Oracle Database Vaultを使用した、特権ユーザーに対する機密性の高いアプリケーション・データへのアクセス制限
このチュートリアルでは、Oracle Database Vaultを使用して、DBAロールを所持する特権ユーザーに対して、HR部門の機密データへのアクセスを防止する方法を説明します。
約15分
このチュートリアルでは、以下のトピックについて説明します。
 このアイコンの上にカーソルを置くと、すべてのスクリーンショットがロードし、表示されます。 (警告:すべてのスクリーンショットが同時にロードされるため、ご使用のインターネット接続によってはレスポンス・タイムが遅くなる場合があります。)
注:各手順に関連したスクリーンショットのみを表示する場合は、それぞれの手順にある各アイコンの上にカーソルを置いてください。
Oracle Database Vaultは、今日のもっとも困難なセキュリティ課題である、インサイダーの脅威からの保護、規制遵守要件への対応、職務分離の強化に対する取組みを支援するものです。 Oracle Database Vaultは、パートナー、従業員、顧客に関するビジネス上の機密情報やプライバシ・データの保護が必要な顧客を扱う上での最大の懸念である、DBAによるアプリケーション・データの参照を防止します。 さらに、強力なアプリケーションDBAによるほかのアプリケーションへのアクセスや、認可された責務以外のタスクの実行を未然に防ぎます。 Oracle Database Vaultは、アプリケーション機能に影響を与えることなく、迅速かつ容易に既存アプリケーションの保護を実現します。
トピック・リストに戻る
このチュートリアルを始める前に以下を確認してください。
| 1. |
Oracle Database 11g Release 1 (11.1.0.6)がインストールされていること。サンプル・スキーマでデータベースを作成してください(インストール中またはインストール後のいずれかの時点)。 |
| 2. |
Oracle SQL Developerをダウンロードおよび解凍していること。 |
| 3. |
ご利用のデータベースにOracle Database Vaultオプションを構成していること。 Oracle DatabaseのインストールではOracle Database Vaultはインストールされませんが、Oracle Databaseインストール・メディアで入手できます。 Oracle Universal Installerを使用すれば、既存のデータベースにOracle Database Vaultをインストールできます。 Oracle Database Vaultをインストール後、Database Configuration Assistant(dbca)を使用して、Oracle Database Vaultをご利用のデータベースに登録し、次に、必要なOracle Database Vaultアカウントを作成します(詳細については、オンライン・ドキュメント『Oracle Database 2日でセキュリティ・ガイド 11g Release 1(11.1)』を参照してください)。 |
トピック・リストに戻る
従業員の機密情報へのアクセスが可能かどうかを確認するため、SYSTEMとしてデータベース接続を作成します。 以下の手順を実行します。
| 1. |
Oracle SQL Developerを開きます。 「Connections」を右クリックして、「New Connection」を選択します。
|
| 2. |
以下の情報を入力し、「Test」をクリックします。
Connection Name: system@database vault
Username: system
Password: <ご使用のシステムのパスワード>
Save Password: チェック
Hostname: <ご使用のホスト名またはIPアドレス>
Port: <ご使用のデータベースのポート>
SID: <ご使用のデータベースのSID>
|
| 3. |
ステータスがSuccessと表示されたら、「Connect」をクリックします。
|
| 4. |
接続が作成されました。
|
このトピックでは、SYSTEMユーザーとしてログインし、従業員情報へアクセスします。 以下の手順を実行します。
| 1. |
SQL Worksheet領域に以下のSELECT文を入力し、「Execute Statement」アイコン を選択するか、[F9]を押します。
SELECT last_name, salary
FROM hr.employees
WHERE employee_id < 110
|
| 2. |
SYSTEMユーザーは、従業員機密情報にアクセスできることがわかりました。 これをアクセスできないようにする必要があります。 Oracle Database Vaultは、次のトピックで説明するレルムを使用して、この問題を解決できます。
|
トピック・リストに戻る
このトピックでは、HRスキーマに対してレルムを作成し、すべてのユーザーを対象にHRスキーマの変更を禁止します。 ただし、HRユーザーについては制限から除外されます。 以下の手順を実行します。
| 1. |
ブラウザを開き、次のURLを入力します。
https://<ホスト名>:1158/dva
以下の情報を入力し、「Login」をクリックします。
User Name: <Oracle Database Vaultのオーナー>
Password: <Oracle Database Vaultのオーナーのパスワード>
Host: <ホスト名>
Port: <ご使用のデータベースのポート>
SID / Service: <SIDを選択し、ご使用のデータベースのSIDを入力>
|
| 2. |
「Realms」リンクをクリックします。
|
| 3. |
「Create」をクリックして、新規のレルムを作成します。
|
| 4. |
NameにHR Application Protectionと入力し、Descriptionに説明を記入します。 StatusにはEnabled、Audit OptionsにはAudit On Failureが選択されていることを確認します。 「OK」をクリックします。
|
| 5. |
新規のレルムを選択し、「Edit」をクリックします。
|
| 6. |
Realm Secured Objectsの下にある「Create」をクリックします。
|
| 7. |
Object Ownersリストから「HR」を選択します。 HRスキーマのオブジェクトはすべて保護されます。Object TypeおよびObject Nameには%が選択されていることを確認してください。 「OK」をクリックします。
|
| 8. |
これで、HRスキーマ・オブジェクトがRealm Secured Objectsリストに表示されていることが確認できます。 「OK」をクリックして、レルムの編集を終了します。
|
| 9. |
HR Application Protectionレルムが作成されました。
|
トピック・リストに戻る
現時点では、HRスキーマのすべてのオブジェクトがレルムに追加されています。さきほどOracle SQL Developerで実行したSQL文を再度実行します。 今回は、従業員情報へのアクセスは不可であることが表示され、レルム違反が発行されます。 以下の手順を実行します。
| 1. |
Oracle SQL Developerに切り替えます。 「Execute Statement」アイコンをクリックするか、[F9]を押して、前述で実行したSQLを再度実行します。
|
2. |
レルム違反が発生します。 今回は、SYSTEMユーザーが従業員機密情報にアクセスを試みると、違反が発生します。
|
トピック・リストに戻る
レルムの作成後、監査オプションがAudit on Failureに設定されています。 監査をおこなうには、以下の手順に従います。
| 1. |
Oracle Database Vaultに切り替えます。 「Database Instance: orcl」リンクをクリックすると、このデータベースのOracle Database Vaultメイン・ページに戻ります。
|
| 2. |
「Data Vault Reports」タブをクリックします。
|
3. |
Data Vault Reportsカテゴリで、「Realm Audit」を選択し、「Run Report」をクリックします。
|
4. |
レポートが表示されます。 作成したレルムが含まれていることが確認できます。
|
トピック・リストに戻る
このチュートリアルでは、HRスキーマを使用して、特権ユーザーに対し機密データへのアクセスを制限する方法を学習しました。
トピック・リストに戻る
このアイコンの上にカーソルを置くと、すべてのスクリーンショットが非表示になります。
|
