Database Support Blog

  • Oracle Database
2021.12.22

今だから見直そうデータベースセキュリティ(後編) 

データベースセキュリティ Oracle

前編では、データベースセキュリティとは?を整理したうえで、データベースセキュリティを考えるうえでの5つの観点をご紹介し、「1. データの保護」について解説しました。
※前編はこちらから
https://www.ashisuto.co.jp/db_blog/article/database-security-01.html

後編となる本記事では「2. アイデンティティとアクセスの管理」と「3. 発見的統制の実現」について解説します。

アイデンティティとアクセスの管理(権限設定、Database Vault)

データベースに格納されたデータを安全に取り扱うためには「データがしかるべき人物によって、正しい状態のデータをいつでも利用できる状態」であることが重要です。これを実現するために、アイデンティティとアクセスの管理は必ずおこなわなければならないことです。

具体的には以下をおこないます。これらは「知る必要性」の原則に基づいた「最小権限の付与」となります。

  • データベースに格納されたデータを分類する。
  • データベースに格納されたさまざまなデータに個別にアクセス可能な人物・グループを特定する。
  • その人物・グループにしかるべき権限・ロールを与える。
  • その人物・グループがデータベースにアクセスする際のパスワード管理を徹底する。
  • データベースに対する正規のアクセス経路を確認する。

【アイデンティティとアクセスの管理の例】

ポイント 説明
職務分掌による役割や権限の明確化と、最小化 ・オブジェクトの所有者とアプリケーションユーザーの分離
・アプリケーションユーザーとデータ管理ユーザーの分離
・SYSDBA、SYSOPER、ANY権限、権限の付与権限の削減

※SCOTT、DBSNMP、MDSYS、WMSYSなど、業務で利用していないアカウントを使用不可にすることも必要です
認証 ・データベースにアクセス可能な端末を限定する
・データベースの特権ユーザーの認証をOS認証からパスワード認証へ変更する
・プロファイル機能を使用したデータベースユーザーのお明日ワード管理を強化する
・リスナーによるアクセス許可IPアドレスの制御

しかし、ここで見逃せない重要なポイントがあります。データベースの特権ユーザをどのように制御するかです。特権ユーザは、データベース内部のすべてのデータにアクセスが可能です。そのため、特権ユーザによる情報漏洩・データ破壊のリスクも考える必要があります。そこで登場するのがOracle Database Vaultです。

Oracle Database Vaultはデータベースの特権ユーザのアクセス制御をおこなうことができる機能です。この機能を利用して特権ユーザによるデータアクセスを制御することによって、データ漏洩・破壊を防ぐことができます。

一般ユーザのデータ領域をレルムというデータベース内部の仮想的な領域に分割して扱うことによって、特権ユーザからのアクセスを制限することができます。また、特権ユーザ以外のユーザの特定データへのアクセスも曜日・時間帯に応じて制御が可能となるため、よりセキュリティを強固にすることができます。


【Oracle Database Vault機能】

データベース 権限の最適化


発見的統制の実現

発見的統制とは、「誰がいつ何のデータにアクセスしたか」に関する証跡(ログ)を残すことです。

アイデンティティとアクセスの管理の章でご紹介したとおり、「しかるべき人物のアクセスのみをデータベースが受け付ける状態」が理想と言えます。加えてデータベースに対して「誰がいつ何のデータにアクセスしたか」を定期的に監視することも非常に重要です。

仮に不正なアクセスが発生した場合、当該のユーザからデータベースに対してどのようなアクセスがあったのか、漏洩したと考えられるデータはどの程度の範囲であったかを把握することは、訴訟問題に発生した際に、自らの立場を正しく証明するためにも非常に重要なことです。

Oracle Database 12cからは統合監査機能が実装され、従来型の監査機能より低負荷で機能強化された監査をおこなうことができます。他にもサードパーティのデータベース監査ツールを導入することによっても、発見的統制の実現が可能となります。


【Oracle Databaseの監査機能】

Oracle Database 監査機能


さいごに

データベースに格納されたデータを安全に取り扱うための機能として権限設定とOracle Database Vault、発見的統制の実現のためのOracle Databaseの監査機能をご紹介しました。これらの機能の利用を検討してはいかがでしょうか。

全2回にわたってお話ししたデータベースセキュリティに関する本記事がお役に立てれば幸いです。


DBセキュリティウェビナーのご案内

「データベースセキュリティ」に焦点を当てて、以下のポイントをご紹介します。
・ハイブリッドクラウドで必要となる基本的な対策を振り返り
・クラウドならではのセキュリティ対策の最適なアプローチ

クラウドならではのセキュリティ対策を知りたい方は、ぜひこちらのウェビナーにご参加ください!

詳細とお申し込みはこちらから



執筆者情報

わたなべ あつし プロフィール画像

ビジネスインフラ技術本部 データベース技術統括部

2017年入社。Oracle Databaseのプリセールス業務を担当。
あわせて、長年のOracle Databaseセキュリティ製品のフィールドエンジニア経験を活かして、データベースセキュリティ全般の提案/啓蒙活動も担当し、二足の草鞋で活躍中。


■本記事の内容について
 本記事に示した定義及び条件は変更される場合があります。あらかじめご了承ください。

■商標に関して
 OracleとJavaは、Oracle Corporation 及びその子会社、関連会社の米国及びその他の国における登録商標です。
 文中の社名、商品名等は各社の商標または登録商標である場合があります。


Oracle Databaseライセンスのご相談ならアシスト

関連している記事

  • Oracle Database
  • Exadata
2022.06.28

こんなのあったんだ!Exadataの便利ツール ExaWatchar・Exachkをご紹介

Exadataは大規模なデータベースマシンのため、運用や監視に労力がかかります。EMCCを始め統合管理ツールも多く存在しますが、Exadataにデフォルトで実装されている便利なツールを用いることで、より効果的な運用につなげられます。便利なツールExaWatchar・Exachkを詳しくご紹介します。

  • Oracle Database
2022.06.21

マルチテナントのPDB数はどう見積もる?最適なエディション選択と検討のヒント

マルチテナント構成Oracle Databaseに採用され早数年が経過。21c以降の従来構成廃止に伴い、19cが従来構成もテナント構成の両方を選べる最終バージョンに。従来構成維持とテナント構成変更を思案する方に向け、「PDBの最適数」に焦点を当てバージョンアップ後の構成を考えてみます。

  • Oracle Database
  • Oracle Cloud
  • PostgreSQL
  • AWS
  • Exadata
2022.05.24

入社2年目がレポート!Cloud Database Days 2022技術セッションの見どころ

2022年5月26日~6月3日に開催される「Cloud Database Days 2022」。その中でも10個に分かれた技術セッションについて、ポイントを押さえてそれぞれご紹介いたします!

ページの先頭へ戻る