Autonomous DatabaseでのOracle Data Safeの使用

Autonomous DatabaseでのOracle Data Safeの使用に関する情報を提供します。

Autonomous Databaseを使用したOracle Data Safeについて

Autonomous Databaseに含まれているOracle Data Safeは、Oracle Databasesの日々のセキュリティおよびコンプライアンス要件の管理に役立つ統合コントロール・センターを提供します。

データ・セーフは、セキュリティ制御の評価、ユーザー・セキュリティの評価、ユーザー・アクティビティのモニター、侵害されたアカウントからのリスクの軽減、およびデータベースのデータ・セキュリティ・コンプライアンス要件への対応に役立ちます。データ・セーフは、データの機密性を評価し、非本番データベースの機密データをマスクする必要がある場合に役立ちます。

Oracle Data Safeには、次の場合に役立つ機能が用意されています。

  • 組織のポリシーでは、データベースを監視し、監査レコードを保持する必要があります。

  • 侵害されたアカウントなどのリスクから発生する一般的なデータベース攻撃から保護する必要があります。

  • 開発者は、新しいアプリケーションでの作業に本番データのコピーを使用する必要があり、本番データに含まれる機密情報の種類が疑問視されます。

  • スタッフの変更によって、休眠ユーザー・アカウントがデータベースに残っていないことを確認する必要があります。

Oracle Data Safeは次のものを提供します:

  • セキュリティ評価: 構成エラーおよび構成ドリフトは、データ侵害の重要な要因です。セキュリティ評価を使用してデータベースの構成を評価し、それをOracleおよび業界のベスト・プラクティスと比較します。セキュリティ評価では、リスク領域に関するレポートが提供され、構成が変更されたときに通知されます。

  • ユーザー評価: 多くの侵害は、侵害されたユーザー・アカウントから始まります。ユーザー評価は、最もリスクの高いデータベース・アカウント、侵害された場合に最も損害が大きいアカウントを見つけるのに役立ちます。ユーザー評価は、これらのアカウントを保護するための積極的なステップを実行するのに役立ちます。ユーザー評価ベースラインを使用すると、新しいアカウントが追加されたタイミングや、アカウントの権限が変更されたタイミングを簡単に把握できます。Oracle Cloud Infrastructure Eventsを使用して、データベースがベースラインから逸脱したときにプロアクティブな通知を受信できます。

  • データ検出: アプリケーション内の機密データを検索および管理するためのサポートを提供します。データ検出では、データベースで150を超える様々なタイプの機密データがスキャンされ、格納している機密データのタイプおよび容量を理解するのに役立ちます。データ検出レポートを使用して、監査ポリシーの策定、データ・マスキング・テンプレートの開発、および効果的なアクセス制御ポリシーの作成を行います。

  • データ・マスキングコンプライアンス要件を満たし、データ・プライバシ規制を満たすために組織が保持する機密データの量を最小限に抑えます。データ・マスキングは、機密情報をマスクされたデータに置き換えることで、非本番データベースからリスクを取り除くのに役立ちます。再利用可能なマスキング・テンプレート、50を超える付属のマスキング・フォーマット、および組織独自の要件に応じたカスタム・フォーマットを簡単に作成する機能により、データ・マスキングは、アプリケーション開発とテスト操作を合理化できます。

  • アクティビティ監査アクティビティ監査では、データベースから監査レコードが収集され、監査ポリシーの管理に役立ちます。ユーザー・アクティビティ、データ・アクセスおよびデータベース構造の変更に関する理解とレポート作成は、規制コンプライアンス要件をサポートし、インシデント後の調査に役立ちます。監査インサイトにより、非効率的な監査ポリシーを簡単に識別でき、監査データに基づくアラートによってリスクのあるアクティビティがプロアクティブに通知されます。

