Oracle Autonomous Databaseでのセキュリティおよび認証

Oracle Autonomous Databaseは、すべてのデータを暗号化された形式でデータベースに格納します。認証されたユーザーとアプリケーションのみが、データベース接続時にデータにアクセスできます。

ノート

Oracle Autonomous Databaseでは、権限分析、ネットワーク暗号化、一元管理ユーザー、セキュアなアプリケーション・ロール、透過的機密データ保護など、Oracle Databaseの標準セキュリティ機能がサポートされています。さらに、Oracle Autonomous Databaseでは、Label Security、Database Vault、データ・セーフおよびその他の高度なセキュリティ機能が追加コストなしで追加されています。

構成管理

Oracle Autonomous Databaseは、データベース全体の構成を管理する時間とコストを削減する、標準的で強化されたセキュリティ構成を提供します。

セキュリティのパッチと更新は自動的に実行されるため、セキュリティを最新の状態に維持するために時間やコストをかける必要はありません。これらの機能によって、データベースおよびデータを、コスト発生や災害につながるセキュリティの脆弱性や侵害から保護できます。

データ暗号化

Oracle Autonomous Databaseでは、静止中および転送中のデータを保護する常時稼働の暗号化を使用します。保存中および移動中のデータはデフォルトで暗号化されます。暗号化をオフにすることはできません。

静止中のデータの暗号化

静止中のデータは、TDE (透過的データ暗号化)を使用して暗号化されます。これは、データの処理、転送および格納を保護する暗号化ソリューションです。AES256表領域暗号化を使用すると、各データベースに独自の暗号化キーがあり、バックアップにはそれぞれ異なる暗号化キーがあります。

デフォルトでは、Oracle Autonomous Databaseによって、データの保護に使用されるすべてのマスター暗号化キーが作成および管理され、データベースが存在する同じシステム上のセキュアなPKCS 12キーストアに格納されます。会社のセキュリティ・ポリシーで必要な場合、Oracle Autonomous Databaseでは、かわりにOracle Cloud Infrastructure Vaultサービスで作成および管理するキーを使用できます。詳細は、Autonomous Databaseでのマスター暗号化キーの管理についてを参照してください。

また、組織のセキュリティ・ポリシーを満たすために、必要に応じて顧客管理キーをローテーションできます。

ノート: データベースをクローニングすると、新しいデータベースは独自の新しい暗号化キーのセットを取得します。

転送中のデータの暗号化

クライアント(アプリケーションおよびツール)は、SQL*Net、JDBC、ODBCなどのサポートされているプロトコルを使用してOracle Autonomous Databaseに接続します。

TCPS (セキュアなTCP)データベース接続サービスでは、接続に業界標準のTLS 1.2 (Transport Layer Security)プロトコルが使用され、対称キー・データ暗号化が使用されます。

  • mTLS接続の場合、Oracle Autonomous Databaseユーザーは、クライアントがTCPSを使用して接続するために必要なすべてのファイルを含む接続ウォレットをダウンロードします。このウォレットは、データベース・アクセスが必要でそれを許可されているユーザーのみに配布します。クライアント側の構成では、ウォレット内の情報を使用して対称キー・データ暗号化を実行します。

  • Autonomous Databaseは、デフォルトで相互TLS (mTLS)接続をサポートしています。mTLSとTLSの両方の接続を許可するようにAutonomous Databaseインスタンスを構成するオプションがあります。TLS接続を使用する場合、TLS接続文字列を使用し、TLSがAutonomous Databaseインスタンスで有効になっていると、一部のクライアント(JDBC Thinドライバ・クライアントなど)はウォレットをダウンロードする必要はありません。

詳細は、Autonomous Databaseへの接続の保護を参照してください。

データ・アクセス制御

Oracle Autonomous Databaseおよびデータへのアクセスの保護には、次のような様々な種類のアクセス制御を使用します:

