Oracle Cloud Infrastructureドキュメント

専用Exadataインフラストラクチャ上のAutonomous Databaseのセキュリティ機能

この記事では、専用Exadataインフラストラクチャ上のAutonomous Databaseの主なセキュリティ機能について説明します。

この項では、「お客様」という用語は、特定のタスクの実行を担当する組織内の管理者を意味するために広く使用されています。フリート管理者である場合もあれば、データベース管理者である場合もある。

Oracle Databaseの標準セキュリティ機能(権限分析、ネットワーク暗号化、一元管理ユーザー、セキュアなアプリケーション・ロール、透過的機密データ保護など)とともに、専用Autonomous Databaseは、Database Vault、データ・セーフおよびその他の高度なセキュリティ機能を追加コストなしで追加します。

次に示す専用Autonomous Databaseの主なセキュリティ機能のビルディング・ブロックを確認できます。

ヒント:

次のイメージでは、さらに探索する機能をクリックできます。

図3-1セキュリティの主な機能




構成管理

Oracle Cloud Infrastructure上に構築されたAutonomous Databaseは、標準で強化されたセキュリティ構成を提供するため、お客様とチームは、自律型データベース・フリート全体で構成を管理するのに膨大な時間と費用を費やす必要はありません。SYSやSystemなどのすべてのサービス・アカウントは、90日ごとにローテーションされます。詳細は、Autonomous Databaseでの構成管理を参照してください。

セキュリティのパッチと更新は自動的に実行されるため、セキュリティを最新の状態に保つことを気にする必要はありません。これらの機能によって、機密性の高いデータベースおよびデータを、コスト発生や災害につながるセキュリティの脆弱性や侵害から保護できます。詳細は、専用Autonomous Databaseのサービス・メンテナンスを参照してください。

データ暗号化

Autonomous Databaseは、すべてのデータを暗号化された形式でOracle Databaseに格納します。認証されたユーザーとアプリケーションのみが、データベース接続時にデータにアクセスできます。

Autonomous Databaseは、保存中および転送中のデータを保護する常時稼働の暗号化を使用します。Oracle Cloudに格納されるデータ、およびOracle Cloudとのネットワーク通信はすべて、デフォルトで暗号化されます。暗号化をオフにすることはできません。

データ暗号化およびマスター暗号化キーの詳細は、専用Autonomous Databaseでのデータ暗号化を参照してください。

監査中

Oracle Autonomous Database on Dedicated Exadata Infrastructureには、サービスおよび特定のデータベースに対してだれが実行したかを追跡できる堅牢な監査機能があります。包括的なログ・データによって、リソースに対するアクションを監査およびモニターできるため、セキュリティおよび運用のリスクを軽減しながら監査要件を満たすことができます。

詳細は、専用Autonomous Databaseの監査機能を参照してください。

アクセス制御

専用Exadataインフラストラクチャ機能を構成する際には、クラウド・ユーザーのアクセス権を、各自の職務を遂行するために適切な種類のクラウド・リソースのみを使用および作成できるように設定する必要があります。さらに、認可された担当者およびアプリケーションのみが、専用インフラストラクチャ上に作成されたAutonomous Databaseにアクセスできるようにする必要があります。そうしない場合、専用インフラストラクチャ・リソースの"ランナウェイ"消費が発生したり、ミッションクリティカルなデータに適切にアクセスできなくなる可能性があります。

データおよびそれが含まれるデータベースへのアクセスを保護する場合、様々な種類のアクセス制御を含めます。詳細は、専用Autonomous Database内のアクセス制御を参照してください。

証明書管理

クライアントがTCPS (Secure TCP)データベース接続サービスを介してAutonomous Databaseに接続しようとすると、Oracle Autonomous Database on Dedicated Exadata Infrastructureは標準のTLS 1.2証明書ベースの認証を使用して接続を認証します。クライアントがTCPSまたはTCPデータベース接続サービスを介して接続しようとするかどうかに関係なく、データベースへのクライアントのアクセスは、クライアントが接続に使用するデータベース・ユーザーのアクセス権によって制限されます。

