Release 19 管理者ガイド - docs.oracle.com · ステップ3:...

Release 19

管理者ガイド

目次図一覧表一覧タイトルおよび著作権情報はじめに

対象読者ドキュメントのアクセシビリティについて関連ドキュメント表記規則

Oracle Database Vault管理者ガイドのこのリリースの変更点Oracle Database Vault 19cでの変更点

統合監査ポリシーのコマンド・ルールのサポートインフラストラクチャ・データベース管理者のDatabase Vault操作の制御権限分析ドキュメントのOracle Databaseセキュリティ・ガイドへの移動

Oracle Database Vault 18cでの変更点Oracle Database Vaultシミュレーション・モードの拡張機能新規ファクタ・ファンクションロールへのData PumpおよびDatabase Vault認可の付与機能Oracle Database VaultでのOracle Database Replayのサポート

1 Oracle Database Vaultの概要Oracle Database Vaultの概要

Oracle Database Vaultについて特権アカウントに対する統制データベース構成に対する統制

1

file:///C/Oracle_Work/SysPDF/FY21Q2_Sysdoc/1218end/index.htmlhttps://www.oracle.com/

エンタープライズ・アプリケーションの保護ポリシーOracle Database Vaultの使用に必要な権限Oracle Database Vaultのコンポーネント

Oracle Database Vaultアクセス制御コンポーネントOracle Enterprise Manager Cloud ControlのDatabase Vault AdministratorページOracle Database Vault DVSYSおよびDVFスキーマOracle Database Vault PL/SQLインタフェースおよびパッケージOracle Database Vaultレポートおよびモニタリング・ツール

Oracle Database Vaultのコンプライアンスへの対応Oracle Database Vaultによるユーザー・アカウントの保護Oracle Database Vaultによる柔軟なセキュリティ・ポリシーの実現Oracle Database Vaultのデータベース統合に関する問題への対応マルチテナント環境におけるOracle Database Vaultの動作について

2 Oracle Database Vaultの有効化後のヒント変更される初期化およびパスワード・パラメータ設定Oracle Database Vaultによるユーザー認可の制限職務分離を実施するための新規データベース・ロール既存のユーザーおよびロールから取り消される権限既存のユーザーおよびロールに対して阻止される権限非統合監査環境の変更されたAUDIT文の設定

3 Oracle Database Vaultの開始Oracle DatabaseへのOracle Database Vaultの登録についてマルチテナント環境でのOracle DatabaseへのOracle Database Vaultの登録

マルチテナント環境におけるDatabase Vaultの登録についてCDBルートへのDatabase Vaultの登録個別PDBを管理するためのDatabase Vault共通ユーザーの登録個別PDBを管理するためのDatabase Vaultローカル・ユーザーの登録Database Vault対応PDBへの接続マルチテナント環境でのOracle Database Vaultの手動インストール

非マルチテナント環境におけるDatabase Vaultの登録Database Vaultが構成および有効化されていることの確認

2

Oracle Enterprise Cloud ControlからのOracle Database Vaultへのログインクイック・スタート・チュートリアル: DBAアクセスからのスキーマの保護

このチュートリアルについてステップ1: SYSTEMとしてログインしHRスキーマにアクセスするステップ2: レルムの作成ステップ3: SEBASTIANユーザー・アカウントの作成ステップ4: ユーザーSEBASTIANによるレルムのテストステップ5: レルムの認可の作成ステップ6: レルムのテストステップ7: 統合監査が有効ではない場合のレポートの実行ステップ8: このチュートリアルのコンポーネントの削除

4 レルムの構成レルムの概要

レルムについて必須レルムによるレルム内のオブジェクトへのユーザー・アクセスの制限マルチテナント環境におけるレルムレルムで保護できるオブジェクト・タイプ

デフォルトのレルムOracle Database VaultレルムDatabase Vaultアカウント管理レルムOracle Enterprise ManagerレルムOracleデフォルト・スキーマ保護レルムOracleシステム権限およびロール管理レルムOracleデフォルト・コンポーネント保護レルム

レルムの作成レルム・セキュア・オブジェクトについてレルム認可についてマルチテナント環境におけるレルム認可レルムの有効化ステータスの変更レルムの削除レルムの動作

3

レルムでの認可の動作レルムの認可についてレルム認可の例

例: 認可されていないユーザーによる表作成の試行例: 認可されていないユーザーによるDELETE ANY TABLE権限の使用の試行例: 認可されたユーザーによるDELETE操作の実行

レルムで保護されたオブジェクトへのアクセスレルムの動作の例その他のOracle Database Vaultコンポーネントへのレルムの影響レルム設計のガイドラインレルムのパフォーマンスへの影響レルムに関連するレポートおよびデータ・ディクショナリ・ビュー

5 ルール・セットの構成ルール・セットの概要マルチテナント環境におけるルール・セットとルールリリース12.2より前のリリースのデフォルト・ルールおよびデフォルト・ルール・セットデフォルトのルール・セットルール・セットの作成ルール・セットに追加するルールの作成

ルールの作成についてデフォルト・ルール新規ルールの作成既存のルールのルール・セットへの追加ルール・セットからのルールの削除

Oracle Database Vaultコンポーネントへのルール・セット参照の削除ルール・セットの削除ルール・セットの動作

Oracle Database Vaultによるルールの評価方法ルール・セット内でのネストされたルール1人のユーザーを除く全員に適用するルールの作成

4

チュートリアル: セキュリティ違反の電子メール・アラートの作成このチュートリアルについてステップ1: UTL_MAIL PL/SQLパッケージのインストールおよび構成ステップ2: 電子メール・セキュリティ・アラートPL/SQLプロシージャの作成ステップ3: ネットワーク・サービス用のアクセス制御リストの構成ステップ4: 電子メール・セキュリティ・アラートを使用するためのルール・セットおよびコマンド・ルールの作成ステップ5: 電子メール・セキュリティ・アラートのテストステップ6: このチュートリアルのコンポーネントの削除

チュートリアル: 二人制整合性(デュアル・キー・セキュリティ)の構成このチュートリアルについてステップ1: このチュートリアル用のユーザーの作成ステップ2: ユーザーpatch_bossがログインしているかどうかをチェックするファンクションの作成ステップ3: ユーザー・アクセスを制御するためのルール、ルール・セットおよびコマンド・ルールの作成ステップ4: ユーザーのアクセスのテストステップ5: このチュートリアルのコンポーネントの削除

ルール・セット設計のガイドラインルール・セットのパフォーマンスへの影響ルール・セットとルールに関連するレポートおよびデータ・ディクショナリ・ビュー

6 コマンド・ルールの構成コマンド・ルールの概要

コマンド・ルールについてマルチテナント環境におけるコマンド・ルールコマンド・ルールのタイプ

CONNECTコマンド・ルールALTER SESSIONおよびALTER SYSTEMコマンド・ルール

デフォルトのコマンド・ルールコマンド・ルールで保護できるSQL文コマンド・ルールの作成コマンド・ルールの有効化ステータスの変更

5

コマンド・ルールの削除コマンド・ルールの動作チュートリアル: ユーザーによる表作成を制御するためのコマンド・ルールの使用方法

ステップ1: 表の作成ステップ2: コマンド・ルールの作成ステップ3: コマンド・ルールのテストステップ4: このチュートリアルのコンポーネントの削除

コマンド・ルール設計のガイドラインコマンド・ルールのパフォーマンスへの影響コマンド・ルールに関連するレポートおよびデータ・ディクショナリ・ビュー

7 ファクタの構成ファクタの概要デフォルトのファクタファクタの作成

「ファクタの作成」ページへのアクセスファクタ作成のための「一般」ページの入力ファクタ作成の「構成」ページ

ファクタの識別情報の設定ファクタの識別の動作ファクタの評価情報の設定ファクタのOracle Label Securityラベル付け情報の設定ファクタの取得メソッドの設定取得メソッドの動作ファクタの検証メソッドの設定

ファクタ作成の「オプション」ページファクタへのルール・セットの割当てファクタのエラー・オプションの設定ファクタの監査オプションの設定ファクタの監査の動作

ファクタへのアイデンティティの追加ファクタ・アイデンティティについて

6

信頼レベルについてラベル・アイデンティティについてファクタ・アイデンティティの作成および構成ファクタ・アイデンティティの削除他のファクタを使用するアイデンティティを構成するためのアイデンティティ・マップの使用方法

アイデンティティ・マッピングについてファクタへのアイデンティティのマッピング

ファクタの削除ファクタの動作

セッション確立時のファクタの処理ファクタの取得ファクタの設定

チュートリアル: データベースへの非定型ツール・アクセスの阻止このチュートリアルについてステップ1: HRおよびOEユーザー・アカウントの有効化ステップ2: ファクタの作成ステップ3: ルール・セットとルールの作成ステップ4: CONNECTコマンド・ルールの作成ステップ5: 非定期ツール・アクセス制限のテストステップ6: このチュートリアルのコンポーネントの削除

チュートリアル: セッション・データに基づくユーザー・アクティビティの制限このチュートリアルについてステップ1: 管理者ユーザーの作成ステップ2: Domainファクタへのアイデンティティの追加ステップ3: Domainファクタ・アイデンティティのClient_IPファクタへのマップステップ4: 時間を設定するルール・セットの作成およびファクタ・アイデンティティの選択ステップ5: ルール・セットを使用するコマンド・ルールの作成ステップ6: ファクタ・アイデンティティの設定のテストステップ7: このチュートリアルのコンポーネントの削除

