Database Vault

ORACLE DATABASE VAULT
おもな機能と利点
• データベース内の機密データへの特権
ユーザーおよび DBA のアクセスを予防
的制御によってブロックします。
• データベース内部での操作を制御し、
構成の不正な変更を防止して、監査不
適合を回避できます。
• メンテナンス中やサイバー攻撃の発生
時に機密性の高いアプリケーション・
オブジェクトを不正アクセスから保護
します。
• 統合、クラウド環境、アウトソーシン
グなどのためにセキュリティ制御を強
化し、複数の国の規制に従うように支
援します。
• 権限分析により、使用される特権と未
使用の特権または使用されるロールと
未使用のロールを識別できます。
• エンタープライズ・アプリケーション
（Fusion Applications、E-Business
Suite、PeopleSoft、Siebel、SAP など）
に関するアプリケーションごとの保護
ポリシーを実現します。
Oracle Database Vault は、アプリケーション・データを不正アクセ
スから保護するための強力なセキュリティ制御機能を提供し、プラ
イバシ要件や規制要件への対応を支援します。制御機能によって特
権アカウントによるアプリケーション・データへのアクセスをブ
ロックするとともに、複数ファクタ認可でデータベース内部での機
密情報の操作を制御できます。また、特権およびロールの分析によ
り、既存のアプリケーションのセキュリティを強化できます。さら
に、Oracle Database Vault によって既存のデータベース環境を透過
的に保護することで、コストと時間のかかるアプリケーション変更
が不要になります。
特権アカウントの制御
特権データベース・アカウントは、データベース中の機密アプリケーション・
データにアクセスするためにもっとも一般に使用されるルートの 1 つです。こ
の広範囲の無制限のアクセスは、データベースのメンテナンスを容易にします
が、大量のデータにアクセスする攻撃の糸口にもなります。アプリケーション・
スキーマ、機密テーブル、およびストアド・プロシジャを保護する Oracle
Database Vault のレルムによって実装される制御機能により、ハッカーやイン
サイダーが特権アカウントを利用して機密アプリケーション・データにアクセ
スするのを防止できます。
図 1：Oracle Database Vault のレルムによる特権アカウントでのアクセスの防止
データベース構成の制御
監査で指摘されることが比較的多いものとして、データベース権限の不正変更
（DBA ロールや新しいアカウントおよびデータベース・オブジェクトの付与な
ど）が挙げられます。本番環境の不正な変更により、セキュリティが弱まり、
ハッカーの侵入経路が生まれ、プライバシおよびコンプライアンス規制に違反
する可能性があるため、そのような変更を防止することはセキュリティだけで
なくコンプライアンスの点からも重要です。Oracle Database Vault の SQL コマ
ンド制御により、データベース内部での操作（表作成、表切捨て、ユーザー作
成などのコマンドを含む）を制御できます。さまざまな標準ファクタ（IP アド
レス、認証方式、プログラム名など）を使用して、盗まれたパスワードによる
攻撃を防止する複数ファクタ認可を簡単に実装できます。これらの制御機能に
より、誤った構成変更を防止するとともに、ハッカーや悪意のあるインサイダー
によるアプリケーションの改ざんも防止できます。
Oracle Database 12c の Oracle Database Vault では、新しい必須レルム制御が
導入され、アプリケーション・オブジェクトへのアクセス（オブジェクト所有
者などの直接付与されるオブジェクト・アクセス権限を含む）を制限できます。
これは、サポート担当者がアプリケーション所有者としてアプリケーション・
スキーマに直接アクセスする必要がある場合に役立ちます。必須レルムは、実
行時に有効にできます。また、必須レルムをサイバー攻撃に対処するために使
用し、脅威が分析されるまですべてのアクセスを防止することができます。
関連製品
統合環境およびクラウド環境の制御
Oracle Database 12c の多重防御セキュリ
ティ・ソリューション：
統合環境やクラウド環境はコストの削減につながるものの、大量の機密アプリ
ケーション・データへの不正アクセスに関するリスクが増大します。ある国に
存在するデータがまったく別の国で提供される場合がありますが、それらの
データへのアクセスは、データが帰属する国の規制に基づいて制限される必要