Oracle管理自己署名証明書

デフォルトでは、Autonomous Databaseは自己署名証明書を使用します。自己署名証明書は、システム生成のセキュリティ証明書です。

証明書の生成

Autonomous Exadata VMクラスタ(AVMC)のプロビジョニング中にOracle管理の自己署名証明書が自動的に生成され、そのAVMCで作成されたすべてのデータベースに適用されます。

証明書管理

自己署名証明書は自動的に生成され、AVMCに関連付けられます。ただし、データベースに接続する前に、Autonomous Databaseクライアント・ウォレットをダウンロードする必要があります。自己署名証明書では、ウォレットを使用しないデータベースへの接続はオプションではありません。データベースのウォレットをダウンロードする手順は、「クライアント資格証明のダウンロード」を参照してください。

要件に応じて、次の証明書タイプのいずれかがAVMCに関連付けられます。
  • データベースSSL証明書:データベース・クライアント接続のSSL証明書。
  • ORDS SSL証明書: Application Express (APEX)アプリケーションのSSL証明書。
証明書のローテーション

組織のセキュリティ・コンプライアンスのニーズを満たすために、Oracle Cloud Infrastructure (OCI)コンソールまたはAPIを使用してOracle管理の自己署名証明書をローテーションできます。Refer to Manage Security Certificates for an Autonomous Exadata VM Cluster Resource for step-by-step instructions.これは証明書ローテーションと呼ばれます。

新しくプロビジョニングされたAutonomous Exadata VMクラスタ(AVMC)リソースの場合、Oracle管理の自己署名証明書は作成から13か月の有効性を持ちます。コンソールまたはAPIを使用してSSL証明書をローテーションすると、サーバー側証明書とクライアント側証明書の両方がローテーションされ、有効性が13か月にリセットされます。Oracle管理のサーバー側またはクライアント側の証明書が失効前にローテーションされない場合、Oracleはそれらを自動的にローテーションし、新しいウォレットを生成します。

データベースSSL証明書の場合、証明書のローテーションによって既存の証明書がすぐに無効になることはありません。

証明書のローテーションから2週間以内に、証明書のローテーションの前後にダウンロードしたAutonomous Databaseクライアント・ウォレットを使用してデータベースに接続できます。

証明書のローテーションから2週間後:

  • 証明書のローテーション前にダウンロードされたデータベース・ウォレットは無効になり、データベースへの接続に使用できません。
  • 証明書のローテーションから2週間以内にダウンロードされたデータベース・ウォレットはアクティブなままであり、データベースへの接続に使用できます。
  • 証明書ローテーションから2週間後にダウンロードされた新しいデータベース・ウォレットは、データベースへの接続に使用できます。

これを例で説明します。

SSL証明書(C1など)が期限切れになり、この証明書が2月1日にローテーションされたとします。2月1日から2月14日まで、古い証明書(C1)は引き続き使用できます。古い証明書(C1)を引き続き使用するか、データベース接続用にローテーションされた証明書(C2)の新しいデータベース・ウォレットをダウンロードできます。2月1日から2週間後、つまり2月14日以降、古い証明書(C1)は無効になり、データベース接続に使用できません。この2週間で、証明書ローテーション後にダウンロードしたデータベース・ウォレット(C2)を引き続き使用できます。また、新しいデータベース・ウォレットをダウンロードして、ローテーションから2週間後にデータベース接続に使用を開始することもできます。

データベースSSL証明書を最新のローテーションから2週間以内にローテーションすることもできます。このシナリオでは、古い証明書(最初のローテーションによって無効化される)がすぐに無効になります。次の証明書(最初のローテーションの結果)はアクティブなままであり、3番目の証明書(2番目のローテーションの結果)は2番目のローテーションから2週間のアクティブ化を待機します。最初のローテーションの前にダウンロードされたデータベース・ウォレットは、2回目のローテーションの直後に無効化されます。最初のローテーション後にダウンロードしたデータベース・ウォレットを使用して、2番目のローテーションから2週間後までデータベースへの接続を続行できます。2回目のローテーションから2週間後、2回目のローテーション後にダウンロードされたクライアント・ウォレット(2回目のローテーション以降から2週間以内にダウンロードされたウォレット)を使用してのみデータベースに接続できます。

