サンフランシスコで開催されたOpenWorld 2019では、重要な発表の1つにOracle Data Safeがありました。Data Safeは、Oracle Autonomous Data Warehouse(ADW)に対応したまったく新しいクラウドベースのセキュリティ・コントロール・センターで、完全に無償でご使用いただけます。 

 
具体的にはどんな機能があるのでしょうか。簡単に言うと、Oracle Data Safeは、不可欠なデータ・セキュリティ機能をOracle Cloud Infrastructureのサービスとして提供します。これらのサービスは、データの機密性の把握、データ・リスクの評価、機密データのマスキング、セキュリティ管理の実装と監視、ユーザー・セキュリティの評価、ユーザー活動の監視、データ・セキュリティ・コンプライアンス要件への対応に役立ちます。
 
こちらの短い動画が参考になります。
 
 

Data Safeコンソール

Data Safeのメイン・コンソールであるダッシュボード・ページは次のように表示されます。 

Autonomous Data Warehouse内に保存された各種のデータセットを直接確認できるので、次の処理が可能になります。    

  1. データベースがセキュアに構成されているかどうかを評価する
  2. GDPRの条項/備考、Oracle DatabaseのSTIGルール、CISベンチマークの推奨事項に基づいてリスクを調査し、軽減する
  3. 重要なユーザー、ロール、権限を明確にすることで、ユーザー・リスクを評価する
  4. 監査ポリシーを設定し、ユーザー・アクティビティを収集して、異常な行動を特定する
  5. 機密データを見つけて、その保存場所を把握する
  6. 機密データをマスキングして、本番以外のデータセットからリスクを除外する

既存のAutonomous Data WarehouseをData Safeに接続するのはごく簡単です。ここからは、その方法とデータセットに対して実行できるセキュリティ・レビューの種類を紹介しましょう。

Data Safeと連携するためのADWの設定

ここでは設定を簡単にするため、既存のADWインスタンスにLOCAL_SHという新規ユーザーを作成します。続いて、デモグラフィック、国、顧客の各表を、読取り専用の販売履歴デモ・スキーマから新しいlocal_shスキーマに追加でコピーします。  これにより、ADWをData Safeに接続したときにData Safeが検出する”機密”のデータ・ポイントがスキーマに含まれます。

CREATE USER local_sh IDENTIFIED BY “Welcome1!Welcome1”;
GRANT DWROLE TO local_sh;

CREATE TABLE local_sh.supplementary_demographics AS SELECT * FROM sh.supplementary_demographics;
CREATE TABLE local_sh.customers AS SELECT * FROM sh.customers;
CREATE TABLE local_sh.countries AS SELECT * FROM sh.countries;

顧客表にはどのようなデータが含まれるのでしょうか。

間違いなく個人の特定につながりそうな列がいくつかありますね。このような列は、開発者チームやビジネス・ユーザーに表示されないようにするか、マスキングしなくてはなりません。

 

ここまでで、非常に機密性の高いデータが含まれることが確認できました。

今回の例とは異なり、まっさらなADWにデータをロードする必要がある場合は、オラクルのドキュメント・ガイドに記載された手順を参照してください。このガイドでは、ユーザー・データをADWにロードする方法について説明しています。 https://docs.oracle.com/en/cloud/paas/autonomous-data-warehouse-cloud/tasks_load_data.html

 

次に、Data Safe接続プロセスで使用するユーザーをADWインスタンスに作成します。新しく作成することで、セキュリティ・レビュー・プロセスがいずれかのアプリケーション・ユーザーに関連付けられることを回避します。

CREATE USER datasafe IDENTIFIED BY “Welcome1!DataSafe1”;
GRANT DWROLE TO datasafe;

このあとで、インストール・スクリプトを実行する必要がありますが、スクリプトはデータベースの登録時にData Safeコンソールから入手できます。既存のアプリケーション・ユーザーに関連付けないようにしたのは、Data Safeの実行に必要なロールと権限をこのユーザーに付与するからです。