ファクタ設計のガイドライン

7

ファクタのパフォーマンスへの影響ファクタに関連するレポートおよびデータ・ディクショナリ・ビュー

8 Oracle Database Vaultのセキュア・アプリケーション・ロールの構成Oracle Database Vaultのセキュア・アプリケーション・ロールの概要Oracle Database Vaultセキュア・アプリケーション・ロールの作成Oracle Database Vaultで使用するためのOracle Databaseセキュア・アプリケーション・ロールの有効化Oracle Database Vaultセキュア・アプリケーション・ロールのセキュリティOracle Database Vaultセキュア・アプリケーション・ロールの削除Oracle Database Vaultセキュア・アプリケーション・ロールの動作チュートリアル: Database Vaultセキュア・アプリケーション・ロールによるアクセス権限の付与

このチュートリアルについてステップ1: このチュートリアル用のユーザーの作成ステップ2: OEユーザー・アカウントの有効化ステップ3: ルール・セットとそのルールの作成ステップ4: Database Vaultセキュア・アプリケーション・ロールの作成ステップ5: セキュア・アプリケーション・ロールへのSELECT権限の付与ステップ6: Database Vaultセキュア・アプリケーション・ロールのテストステップ7: このチュートリアルのコンポーネントの削除

セキュア・アプリケーション・ロールのパフォーマンスへの影響セキュア・アプリケーション・ロールに関連するレポートおよびデータ・ディクショナリ・ビュー

9 Oracle Database Vaultポリシーの構成Database Vaultポリシーの概要

Oracle Database Vaultポリシーについてマルチテナント環境におけるOracle Database Vaultポリシー

デフォルトのOracle Database VaultポリシーOracle Databaseポリシーの作成Oracle Database Vaultポリシーの変更Oracle Database Vaultポリシーの削除関連するデータ・ディクショナリ・ビュー

8

10 レルムおよびコマンド・ルール・アクティビティのログ記録のためのシミュレーション・モードの使用

シミュレーション・モードについてシミュレーション・モードの使用例シミュレーション・モードでのレルムのログ記録

シミュレーション・モードでレルムのログを記録する場合の考慮事項ユースケース: すべての新規レルムがシミュレーション・モードユースケース: 既存レルムへの新規レルムの導入ユースケース: レルムへの新規オブジェクトの追加のテストユースケース: レルムからのオブジェクトの削除のテストユースケース: 認可されたユーザーのレルムへの追加のテストユースケース: 認可されたユーザーのレルムからの削除のテストユースケース: レルムを使用した新規ファクタのテストユースケース: 既存のコマンド・ルールへの変更のテスト

チュートリアル: シミュレーション・モードの使用によるレルムに対する違反の追跡このチュートリアルについてステップ1: このチュートリアル用のユーザーの作成ステップ2: レルムおよびOracle Database Vaultポリシーの作成ステップ3: レルムおよびポリシーのテストステップ4: DBA_DV_SIMULATION_LOGビューでの違反の問合せステップ5: レルムの有効化および再テストステップ6: このチュートリアルのコンポーネントの削除

11 Oracle Database Vaultとその他のOracle製品の統合Oracle Database Vaultとエンタープライズ・ユーザー・セキュリティの統合

Oracle Database Vaultとエンタープライズ・ユーザー・セキュリティの統合についてエンタープライズ・ユーザー認可の構成Oracle Database Vaultアカウントをエンタープライズ・ユーザー・アカウントとして構成

Oracle Database Vaultと透過的データ暗号化の統合Oracle Virtual Private Databaseへのファクタの追加Oracle Database VaultとOracle Label Securityの統合

9

Oracle Database VaultとOracle Label Securityの統合方法Oracle Database VaultをOracle Label Securityとともに使用するための要件Oracle Label SecurityポリシーでのOracle Database Vaultファクタの使用方法

Oracle Label SecurityポリシーでのOracle Database Vaultファクタの使用Oracle Label Securityポリシーと連携するファクタの構成

チュートリアル: Oracle Database VaultとOracle Label Securityの統合このチュートリアルについてステップ1: このチュートリアル用のユーザーの作成ステップ2: Oracle Label Securityポリシーの作成ステップ3: OLS認可を制御するためのOracle Database Vaultルールの作成ステップ4: ルール・セットを使用するためのALTER SYSTEMコマンド・ルールの更新ステップ5: 認可のテストステップ6: このチュートリアルのコンポーネントの削除

関連するレポートおよびデータ・ディクショナリ・ビューOracle Database VaultとOracle Data Guardの統合

ステップ1: プライマリ・データベースの構成ステップ2: スタンバイ・データベースの構成Oracle Database VaultとOracle Active Data Guardの統合後の監査の動作

Oracle Database Configuration Assistantを使用したOracle Internet Directoryの登録12 Oracle Database Vault環境でのDBA操作

Oracle Database VaultのOracle Enterprise Managerとの使用「他のデータベースへのOracle Database Vault構成の伝播」Oracle Database Vaultポリシーに対するEnterprise Manager Cloud ControlアラートEnterprise Manager Cloud ControlにおけるOracle Database Vault固有レポートDatabase Vault環境でのDBSNMPアカウント・パスワードの変更

Oracle Database VaultでのOracle Data Pumpの使用Oracle Database VaultでのOracle Data Pumpの使用についてユーザーまたはロールへのData Pumpの通常エクスポート操作および通常インポート操作の認可

Oracle Data Pumpの通常操作のユーザーまたはロールへの認可についてOracle Data Pumpの通常操作に対するDatabase Vault権限のレベル

10

Database VaultにおけるOracle Data Pumpの通常操作をユーザーまたはロールに認可ユーザーまたはロールからのOracle Data Pump認可の取消し

ユーザーまたはロールへのData Pumpのトランスポータブル・エクスポート操作およびトランスポータブル・インポート操作の認可

Oracle Data Pumpのトランスポータブル操作のユーザーへの認可についてData Pumpのトランスポータブル操作に対するDatabase Vault権限のレベルDatabase VaultにおけるData Pumpのトランスポータブル操作をユーザーまたはロールに認可トランスポータブル表領域認可のユーザーまたはロールからの取消し

Database Vault環境でのデータのエクスポートまたはインポートのガイドラインOracle Database VaultでのOracle Schedulerの使用

Oracle Database VaultでのOracle Schedulerの使用についてジョブ・スケジュール管理者へのDatabase Vaultの認可の付与ジョブ・スケジュール管理者からの権限の取消し

Oracle Database Vaultでの情報ライフサイクル管理の使用Oracle Database Vaultでの情報ライフサイクル管理の使用についてユーザーへのDatabase VaultでのILM操作の認可ユーザーからの情報ライフサイクル管理認可の取消し

Oracle Database VaultにおけるOracle Database Replayの使用Oracle Database VaultでのDatabase Replayの使用についてユーザーへのDatabase Replay操作の認可

ユーザーへのワークロード取得操作の認可ユーザーへのワークロード・リプレイ操作の認可

ユーザーからのDatabase Replay認可の取消しワークロード取得権限の取消しワークロード・リプレイ権限の取消し

Oracle Database Vaultでのプリプロセッサ・プログラムの実行Oracle Database Vaultでのプリプロセッサ・プログラムの実行についてユーザーへのプリプロセッサ・プログラム実行の認可ユーザーからのプリプロセッサ実行認可の取消し

Database Vault操作の制御を使用したローカルPDBデータへのマルチテナント共通ユー

11

ザー・アクセスの制限Database Vault操作の制御の使用について例外リストへの共通ユーザーおよびパッケージの追加の動作Database Vault操作の制御の有効化例外リストへの共通ユーザーおよびパッケージの追加例外リストからの共通ユーザーおよびパッケージの削除Database Vault操作の制御の無効化

Oracle Recovery ManagerとOracle Database VaultOracle Database VaultでXStreamを使用するための権限Oracle Database VaultでOracle GoldenGateを使用するための権限Oracle Database Vault環境でのデータ・マスキングの使用

Oracle Database Vaultが有効なデータベースでのデータ・マスキングについてデータ・ディクショナリ・レルム認可へのデータ・マスキング・ユーザーの追加マスクする表またはスキーマへのアクセス権のユーザーへの付与データ・マスキングの権限を制御するコマンド・ルールの作成

スタンドアロンのOracle DatabaseをPDBに変換してCDBにプラグインOracle Database Vault環境でのORADEBUGユーティリティの使用Oracle Database Vault環境でのパッチ操作の実行

13 Oracle Database Vaultのスキーマ、ロールおよびアカウントOracle Database Vaultスキーマ

DVSYSスキーマDVFスキーマ

Oracle Database VaultロールOracle Database VaultロールについてOracle Database Vaultロールの権限ユーザーへのOracle Database Vaultのロールの付与DV_OWNER Database Vault所有者ロールDV_ADMIN Database Vault構成管理者ロールDV_MONITOR Database Vault監視ロールDV_SECANALYST Database Vaultセキュリティ分析者ロールDV_AUDIT_CLEANUP監査証跡クリーンアップ・ロール

12

DV_DATAPUMP_NETWORK_LINK Data Pumpネットワーク・リンク・ロールDV_XSTREAM_ADMIN XStream管理ロールDV_GOLDENGATE_ADMIN GoldenGate管理ロールDV_GOLDENGATE_REDO_ACCESS GoldenGate REDOログ・ロールDV_PATCH_ADMIN Database Vaultデータベース・パッチ・ロールDV_ACCTMGR Database Vaultアカウント・マネージャ・ロールDV_REALM_OWNER Database VaultレルムDBAロールDV_REALM_RESOURCE Database Vaultアプリケーション・リソース所有者ロールDV_POLICY_OWNER Database Vault所有者ロールDV_PUBLIC Database Vault PUBLICロール

登録中に作成されるOracle Database VaultアカウントバックアップOracle Database Vaultアカウント

14 Oracle Database VaultレルムのAPIADD_AUTH_TO_REALMプロシージャADD_OBJECT_TO_REALMプロシージャCREATE_REALMプロシージャDELETE_AUTH_FROM_REALMプロシージャDELETE_OBJECT_FROM_REALMプロシージャDELETE_REALMプロシージャDELETE_REALM_CASCADEプロシージャRENAME_REALMプロシージャUPDATE_REALMプロシージャUPDATE_REALM_AUTHプロシージャ