前述の例で、2月1日から2週間以内に同じ証明書(C1)を再度ローテーションすると、証明書は二重ローテーションを受けます。この場合、古い証明書(最初のローテーションの前の証明書、つまりC1)はただちに無効化されます。最初のローテーション(C2)の結果の証明書はアクティブなままであり、2番目のローテーションの結果の3番目の証明書(C3など)は、2番目のローテーションから2週間のアクティブ化を待機します。2回目のローテーションから2週間後、最初のローテーション(C2)の結果の証明書も無効になり、2回目のローテーションの前にダウンロードされたデータベース・ウォレットはデータベース接続に使用できなくなります。この2週間で、証明書ローテーション後にダウンロードしたデータベース・ウォレット(C3)を引き続き使用できます。また、新しいデータベース・ウォレットをダウンロードして、2回目のローテーションから2週間後にデータベース接続に使用を開始することもできます。

ORDS SSL証明書の場合、証明書のローテーションによって既存のすべてのアプリケーション接続が失われ、ORDSを再起動することをお薦めします。前述の2週間のバッファ期間は、ORDS SSL証明書をローテーションする場合には適用されません。

証明書持込み(BYOC)

独自の証明書の持込み(BYOC)では、CA署名サーバー側の証明書をAutonomous Databasesで使用できます。

証明書の生成

独自の証明書を持ち込むには、証明書の作成で示すように、まずOracle Cloud Infrastructure (OCI)証明書サービスを使用して証明書を作成する必要があります。これらの証明書は署名済で、PEM形式である必要があります。つまり、ファイル拡張子は.pem、.cerまたは.crtのみである必要があります。

証明書のインストール

CA署名付きサーバー側証明書を作成したら、AVMCとともにインストールして、その中に作成されたすべてのデータベースでセキュアな接続にこの証明書を使用できるようにする必要があります。BYOC証明書とAVMCの関連付けは、OCIコンソールの「証明書の管理」ダイアログから簡単に行えます。このダイアログで、「独自の証明書の持込み」を選択し、選択リストから以前に作成した証明書を選択します。オプションで、CA証明書に認証局およびCAバンドルを指定することもできます。Refer to Manage Security Certificates for an Autonomous Exadata VM Cluster Resource for step-by-step instructions.

証明書管理
Autonomous Databaseクライアント・ウォレットの有無にかかわらず、CA署名サーバー側に関連付けられたAutonomous Databasesに接続できます。
  • データベース・ウォレットを使用してデータベースに接続するには、まず、OCIコンソールを使用してデータベースの「詳細」ページからクライアント資格証明をダウンロードする必要があります。手順については、「クライアント資格証明のダウンロード」を参照してください。
  • クライアント・ウォレットなしでデータベースに接続するには、次のことを確認する必要があります。
    • 一方向TLS接続は、AVMCレベルで有効になります。これは、AVMCのプロビジョニング中に「拡張オプション」「リスナー」パラメータを使用して定義される設定です。ガイダンスは、「Autonomous Exadata VMクラスタの作成」を参照してください。
    • CA署名サーバー側の証明書は、既知のパブリックCAによって署名されるため、デフォルトでクライアント操作システムによって信頼されます。
証明書のローテーション

組織のセキュリティ・コンプライアンスのニーズを満たすために、Oracle Cloud Infrastructure (OCI)コンソールまたはAPIを使用して、CA署名のサーバー側証明書をローテーションできます。Refer to Manage Security Certificates for an Autonomous Exadata VM Cluster Resource for step-by-step instructions.

