概要

Oracle Database Security Assessment Tool（DBSAT）は、広く使用されているコマンドライン・ツールで、データベースの構成、運用、実装の領域でリスクを招く恐れがある部分を特定し、リスクを緩和するために必要な変更や制御方法を提案します。DBSATは、データベースがどの程度セキュアに設定されているかを評価し、ユーザーおよびその権限を決定し、機密データがデータベース内のどこに存在するかを特定するのに役立ちます。

最新のDBSAT 2.2.2では、オンプレミスのOracle Database、Autonomous Databases （共有および専用）、DBCSを区別できるようになりました。DBSATは、データベース・ターゲット・タイプに応じて、異なるチェックを行い、ターゲットに特化した指摘を行います。DBSAT 2.2.2では、新しいチェック項目の追加、既存のチェック項目の精度向上、いくつかの指摘事項の明確化も行っています。

DBSATは追加費用なしで提供されており、次の情報をすばやく確認することができます。

• セキュリティ構成の問題とその修正方法
• ユーザーとそのユーザーの権限
• 機密データの場所、種類、量

以下の図は、サンプル・データベースのセキュリティ状態をまとめたものであり、評価結果をリスク・レベルで分類しています。

DBSATはデータベースとリスナーの構成に関する情報を分析し、不必要にリスクを招く可能性がある構成設定を特定します。また、簡単な構成チェックが行われるだけでなく、ユーザー・アカウント、付与されている権限およびロール、認可制御、職務の分離、緻密なアクセス制御、データ暗号化、鍵の管理、監査ポリシー、OSファイルの・アクセス権も調査されます。DBSATではルールを適用してデータベースの現在のセキュリティ・ステータスを迅速に評価し、上記の全領域で検出されたリスク箇所を出力します。そして、それぞれのリスク箇所について、リスクを削減または緩和するために必要な修正措置を、ベストプラクティスに沿った形で提案します。

以下の評価結果は、どのユーザーが強力なDBAロールを有しているか、およびそのロールはどのように取得されたか（直接付与、他のロールを介した付与）を示しています。

また、DBSATは、カスタマイズ可能な正規表現パターンを使用してデータベースをスキャンして機密データを検索し、見つかった機密データの量と種類をレポートします。機密データは、英語のデータ・ディクショナリ（列名およびコメント）を使用して検索できるほか、ヨーロッパの主要言語（オランダ語、フランス語、イタリア語、ドイツ語、ポルトガル語、スペイン語など）でも検索できます。これにより、保有している機密データの量とその存在場所についてより詳しく把握できるため、アクセス制御、監査、マスキング、暗号化を適切に実施してデータベースを保護できます。以下の図は、データベース・メタデータのスキャンを基に作成されたサマリー・レポートです。

短時間で簡単に作成できる対策レポート

DBSATは現在のセキュリティ体勢を評価し、機密データの保存場所を特定します。また、さまざまな対象ユーザーおよび用途向けに複数の形式でレポートを生成します。DBSATは使い方が簡単で、要約情報と詳細情報、優先順位が付けられた推奨事項が記載された実用的なレポートを提供します。

規制対応

セキュリティ構成を調査し機密データの保存場所を把握することは、規制遵守の重要な要素であり、EU一般データ保護規則（EU GDPR）、クレジット・カード業界のデータ・セキュリティ基準（PCI DSS）、米国サーベンス・オクスリー法（SOX）、HIPAA/HITECH、多数のデータ・プライバシー法に不可欠です。DBSATが提示する推奨事項は、リスクの最小化、セキュリティ体勢全体の強化、コンプライアンスの早期確立（PDF）に役立ちます。

• Oracle Database内の機密データおよび個人データの検出
• GDPRの条項/備考、Oracle DatabaseのSTIGルールとCISベンチマークの推奨事項と評価結果とのマッピング
• リスクにさらされる可能性を評価することによる早期のデータ保護の影響評価
• コンプライアンスに役立つ可能性のある、推奨されるセキュリティ制御機能の提案（暗号化、職務分離、仮名化、監査、その他）

オンプレミスとクラウド