15 Oracle Database Vaultルール・セットのAPIDBMS_MACADMルール・セットのプロシージャ

ADD_RULE_TO_RULE_SETプロシージャCREATE_RULEプロシージャCREATE_RULE_SETプロシージャDELETE_RULEプロシージャDELETE_RULE_FROM_RULE_SETプロシージャ

13

DELETE_RULE_SETプロシージャRENAME_RULEプロシージャRENAME_RULE_SETプロシージャUPDATE_RULEプロシージャUPDATE_RULE_SETプロシージャ

Oracle Database VaultのPL/SQLルール・セット・ファンクションDV_SYSEVENTファンクションDV_LOGIN_USERファンクションDV_INSTANCE_NUMファンクションDV_DATABASE_NAMEファンクションDV_DICT_OBJ_TYPEファンクションDV_DICT_OBJ_OWNERファンクションDV_DICT_OBJ_NAMEファンクションDV_SQL_TEXTファンクション

16 Oracle Database Vaultコマンド・ルールのAPICREATE_COMMAND_RULEプロシージャCREATE_CONNECT_COMMAND_RULEプロシージャCREATE_SESSION_EVENT_CMD_RULEプロシージャCREATE_SYSTEM_EVENT_CMD_RULEプロシージャDELETE_COMMAND_RULEプロシージャDELETE_CONNECT_COMMAND_RULEプロシージャDELETE_SESSION_EVENT_CMD_RULEプロシージャDELETE_SYSTEM_EVENT_CMD_RULEプロシージャUPDATE_COMMAND_RULEプロシージャUPDATE_CONNECT_COMMAND_RULEプロシージャUPDATE_SESSION_EVENT_CMD_RULEプロシージャUPDATE_SYSTEM_EVENT_CMD_RULEプロシージャ

17 Oracle Database VaultファクタのAPIDBMS_MACADMファクタのプロシージャおよびファンクション

ADD_FACTOR_LINKプロシージャADD_POLICY_FACTORプロシージャ

14

CHANGE_IDENTITY_FACTORプロシージャCHANGE_IDENTITY_VALUEプロシージャCREATE_DOMAIN_IDENTITYプロシージャCREATE_FACTORプロシージャCREATE_FACTOR_TYPEプロシージャCREATE_IDENTITYプロシージャCREATE_IDENTITY_MAPプロシージャDELETE_FACTORプロシージャDELETE_FACTOR_LINKプロシージャDELETE_FACTOR_TYPEプロシージャDELETE_IDENTITYプロシージャDELETE_IDENTITY_MAPプロシージャDROP_DOMAIN_IDENTITYプロシージャGET_SESSION_INFOファンクションGET_INSTANCE_INFOファンクションRENAME_FACTORプロシージャRENAME_FACTOR_TYPEプロシージャUPDATE_FACTORプロシージャUPDATE_FACTOR_TYPEプロシージャUPDATE_IDENTITYプロシージャ

Oracle Database VaultランタイムのPL/SQLプロシージャおよびファンクションOracle Database VaultランタイムのPL/SQLプロシージャおよびファンクションについてSET_FACTORプロシージャGET_FACTORファンクションGET_FACTOR_LABELファンクションGET_TRUST_LEVELファンクションGET_TRUST_LEVEL_FOR_IDENTITYファンクションROLE_IS_ENABLEDファンクション

Oracle Database VaultのDVF PL/SQLファクタ・ファンクションOracle Database Vault DVF PL/SQLファクタ・ファンクションについて

15

ファンクションF$CLIENT_IPファンクションF$DATABASE_DOMAINファンクションF$DATABASE_HOSTNAMEファンクションF$DATABASE_INSTANCEファンクションF$DATABASE_IPファンクションF$DATABASE_NAMEファンクションF$DOMAINファンクションF$DV$CLIENT_IDENTIFIERファンクションF$DV$DBLINK_INFOファンクションF$DV$MODULEファンクションF$ENTERPRISE_IDENTITYファンクションF$IDENTIFICATION_TYPEファンクションF$LANGファンクションF$LANGUAGEファンクションF$MACHINEファンクションF$NETWORK_PROTOCOLファンクションF$PROXY_ENTERPRISE_IDENTITYファンクションF$PROXY_USERファンクションF$SESSION_USERファンクション

18 Oracle Database Vaultセキュア・アプリケーション・ロールのAPIDBMS_MACADMセキュア・アプリケーション・ロールのプロシージャ

CREATE_ROLEプロシージャDELETE_ROLEプロシージャRENAME_ROLEプロシージャUPDATE_ROLEプロシージャ

DBMS_MACSEC_ROLESセキュア・アプリケーション・ロールのプロシージャおよびファンクション

CAN_SET_ROLEファンクションSET_ROLEプロシージャ

19 Oracle Database Vault Oracle Label SecurityのAPI

F$AUTHENTICATION_METHOD

16

プロシージャCREATE_POLICY_LABELプロシージャDELETE_MAC_POLICY_CASCADEプロシージャDELETE_POLICY_FACTORプロシージャDELETE_POLICY_LABELプロシージャUPDATE_MAC_POLICYプロシージャ

20 Oracle Database VaultユーティリティのAPIDBMS_MACUTLの定数

DBMS_MACUTLの定数のリスト例: DBMS_MACUTLの定数を使用したレルムの作成例: DBMS_MACUTLの定数を使用したルール・セットの作成例: DBMS_MACUTLの定数を使用したファクタの作成

DBMS_MACUTLパッケージのプロシージャおよびファンクションCHECK_DVSYS_DML_ALLOWEDプロシージャGET_CODE_VALUEファンクションGET_SECONDファンクションGET_MINUTEファンクションGET_HOURファンクションGET_DAYファンクションGET_MONTHファンクションGET_YEARファンクションIS_ALPHAファンクションIS_DIGITファンクションIS_DVSYS_OWNERファンクションIS_OLS_INSTALLEDファンクションIS_OLS_INSTALLED_VARCHARファンクションROLE_GRANTED_ENABLED_VARCHARファンクションUSER_HAS_OBJECT_PRIVILEGEファンクションUSER_HAS_ROLEファンクションUSER_HAS_ROLE_VARCHARファンクションUSER_HAS_SYSTEM_PRIVILEGEファンクション

CREATE_MAC_POLICY

17

21 Oracle Database Vaultの一般管理APIDBMS_MACADM一般システム・メンテナンスのプロシージャ

ADD_APP_EXCEPTIONプロシージャADD_NLS_DATAプロシージャAUTHORIZE_DATAPUMP_USERプロシージャAUTHORIZE_DBCAPTUREプロシージャAUTHORIZE_DBREPLAYプロシージャAUTHORIZE_DDLプロシージャAUTHORIZE_MAINTENANCE_USERプロシージャAUTHORIZE_PREPROCESSORプロシージャAUTHORIZE_PROXY_USERプロシージャAUTHORIZE_SCHEDULER_USERプロシージャAUTHORIZE_TTS_USERプロシージャDELETE_APP_EXCEPTIONプロシージャDISABLE_APP_PROTECTIONプロシージャDISABLE_DVプロシージャDISABLE_DV_DICTIONARY_ACCTSプロシージャDISABLE_DV_PATCH_ADMIN_AUDITプロシージャDISABLE_ORADEBUGプロシージャENABLE_APP_PROTECTIONプロシージャENABLE_DVプロシージャENABLE_DV_DICTIONARY_ACCTSプロシージャENABLE_DV_PATCH_ADMIN_AUDITプロシージャENABLE_ORADEBUGプロシージャUNAUTHORIZE_DATAPUMP_USERプロシージャUNAUTHORIZE_DBCAPTUREプロシージャUNAUTHORIZE_DBREPLAYプロシージャUNAUTHORIZE_DDLプロシージャUNAUTHORIZE_MAINTENANCE_USERプロシージャUNAUTHORIZE_PREPROCESSORプロシージャUNAUTHORIZE_PROXY_USERプロシージャ

18

UNAUTHORIZE_SCHEDULER_USERプロシージャUNAUTHORIZE_TTS_USERプロシージャ

CONFIGURE_DVの一般システム・メンテナンス・プロシージャ22 Oracle Database VaultポリシーのAPI

ADD_CMD_RULE_TO_POLICYプロシージャADD_OWNER_TO_POLICYプロシージャADD_REALM_TO_POLICYプロシージャCREATE_POLICYプロシージャDELETE_CMD_RULE_FROM_POLICYプロシージャDELETE_OWNER_FROM_POLICYプロシージャDELETE_REALM_FROM_POLICYプロシージャDROP_POLICYプロシージャRENAME_POLICYプロシージャUPDATE_POLICY_DESCRIPTIONプロシージャUPDATE_POLICY_STATEプロシージャ

23 Oracle Database VaultのAPIリファレンスDBMS_MACADM PL/SQLパッケージの内容DBMS_MACSEC_ROLES PL/SQLパッケージの内容DBMS_MACUTL PL/SQLパッケージの内容CONFIGURE_DV PL/SQLプロシージャDVF PL/SQLインタフェースの内容

24 Oracle Database Vaultのデータ・ディクショナリ・ビューOracle Database Vaultのデータ・ディクショナリ・ビューについてCDB_DV_STATUSビューDBA_DV_APP_EXCEPTIONビューDBA_DV_CODEビューDBA_DV_COMMAND_RULEビューDBA_DV_DATAPUMP_AUTHビューDBA_DV_DBCAPTURE_AUTHビューDBA_DV_DBREPLAYビューDBA_DV_DDL_AUTHビュー