有効期限より前にローテーションする必要があり、有効な証明書を指定するまで、このAVMC上のデータベースにTLSポートで到達できないデータベースが失敗します。ただし、1521などの非TLSポート上のデータベースには引き続きアクセスできます。

証明書イベント

セキュリティ証明書管理のために次のイベントが公開されます。
イベント 次の時点で生成されます
sslcertificateexpiry.reminder Autonomous Exadata VMクラスタは、ウォレットの期限が6週間未満であると判断します。このイベントは、最大週に1回報告されます。このイベントは、期限切れになるウォレットを使用する接続がある場合にトリガーされます。
sslcertificate.expired SSL証明書の有効期限が切れます。このAutonomous Exadata VMクラスタに関連するすべてのAutonomous Databaseウォレットが期限切れになります。
sslcertificaterotation.reminder SSL証明書は365日より古く、証明書のローテーションを顧客に推奨します。SSL証明書が365日を超えると、ローテーションされるまで週に1回このリマインダが表示されます。
sslcertificate.rotated SSL証明書は、手動で(Oracle Cloud InfrastructureコンソールまたはAPIを使用して)ローテーションされるか、失効時に自動的にローテーションされます。

ヒント:

OCI通知サービスを使用してこれらのイベントをサブスクライブし、公開されるたびに受信します。詳細は、「サブスクリプションの作成」を参照してください。

Autonomous Databaseイベントの包括的なリストは、専用Exadataインフラストラクチャ上のAutonomous Databaseのイベントを参照してください。

データ保護

データ保護は、あらゆるデータベースにおけるデータ・セキュリティの重要な側面です。特権データベース・アカウントは、データベース内の機密性の高いアプリケーション・データへのアクセスを獲得する手段として最もよく使われています。ADMINやOracleオペレータなどの特権ユーザーは、データベース・メンテナンスを容易にするために広範で無制限のアクセスが必要ですが、同じアクセスによって攻撃ポイントが作成され、大量のデータへのアクセスが得られます。

Autonomous Databaseでは、次を使用してPrivileged Access Management (PAM)を実装できます:

  • Oracle Database Vaultは事前構成されており、Autonomous Databasesですぐに使用できます。その強力なセキュリティ制御を使用して、特権データベース・ユーザーによるアプリケーション・データへのアクセスを制限することで、内部および外部の脅威のリスクを減らし、一般的なコンプライアンス要件に対応できます。

    特権アカウントによるアプリケーション・データへのアクセスをブロックしたり、データベース内の機密操作を制御するためのコントロールをデプロイできます。トラステッド・パスを構成して、許可されたデータ・アクセスおよびデータベース変更に対してセキュリティ制御を追加できます。権限およびロールの実行時分析を通じて、最小限の権限を実装し、データベース・アカウントの攻撃プロファイルを減らすことで、既存のアプリケーションのセキュリティを強化できます。Database Vaultは、既存のデータベース環境を透過的に保護することで、コストと時間がかかるアプリケーションの変更を排除します。

    Oracle Database Vaultは、主に次のデータベース・セキュリティの問題に対応します。

    • アプリケーション・データへの管理権限付きアカウント・アクセス:データベース管理者は最も権限が多く信頼されているユーザーですが、データベースに存在するアプリケーション・データへのアクセス権を付与する必要はありません。

      Oracle Database Vaultのアプリケーション・スキーマ、機密性の高い表、およびストアド・プロシージャに関するレルムでは、特権アカウントが機密アプリケーション・データにアクセスするために侵入者や内部者によって悪用されるのを防ぐための制御が提供されます。詳細は、Oracle Database管理者ガイドOracle Database Vaultによるユーザー・アカウントの保護を参照してください。

    • アプリケーション・データ・アクセスの職務の分離: Oracle Database Vaultの職務の分離制御はカスタマイズでき、リソースが限られている組織は、複数のOracle Database Vault職責を同じ管理者に割り当てることができますが、職務の分離ロールごとに別個のアカウントを使用して、1つのアカウントが盗用された場合にデータベースへの損傷を最小限に抑えることができます。詳細は、『Oracle Database管理者ガイド』Oracle Database Vaultのデータベース統合に関する問題への対応に関する項を参照してください。

    Database Vaultを使用する前に、『Oracle Database管理者ガイド』Oracle Database Vaultの有効化後の注意事項を参照して、Database Vaultの構成および有効化の影響を理解してください。

    Database Vaultの機能の実装の詳細は、『Oracle Database Vault管理者ガイド』を参照してください。

    Autonomous DatabaseでDatabase Vaultを構成および有効化する方法の詳細は、Oracle Database Vaultを使用したデータベース・ユーザー権限の管理を参照してください。

    ヒント:

