどのように制御するかです。特権ユーザは、データベース内部のすべてのデータにアクセスが可能です。そのため、特権ユーザによる情報漏洩・データ破壊のリスクも考える必要があります。そこで登場するのがOracle Database Vaultです。
Oracle Database Vaultはデータベースの特権ユーザのアクセス制御をおこなうことができる機能です。この機能を利用して特権ユーザによるデータアクセスを制御することによって、データ漏洩・破壊を防ぐことができます。
一般ユーザのデータ領域をレルムというデータベース内部の仮想的な領域に分割して扱うことによって、特権ユーザからのアクセスを制限することができます。また、特権ユーザ以外のユーザの特定データへのアクセスも曜日・時間帯に応じて制御が可能となるため、よりセキュリティを強固にすることができます。
【Oracle Database Vault機能】
|
|
発見的統制とは、「誰がいつ何のデータにアクセスしたか」に関する証跡(ログ)を残すことです。
アイデンティティとアクセスの管理の章でご紹介したとおり、「しかるべき人物のアクセスのみをデータベースが受け付ける状態」が理想と言えます。加えてデータベースに対して「誰がいつ何のデータにアクセスしたか」を定期的に監視することも非常に重要です。
仮に不正なアクセスが発生した場合、当該のユーザからデータベースに対してどのようなアクセスがあったのか、漏洩したと考えられるデータはどの程度の範囲であったかを把握することは、訴訟問題に発生した際に、自らの立場を正しく証明するためにも非常に重要なことです。
Oracle Database 12cからは統合監査機能が実装され、従来型の監査機能より低負荷で機能強化された監査をおこなうことができます。他にもサードパーティのデータベース監査ツールを導入することによっても、発見的統制の実現が可能となります。
【Oracle Databaseの監査機能】
|
|
データベースに格納されたデータを安全に取り扱うための機能として権限設定とOracle Database Vault、発見的統制の実現のためのOracle Databaseの監査機能をご紹介しました。これらの機能の利用を検討してはいかがでしょうか。
全2回にわたってお話ししたデータベースセキュリティに関する本記事がお役に立てれば幸いです。
■本記事の内容について
本記事に記載されている製品およびサービス、定義及び条件は、特段の記載のない限り本記事執筆時点のものであり、予告なく変更になる可能性があります。あらかじめご了承ください。
■商標に関して
・Oracle®、Java及びMySQLは、Oracle、その子会社及び関連会社の米国及びその他の国における登録商標です。
・Amazon Web Services、AWS、Powered by AWS ロゴ、[およびかかる資料で使用されるその他の AWS 商標] は、Amazon.com, Inc. またはその関連会社の商標です。
文中の社名、商品名等は各社の商標または登録商標である場合があります。
BaseDBの運用でData Pump用の領域が不足した際、外部ストレージの活用が有効です。本記事では3つのストレージについて1TB利用時のコスト目安や性能、運用負荷を徹底比較します。自社環境に最適な外部ストレージ選びのポイントが分かります。
Oracle Trace File Analyzer(TFA)は、障害時のログ収集を効率化するツールです。複数ログの一括取得や時間指定、シングル環境での導入手順まで、現場目線でわかりやすく解説します。
本記事では、SYSAUX表領域の肥大化の主な原因と、現場DBAの方がいますぐ実践できる原因特定・対処・予防のステップを、具体的なSQL例とともに整理して解説します。
![[260424T]脱・PostgreSQL運用の不安!EDBのPEM管理術:GUIでの障害特定から監視まで](/db_blog/__icsFiles/afieldfile/2026/03/23/EDB_mail-bannar-260424a_176x250px.png)