クライアント・アクセス制御

Autonomous Databaseインスタンスのクライアント・アクセス制御は、ネットワーク・アクセス制御ポリシー、クライアント接続プロトコル、およびクライアントが接続に使用するデータベース・ユーザーのアクセス権によって適用されます。

ネットワーク・アクセス制御

ネットワーク・アクセス制御は、Oracle Autonomous Databaseを設定および構成するときに定義します。考慮する2つのオプションがあります。
  • プライベート・エンドポイントおよびセキュリティ・リスト:これは推奨オプションです。プライベート・エンドポイントを使用して、仮想クラウド・ネットワーク(VCN)にOracle Autonomous Databaseを作成します。セキュリティ・リストおよびネットワーク・セキュリティ・グループを使用してデータベースへのアクセスを制御し、データベースへの接続を作成できるユーザーを指定できます。

    これらのリソースの作成の詳細は、プライベート・エンドポイントを使用したネットワーク・アクセスの構成を参照してください。

  • パブリック・エンドポイントおよびアクセス制御リスト:クライアント資格証明を持つ任意のクライアントからのアクセスを許可するパブリック・エンドポイントを使用して、Oracle Autonomous Databaseを作成します。データベースへのアクセスを制御するには、ネットワーク・アクセス制御リスト(ACL)を使用します。これにより、データベースに接続できるIPアドレス、CIDRブロックまたはVCNを指定できます。パブリックIPの検出や攻撃が容易であるため、可能な場合はプライベート・エンドポイントが推奨されます。

    ACLの設定の詳細は、既存のAutonomous Databaseインスタンスのアクセス制御リストの構成を参照してください。

クライアント接続制御

クライアントは、接続を保護するために、標準のTLS 1.2を使用してTCPS (セキュアTCP)データベース接続を介して接続します。Oracle Autonomous Databaseでは、自己署名証明書を使用します。組織のセキュリティ・コンプライアンスのニーズを満たすために、Oracle Cloud Infrastructureコンソールから自己署名証明書をローテーションすることもできます。Immediate Rotationを使用したウォレットのローテーションを参照してください。

クライアントがデータベースにアクセスできるかどうかは、クライアントが接続に使用するデータベース・ユーザーのアクセス権によって制限されます。

データベース・ユーザー・アクセス制御

Oracle Autonomous Databaseは、管理アカウントADMINで構成します。ADMINは、他のデータベース・アカウントの作成および管理に使用されます。Oracle Autonomous Databaseは、システムおよびオブジェクトの権限とロールを含む堅牢な機能およびコントロールのセットを提供します。ユーザー・プロファイルを使用すると、パスワード・ポリシーをカスタマイズして、セキュアなデータベース・ユーザー・アクセス戦略を定義および実装できます。

標準のユーザー管理に関する基本情報については、『Oracle Database概要』ユーザー・アカウントに関する項を参照してください。詳細およびガイダンスは、『Oracle Databaseセキュリティ・ガイド』Oracle Databaseユーザーのセキュリティの管理に関する項を参照してください。

データベース・ユーザーのアクセス戦略で標準のユーザー管理よりも多くの制御を必要とする場合は、より厳格な要件を満たすために、Database Vaultを使用するようにOracle Autonomous Databaseを構成できます。

Microsoft Active Directoryを使用したデータベース・ユーザーの管理

Microsoft Active Directoryをユーザー・リポジトリとして使用する場合は、Microsoft Active Directoryユーザーを認証および認可するようにデータベースを構成できます。この統合により、標準のユーザー管理とDatabase Vaultのどちらを使用するかに関係なく、ユーザー・リポジトリを統合しつつ、厳格なデータベース・ユーザー・アクセス戦略を実装できます。

Microsoft Active Directoryとデータベースの統合の詳細は、Autonomous DatabaseでのMicrosoft Active Directoryの使用に関する項を参照してください。

Database Vault

Oracle Database Vaultは事前構成されており、すぐに使用できます。その強力なセキュリティ制御を使用して、特権データベース・ユーザーによるアプリケーション・データへのアクセスを制限することで、脅威のリスクを減らし、一般的なコンプライアンス要件に対応できます。