    ノート

    Oracle Data Safeのアクティビティ監査に監査収集を使用している場合、Autonomous Databaseには、データベースごとに1か月当たり100万の監査レコードが含まれます。
  • SQLファイアウォール管理 SQLインジェクション攻撃や侵害されたアカウントなどのリスクから保護します。Oracle SQL Firewall脚注1は、Oracle Database 23aiで使用可能なセキュリティ機能で、これらのリスクに対するクラス最高の保護を提供します。Oracle Data SafeのSQLファイアウォール機能を使用すると、ターゲット・データベースのSQLファイアウォール・ポリシーを一元的に管理および監視できます。データ・セーフでは、データベース・ユーザーの認可されたSQLアクティビティを収集し、承認されたSQL文およびデータベース接続パスの許可リストを使用してポリシーを生成および有効化し、ターゲット・データベースのフリート全体にわたるSQLファイアウォール違反の包括的なビューを提供します。

詳細は、Oracle Data Safeの概要を参照してください。

Autonomous DatabaseのOracle Data Safeへの登録

Oracle Data Safeを使用するには、まずデータベースをOracle Data Safeに登録する必要があります。

開始するには、データベースを登録します。

  1. ターゲット・データベースを登録するために必要なIdentity and Access Management (IAM)権限を適用します。

    詳細は、Autonomous Databaseを登録する権限を参照してください。

  2. プライベートIPアドレスを使用するように構成されたAutonomous Databaseを登録する場合は、登録前または登録中にOracle Data Safeプライベート・エンドポイントを作成する必要があります。
  3. Oracle Data Safeウィザードを使用して、Autonomous Databaseインスタンスを登録します。

    登録ステップの詳細は、Autonomous Databaseの登録を参照してください。

Oracle Data Safe機能の使用

Oracle Data SafeにAutonomous Databaseを登録した後、データ・セーフ機能を使用できます。

データ・セーフ機能 詳細情報

セキュリティ・アセスメント

セキュリティ評価は、週に1回自動的にスケジュールされます。まず、データベースのセキュリティ・アセスメント・レポートを確認します: ターゲット・データベースの最新の評価を表示します

詳細は、セキュリティ評価の概要を参照してください。

ユーザー・アセスメント

ユーザー評価は、週に1回自動的にスケジュールされます。まず、データベースのユーザー評価レポートを確認します: ターゲット・データベースの最新のユーザー評価を表示します

詳細は、「ユーザー評価の概要」を参照してください。

データ検出

データベース内の機密データを検出することから開始します: 機密データ・モデルの作成

詳細は、「データ検出の概要」を参照してください。

データ・マスク

機密データがデータベースに格納される場所を確認するには、データ検出を実行します。機密データがデータベースに格納される場所がわかると、マスキング・ポリシーマスキング・ポリシーの作成を作成できます

たとえば、マスキング・ポリシーを作成した後、本番データベースのコピーを作成し、非本番データベースにマスキング・ポリシーを適用できます: ターゲット・データベースでの機密データのマスク

詳細については、Data Masking Overviewを参照してください。

アクティビティ監査

アクティビティ監査を使用するには、データ・セーフでターゲット・データベースの監査証跡を開始します: 監査証跡の開始

監査証跡の開始後、事前定義済監査レポート(事前定義済監査レポートまたはカスタム監査レポートの表示)を使用して監査データを監視および分析できます。

詳細は、アクティビティ監査の概要を参照してください。

SQLファイアウォール

Oracle Data SafeのSQLファイアウォール脚注1では、SQLファイアウォールを一元的に管理し、ターゲット・データベースのフリート全体にわたるSQLファイアウォール違反の包括的なビューを提供します。データ・セーフを使用すると、保護するデータベース・ユーザーの認可済SQLアクティビティを収集し、収集の進行状況をモニターし、承認されたSQL文およびデータベース接続パスの許可リストを使用してポリシーを生成および有効化できます。

23aiターゲット・データベースでSQLファイアウォールを有効化することから始めます: ターゲット・データベースでのSQLファイアウォールの有効化次に、保護するデータベース・ユーザーの許可リストを含むSQLファイアウォール・ポリシー(SQLファイアウォール・ポリシーの生成および強制)を生成および有効化する必要があります。SQLファイアウォール・ポリシーの施行を開始した後、「違反レポートの表示および管理」という事前定義済違反レポートの違反をモニターおよび分析できます。

SQLファイアウォールの詳細は、「SQLファイアウォールの概要」を参照してください。



脚注の説明

脚注1: SQLファイアウォールは、Oracle Database 23aiでのみ使用できます。