19

DBA_DV_DICTIONARY_ACCTSビューDBA_DV_FACTORビューDBA_DV_FACTOR_TYPEビューDBA_DV_FACTOR_LINKビューDBA_DV_IDENTITYビューDBA_DV_IDENTITY_MAPビューDBA_DV_JOB_AUTHビューDBA_DV_MAC_POLICYビューDBA_DV_MAC_POLICY_FACTORビューDBA_DV_MAINTENANCE_AUTHビューDBA_DV_ORADEBUGビューDBA_DV_PATCH_ADMIN_AUDITビューDBA_DV_POLICYビューDBA_DV_POLICY_LABELビューDBA_DV_POLICY_OBJECTビューDBA_DV_POLICY_OWNERビューDBA_DV_PREPROCESSOR_AUTHビューDBA_DV_PROXY_AUTHビューDBA_DV_PUB_PRIVSビューDBA_DV_REALMビューDBA_DV_REALM_AUTHビューDBA_DV_REALM_OBJECTビューDBA_DV_ROLEビューDBA_DV_RULEビューDBA_DV_RULE_SETビューDBA_DV_RULE_SET_RULEビューDBA_DV_SIMULATION_LOGビューDBA_DV_STATUSまたはSYS.DBA_DV_STATUSビューDBA_DV_TTS_AUTHビューDBA_DV_USER_PRIVSビューDBA_DV_USER_PRIVS_ALLビュー

20

DVSYS.DV$CONFIGURATION_AUDITビューDVSYS.DV$ENFORCEMENT_AUDITビューDVSYS.DV$REALMビューDVSYS.POLICY_OWNER_COMMAND_RULEビューDVSYS.POLICY_OWNER_POLICYビューDVSYS.POLICY_OWNER_REALMビューDVSYS.POLICY_OWNER_REALM_AUTHビューDVSYS.POLICY_OWNER_REALM_OBJECTビューDVSYS.POLICY_OWNER_RULEビューDVSYS.POLICY_OWNER_RULE_SETビューDVSYS.POLICY_OWNER_RULE_SET_RULEビューAUDSYS.DV$CONFIGURATION_AUDITビューAUDSYS.DV$ENFORCEMENT_AUDITビュー

25 Oracle Database Vaultの監視Oracle Database Vaultの監視についてセキュリティ違反と構成変更の監視

26 Oracle Database VaultレポートOracle Database VaultレポートについてOracle Database Vaultレポートを実行できるユーザーOracle Database Vaultレポートの実行Oracle Database Vault構成の問題のレポート

「コマンド・ルール構成の問題」レポート「ルール・セット構成の問題」レポート「レルム認可構成の問題」レポート「ファクタ構成の問題」レポート「アイデンティティのないファクタ」レポート「アイデンティティ構成の問題」レポート「セキュア・アプリケーション構成の問題」レポート

Oracle Database Vaultの監査レポート「レルムの監査」レポート「コマンド・ルールの監査」レポート

21

「ファクタの監査」レポート「Label Security統合の監査」レポート「コアDatabase Vault監査証跡」レポート「セキュア・アプリケーション・ロールの監査」レポート

Oracle Database Vaultの一般セキュリティ・レポートオブジェクト権限レポート

「PUBLICでのオブジェクト・アクセス」レポート「PUBLIC以外でのオブジェクト・アクセス」レポート「直接オブジェクト権限」レポート「オブジェクトの依存性」レポート

データベース・アカウントのシステム権限レポート「データベース・アカウントごとの直接システム権限」レポート「データベース・アカウントごとの直接および間接システム権限」レポート「データベース・アカウントごとの階層システム権限」レポート「データベース・アカウントのANYシステム権限」レポート「権限ごとのシステム権限」レポート

機密オブジェクト・レポート「強力なSYSパッケージに対するEXECUTE権限」レポート「機密オブジェクトへのアクセス」レポート「SYS PL/SQLプロシージャに対するPUBLIC EXECUTE権限」レポート「SYSDBA/SYSOPER権限を持つアカウント」レポート

権限管理 - サマリー・レポート「権限受領者ごとの権限の配布」レポート「権限受領者、所有者ごとの権限の配布」レポート「権限受領者、所有者、権限ごとの権限の配布」レポート

強力なデータベース・アカウントおよびロールのレポート「WITH ADMIN権限の付与」レポート「DBAロールを持つアカウント」レポート「セキュリティ・ポリシー除外」レポート「BECOME USER」レポート

22

またはレポート「パスワード履歴へのアクセス」レポートWITH GRANT権限レポート「指定されたロールを持つロールとアカウント」レポート「カタログ・ロールを持つデータベース・アカウント」レポート「AUDIT権限」レポート「OSセキュリティ脆弱性に関する権限」レポート

初期化パラメータおよびプロファイルのレポート「セキュリティ関連のデータベース・パラメータ」レポート「リソース・プロファイル」レポート「システム・リソース制限」レポート

データベース・アカウント・パスワードのレポート「データベース・アカウントのデフォルト・パスワード」レポート「データベース・アカウントのステータス」レポート

セキュリティ監査レポート: コア・データベース監査レポートその他のセキュリティ脆弱性レポート

「Javaポリシーの付与」レポート「OSディレクトリ・オブジェクト」レポート「動的SQLに依存するオブジェクト」レポートアンラップされたPL/SQLパッケージ本体レポート「ユーザーまたはパスワード表」レポート「表領域割当て制限」レポート「所有者でないオブジェクトのトリガー」レポート

A Oracle Database Vaultの監査Oracle Database Vaultでの監査についてOracle Database Vault環境での統合監査証跡の保護Oracle Database Vault固有の監査イベント

Oracle Database Vaultポリシーの監査イベントOracle Database Vault監査証跡レコードの書式

Oracle Database Vault監査証跡のアーカイブおよびパージOracle Database Vault監査証跡のアーカイブおよびパージについて

ALTER SYSTEM ALTER SESSION

23

Oracle Database Vault監査証跡のアーカイブOracle Database Vault監査証跡のパージ

Oracle Database Vault用に作成されるOracle Database監査設定B Oracle Database Vaultの無効化および有効化

Oracle Database Vaultを無効にする必要がある場合ステップ1: Oracle Database Vaultの無効化ステップ2: 必要なタスクの実行ステップ3: Oracle Database Vaultの有効化

C Oracle Database Vaultのインストール後の手順Oracle RACノードでのOracle Database Vaultの構成Oracle Database Vaultへの言語の追加Oracle Database VaultのアンインストールOracle Database Vaultの再インストール

D Oracle Database Vaultセキュリティ・ガイドライン職務分離のガイドライン

Oracle Database Vaultによる職務分離の処理Oracle Database Vault環境でのタスクの分離Oracle Database Vaultの職務分離マトリクスデータベース・ユーザーのタスクの識別および文書化

Oracle Database管理アカウントの管理一般的な管理目的のためのSYSTEMユーザー・アカウントアプリケーション表のSYSTEMスキーマSYSDBA管理権限の制限Oracle Database Vaultへのルートおよびオペレーティング・システムのアクセス

Oracle Database Vaultによって信頼されるアカウントおよびロール信頼できる人物に制限する必要のあるアカウントおよびロール

オペレーティング・システムへのルート・アクセス権を持つユーザーの管理Oracleソフトウェア所有者の管理SYSDBAアクセスの管理SYSOPERアクセスの管理

Oracle Database Vaultを本番環境で使用するためのガイドライン

24

セキュアな構成のガイドライン一般的なセキュア構成のガイドラインUTL_FILEおよびDBMS_FILE_TRANSFERパッケージのセキュリティの考慮事項

UTL_FILEおよびDBMS_FILE_TRANSFERパッケージのセキュリティの考慮事項についてDBMS_FILE_TRANFERパッケージへのアクセスの保護例: CREATE DATABASE LINKへのアクセスを拒否するコマンド・ルールの作成例: CREATE DATABASE LINKへのアクセスを有効にするコマンド・ルールの作成例: CREATE DIRECTORYへのアクセスを無効および有効にするコマンド・ルール

CREATE ANY JOB権限のセキュリティの考慮事項CREATE EXTERNAL JOB権限のセキュリティの考慮事項LogMinerパッケージのセキュリティの考慮事項ALTER SYSTEMおよびALTER SESSION権限のセキュリティの考慮事項

ALTER SYSTEMおよびALTER SESSION権限のセキュリティの考慮事項について例: 既存のALTER SYSTEMコマンド・ルールへのルールの追加

E Oracle Database Vaultのトラブルシューティングトレース・ファイルを使用したOracle Database Vaultイベントの診断

トレース・ファイルを使用したOracle Database Vaultイベントの診断についてOracle Database Vaultで追跡できるトレース・イベントと追跡できないイベントのタイプOracle Database Vaultトレース・イベントのレベルOracle Database Vaultトレース・ファイルを有効にしたときのパフォーマンスへの影響Oracle Database Vaultトレース・イベントの有効化

現在のデータベース・セッションに対するトレース・イベントの有効化すべてのデータベース・セッションに対するトレース・イベントの有効化マルチテナント環境でのトレース・イベントの有効化

Oracle Database Vaultトレース・ファイル・データの検索Database Vaultトレース・ファイルのディレクトリの場所の検索

25

Linuxのgrepコマンドを使用してトレース・ファイルから文字列を検索ADRコマンド・インタプリタ(ADRCI)ユーティリティを使用してトレース・ファイルを問合せ

例: 低レベルのOracle Database Vaultレルム違反を示すトレース・ファイル例: 高レベルのトレースを有効にしたOracle Database Vault権限例: レルム保護されたオブジェクトに対する違反の最高レベルのトレースOracle Database Vaultトレース・イベントの無効化

現在のデータベース・セッションに対するトレース・イベントの無効化すべてのデータベース・セッションに対するトレース・イベントの無効化マルチテナント環境でのトレース・イベントの無効化

一般的な診断のヒントOracle Database Vaultコンポーネントにかかわる構成の問題Oracle Database Vaultのアカウント・パスワードのリセット

DV_OWNERユーザー・パスワードのリセットDV_ACCTMGRユーザー・パスワードのリセット

索引

About Oracle Contact Us Products A-Z Terms of Use & Privacy Ad Choices

このページは役に立ちましたか?