特権アカウントによるアプリケーション・データへのアクセスをブロックしたり、データベース内の機密操作を制御するためのコントロールを構成します。トラステッド・パスを構成して、許可されたデータ・アクセス、データベース・オブジェクトおよびデータベース・コマンドに対するセキュリティ制御を追加します。Database Vaultは、既存のデータベース環境を透過的に保護することで、コストと時間がかかるアプリケーションの変更を排除します。

Database Vaultを使用する前に、必ず、Autonomous DatabaseでのOracle Database Vaultの使用を参照して、Database Vaultの構成および有効化による影響を理解してください。

Database Vaultの機能の実装の詳細は、『Oracle Database Vault管理者ガイド』を参照してください。

Oracle Cloudのユーザー・アクセス制御

Identity and Access Management (IAM)サービスを使用して、ユーザーがOracle Autonomous Databaseに対して実行できるアクションを指定することで、Oracle Cloudユーザーの権限を制御します。

IAMサービスには、セキュアなクラウド・ユーザー・アクセス戦略の定義および実装に役立つ複数の種類のコンポーネントが用意されています:

  • コンパートメント: 関連するリソースの集合。コンパートメントは、クラウド・リソースを編成および分離するためのOracle Cloud Infrastructureの基本コンポーネントです。

  • グループ: 特定のリソースまたはコンパートメントのセットに対して同じアクセス・タイプを必要とするユーザーの集合。

  • 動的グループ: 定義したルールに一致するリソースを含む、特別なタイプのグループ。したがって、一致するリソースが作成または削除されると、メンバーシップが動的に変わる可能性があります。

  • ポリシー: 誰がどのリソースにどのようにアクセスできるかを指定する文のグループ。アクセス権はグループ・レベルおよびコンパートメント・レベルで付与します。つまり、特定のコンパートメント内の特定のリソース・タイプへのアクセス権を特定のグループに付与するポリシー・ステートメントを記述します。

このうち、ポリシーは、単一のアクセス制約の「誰が」、「どのように」、「何を」、「どこで」を指定するとため、アクセス制御のための主要なツールとして使用できます。ポリシー・ステートメントのフォーマットは次のとおりです:

ポリシー・ステートメントのフォーマットは次のとおりです:

Allow 
  group <group-name> 
  to <control-verb> 
  <resource-type> 
  in compartment <compartment-name>
  • group <group-name>は、既存のIAMグループの名前を指定することで、「誰が」を指定します。

  • to <control-verb>は、次の事前定義済の制御動詞のいずれかを使用して、「どのように」を指定します。

    • inspect: 特定のタイプのリソースを、それに含まれる可能性がある機密情報やユーザー指定のメタデータにはアクセスせずに一覧表示できます。
    • read: inspectに加えて、ユーザー指定のメタデータと実際のリソースそのものを取得できます。
    • use: readに加えて、既存のリソースを作業できます(作成や削除はできません)。また、「作業する」とは、各リソース・タイプで異なる操作を意味します。
    • manage: リソース・タイプに対するすべての権限(作成および削除を含む)。
  • <resource-type>は、事前定義済のリソース・タイプを使用して、「何を」を指定します。インフラストラクチャ・リソースのリソース・タイプの値は次のとおりです::

    • autonomous-databases
    • autonomous-backups

    テナンシ内でタグ付けが使用されている場合は、tag-namespacesリソース・タイプ値を参照するポリシー・ステートメントを作成できます。

  • in compartment <compartment-name>は、既存のIAMコンパートメントの名前を指定することで、「どこで」を指定します。

IAMサービスとそのコンポーネントの仕組みおよび使用方法の詳細は、Oracle Cloud Infrastructure Identity and Access Managementの概要を参照してください。IAMに関する一般的な質問への簡単な回答は、Identity and Access ManagementのFAQを参照してください。