    Database Vaultの設定プロセスを試行するには、セキュリティ管理者専用Oracle Autonomous Databaseワークショップラボ1: Database Vaultによるデータの保護を実行します。
  • また、PAMは、お客様が承認した使用のためにデータを保護し、不正アクセスからデータを保護するためにも使用されます。これには、Oracle Cloud Operationsによる顧客データへのアクセスの防止やスタッフのサポートが含まれます。Oracle Operations Access Controlは、Oracle Cloudの運用およびサポート・スタッフがパフォーマンスの監視および分析に使用するユーザー・アカウントが、Autonomous Databasesのデータにアクセスできないようにします。詳細は、権限付きアクセス管理を参照してください。

機密データ検出およびデータ・マスキング

機密データ(クレジット・カード番号、SSNなど)を特定し、必要に応じてマスキングまたはリダクションすることで、データ保護と全体的なデータ・セキュリティが向上します。

  • Oracle Autonomous Database on Dedicated Exadata Infrastructureは、データベースの評価と保護に役立つ、Oracle Data Safe サービスとの統合をサポートしています。Oracle Data Safeは、データの機密性の理解、データに対するリスクの評価、機密データのマスク、セキュリティ制御の実装とモニター、ユーザー・セキュリティの評価、ユーザー・アクティビティのモニター、およびデータベース内のデータ・セキュリティ・コンプライアンス要件への対応を支援します。

    使いやすい1つの管理コンソールに次の機能セットが用意されています:

    • セキュリティ・アセスメントは、データベース構成のセキュリティを評価するのに役立ちます。

    • ユーザー・アセスメントは、データベース・ユーザーのセキュリティを評価し、リスクの高いユーザーを特定するのに役立ちます。

    • データ検出は、データベース内の機密データを検出するのに役立ちます。データ・マスキングは、非本番の目的でデータが安全になるように機密データをマスキングする方法です。

    • アクティビティ監査を使用すると、データベースのユーザー・アクティビティを監査できるため、データベースの使用状況をモニターし、異常なデータベース・アクティビティについてのアラートを受けることができます。

    データ・セーフの使用の詳細は、Oracle Data Safeの使用Oracle Data Safeの概要を参照してください。

    Oracle Data Safeを使用して、Autonomous Databaseの機密データと規制対象データを識別および保護するには、データベースをデータ・セーフに登録する必要があります。データベースをデータ・セーフに登録した後、Autonomous Databaseの詳細ページから直接データ・セーフ・コンソールに移動できます。データベースの登録の詳細は、Data Safeへの専用データベースの登録または登録解除に関する項を参照してください。

  • 実行時にアプリケーションによって発行された問合せが、クレジット・カード番号や個人IDなどの機密情報を含む結果セットを返す場合、Oracle Data Redactionは、結果セットをアプリケーションに返す前に機密詳細をマスクするのに役立ちます。DBMS_REDACT PL/SQLパッケージを使用して、データ・リダクションのポリシーを実装できます。『PL/SQLパッケージおよびタイプ・リファレンス』DBMS_REDACTを参照してください。

規制コンプライアンスの認証

Autonomous Database on Dedicated Exadata Infrastructureは、次のような幅広い国際的および業界固有のコンプライアンス標準セットを満たしています:

  • FedRAMP High - 米国連邦リスク承認管理プログラム(U.S. Governmentリージョンのみ)
  • HIPAA - 医療保険の相互運用性と説明責任に関する法律
  • ISO/IEC 27001:2013 - 国際標準化機構27001
  • ISO/IEC 27017:2015 - ISO/IEC 27002に基づくクラウド・サービスのための情報セキュリティ管理策の実務規範
  • ISO/IEC 27018:2014 - PIIプロセッサとして動作するパブリック・クラウドにおける個人識別情報(PII)の保護のための実務規範
  • PCI DSS - クレジット・カード業界データ・セキュリティ基準は、クレジット・カード情報を処理、保存または送信するすべての会社がセキュアな環境を維持するようにするための一連の要件です
  • SOC 1 - システムおよび組織管理1
  • SOC 2 - システムおよび組織管理2

詳細および完全な認証リストについては、Oracle Cloudのコンプライアンスを参照してください。