26

https://www.oracle.com/corporate/index.htmlhttps://www.oracle.com/corporate/contact/https://docs.oracle.com/en/browseall.htmlhttps://www.oracle.com/legal/privacy/https://www.oracle.com/legal/privacy/marketing-cloud-data-cloud-privacy-policy.html#12

Release 19

管理者ガイド

図一覧1-1 DBAによるデータへのアクセスのOracle Database Vaultレルムによるブロッキング

1-2 Oracle Database Vaultのセキュリティ

1-3 標準モードでのマルチテナント環境におけるOracle Database Vault

4-1 レルムおよびレルム所有者に対する認可の動作

11-1 暗号化されたデータとOracle Database Vault

13-1 Oracle Database Vaultロールの分類方法

27




28


Release 19

管理者ガイド

表一覧1-1 潜在的なセキュリティの脅威に対応している規制

2-1 変更されるデータベース初期化パラメータ設定

2-2 Oracle Database Vaultで取り消される権限

4-1 レルムに関連するレポート

4-2 レルムに使用されるデータ・ディクショナリ・ビュー

5-1 Oracle Database Vaultの現在のデフォルト・ルール

5-2 ルール・セットに関連するレポート

5-3 ルールおよびルール・セットに使用されるデータ・ディクショナリ・ビュー

6-1 デフォルトのコマンド・ルール

6-2 コマンド・ルールに関連するレポート

7-1 ファクタおよびアイデンティティに関連するレポート

7-2 ファクタおよびファクタ・アイデンティティに使用されるデータ・ディクショナリ・ビュー

8-1 セキュア・アプリケーション・ロールに関連するレポート

9-1 Oracle Database Vaultポリシーのために使用されるデータ・ディクショナリ・ビュー

11-1 Oracle Database Vault-Oracle Label Security統合に関連するレポート

11-2 Oracle Label Securityに使用されるデータ・ディクショナリ・ビュー

12-1 Oracle Data Pumpの通常操作に対する権限のレベル

12-2 Oracle Data Pumpのトランスポータブル操作に対する権限のレベル

13-1 Oracle Database Vaultで使用されるデータベース・アカウント

13-2 Oracle Database Vaultのモデル・データベース・アカウント

14-1 ADD_AUTH_TO_REALMのパラメータ

29


14-2 ADD_OBJECT_TO_REALMのパラメータ

14-3 CREATE_REALMのパラメータ

14-4 DELETE_AUTH_FROM_REALMのパラメータ

14-5 DELETE_OBJECT_FROM_REALMのパラメータ

14-6 DELETE_REALMのパラメータ

14-7 DELETE_REALM_CASCADEのパラメータ

14-8 RENAME_REALMのパラメータ

14-9 UPDATE_REALMのパラメータ

14-10 UPDATE_REALM_AUTHのパラメータ

15-1 ADD_RULE_TO_RULE_SETのパラメータ

15-2 CREATE_RULEのパラメータ

15-3 CREATE_RULE_SETのパラメータ

15-4 DELETE_RULEのパラメータ

15-5 DELETE_RULE_FROM_RULE_SETのパラメータ

15-6 DELETE_RULE_SETのパラメータ

15-7 RENAME_RULEのパラメータ

15-8 RENAME_RULE_SETのパラメータ

15-9 UPDATE_RULEのパラメータ

15-10 UPDATE_RULE_SETのパラメータ

16-1 CREATE_COMMAND_RULEのパラメータ

16-2 ALTER SYSTEMコマンド・ルール設定

16-3 ALTER SESSIONコマンド・ルール設定

16-4 CREATE_CONNECT_COMMAND_RULEのパラメータ

16-5 CREATE_SESSION_EVENT_CMD_RULEのパラメータ

16-6 CREATE_SYSTEM_EVENT_CMD_RULEのパラメータ

16-7 DELETE_COMMAND_RULEのパラメータ

16-8 DELETE_CONNECT_COMMAND_RULEのパラメータ

16-9 DELETE_SESSION_EVENT_CMD_RULEのパラメータ

16-10 DELETE_SYSTEM_EVENT_CMD_RULEのパラメータ

16-11 UPDATE_COMMAND_RULEのパラメータ

30

16-12 UPDATE_CONNECT_COMMAND_RULEのパラメータ

16-13 UPDATE_SESSION_EVENT_CMD_RULEのパラメータ

16-14 UPDATE_SYSTEM_EVENT_CMD_RULEのパラメータ

17-1 ADD_FACTOR_LINKのパラメータ

17-2 ADD_POLICY_FACTORのパラメータ

17-3 CHANGE_IDENTITY_FACTORのパラメータ

17-4 CHANGE_IDENTITY_VALUEのパラメータ

17-5 CREATE_DOMAIN_IDENTITYのパラメータ

17-6 CREATE_FACTORのパラメータ

17-7 CREATE_FACTOR_TYPEのパラメータ

17-8 CREATE_IDENTITYパラメータ

17-9 CREATE_IDENTITY_MAPのパラメータ

17-10 DELETE_FACTORのパラメータ

17-11 DELETE_FACTOR_LINKのパラメータ

17-12 DELETE_FACTOR_TYPEパラメータ

17-13 DELETE_IDENTITYパラメータ

17-14 DELETE_IDENTITY_MAPのパラメータ

17-15 DROP_DOMAIN_IDENTITYのパラメータ

17-16 GET_SESSION_INFOのパラメータ

17-17 GET_INSTANCE_INFOのパラメータ

17-18 RENAME_FACTORのパラメータ

17-19 RENAME_FACTOR_TYPEのパラメータ

17-20 UPDATE_FACTOR

17-21 UPDATE_FACTOR_TYPEのパラメータ

17-22 UPDATE_IDENTITYのパラメータ

17-23 SET_FACTORのパラメータ

17-24 GET_FACTORのパラメータ

17-25 GET_FACTOR_LABELのパラメータ

17-26 GET_TRUST_LEVELのパラメータ

17-27 GET_TRUST_LEVEL_FOR_IDENTITYのパラメータ

31

17-28 ROLE_IS_ENABLEDのパラメータ

18-1 CREATE_ROLEパラメータ

18-2 DELETE_ROLEパラメータ

18-3 RENAME_ROLEパラメータ

18-4 UPDATE_ROLEパラメータ

18-5 CAN_SET_ROLEパラメータ

18-6 SET_ROLEパラメータ

19-1 CREATE_MAC_POLICYパラメータ

19-2 Oracle Label Securityマージ・アルゴリズム・コード

19-3 CREATE_POLICY_LABELのパラメータ

19-4 DELETE_MAC_POLICY_CASCADEのパラメータ

19-5 DELETE_POLICY_FACTORパラメータ

19-6 DELETE_POLICY_LABELパラメータ

19-7 UPDATE_MAC_POLICY

20-1 DBMS_MACUTLの定数のリスト

20-2 CHECK_DVSYS_DML_ALLOWEDのパラメータ

20-3 GET_CODE_VALUEのパラメータ

20-4 GET_SECONDのパラメータ

20-5 GET_MINUTEのパラメータ

20-6 GET_HOURのパラメータ

20-7 GET_DAYのパラメータ

20-8 GET_MONTHのパラメータ

20-9 GET_YEARのパラメータ

20-10 IS_ALPHAのパラメータ

20-11 IS_DIGITのパラメータ

20-12 IS_DVSYS_OWNERパラメータ

20-13 ROLE_GRANTED_ENABLED_VARCHARパラメータ

20-14 USER_HAS_OBJECT_PRIVILEGEパラメータ

20-15 USER_HAS_ROLEパラメータ

20-16 USER_HAS_ROLE_VARCHARのパラメータ

32

20-17 USER_HAS_SYSTEM_PRIVILEGEのパラメータ

21-1 ADD_APP_EXCEPTION

21-2 ADD_NLS_DATA

21-3 AUTHORIZE_DATAPUMP_USER

21-4 AUTHORIZE_DBCAPTURE

21-5 AUTHORIZE_DBREPLAY

21-6 AUTHORIZE_DDL

21-7 AUTHORIZE_MAINTENANCE_USER

21-8 AUTHORIZE_PREPROCESSOR

21-9 AUTHORIZE_PROXY_USER

21-10 AUTHORIZE_SCHEDULER_USER

21-11 AUTHORIZE_TTS_USER

21-12 DELETE_APP_EXCEPTION

21-13 DISABLE_APP_PROTECTION

21-14 ENABLE_APP_PROTECTION

21-15 ENABLE_DV

21-16 UNAUTHORIZE_DATAPUMP_USER

21-17 UNAUTHORIZE_DBCAPTURE

21-18 UNAUTHORIZE_DBREPLAY

21-19 UNAUTHORIZE_DDL

21-20 UNAUTHORIZE_MAINTENANCE_USER

21-21 UNAUTHORIZE_PREPROCESSOR

21-22 UNAUTHORIZE_PROXY_USER

21-23 UNAUTHORIZE_SCHEDULER_USER

21-24 UNAUTHORIZE_TTS_USER

21-25 CONFIGURE_DV

22-1 ADD_CMD_RULE_TO_POLICYパラメータ

22-2 ADD_OWNER_TO_POLICYパラメータ

22-3 ADD_REALM_TO_POLICYパラメータ

22-4 CREATE_POLICYのパラメータ

33

22-5 DELETE_CMD_RULE_FROM_POLICYパラメータ

22-6 DELETE_OWNER_FROM_POLICYパラメータ

22-7 DELETE_REALM_FROM_POLICYパラメータ

22-8 DROP_POLICYのパラメータ

22-9 RENAME_POLICYのパラメータ

22-10 UPDATE_POLICY_DESCRIPTIONパラメータ

22-11 UPDATE_POLICY_STATEパラメータ

23-1 DBMS_MACADMのレルム・プロシージャ

23-2 DBMS_MACADMのルール・セット・プロシージャとルール・プロシージャ