Autonomous Databaseでの認可済アクセス

Autonomous Databaseインスタンスへのアクセスが許可されるのは認可ユーザーのみです。

Oracle Cloudオペレータには、Autonomous Databaseにアクセスする権限がありません。問題のトラブルシューティングまたは軽減のためにデータベースへのアクセスが必要な場合、クラウド・オペレータが限られた時間データベースにアクセスすることを許可できます。

クラウド・オペレータがデータベースにアクセスできるようにするには、プロシージャDBMS_CLOUD_ADMIN.ENABLE_OPERATOR_ACCESSを実行します。つまり、Oracle Cloud Supportでサービス・リクエストを申請する場合、またはサポート担当者に連絡して、Oracle Cloudオペレータがデータベースにアクセスする必要がある場合、DBMS_CLOUD_ADMIN.ENABLE_OPERATOR_ACCESSを実行してオペレータ・アクセスも有効にする必要があります。

Oracle Cloud Operatorによる各データベース・アクセスは、リクエストIDと理由とともに記録されます。

詳細は、Oracle Cloudオペレータ・アクセスの管理およびOracle Cloud Infrastructureの操作アクションの表示を参照してください。

Autonomous Databaseの完全管理サービス

Autonomous Databaseはフルマネージド・サービスであり、Oracleは独自のOracle Cloud Infrastructureテナンシを使用してAutonomous Databaseサービスを実行します。

Oracle Cloudオペレータは顧客テナンシにアクセスできず、クラウド・オペレータはネットワークにアクセスできません。

Autonomous Databaseの監査の概要

Oracle Autonomous Databaseには、サービスおよび特定のデータベースに対して誰が何を実行したかを追跡できる堅牢な監査機能が備わっています。包括的なログ・データによって、リソースに対するアクションを監査およびモニターできるため、セキュリティおよび運用のリスクを軽減しながら監査要件を満たすことができます。

サービス・レベル・アクティビティの監査

Oracle Cloud Infrastructure Console、REST API、コマンドライン・インタフェース(CLI)、ソフトウェア開発キット(SDK)などのインタフェースに関係なく、Oracle Autonomous Databaseのデプロイメントを構成するリソースに対してOracle Cloudユーザーが実行するすべてのアクションは、Auditサービスによって記録されます。

監査サービスを使用して、診断の実行、リソース使用率の追跡、コンプライアンスのモニター、セキュリティ関連イベントの収集を行うことができます。監査サービスの詳細は、Oracle Cloud Infrastructureドキュメント監査の概要を参照してください。

さらに、ユーザーがOracle Autonomous Databaseで操作を実行すると、データベースはイベントをOracle Cloud Eventsサービスに公開します。Oracle Cloud Eventsサービスを使用すると、これらのイベントを取得してアクションを実行するルールを作成できます。

イベント・サービスの仕組みと、使用されるルールおよびアクションの設定方法の詳細は、イベントの概要を参照してください。イベントを生成するOracle Autonomous Database操作のリストは、Autonomous Databaseイベント・タイプを参照してください。

データベース・アクティビティの監査

Oracle Autonomous Databaseは、ユーザーが作成したAutonomous Databaseを、Oracle Databaseの統合監査機能を使用するように構成します。

この機能によって、次のソースから監査レコードが取得され、統一されたフォーマットで1つの監査証跡に収集されます:

  • 統合監査ポリシーおよびAUDIT設定による監査レコード(SYS監査レコードを含む)
  • DBMS_FGA PL/SQLパッケージによるファイングレイン監査レコード
  • Oracle Database Real Application Security監査レコード
  • Oracle Recovery Manager監査レコード
  • Oracle Database Vault監査レコード
  • Oracle Label Security監査レコード
  • Oracle Data Miningレコード
  • Oracle Data Pump
  • Oracle SQL*Loaderダイレクト・ロード

