データベースの運用管理を行うDBAの皆さんが直接的にデータベースのセキュリティ対策の計画・実施を任されている場合もあると思います。万一、企業の機密情報が漏洩した場合、データのアクセス権限を持つDBAが真っ先に矢面に立たされる可能性がありますそこで今日はDBAの皆様に向けたセキュリティのお話をしたいと思います。

現在、IT部門が直面しているセキュリティに関する大きな課題は3つあります。

(1)どのようにして、”内部犯行“(信頼できると思われたが実はそうではなかった、組織内の特権を持つ個人からの攻撃・侵害)を防ぐか

(2)どのようにして、標的型攻撃など特権ユーザー・アカウントのセキュリティを侵害し、データベースから機密データを盗むためにこのカウントを使用しようとする外部ハッカーを阻止するか

(3)多くのプライバシー規制やコーポレート・ガバナンス規制によるコンプライアンス要件に対処するために統制を導入する必要性

3
番目の”規制”には、サーベンス・オクスリー法(SOX法)、PCI、HIPAA、グラム・リーチ・ブライリー法、BASEL
II、日本の個人情報保護法やJ-SOXなどが含まれています。これらの規制は、詐欺、個人情報の盗難、財務的な不正行為、および金銭的制裁を引き起こす
機密情報のアクセス、開示、または改ざんに対処する内部の強力な制御を厳しく求めています。しかし、まだまだ多くの企業でこれらの課題に対して万全な体制
を整備しているとはいえない現状があります。

特に、開発や運用などのバックエンド業務やコールセンター業務などを子会社やパートナー企業などにアウトソーシングやオフショアリングをしたり、Oracle
Databaseを使用したプライベート・クラウドを構築している企業様は、今一度、データベース管理者をはじめとした内部脅威から機密データを守る仕組みが出来ているかどうか、自社システムの点検の実施をお願いします。

さて、オラクルではデータベース・セキュリティを守ための様々なソリューション製品を提供しています。
(クリックで拡大・別窓表示できます)


(クリックで拡大・別窓表示できます)

その1つに、データベース管理権限を持つ特権ユーザによる機密データへのアクセスを防止したり、外部からのセキュリティ侵害によって不正に取得された特権 ユーザー・アカウントを使って機密データを盗用したり、改竄を防ぐソリューションとして、「Oracle Database Vault」というOracle Databaseのオプション製品が提供されています。

Oracle Database Vaultは、強力なセキュリティ統制のための機能であり、アプリケーション・データを内部関係者ならびに部外者による不正アクセスから守るとともに、プライバシーおよび法規制の要件を遵守するのに役立つ製品です。



のオプション製品を使うことによりと、特権アカウントによるアプリケーション・データへのアクセスをブロックしたり、データベース内での要注意操作を複数
ファクタ認可を使用して統制することができます。また、権限およびロールの分析を通して、既存アプリケーションのセキュリティを強化できます。既存のデー
タベース環境のセキュリティを透過的に強化するので、コストと時間をかけてアプリケーションを変更する必要はありません。

ぜひ、この機会にOTN開発者ライセンスつきソフトウエアで、Oracle Database Vaultの機能を検証していただき、製品の導入をご検討ください。

Oralce
Database 12c以降、Oracle Database
Vaultは、デォルトでインストールされていますが初期状態では有効にはなっていません。Database Configuration
Assistant(DBCA)を使用するか、SQL*Plusを使用してコマンドラインからわずか数分でOracle Database
Vaultを有効にできますので、すぐに検証を開始できます。

ただし、Oracle Database Vaultは、特権つきオペレーティング・システムユーザーがデータベース・ファイルに直接アクセスすることを防げません。このような保護には、Oracle Transparent Data Encryption(透過的データ暗号化機能。Oracle Advanced Securityオプションの一部)を使用することが推奨されます。またオラクルでは、オペレーティング・システムへの直接アクセスを慎重に確認して制限することも推奨しています。

以下のホワイトペーパーでは、Oracle Database Vaultを迅速に導入し、データベース内の機密アプリケーション・データを保護するためのベスト・プラクティスを説明しています。上記のような注意点も含め、セキュリティ設計にあたってまずは概念の理解から入りたい方にお勧めです。

Oracle Database Vault ベスト・プラクティス

Oracle Database Vaultの製品評価・検証に際して、機能や使い方をしっかり理解したい方はこちらをお読み下さい。

Oracle Database Vault管理者ガイド(12cR1)
Oracle Database Vault管理者ガイド(11gR2)


上、Oracle Database
Vaultについてご案内しましたが、特権ユーザによるデータの不正アクセスの防止以外にもデータベースのセキュリティについて考慮しなければならないこ
とは沢山あります。「包括的にOracle
Databaseのセキュリティ機能を理解して、対策を検討したい」というDBAの方には以下のドキュメントが役立ちます。

【11R2利用の方】
2日でセキュリティガイド
セキュリティガイド

【12cR1ご利用の方】
2日でセキュリティガイド
セキュリティガイド


以下は、弊社トレーニングイベント、Oracle DBA & Developer Day 2013でオラクルのコンサルタントが使用したプレゼン資料です。データベースのセキュリティについての考え方から今から何をすべきか、何ができるかがわかりやすくまとまっていますのでご参考ください。

「オラクルコンサルが語る!データベース監査の設計/実装の勘所」


早急に対応を迫られている場合や、現在までに講じている対策に不安がある場合は、ひとまずオラクルのエキスパートにご相談されることが近道かもしれません。

Oracle Consulting
「Oracle Databaseセキュリティ アセスメント・サービスのご紹介」


最後に、Oracle Database Vaultに関する興味深いトピックをご紹介させていただき、この記事をしめくくりたいと思います。

EnterpriZine DBOnline 谷川耕一氏著 

Oracle Database Vaultって本当に必要ですか?
「データを守るためよりもむしろメンバーを守るためにこそいるのです」

ヤフーオークションをはじめ、さまざまな人気オンラインサービスを展開するYahoo! JAPAN様がなぜ、Oracle Database Vaultを導入したか?

Yahoo!
JAPANでは特権ユーザーが個人情報などにアクセスできないようにする仕組みが欲しかった。この要求に応えたのが、Oracle Database
Vaultだった。「データベース運用管理を行っているメンバーを守る目的が大きかった」と尾崎氏は言う。・・・・