23-3 DBMS_MACADMのコマンド・ルール・プロシージャ

23-4 DBMS_MACADMファクタのプロシージャおよびファンクション

23-5 DBMS_MACADMセキュア・アプリケーション・ロールのプロシージャ

23-6 DBMS_MACADMのOracle Label Securityプロシージャ

23-7 DBMS_MACADMのDatabase Vaultポリシー・プロシージャ

23-8 DBMS_MACADMの一般管理プロシージャ

23-9 DBMS_MACSEC_ROLES PL/SQLパッケージの内容

23-10 DBMS_MACUTL PL/SQLパッケージの内容

23-11 DVF PL/SQLインタフェースの内容

24-1 DBA_DV_CODEビューのCODE_GROUPの値

24-2 DBA_DV_SIMULATION_LOG VIOLATION_TYPEコード値

24-3 DVSYS.DV$CONFIGURATION_AUDITビューのACTIONの値

24-4 DVSYS.DV$ENFORCEMENT_AUDITビューのACTIONの値

A-1 Oracle Database Vault監査証跡の書式

A-2 Oracle Database VaultによりOracle Databaseに追加される監査ポリシーの設定

D-1 職務分離マトリクスの例

D-2 アプリケーション保護マトリクスの例

D-3 信頼できるOracle Database Vaultロールおよび権限

E-1 Oracle Database Vaultトレース・ファイルの内容

34



35


Release 19

管理者ガイド

Oracle® Database Vault管理者ガイド

19c

F16132-05(原本部品番号:E96302-12)

2020年7月

タイトルおよび著作権情報

Oracle Database Vault管理者ガイド, 19c

F16132-05

Copyright © 1996, 2020, Oracle and/or its affiliates.

原本著者: Patricia Huey

原本協力者: Taousif Ansari、Tom Best、Sanjay Bharadwaj、Ji-won Byun、Martin Cheng、Chi ChingChui、Scott Gaetjen、Viksit Gaur、Rishabh Gupta、Lijie Heng、Dominique Jeunot、PeterKnaggs、Suman Kumar、Chon Lee、Rudregowda Mallegowda、Yi Ouyang、HozefaPalitanawala、Gayathri Sairamkrishnan、Vipin Samar、James Spiller、Srividya Tata、KamalTbeileh、Saravana Soundararajan、Sudheesh Varma、Peter Wahl、Alan Williams

このソフトウェアおよび関連ドキュメントの使用と開示は、ライセンス契約の制約条件に従うものとし、知的財産に関する法律により保護されています。ライセンス契約で明示的に許諾されている場合もしくは法律によって認められている場合を除き、形式、手段に関係なく、いかなる部分も使用、複写、複製、翻訳、放送、修正、ライセンス供与、送信、配布、発表、実行、公開または表示することはできません。このソフトウェアのリバース・エンジニアリング、逆アセンブル、逆コンパイルは互換性のために法律によって規定されている場合を除き、禁止されています。

36


ここに記載された情報は予告なしに変更される場合があります。また、誤りが無いことの保証はいたしかねます。誤りを見つけた場合は、オラクル社までご連絡ください。

このソフトウェアまたは関連ドキュメントを、米国政府機関もしくは米国政府機関に代わってこのソフトウェアまたは関連ドキュメントをライセンスされた者に提供する場合は、次の通知が適用されます。

U.S. GOVERNMENT END USERS: Oracle programs (including any operating system, integrated software,any programs embedded, installed or activated on delivered hardware, and modifications of such programs)and Oracle computer documentation or other Oracle data delivered to or accessed by U.S. Government endusers are "commercial computer software" or “commercial computer software documentation” pursuant tothe applicable Federal Acquisition Regulation and agency-specific supplemental regulations.As such, theuse, reproduction, duplication, release, display, disclosure, modification, preparation of derivative works,and/or adaptation of i) Oracle programs (including any operating system, integrated software, any programsembedded, installed or activated on delivered hardware, and modifications of such programs), ii) Oraclecomputer documentation and/or iii) other Oracle data, is subject to the rights and limitations specified in thelicense contained in the applicable contract.The terms governing the U.S. Government’s use of Oracle cloudservices are defined by the applicable contract for such services.No other rights are granted to the U.S.Government.

このソフトウェアもしくはハードウェアは様々な情報管理アプリケーションでの一般的な使用のために開発されたものです。このソフトウェアもしくはハードウェアは、危険が伴うアプリケーション(人的傷害を発生させる可能性があるアプリケーションを含む)への用途を目的として開発されていません。このソフトウェアもしくはハードウェアを危険が伴うアプリケーションで使用する際、安全に使用するために、適切な安全装置、バックアップ、冗長性(redundancy)、その他の対策を講じることは使用者の責任となります。このソフトウェアもしくはハードウェアを危険が伴うアプリケーションで使用したことに起因して損害が発生しても、オラクル社およびその関連会社は一切の責任を負いかねます。

OracleおよびJavaはOracle およびその関連企業の登録商標です。その他の名称は、それぞれの所有者の商標または登録商標です。

Intel、Intel Insideは、Intel Corporationの商標または登録商標です。すべてのSPARCの商標はライセンスをもとに使用し、SPARC International, Inc.の商標または登録商標です。AMD、Epyc、AMDロゴは、Advanced Micro Devices, Inc.の商標または登録商標です。UNIXは、The Open Groupの登録商標です。

このソフトウェアまたはハードウェア、そしてドキュメントは、第三者のコンテンツ、製品、サービスへのアクセス、あるいはそれらに関する情報を提供することがあります。適用されるお客様とOracle Corporationとの間の契約に別段の定めがある場合を除いて、Oracle Corporationおよびその関連会社は、第三者のコンテンツ、製品、サービスに関して一切の責任を負わず、いかなる保証もいたしません。適用されるお客様とOracle Corporationとの間の契約に定めがある場合を除いて、Oracle Corporationおよびその関連会社は、第三者のコンテンツ、製品、サービスへのアクセス

37

または使用によって損失、費用、あるいは損害が発生しても一切の責任を負いかねます。



38


Release 19

管理者ガイド

はじめに『Oracle Database Vault管理者ガイド』では、Oracle Database Vaultを使用したOracleデータベース環境におけるアクセス制御ベースのセキュリティの構成方法について説明します。

対象読者

ドキュメントのアクセシビリティについて

関連ドキュメント

表記規則

対象読者このマニュアルは、セキュリティ管理者、監査管理者、ラベル管理者、およびOracle DatabaseVaultの構成を担当するOracleデータベース管理者(DBA)を対象としています。

親トピック: はじめに

ドキュメントのアクセシビリティについてOracleのアクセシビリティについての詳細情報は、Oracle Accessibility ProgramのWebサイト(http://www.oracle.com/pls/topic/lookup?ctx=acc&id=docacc)を参照してください。

Oracleサポートへのアクセス

サポートを購入したオラクル社のお客様は、My Oracle Supportを介して電子的なサポートにアクセスできます。詳細情報は(http://www.oracle.com/pls/topic/lookup?ctx=acc&id=info)か、聴覚に障害のあるお客様は(http://www.oracle.com/pls/topic/lookup?ctx=acc&id=trs)を参照してください。


39

file:///C/Oracle_Work/SysPDF/FY21Q2_Sysdoc/1218end/index.htmlhttp://www.oracle.com/pls/topic/lookup?ctx=acc&id=docacchttp://www.oracle.com/pls/topic/lookup?ctx=acc&id=infohttp://www.oracle.com/pls/topic/lookup?ctx=acc&id=trshttps://www.oracle.com/

関連ドキュメント詳細は、次のマニュアルを参照してください。

『Oracle Databaseセキュリティ・ガイド』

Oracle Label Security管理者ガイド

Oracle Database管理者ガイド

Oracle Database SQL言語リファレンス

Oracle Multitenant管理者ガイド

Oracle Technology Network (OTN)

リリース・ノート、インストール関連ドキュメント、ホワイト・ペーパーまたはその他の関連ドキュメントは、Oracle Technology Network (OTN)から、無償でダウンロードできます。すでにOTNのユーザー名およびパスワードを取得している場合は、次の場所でOTN Webサイトのドキュメントのセクションに直接接続できます。