監査情報は最大14日間保持され、その後は自動的にパージされます。監査情報を長期間保持し、データベース・アクティビティを簡単に分析およびレポートするには、Oracle Data Safe (Oracle Autonomous Databaseサブスクリプションに含まれる)を使用します。

詳細は、Autonomous Databaseの監査についてを参照してください。

データベースとそのデータのセキュリティの評価

Oracle Autonomous Databaseは、データベースの評価と保護を支援するためにOracle Data Safeと統合されます。

Oracle Data Safeは、データの機密性の理解、データに対するリスクの評価、機密データのマスク、セキュリティ制御の実装とモニター、ユーザー・セキュリティの評価、ユーザー・アクティビティのモニター、およびデータベース内のデータ・セキュリティ・コンプライアンス要件への対応を支援します。

Oracle Data Safeを使用して、データベースをデータ・セーフに登録することで、Oracle Autonomous Databaseの機密データと規制対象データを識別および保護します。これにより、データベースの「詳細」ページから直接データ・セーフ・コンソールを使用できます。

データ・セーフの使用の詳細は、Oracle Data Safe機能の使用を参照してください。

規制コンプライアンスの認証

Oracle Autonomous Databaseは、幅広い国際的および業界固有のコンプライアンス標準セットに対応しています。

認定 説明

C5

クラウド・コンピューティング・コンプライアンス制御カタログ(C5)

CSA STAR

クラウド・セキュリティ・アライアンス(CSA)セキュリティ・トラスト、保証、リスク(STAR)

サイバー・エッセンシャルズ(英国)

サイバー・エッセンシャルズ・プラス(英国)

Oracle Cloud Infrastructureは、次のリージョンでCyber EssentialsとCyber Essentials Plus認定を取得しました:

  • 英国Gov南(ロンドン)
  • 英国Gov西部(ニューポート)

摘要(UAE)

ドバイ電子セキュリティセンターCSPセキュリティ標準

DoD IL4/IL5

次のリージョンにおけるDISA Impact Level 5認可:

  • 米国DoD東部(アッシュバーン)
  • 米国DoD北部(シカゴ)
  • 米国 DoD西部(フェニックス)

ENS High (スペイン)

認定レベルの高いEsquema Nacional de Seguridad。

FedRAMP高

Federal Risk and Authorization Management Program(アメリカ)政府地域のみ)

FSI (S)韓国)

金融セキュリティ研究所

HDS

フランスの公衆衛生法典では、医療または医療データを管理、処理、または保存する医療機関が、HébergeurdeDonnéesdeSanté(HDS)認定および認定を受けたインフラストラクチャ、ホスティングおよびプラットフォーム・サービス・プロバイダを使用する必要があります。

HIPAA

医療保険の相互運用性と説明責任に関する法律

ヒトラスト

Health Information Trust Allianceについて

IRAP (オーストラリア)

Infosec Registered Assessorsプログラムシドニーおよびメルボルン地域

ISMS (S)韓国)

情報セキュリティ管理システム

ISO/IEC 27001:2013

International Organization for Standardization 27001

ISO/IEC 27017:2015

ISO/IEC 27002に基づくクラウド・サービスのための情報セキュリティ管理策の実践規範

ISO/IEC 27018:2014

PIIプロセッサとして動作するパブリック・クラウドにおける個人識別情報(PII)の保護のための実践規範

MeitY (インド)

電子・情報技術省

MTCS(シンガポール)

複数層Cloud Service (MTCS)レベル3

PASF (OK OC4)

PASF(Police Assured Secure Facilities)は、

  • 英国Gov南(ロンドン)
  • 英国Gov西部(ニューポート)

PCI DSS

クレジット・カード業界データ・セキュリティ基準は、クレジット・カード情報を処理、保存または送信するすべての会社がセキュアな環境を維持するようにするための一連の要件です

SOC 1

システムおよび組織管理1

SOC 2

システムおよび組織管理2

詳細および完全な認証リストについては、Oracle Cloudのコンプライアンスを参照してください。