Shoeisha Technology Media

EnterpriseZine(エンタープライズジン)

EnterpriseZine(エンタープライズジン)

テーマ別に探す

現場も納得の“手軽な”セキュリティ機能で情報を守る

edited by DB Online   2014/05/15 00:00

 前回はOracle Database 12c(以下、12c)のReal Application Clusters(RAC)とASM(自動ストレージ管理)について解説しました。今回はセキュリティ関連の新機能について検証結果を紹介します。

 

 ※セキュリティ関連の新機能概要は「連載:徹底解説!Oracle Database 12cのすべて」)の中で解説していますので、併せてご参照ください。

豊富なセキュリティ機能からどれを選択するか

 セキュリティ関連の事件は2014年になってもいっこうに減る気配を見せず、不正ログインや個人情報の流出といったニュースが毎週のように取り上げられています。手口も巧妙かつ多様化しており、内部犯行や外部からの大規模なサイバー攻撃など、企業にとって数多くのリスクが潜む時代になりました。

 さらに最近では、あまりにも事件が多すぎて1つひとつの事件があっという間に風化してしまい、どこに原因があったのか、どのような対策を講じたのかといった情報が広く伝わりにくくなっているような傾向も見受けられます。他社で発生した事件を教訓にセキュリティを見直すことも必要ですが、それに頼ることなく自らセキュリティを見直す努力も今後は必要になるでしょう。

 とは言え、現場からするとセキュリティ対策にはどうしてもネガティブなイメージがあります。「運用が大変になる」、「セキュリティ製品を新しく買わないといけない」、「動作が重くなる」など、導入に関して慎重な意見が多く聞こえてきます。これらの意見が間違っているわけではありませんが、Oracle Databaseではバージョンを重ねるごとに多くのセキュリティ新機能が実装され、パフォーマンスも良くなっていますので、最新の情報をもとに検討することで「これなら実装できそうだ」という機能が見つけられると思います。

 以下の表は、Oracle Databaseの代表的なセキュリティ製品(機能)です。12cではOracle Data Redactionと統合監査(Unified Auditing)が新しく追加されました。

▼Oracle Databaseの代表的なセキュリティ製品(機能)

カテゴリ

製品または機能名

概要

暗号化、
マスキング

Oracle Advanced Security

Oracle Database Enterprise Edition(以下、EE)のオプション。透過的データ暗号化(TDE)とOracle Data Redactionで構成される。Oracle Database 11g(以下、11g)まではネットワーク暗号化も含まれていたが、12cから標準機能となった。

Oracle Data Redaction

12cで追加されたOracle Advanced Securityの新機能。格納データに手を加えず、リアルタイムにデータをマスキングできる。

Oracle Data Masking Pack

EEのオプション。本番データを不可逆な形式でテスト用にマスキングできる。

アクセス制御、
職務分掌

Oracle Database Vault

EEのオプション。管理者ユーザを含むアクセス制御により、職務分掌を実現できる。

監査

必須監査
DBA監査
標準監査
ファイングレイン監査

Oracle Databaseの標準機能。4種類あり、それぞれ監査対象や監査ログの出力場所が異なる。12cからは従来型監査と呼ばれている。ファイングレイン監査のみEEの標準機能。

統合監査(Unified Auditing)

12cで追加された標準機能。ポリシーベースのアーキテクチャを採用し、監査ログを一元化。
Data PumpやRecovery Manager(以下、RMAN)の操作も対象にできる。

Oracle Audit Vault and 
Database Firewall

SQLのモニタリングとブロッキングを行うソフトウェア・アプライアンス。SQLインジェクションによる情報漏えいを防げる。MySQL、Sybase SQL Anywhere、Microsoft SQL Server、IBM DB2にも対応。

 このように、Oracle Databaseのセキュリティ対策には様々なアプローチがあります。最初からすべてを実装しようとすると検討範囲が広くなりすぎるので、まずは守るべき情報を明確にし、優先順位をつけた上で機能を取捨選択していくことが重要です。当然ながら、検討にあたっては基本動作や運用方法、性能への影響度といった情報が必要になりますので、今回は12cの新機能であるOracle Data Redactionと統合監査(Unified Auditing)が本当に使える機能なのかを詳しく解説していきます。

※この続きは、会員の方のみお読みいただけます(登録無料)。


※この続きは、会員の方のみお読みいただけます(登録無料)。


著者プロフィール

  • 関 俊洋(セキ トシヒロ)

    株式会社アシスト データベース技術本部 データベース・エバンジェリスト データベース・システムの構築や運用トラブルの解決といったフィールド・サポート業務を経験し、その後は新製品の検証やソリューションの立ち上げに従事。現在はデータベースの価値や魅力を伝えるための執筆や講演活動を行っている。

バックナンバー

連載:移行前に知っておきたい、Oracle Database 12c新機能のオモテとウラ
All contents copyright © 2007-2019 Shoeisha Co., Ltd. All rights reserved. ver.1.5