※ 本記事は、Pedro Lopesによる”Unlock the power of database user profiles with Data Safe“を翻訳したものです。

2023年6月26日

Oracle Databaseは、1970年代から顧客のセキュリティ要件に対応し、セキュリティ機能を開発してきた実績があり、データベース・セキュリティのリーダーとして認められています。これらの機能の1つであるユーザー・プロファイルは、Oracle Databaseバージョン7から使用可能になりました。ユーザー・プロファイルを使用すると、データベース内の様々なタイプのユーザーに対してパスワード・ポリシーおよびリソース制限を定義および適用できます。

このブログ投稿では、Oracle Databaseユーザー・プロファイルを使用する利点と、新しく導入されたOracle Data Safeユーザー・プロファイル・インサイトを使用して、すべてのOracleデータベースにわたるプロファイルを管理する方法について説明します。

Oracle Databaseユーザー・プロファイル

データベース・プロファイルは、データベース・リソースに制限を設定します。パスワード関連のプロファイル設定を利用することは、データを保護するために不可欠です。ユーザー・プロファイルを使用すると、データベースに対してユーザーが実行できる一部のアクションを制限できます。これは、不正アクセスを防止し、データ侵害のリスクを低減するために非常に重要です。たとえば、ユーザー・プロファイルを使用して、ユーザーが一定期間ロックアウトされるまでのログイン試行の失敗回数を制限し、複雑度要件などのパスワード・ガバナンス設定を設定し、パスワード失効ポリシーを定義できます。また、ユーザーが切断される前にアイドル状態になることができる時間や、ユーザープロファイルを持つユーザーに対して同時に開始できるセッションの数を制御することもできます。

A graphic depicting the flow of user profile password parameters.

プロファイルは、CPUやメモリーなどの他のリソース消費を制限するパラメータをサポートしていますが、その目的にはOracle Database Resource Managerを使用することをお薦めします。データベース・リソース・マネージャは、リソースの使用を管理および追跡するより柔軟な手段を提供します。

プロファイルは、データベースが業界や政府の規制で設定された要件に準拠していることを確認する際にも役立ちます。たとえば、組織がPayment Card Industry Data Security Standard (PCI DSS)の対象である場合は、ユーザー・プロファイルを使用して、パスワードの複雑性の要件、パスワードの最大経過時間、標準で指定されたセッション・タイムアウトを強制し、以前に使用したパスワードの再利用を防止できます。

プロファイルは、データベース・ユーザーの管理およびより適切な制御に役立ちます。Defense Information Systems Agency Security Technical Implementation Guide (DISA STIG)によって提唱されたように、様々なタイプのユーザーに対して異なるユーザー・プロファイルを作成することによって、様々なユーザー・コミュニティが異なる方法で処理されるようにできます。たとえば、一時タスクを実行するために作成されたユーザーは、ロックアウト期間が異なる場合や、ログイン試行の失敗が厳しくなる場合、ログインセッションの許容数が少なくなる場合があります。この分離によって、ユーザーおよびパスワードの管理が簡素化され、盗まれたログイン資格証明のリスクが軽減されます。

Oracle Database 23c Freeでは、パスワード管理のためのSTIGおよびCenter for Internet Security (CIS)標準に準拠するために、新しいユーザー・プロファイルと更新されたユーザー・プロファイルが導入されました。ORA_STIG_PROFILEユーザー・プロファイルは、最新のSTIGガイドラインで更新されています。このリリースの新機能であるORA_CIS_PROFILEには、パスワードに関する最新のCISガイドラインがあります。

課題

複数のOracleデータベース間でユーザー・プロファイルを管理することは、データベースおよびユーザー数が増加するにつれて困難になる場合があります。複数のデータベースがあると、これらのプロファイルに不整合を発見することが困難な場合があります。たとえば、特定のユーザープロファイルでは、さまざまなデータベースでパスワード・パラメータを異なる方法で設定できるため、規制要件への準拠がなくなります。ユーザー数と潜在的にプロファイルの数が増えるにつれて、プロファイルの管理はますます複雑になり、特に複数のデータベースの大規模な管理に時間がかかる場合があります。

Oracle Data Safeユーザー・プロファイル・インサイト

Data Safeユーザー評価の一部、ユーザー・プロファイル・インサイトでは、次の機能を提供することで、データベースのフリート全体にわたるプロファイルの力を解放できます。:

  • 既存のユーザー・プロファイルとそのパラメータ(パスワード検証機能を含む)を確認
  • 複数のデータベース間で同様の名前を持つユーザー・プロファイルの対比
  • どのプロファイルをどのユーザーに割り当てるかを識別
  • パスワード・ガバナンス・ポリシーなしでユーザーとプロファイルを簡単に識別

フリート・ビューから、プロファイルが存在するデータベースの数、ユーザー・プロファイルごとのユーザー配布、およびパスワード・ガバナンス・ポリシーを持たないプロファイルとユーザーを表示できます。

Alt text: A screenshot of the User Profiles screen on the User Profile Summary tab in the Security Center in the Oracle Cloud Console.

フリート・ビューから、プロファイルが存在するデータベースの数、ユーザー・プロファイルごとのユーザー配布、およびパスワード・ガバナンス・ポリシーを持たないプロファイルとユーザーを表示できます。

A screenshot of the User Profile Details page showing the assessment information and user profiles.

より深いレベルには、そのデータベース内のユーザー・プロファイルの詳細と、そのデータベースに割り当てられているすべてのユーザーが表示されます。

A screenshot of the User Profile Details by Target page showing user profile details, password parameters, and user count.

A screenshot of the User Profile Details page showing the available filters and organizational tools.

特定のプロファイルのパスワード検証機能を表示することもできます。

A screenshot of the Password Verification Function window.

まとめ

Oracle Data Safeのユーザー評価では、すでにデータベース・ユーザー・アカウントの詳細が提供されており、ユーザー・プロファイル・インサイトにより、データベース・フリート全体のユーザー・プロファイルへの可視性が拡張されるようになりました。このようにして、ユーザー・プロファイルをより適切に制御できるため、データベース・ユーザーのパスワード設定の定義方法の違いを迅速に識別し、リスクを軽減できます。

詳細は、次のリソースを参照してください。: