EnterpriseZine(エンタープライズジン)

EnterpriseZine(エンタープライズジン)

テーマ別に探す

現場の課題に直接効く、12c のセキュリティとバックアップ新機能

edited by DB Online   2013/10/08 00:00

 前回は Oracle Database 12c で新しく実装されたマルチテナント機能(Oracle Multitenant)の基本操作を紹介しました。第3回目となる今回は、Oracle Database 12cで進化したセキュリティとバックアップの機能を紹介します。

リアルタイムにデータをマスキング。アプリケーションの変更は一切不要

 第1回目第2回目で解説したように、Oracle Database 12c(以下、12c)ではクラウド対応の次世代データベースを目指してマルチテナント・アーキテクチャが採用されています。マルチテナント構成の場合、同一のハードウェア上で複数のプラガブル・データベース(PDB)が起動することになりますが、PDB間でデータベースのユーザとデータが分離されているため、スキーマを分けて1つのデータベースを共有しているようなマルチテナント構成と比べてセキュリティに優位性があります。仮に1つのPDB上でセキュリティが破られてしまったとしても、別のPDBにあるデータを閲覧したり改ざんすることはできないため、影響範囲を最小限に抑えることができます。

 各PDBにおいてセキュリティ対策が必要になるという点では従来のバージョンと変わりませんが、12cではセキュリティの機能が大幅に強化されており、今まで実現できなかったデータのマスキングや権限分掌を簡単に行えるようになっています。

 その中でも、12cの新機能である「Oracle Data Redaction」は、格納されているデータやアプリケーションに一切変更を加えず、リアルタイムにデータをリダクション(マスキング)できるというまさに現場が求めていた実用的な機能です。アプリケーションやユーザが持つ権限に応じて、SELECT結果に含まれるクレジットカード番号などの機密列をその場で別の文字に置換することができます。

リアルタイムなデータのマスキング
リアルタイムなデータのマスキング(image01.png)

 似た名前の製品としてOracle Data Masking Packがありますが、使用用途は大きく異なりますのでご注意ください。Oracle Data Masking Packは格納データを実際にマスキングして本番に近いテスト・データを生成することを目的とした機能であり、Oracle Data RedactionはSELECT文で取り出したデータをその場でマスキングして表示させる機能です。結果的に機密データを伏せるという点では同じですが、マニュアル等の公式文書ではOracle Data Masking Packを使用する場合は「マスキング」、Oracle Data Redactionを使用する場合は「リダクション」とそれぞれ呼び分けています。

Oracle Data Masking Packとの違い
 

   Oracle Data Masking Pack

    Oracle Data Redaction

実装方法

   Oracle Enterprise Manager

   ・DBMS Redactパッケージ
   ・Oracle Enterprise Manager

機能の目的

     テスト・データの生成

       アクセス制御

データへの影響

   格納データを永続的に変更

    格納データを変更しない

 Oracle Data Redactionでリダクションの対象となる列や条件を指定するには、DBMS_REDACTパッケージまたはOracle Enterprise Manager Cloud Control 12c(EM12c)を使用します。今回は、初めてでも簡単に設定できるEM12cの手順を紹介します。アプリケーションから見たリダクションの様子がイメージしやすいように、Oracle Application Expressにあらかじめ作成されているサンプル・アプリケーションの画面をもとに説明していきます。

Oracle Application Expressのサンプル・アプリケーション
Oracle Application Expressのサンプル・アプリケーション(image02.png)

 ※サンプル・アプリケーションの仕様については以下のマニュアルを参照してください。

 http://docs.oracle.com/cd/E40395_01/doc/doc.42/b71110/demo_samp.htm#BCGCEFAE

※この続きは、会員の方のみお読みいただけます(登録無料)。


※この続きは、会員の方のみお読みいただけます(登録無料)。


著者プロフィール

  • 岸和田 隆(キシワダ タカシ)

    株式会社アシスト データベース技術本部 データベース・エバンジェリスト アシスト入社後、Oracle Database の研修講師、フィールド・ サポート、新バージョンの検証を経て、2007年 自社ブランド 「DODAI」の準アプライアンス製品の企画・開発、2009年 PostgreSQL、2011年 Postgres Plus、MySQL / MariaDB の事業立上を担当。 現在は「データベースのアシスト」を目指した活動を行っている。

  • 関 俊洋(セキ トシヒロ)

    株式会社アシスト データベース技術本部 データベース・エバンジェリスト データベース・システムの構築や運用トラブルの解決といったフィールド・サポート業務を経験し、その後は新製品の検証やソリューションの立ち上げに従事。現在はデータベースの価値や魅力を伝えるための執筆や講演活動を行っている。

バックナンバー

連載:徹底解説!Oracle Database 12cのすべて
All contents copyright © 2007-2020 Shoeisha Co., Ltd. All rights reserved. ver.1.5