※セキュリティ関連の新機能概要は「連載:徹底解説!Oracle Database 12cのすべて」)の中で解説していますので、併せてご参照ください。
豊富なセキュリティ機能からどれを選択するか
セキュリティ関連の事件は2014年になってもいっこうに減る気配を見せず、不正ログインや個人情報の流出といったニュースが毎週のように取り上げられています。手口も巧妙かつ多様化しており、内部犯行や外部からの大規模なサイバー攻撃など、企業にとって数多くのリスクが潜む時代になりました。
さらに最近では、あまりにも事件が多すぎて1つひとつの事件があっという間に風化してしまい、どこに原因があったのか、どのような対策を講じたのかといった情報が広く伝わりにくくなっているような傾向も見受けられます。他社で発生した事件を教訓にセキュリティを見直すことも必要ですが、それに頼ることなく自らセキュリティを見直す努力も今後は必要になるでしょう。
とは言え、現場からするとセキュリティ対策にはどうしてもネガティブなイメージがあります。「運用が大変になる」、「セキュリティ製品を新しく買わないといけない」、「動作が重くなる」など、導入に関して慎重な意見が多く聞こえてきます。これらの意見が間違っているわけではありませんが、Oracle Databaseではバージョンを重ねるごとに多くのセキュリティ新機能が実装され、パフォーマンスも良くなっていますので、最新の情報をもとに検討することで「これなら実装できそうだ」という機能が見つけられると思います。
以下の表は、Oracle Databaseの代表的なセキュリティ製品(機能)です。12cではOracle Data Redactionと統合監査(Unified Auditing)が新しく追加されました。
|
カテゴリ |
製品または機能名 |
概要 |
|
暗号化、 |
Oracle Advanced Security |
Oracle Database Enterprise Edition(以下、EE)のオプション。透過的データ暗号化(TDE)とOracle Data Redactionで構成される。Oracle Database 11g(以下、11g)まではネットワーク暗号化も含まれていたが、12cから標準機能となった。 |
|
Oracle Data Redaction |
12cで追加されたOracle Advanced Securityの新機能。格納データに手を加えず、リアルタイムにデータをマスキングできる。 |
|
|
Oracle Data Masking Pack |
EEのオプション。本番データを不可逆な形式でテスト用にマスキングできる。 |
|
|
アクセス制御、 |
Oracle Database Vault |
EEのオプション。管理者ユーザを含むアクセス制御により、職務分掌を実現できる。 |
|
監査 |
必須監査 |
Oracle Databaseの標準機能。4種類あり、それぞれ監査対象や監査ログの出力場所が異なる。12cからは従来型監査と呼ばれている。ファイングレイン監査のみEEの標準機能。 |
|
統合監査(Unified Auditing) |
12cで追加された標準機能。ポリシーベースのアーキテクチャを採用し、監査ログを一元化。 |
|
|
Oracle Audit Vault and |
SQLのモニタリングとブロッキングを行うソフトウェア・アプライアンス。SQLインジェクションによる情報漏えいを防げる。MySQL、Sybase SQL Anywhere、Microsoft SQL Server、IBM DB2にも対応。 |
このように、Oracle Databaseのセキュリティ対策には様々なアプローチがあります。最初からすべてを実装しようとすると検討範囲が広くなりすぎるので、まずは守るべき情報を明確にし、優先順位をつけた上で機能を取捨選択していくことが重要です。当然ながら、検討にあたっては基本動作や運用方法、性能への影響度といった情報が必要になりますので、今回は12cの新機能であるOracle Data Redactionと統合監査(Unified Auditing)が本当に使える機能なのかを詳しく解説していきます。
