静止中のデータは、TDE (透過的データ暗号化)を使用して暗号化されます。これは、データの処理、転送および格納を保護する暗号化ソリューションです。各Autonomous Databaseには独自の暗号化キーがあり、そのバックアップにはそれぞれ異なる暗号化キーがあります。

デフォルトでは、Oracle Autonomous Database on Dedicated Exadata Infrastructureは、データの保護に使用されるすべてのマスター暗号化キーを作成および管理し、データベースが存在するのと同じExadataシステム上のセキュアなPKCS 12キーストアに格納します。会社のセキュリティ・ポリシーで必要な場合、Oracle Autonomous Database on Dedicated Exadata Infrastructureでは、Oracle Autonomous Database on Dedicated Exadata InfrastructureをOracle CloudまたはExadata Cloud@Customerのどちらにデプロイするかに応じて、Oracle Cloud Infrastructure VaultサービスまたはOracle Key Vaultで作成および管理するキーをかわりに使用できます。詳細は、「マスター暗号化キーの管理」を参照してください。

さらに、Oracle管理キーまたは顧客管理キーのどちらを使用するかに関係なく、会社のセキュリティ・ポリシーを遵守するために、既存のデータベースで使用されるキーを必要に応じてローテーションできます。

ノート: データベースをクローニングすると、新しいデータベースは独自の新しい暗号化キーのセットを取得します。

クライアント(アプリケーションおよびツール)は、Oracle Net Services (SQL*Netとも呼ばれる)および事前定義済データベース接続サービスを使用してAutonomous Databaseに接続します。Oracle Autonomous Database on Dedicated Exadata Infrastructureは、次の2つのタイプのデータベース接続サービスを提供し、それぞれがデータベースとクライアント間で転送中のデータを暗号化するために独自の方法を使用します:

• TCPS (セキュアなTCP)データベース接続サービスでは、接続に業界標準のTLS 1.2 (Transport Layer Security)プロトコルが使用されるため、対称キー・データ暗号化が使用されます。

  Autonomous Databaseを作成すると、クライアントがTCPSを使用して接続するために必要なすべてのファイルを含む接続ウォレットが生成されます。このウォレットは、データベース・アクセスを許可するクライアントにのみ配布します。クライアント側構成では、ウォレット内の情報を使用して対称キー・データ暗号化が実行されます。

• TCPデータベース接続サービスでは、Oracle Net Servicesに組み込まれたネイティブ・ネットワーク暗号化の暗号方式を使用して、転送中のデータがネゴシエートおよび暗号化されます。このネゴシエーションのために、Autonomous Databasesは、AES256、AES192またはAES128暗号化を使用した暗号化を必要とするように構成されます。

  接続が行われるときに暗号化がネゴシエートされるため、TCP接続ではTCPS接続に必要な接続ウォレットは必要ありません。ただし、クライアントはデータベース接続サービスに関する情報を必要とします。この情報は、Oracle Cloud Infrastructureコンソールでデータベースの「Autonomous Databaseの詳細」ページの「DB接続」をクリックすると表示されます。また、TCPSを使用して接続するために必要なファイルを含む、ダウンロード可能な同じzipファイルに含まれているtnsnames.oraファイル内にもあります。

DBMS_CRYPTO暗号化アルゴリズムまたはユーザー定義暗号化機能を使用して、オブジェクト・ストレージへのエクスポート中に表データを暗号化できます。オブジェクト・ストレージの暗号化データは、外部表で使用するために、またはDBMS_CRYPTO暗号化アルゴリズムまたはユーザー定義暗号化機能を使用してオブジェクト・ストレージからインポートする際に復号化することもできます。手順については、オブジェクト・ストレージへのエクスポート中のデータの暗号化およびオブジェクト・ストレージからのインポート中のデータの復号化を参照してください。