※ 本記事は、Pedro Lopesによる”Database Security Assessment Tool 3.0 is now available“を翻訳したものです。

2023年12月22日

Oracleのベスト・プラクティスを紹介し、セキュリティ結果を改善し、Oracle Database Security Assessment Tool (DBSAT)のデプロイメントを簡素化した、人気のDBSATの最新リリースを発表できることを嬉しく思います。このリリースには、Oracle Databaseの最新の米国国防総省情報システム局(DISA)セキュリティ技術導入ガイド(STIG)をサポートするための更新が含まれています。

Oracle Databaseのお客様は、2016年以来、Oracleデータベースのセキュリティ体制を評価し、リスクを軽減するためのガイドとしてDBSATを利用してきました。DBSATは、データベース構成、ユーザー、ロール、権限および機密データを調べることで、潜在的なセキュリティ・リスクを識別するのに役立ちます。

DBSAT 3.0に新機能と拡張機能を搭載

DBSAT 3.0に追加された新しいチェックには、新たに導入されたOracle Database 23c SQL Firewall、監査関連の問題、機密データと透過的機密データ保護、およびセキュリティに配慮した組織に必要なその他の豊富なチェックが含まれます。Remarkと推奨事項が更新され、より明確で実用的なものになります。

サポート終了通知には、データベースの機能とパラメータのうち、到達中または終了日に到達したものがリストされるため、使用を段階的に廃止するための事前対策を講じることができます。DBSAT Discovererでは、インドの永続アカウント番号(PAN)および一意の識別番号(Aadhaar)のサポートも追加されました。

Oracleのベスト・プラクティス結果の概要

DBSATは当初から、数十年にわたるセキュリティ経験を蓄積し、不要なリスクをもたらす可能性のある構成上の問題を確認しました。これまで、DBSATは、DISA STIGs、Center for Internet Security(CIS)ベンチマーク、GDPRなどのデータ・プライバシ規制などのセキュリティ・フレームワークに関連するチェックを明確に特定しました。ただし、Oracleのベスト・プラクティスであることを明らかにしたチェックはありません。DBSAT 3.0では、この問題が修正されました: Oracleのベスト・プラクティスである結果は、明確に特定されました。

チェックはOracleベスト・プラクティス(OBP)として存在する可能性がありますが、いくつかの理由で他の3つのカテゴリの1つではカバーされません。一般的な問題の1つは、リリース・サイクルです。新機能や能力をリリースし、他の組織が標準でそれらを選択するのに何年もかかる場合があります。たとえば、2021年にOracle Database 19cで段階的パスワード・ロールオーバーが導入されましたが、まだSTIGやCISには反映されていません。

A screenshot of the results for users with gradual password rollover in DSAT.
図1: 段階的なパスワード・ロールオーバーを持つユーザー

 

もう一つの理由は知識の深さです。明らかに、Oracle Databaseの内部動作について非常に深く理解しており、STIGとCISはまだいくつかの問題について取り上げていないことを認識しています。たとえば、下位互換性のために古いパスワード・ベリファイアが保持されます。

A screenshot of the results for legacy password versions in DSAT.
図2: レガシー・パスワード・バージョン

 

複数のセキュリティ・フレームワークは、多くの結果をカバーしています。その場合は、適用可能なすべてのフレームワークでタグ付けします。たとえば、CISとSTIGの両方が、データベース・ユーザー・アカウントにデフォルト・パスワードがないことを提唱しています。この場合、DBSATは、その特定の結果をCISおよびSTIGにマップします。また、Oracleのベスト・プラクティスとして、OBPにもマッピングされるようになりました。

A screenshot of the results for users with default passwords in DSAT.
図3: デフォルトのパスワードを持つユーザー

 

すべての結果を見る必要はありません。DBSATを使用すると、タグまたは参照によってコンプライアンス標準に基づく結果に集中できます。たとえば、STIGコンプライアンスを探している顧客は、STIGというタグが付いた結果を探し、CISへのコンプライアンスを探している顧客はCISタグ付きの結果を探し、Oracleのベスト・プラクティスを探している顧客はOBPタグ付きの結果を調べることができます。

DISA STIGの更新

この最新のDBSAT 3.0リリースでは、DISA STIGのサポートがバージョンV2R8に更新されています。STIGは、厳しいセキュリティ要件を満たすためにITシステム、ソフトウェア、およびデバイスを保護するためのガイダンスとベストプラクティスを提供します。STIGは、主に米国政府および関連企業を対象としていますが、ITセキュリティの強化を目指すさまざまな業界の組織にメリットをもたらします。