があります。Oracle Database Vault の制御機能は、データベース管理者のアプ
リケーション・データへのアクセスを防止することにより、こうした環境のセ
キュリティを強化します。さらに、これらの制御機能を使用すると、アプリケー
ション・バイパスを防止し、アプリケーション層からアプリケーション・デー
タへの信頼できるパスを実装できます。
• Oracle Advanced Security
• Oracle Data Masking
• Oracle Label Security
• Oracle Audit Vault and Database
Firewall
Oracle Database Vault は、セキュリティ管理、アカウント管理、および日常的
なデータベース管理アクティビティの 3 つの職務を明確に分離する制御機能を
標準で提供します。Oracle Database Vault が提供する職務分離の制御機能はカ
スタマイズが可能で、リソースが限られている企業では、Oracle Database Vault
によって分離される複数の職務を同じ管理者に割り当てることもできます。
Oracle Database Vault は Oracle Multitenant とともに使用して、統合に関する
セキュリティを強化することができます。これにより、プラガブル・データベー
ス（PDB）内および PDB 間の特権ユーザー・アクセスとコンテナ・データベー
スでの一般権限ユーザー・アクセスを防止できます。
ユーザーとアプリケーションの実行時権限分析
Oracle Database 12c の Oracle Database Vault では「権限分析」と呼ばれる新機
能が導入され、実行時に使用される実際の特権とロールを識別して、アプリケー
ションのセキュリティを強化することができます。その後、セキュリティ管理者
は、それ以外の未使用ロールおよび特権を監査して無効化することにより、攻撃
の対象となる範囲を狭めるとともに、最小権限モデルを実装することができます。
また、管理者に関して権限分析を使用することにより、それらの管理者が職務を
果たすために付与されるロールや特権を限定することもできます。
エンタープライズ・アプリケーション保護ポリシー
主要なエンタープライズ・アプリケーション（Oracle Fusion Applications、Oracle
E-Business Suit、
Oracle PeopleSoft、
Oracle Siebel、
Oracle Financial Services（i-Flex）
、
Oracle Primavera、SAP、Finacle from Infosys など）に関しては、Oracle Database
Vault のアプリケーション別の保護ポリシーを使用できます。
管理性
Oracle Database 12c では Oracle Database Vault がデフォルトで事前インス
トールされるようになったため、簡単に有効化できます。Oracle Database Vault
の管理は Oracle Enterprise Manager Cloud Control と完全に統合されるため、
セキュリティ管理者は、一元化された効率的なインタフェースによって Oracle
Database Vault を管理できます。
お問い合わせ先
Oracle Database Vault について、詳しくは oracle.com を参照するか、+1.800.ORACLE1 でオラクルの担当者にお問い合
わせください。
Copyright © 2013, Oracle and/or its affiliates. All rights reserved.
本文書は情報提供のみを目的として提供されており、ここに記載される内容は予告なく変更されることがあります。本文書は一切間違いがないことを保証するものではなく、さらに、口述による明
示または法律による黙示を問わず、特定の目的に対する商品性もしくは適合性についての黙示的な保証を含み、いかなる他の保証や条件も提供するものではありません。オラクル社は本文書に関す
るいかなる法的責任も明確に否認し、本文書によって直接的または間接的に確立される契約義務はないものとします。本文書はオラクル社の書面による許可を前もって得ることなく、いかなる目的
のためにも、電子または印刷を含むいかなる形式や手段によっても再作成または送信することはできません。
Oracle および Java は Oracle およびその子会社、関連会社の登録商標です。その他の名称はそれぞれの会社の商標です。
2