http://www.oracle.com/technetwork/database/security/index.html

セキュリティ固有の情報は、OTNを参照してください。

http://www.oracle.com/technetwork/topics/security/whatsnew/index.html

このマニュアルを含むOracleマニュアルの最新バージョンは、次の場所を参照してください。

http://www.oracle.com/technetwork/documentation/index.html

Oracle Database Vault固有のサイト

Oracle Database Vaultに関するOTN情報は、次のサイトにアクセスしてください。

http://www.oracle.com/us/products/database/options/database-

vault/overview/index.html

Oracle Database Vaultに関するよくある質問は、次のサイトにアクセスしてください。

http://www.oracle.com/technetwork/database/options/oracle-database-vault-

external-faq-2032888.pdf

Oracle Store

印刷されたマニュアルは次の場所のOracle Storeで入手できます。

https://shop.oracle.com

40

https://docs.oracle.com/pls/topic/lookup?ctx=en/database/oracle/oracle-database/19/dvadm&id=DBSEGhttps://docs.oracle.com/pls/topic/lookup?ctx=en/database/oracle/oracle-database/19/dvadm&id=DBSEGhttps://docs.oracle.com/pls/topic/lookup?ctx=en/database/oracle/oracle-database/19/dvadm&id=DBSEGhttps://docs.oracle.com/pls/topic/lookup?ctx=en/database/oracle/oracle-database/19/dvadm&id=OLSAGhttps://docs.oracle.com/pls/topic/lookup?ctx=en/database/oracle/oracle-database/19/dvadm&id=OLSAGhttps://docs.oracle.com/pls/topic/lookup?ctx=en/database/oracle/oracle-database/19/dvadm&id=ADMINhttps://docs.oracle.com/pls/topic/lookup?ctx=en/database/oracle/oracle-database/19/dvadm&id=ADMINhttps://docs.oracle.com/pls/topic/lookup?ctx=en/database/oracle/oracle-database/19/dvadm&id=SQLRFhttps://docs.oracle.com/pls/topic/lookup?ctx=en/database/oracle/oracle-database/19/dvadm&id=SQLRFhttps://docs.oracle.com/pls/topic/lookup?ctx=en/database/oracle/oracle-database/19/dvadm&id=MULTIhttps://docs.oracle.com/pls/topic/lookup?ctx=en/database/oracle/oracle-database/19/dvadm&id=MULTIhttp://www.oracle.com/technetwork/database/security/index.htmlhttp://www.oracle.com/technetwork/topics/security/whatsnew/index.htmlhttp://www.oracle.com/technetwork/documentation/index.htmlhttp://www.oracle.com/us/products/database/options/database-vault/overview/index.htmlhttp://www.oracle.com/us/products/database/options/database-vault/overview/index.htmlhttp://www.oracle.com/technetwork/database/options/oracle-database-vault-external-faq-2032888.pdfhttp://www.oracle.com/technetwork/database/options/oracle-database-vault-external-faq-2032888.pdfhttps://shop.oracle.com/

My Oracle Support(以前のOracleMetaLink)

セキュリティ・パッチ、動作保証およびサポート・ナレッジ・ベースについては、次の場所にあるMy Oracle Supportを参照してください:

https://support.oracle.com


表記規則このマニュアルでは次の表記規則を使用します。

規則意味

太字太字は、操作に関連するGraphical User Interface要素、または本文中で定義されている用語および用語集に記載されている用語を示します。

イタリック体イタリックは、ユーザーが特定の値を指定するプレースホルダ変数を示します。

固定幅フォント固定幅フォントは、段落内のコマンド、URL、サンプル内のコード、画面に表示されるテキスト、または入力するテキストを示します。




41

https://support.oracle.com/https://www.oracle.com/corporate/index.htmlhttps://www.oracle.com/corporate/contact/https://docs.oracle.com/en/browseall.htmlhttps://www.oracle.com/legal/privacy/https://www.oracle.com/legal/privacy/marketing-cloud-data-cloud-privacy-policy.html#12

Release 19

管理者ガイド

Oracle Database Vault管理者ガイドのこのリリースの変更点この章の内容は次のとおりです。

Oracle Database Vault 19cでの変更点

Oracle Database Vault 18cでの変更点

Oracle Database Vault 19cでの変更点Oracle Database 19cのOracle Database Vault管理者ガイドの変更点は次のとおりです。

統合監査ポリシーのコマンド・ルールのサポート統合監査ポリシー用のOracle Database Vaultコマンド・ルールを作成できるようになりました。

インフラストラクチャ・データベース管理者のDatabase Vault操作の制御マルチテナント・データベースでは、Oracle Database Vaultを使用して、共通ユーザー(インフラストラクチャDBAなど)による自律型で通常のクラウドまたはオンプレミス環境のプラガブル・データベース(PDB)のローカル・データへのアクセスをブロックできるようになりました。

権限分析ドキュメントのOracle Databaseセキュリティ・ガイドへの移動権限分析のドキュメントは、『Oracle Database Vault管理者ガイド』から『Oracle Databaseセキュリティ・ガイド』に移動しました。

親トピック: Oracle Database Vault管理者ガイドのこのリリースの変更点

統合監査ポリシーのコマンド・ルールのサポート統合監査ポリシー用のOracle Database Vaultコマンド・ルールを作成できるようになりました。

コマンド・ルールを使用して、個々の統合監査ポリシーを有効および無効にできるようになりま

42


した。この拡張によって、1つのコマンド・ルールを介してすべての統合監査ポリシーを同じように管理するのではなく、各ポリシーの管理方法をきめ細かく制御できます。たとえば、HR監査者は、CRM統合監査ポリシーではなく、自分自身のHR統合監査ポリシーを制御できます。この新機能は、コマンド・ルールに対してAUDITおよびNOAUDITの使用を拡張しますが、コマンド・ルールに統合監査ポリシーを指定する場合、AUDIT POLICYまたはNOAUDIT POLICYを指定する必要があります。

関連項目

コマンド・ルールで保護できるSQL文

コマンド・ルールの作成

CREATE_COMMAND_RULEプロシージャ

親トピック: Oracle Database Vault 19cでの変更点

インフラストラクチャ・データベース管理者のDatabase Vault操作の制御マルチテナント・データベースでは、Oracle Database Vaultを使用して、共通ユーザー(インフラストラクチャDBAなど)による自律型で通常のクラウドまたはオンプレミス環境のプラガブル・データベース(PDB)のローカル・データへのアクセスをブロックできるようになりました。

この拡張により、共通ユーザーはPDBに存在するローカル・データにアクセスできなくなります。これにより、ビジネス・アプリケーションの機密データを格納できるようになり、重要な顧客データにアクセスすることなく、データベース・インフラストラクチャを管理する操作が許可されます。

関連項目

Database Vault操作の制御を使用したローカルPDBデータへのマルチテナント共通ユーザー・アクセスの制限


権限分析ドキュメントのOracle Databaseセキュリティ・ガイドへの移動権限分析のドキュメントは、『Oracle Database Vault管理者ガイド』から『Oracle Databaseセキュリティ・ガイド』に移動しました。

権限分析のライセンス情報については、『Oracle Databaseライセンス情報ユーザー・マニュアル』を参照してください。

関連トピック

『Oracle Databaseセキュリティ・ガイド』

Oracle Databaseライセンス情報ユーザー・マニュアル

43

https://docs.oracle.com/pls/topic/lookup?ctx=en/database/oracle/oracle-database/19/dvadm&id=DBSEG-GUID-285244F5-3A4B-4C6F-A735-B1ADD27B6216https://docs.oracle.com/pls/topic/lookup?ctx=en/database/oracle/oracle-database/19/dvadm&id=DBSEG-GUID-285244F5-3A4B-4C6F-A735-B1ADD27B6216https://docs.oracle.com/pls/topic/lookup?ctx=en/database/oracle/oracle-database/19/dvadm&id=DBSEG-GUID-285244F5-3A4B-4C6F-A735-B1ADD27B6216https://docs.oracle.com/pls/topic/lookup?ctx=en/database/oracle/oracle-database/19/dvadm&id=DBLIC-GUID-0F9EB85D-4610-4EDF-89C2-4916A0E7AC87https://docs.oracle.com/pls/topic/lookup?ctx=en/database/oracle/oracle-database/19/dvadm&id=DBLIC-GUID-0F9EB85D-4610-4EDF-89C2-4916A0E7AC87


Oracle Database Vault 18cでの変更点Oracle Database 18cのOracle Database Vault管理者ガイドの変更点は次のとおりです。

Oracle Database Vaultシミュレーション・モードの拡張機能このリリースのOracle Database Vaultでは、シミュレーション・モードにいくつかの変更が加えられています。

新規ファクタ・ファンクションこのリリースから、4つの新しいファクタ・ファンクションが導入されました。

ロールへのData PumpおよびDatabase Vault認可の付与機能このリリースから、Oracle Database Vault環境でOracle Data Pump操作を実行するための認可をロールに付与できるようになりました。

Oracle Database VaultでのOracle Database Replayのサポートこのリリースから、Oracle Database Vault環境でOracle Database Replay操作を実行できるようになりました。

親トピック: Oracle Database Vault管理者ガイドのこのリリースの変更点

Oracle Database Vaultシミュレーション・モードの拡張機能このリリースのOracle Database Vaultでは、シミュレーション・モードにいくつかの変更が加えられています。

シミュレーション・モードで、SQL文からすべての必須レルムの違反が取得されるようになりました。シミュレーション・モードで、完全なコール・スタック情報を取得できるようになりました。デフォルトの信頼できるパス・コンテキスト・ファクタを、連結された列ではなく、個別の列として使用できるようになりました。

SQL文から必須レルムの違反をすべて取得することで、加える必要がある可能性があるすべての変更を確認できます。そのようにしない場合、最初の必須レルムの違反によって他の違反が隠され、元の修正が完了し、新たなリグレッション・テストが実行されるまで、その違反が認識されない可能性があります。この拡張機能によって、リグレッション・テストおよびアプリケーション認証にかかる時間を短縮できます。

完全なコール・スタックを表示すると、違反がある元のSQL文を特定できます。多くの場合、アプリケーションの様々な部分で同様のSQL文が呼び出されています。この機能によりアプリケー

44

ション開発者は、違反をトリガーしたアプリケーション・コードを正確かつ迅速に特定できます。

コンテキスト・ファクタは、レルムおよびコマンド・ルールの信頼できるパスを作成するために使用されます。複数の信頼できるパスに共通で使用されるファクタがあり、前のリリースでは、これらのファクタが単一の文字列表現から個別の列に抽出されていました。この拡張機能によって、信頼できるパス・ルール・セットで使用するファクタをより簡単に識別できるようになりました。

関連トピック

シミュレーション・モードについて


新規ファクタ・ファンクションこのリリースから、4つの新しいファクタ・ファンクションを使用できるようになりました。

このファクタ・ファンクションは次のとおりです。

F$DV$_CLIENT_IDENTIFIER

F$DV$_DBLINK_INFO

F$DV$_MODULE

F$PROXY_USER

関連トピック

Oracle Database VaultのDVF PL/SQLファクタ・ファンクション


ロールへのData PumpおよびDatabase Vault認可の付与機能このリリースから、Oracle Database Vault環境でOracle Data Pump操作を実行するための認可をロールに付与できるようになりました。