 

Oracle Cloudアカウントの種類の確認

Oracle Cloudを初めて使用する場合や、アカウントを作成したのが過去12か月以内である場合は、このセクションをスキップして問題ないでしょう。Oracle Cloudのクラウド・アカウントを2年以上前に作成している場合は、Data Safeにアクセスしようとすると、連携アカウントに関する警告メッセージが表示される可能性があります。

Data Safeへのアクセス

クラウド・アカウントにログインし、左上にあるハンバーガー(3本の横線)メニューをクリックします。ポップアップ・メニューで、Autonomous Transaction Processingの下にData Safeが表示されます。

 

「Data Safe」をクリックすると、次のような画面が表示される場合があります。このメッセージが表示されない場合は、”Data Safeの有効化“セクションに進んでください。

 

メッセージが表示されても心配ありません。必要な作業は新しいOCIユーザーを作成することだけです。ハンバーガー・メニュー・リスト内を下方向にスクロールし、”Governance and Administration”が表示されたら、「Identity」→「Users」の順に選択します。

画面上部にある青色の大きな「Create User」ボタンをクリックし、各フィールドに値を入力して新規OCIユーザーを作成します。このユーザーはあとでData Safe環境の所有者として使用します。

新規ユーザーを作成した後に届く「ようこそ」メールには、以下のようにパスワードをリセットするためのリンクが記載されています。

新規ユーザーを作成したら、Data Safeがテナント内でリソースおよび自律型データベース・インスタンスにアクセスできるようにするため、正しい権限をすべて有効化する必要があります。

ここでは、DataSafeというユーザーのために、Data Safeで必要になる権限をすべて含んだ“administrators”グループをテナント内に作成してあります。 

実際には、より慎重な方法として、Data Safe管理者専用の新規グループをセットアップし、このグループだけにOCI権限を割り当てると良いでしょう。このプロセスについての詳細情報はこちらを参照してください。 https://docs.oracle.com/en/cloud/paas/data-safe/udscs/required-permission-enabling-oracle-data-safe.html

簡単なおさらい

ここでは、あらかじめセットアップしてあったAutonomous Data Warehouseインスタンスを使用しました。SQL Developerを使用して新規ユーザーを作成し、潜在的な機密情報を含む小さなデータセットの所有者にしました。機密データ・ポイントを含むことがわかっている既存のスキーマから、いくつかの表をコピーして、作業用データセットを作成しました。また、新しいOCIユーザーに対して、Data Safe導入環境の所有者として使用できるように設定しました。

 

Data Safeの有効化

ここまでで、Data Safeを使用する準備が整いました。ハンバーガー・メニューから「Data Safe」を選択します。このテナント・リージョンでのログインが初めての場合は、次のような画面が表示されます。画面から、Frankfurtデータセンターを使用中で、データセンターへのログインは今回が初めてであることがわかります。

次の段階へ進むには、大きな青色のボタンをクリックしてData Safeを有効化します。いつもの”作業中…”画面が表示されます。

 

その後、”準備完了”画面になります。

 

パート1のまとめ

パート1はここまでです。次回は、Autonomous Data Warehouseインスタンスの登録方法を確認してから、顧客に関する機密データを含むオブジェクトを突き止めるときに役立つセキュリティ・レポートを実行します。

詳細情報

オラクルのセキュリティ・チームは、Data Safeの学習に役立つコンテンツを多数作成しています。ここでは、個人的に使用しているブックマークを紹介します。

ドキュメント – ますはここから: https://docs.oracle.com/en/cloud/paas/data-safe/udscs/oracle-data-safe-overview.html

Oracle.comのData Safeページ – https://www.oracle.com/database/technologies/security/data-safe.html

データベース・セキュリティ・ブログ: https://blogs.oracle.com/cloudsecurity/db-sec

※本記事は、Keith Laker (Senior Principal Product Manager)による”Keeping Your Autonomous Data Warehouse Secure with Data Safe Part 1“を翻訳したものです。