これまでは、DBSATは、完全に自動化できるルールのみを評価し、手動検証が必要なルールをそのまま残していました。DBSAT 3.0では、データベース・オブジェクトを所有する権限があるアカウントを識別するためのシステム・ドキュメントのレビューなど、プロセス関連のSTIGルールが含まれるようになり、「評価」としてマークされ、顧客がコンプライアンスの検証に役立つ詳細が表示されます。DBSATでは、可能なかぎりSTIGチェックが自動化されるようになりました。また、チェックがプロセス関連の場合は、DBSATによってそれらのチェックが可視化されるため、それらを追跡して手動で検証できます。

どこでもDBSAT

DBSATは、最も人気のあるセキュリティ・ユーティリティの1つで、90,000を超えるダウンロードがあります。DBSATの使いやすさ、わかりやすいレポート、包括的な評価チェックは、リスクを評価し、改善すべき領域を特定するために、多くのお客様がそれに依存している理由です。

DBSATは現在、Oracle Data Safeのセキュリティ評価、Oracle Audit Vault and Database Firewallのデータベース・セキュリティ状況管理、Enterprise ManagerのDBSATコンプライアンス標準、およびAutonomous Health Frameworkのセキュリティ評価部分を強化しています。

DBSATが足りないのはいつ?

DBSATは、単一のOracle Databaseのセキュリティ構成を評価するのに役立つシンプルなスタンドアロン・ツールです。フリート全体の評価の自動化、承認されたベースラインからの逸脱の追跡、アラートの取得、履歴の保持、およびすべてを1つのインタフェースで比較する場合はどうでしょうか? Oracle Data SafeまたはOracle Audit Vault and Database Firewallを使用して、追加のマイルを評価します。

Oracle Data Safeを使用した評価

Data Safeを使用して、クラウドおよびオンプレミスで実行されているデータベースのセキュリティを評価できます。Data Safeは、ユーザーとセキュリティの評価を含む包括的なセキュリティ機能スイートを提供するデータベース・セキュリティ・クラウド・サービスです。Data Safeの緊密に統合された評価機能により、複数のデータベースで評価を同時に実行し、評価をスケジュールし、セキュリティ・ベースラインを確立し、そのベースラインと現在のデータベース・セキュリティ評価の間のドリフトを強調した比較レポートを取得できます。Data Safe APIを使用して、データベース・セキュリティ評価を自動化し、継続的インテグレーションおよび配信(CI/CD)パイプラインに統合することもできます。Data Safeの詳細は、Data Safeのページを参照してください。

Oracle Audit Vault and Database Firewallを使用した評価

Audit Vault and Database Firewall (AVDF) 20.9では、Database Security Posture Managementが導入されました。AVDFでは、監査レコードの収集および監査ポリシー、レポートおよびアラートのプロビジョニングの他に、Oracle DatabasesのDBSATを統合することで、一元化されたセキュリティ評価ソリューションを企業に提供しています。コンプライアンス・マッピングと推奨事項を備えたフル機能の評価は、組織がすべてのOracleデータベースのセキュリティ体制を一元的に把握するのに役立ちます。Audit Vault and Database Firewallの詳細は、Oracle Audit Vault and Database Firewallのページを参照してください。

DBSATは、Audit Vault and Database FirewallやData SafeなどのOracle Database Security評価テクノロジの中核です。どちらも、評価フレームワークのコア部分としてDBSATで定義されているルールを使用します。

DBSAT 3.0を使い始める

データのセキュリティと整合性を保護するために、定期的なセキュリティ評価を実行する必要があります。定期的なセキュリティ評価を実施することで、データベースの構成の誤り、データベース・アカウント、およびデータベースの権利を理解し、リスクを特定して軽減し、最終的には規制コンプライアンスへの道を切り開くのに役立ち、コンプライアンスの失敗やデータ損失から組織に多大な時間とコストを節約できます。

Oracleのお客様であれば、今すぐ無料でデータベースの評価を開始できます。ダウンロードまたは詳細については、Oracle Database Security Assessment Toolのページを参照してください。また、LiveLabsのガイド付きワークショップでDBSAT 3.0を試して、実際に実行されていることを確認することもできます。