以前のリリースでは、この認可を付与できるのは個別のユーザーに対してのみでした。この拡張機能によって管理者は、ユーザーに対するこのタイプの認可をロールを介して簡単に管理できます。

関連トピック

Oracle Database VaultでのOracle Data Pumpの使用


45

Oracle Database VaultでのOracle Database Replayのサポートこのリリースから、Oracle Database Vault環境でOracle Database Replay操作を実行できるようになりました。

次の機能でサポートされている機能を示します。

DBMS_MACADM PL/SQLプロシージャ:

DBMS_MACADM.AUTHORIZE_DBCAPTURE

DBMS_MACADM.AUTHORIZE_DBREPLAY

DBMS_MACADM.UNAUTHORIZE_DBCAPTURE

DBMS_MACADM.UNAUTHORIZE_DBREPLAY

データ・ディクショナリ・ビュー:

DBA_DV_DBCAPTURE_AUTH

DBA_DV_DBREPLAY_AUTH

関連トピック

Oracle Database VaultにおけるOracle Database Replayの使用




46


Release 19

管理者ガイド

1 Oracle Database Vaultの概要Oracle Database Vaultを使用すると、データに対する管理アクセスを制御できます。

Oracle Database Vaultの概要Oracle Database Vaultは、認可されていない特権ユーザーによる機密データへのアクセスを防ぐためと認可されていないデータベース変更を防ぐための制御を提供します。

Oracle Database Vaultの使用に必要な権限Oracle Database Vaultは、様々なユーザーが職務の分離ガイドラインに基づいて特定のタスクを実行するためのデータベース・ロールを提供します。

Oracle Database VaultのコンポーネントOracle Database Vaultには、PL/SQLパッケージおよび他の特定のツールを含む一連のコンポーネントがあります。

Oracle Database Vaultのコンプライアンスへの対応法令を順守することで得られる最も大きな副産物の1つは、セキュリティに対する意識の向上です。

Oracle Database Vaultによるユーザー・アカウントの保護多くのセキュリティ侵害は、外部と内部の両方とも、特権ユーザーのデータベース・アカウントを標的にし、データベースからデータを盗み出します。

Oracle Database Vaultによる柔軟なセキュリティ・ポリシーの実現Oracle Database Vaultは、データベースの柔軟なセキュリティ・ポリシーの設計を支援します。

Oracle Database Vaultのデータベース統合に関する問題への対応統合とクラウド環境によってコストは削減されますが、機密アプリケーション・データが、本来アクセスする必要のない人にも公開されるおそれがあります。

マルチテナント環境におけるOracle Database Vaultの動作について

47


統合のセキュリティをさらに強化するために、Oracle Database VaultをOracle Multitenantとともに使用できます。

Oracle Database Vaultの概要Oracle Database Vaultは、認可されていない特権ユーザーによる機密データへのアクセスを防ぐためと認可されていないデータベース変更を防ぐための制御を提供します。

Oracle Database VaultについてOracle Database Vaultのセキュリティ統制により、アプリケーション・データを不正アクセスから守るとともに、プライバシおよび規制の要件に順守できます。

特権アカウントに対する統制特権データベース・アカウントは、データベース内の機密性の高いアプリケーション・データへのアクセスを獲得する手段として最もよく使われています。

データベース構成に対する統制監査で明らかになる事項として最も多いのが、データベース権限の無認可での変更およびDBAロールのユーザーへの付与が多すぎることです。

エンタープライズ・アプリケーションの保護ポリシーアプリケーション固有のOracle Database Vault保護ポリシーおよびガイドラインを、主要なエンタープライズ・アプリケーションで利用可能です。

親トピック: Oracle Database Vaultの概要

Oracle Database VaultについてOracle Database Vaultのセキュリティ統制により、アプリケーション・データを不正アクセスから守るとともに、プライバシおよび規制の要件に順守できます。

統制によって特権アカウントによるアプリケーション・データへのアクセスをブロックすることや、信頼できるパスの認可を使用してデータベース内での要注意操作を統制することができます。権限およびロールの分析により、最小権限のベスト・プラクティスを使用することで、既存のアプリケーションのセキュリティを強化できます。Oracle Database Vaultは、既存のデータベース環境のセキュリティを透過的に強化するので、コストと時間をかけてアプリケーションを変更する必要はありません。


特権アカウントに対する統制特権データベース・アカウントは、データベース内の機密性の高いアプリケーション・データへのアクセスを獲得する手段として最もよく使われています。

48

広範囲にわたる無制限のアクセス権が付与されているので、データベースの保守がしやすくなりますが、同じアクセス権が攻撃ポイントとなって大量のデータへのアクセスを許してしまうおそれがあります。Oracle Database Vaultのレルムにアプリケーション・スキーマ、機密性の高い表、およびストアド・プロシージャを入れておくと、特権アカウントを悪用した侵入者や内部犯行者による機密アプリケーション・データへのアクセスを阻止するための統制を実施できるようになります。

図1-1 DBAによるデータへのアクセスのOracle Database Vaultレルムによるブロッキング

「図1-1 DBAによるデータへのアクセスのOracle Database Vaultレルムによるブロッキング」の説明


データベース構成に対する統制監査で明らかになる事項として最も多いのが、データベース権限の無認可での変更およびDBAロールのユーザーへの付与が多すぎることです。

本番環境に対する無認可での変更を阻止することが重要であるのは、セキュリティのためだけではなく、コンプライアンスのためでもあります。そのような変更によってセキュリティが弱まるおそれがあり、侵入口を開くことになって、プライバシーおよびコンプライアンスの規制に対する違反となるからです。Oracle Database VaultのSQLコマンド・ルールを利用すると、データベース内部での操作(たとえば、CREATE TABLE、TRUNCATE TABLE、CREATE USERなどのコマンド)を統制できます。IPアドレス、認証方法、プログラム名などの多様なファクタがあらかじめ定義されているので、盗んだパスワードを悪用する攻撃を阻止するための信頼できるパスの認可の実装に役立ちます。このような統制は、意図しない構成変更を防ぐだけでなく、ハッカーや内部犯行者によるアプリケーションの改悪を阻止します。

49

file:///C/Oracle_Work/SysPDF/FY21Q2_Sysdoc/1218end/dvadm/img_text/dvadm_vm_003.htmlfile:///C/Oracle_Work/SysPDF/FY21Q2_Sysdoc/1218end/dvadm/img_text/dvadm_vm_003.htmlfile:///C/Oracle_Work/SysPDF/FY21Q2_Sysdoc/1218end/dvadm/img_text/dvadm_vm_003.htmlfile:///C/Oracle_Work/SysPDF/FY21Q2_Sysdoc/1218end/dvadm/img_text/dvadm_vm_003.htmlfile:///C/Oracle_Work/SysPDF/FY21Q2_Sysdoc/1218end/dvadm/img_text/dvadm_vm_003.html

Oracle Database Vaultの必須モードのレルムを利用すると、アプリケーション・オブジェクトへのアクセスを禁止でき、オブジェクト所有者など、オブジェクトに対する権限が直接付与されている場合もアクセスできなくなります。必須レルムでは、アクセスできるユーザーを分析する必要はありません。これは、認可ユーザーのリストからそれが明らかであるためです。必須レルムは実行時に有効化でき、サイバー脅威の発生時にこのレルムを使用すると、その脅威の分析が完了するまで一切のアクセスを禁止できます。


エンタープライズ・アプリケーションの保護ポリシーアプリケーション固有のOracle Database Vault保護ポリシーおよびガイドラインを、主要なエンタープライズ・アプリケーションで利用可能です。

これらのエンタープライズ・アプリケーションには、Oracle Fusion Applications、Oracle E-Business Suit、Oracle PeopleSoft、Oracle Siebel、Oracle Financial Services (i-Flex)、Oracle Primavera、SAPおよびInfosysのFinacleが含まれています。


Oracle Database Vaultの使用に必要な権限Oracle Database Vaultは、様々なユーザーが職務の分離ガイドラインに基づいて特定のタスクを実行するためのデータベース・ロールを提供します。

よく使用されるロールは次のとおりです。

DV_OWNERおよびDV_ADMINでは、Database Vaultポリシーを作成および管理できます。

DV_ACCTMGRでは、ユーザー・アカウントを管理できます。

Oracle Database Vaultを登録すると、DV_OWNERロールがユーザーに付与されます。このユーザーは、構成プロセスの開始前に存在する必要があります。また、DV_ACCTMGRロールが、2人目となるオプションのユーザーに付与されます。このユーザーも構成前に存在する必要があります。Database Vaultロールは他のユーザーに付与できますが、それらのユーザーが信頼できることを確認してください。

登録プロセスの間に、DV_OWNERユーザーとDV_ACCTMGRユーザーのバックアップ・アカウントを作成する必要があります。ベスト・プラクティスとして、これらのバックアップ・アカウントを保持し続けることをお薦めします。

関連トピック

Oracle Database Vaultロール

バックアップOracle Database Vaultアカウント

50


Oracle Database VaultのコンポーネントOracle Database Vaultには、PL/SQLパッケージおよび他の特定のツールを含む一連のコンポーネントがあります。

Oracle Database Vaultアクセス制御コンポーネントOracle Database Vaultを使用して一連のコンポーネントを作成し、データベース・インスタンスのセキュリティを管理できます。

Oracle Enterprise Manager Cloud ControlのDatabase Vault AdministratorページOracle Database Vaultはデフォルトで事前インストールされており、簡単�

Release 19 管理者ガイド - docs.oracle.com · ステップ3:...

Documents

Transcript of Release 19 管理者ガイド - docs.oracle.com · ステップ3:...