1. AI Database
  2. セキュリティ

Oracle AI Databaseの暗号化のロードマップ



Oracle AI Databaseの暗号化のロードマップ

最終更新日: 2026年2月

以下の情報は、Oracle AI Databaseのセキュリティ・アルゴリズムおよび関連するポリシー/設定に対する変更についてのオラクルの計画を説明するものです。

このサイトの情報は、オラクルのプレミア・サポートを受けているリリースを対象としています(オラクル・テクノロジー製品に関するLifetime Support Policyを参照)。

これらの情報には、更新リリースに関する変更点も含まれています。新しい機能のリリースでは、新しいセキュリティ・アルゴリズムが実装されたり、以前にリリースされたバージョンとは異なるデフォルト設定を使用する場合があります。新しい機能のリリースで提供される変更に関する情報(暗号技術に関する変更を含む)は、リリースノートに記載されています。ただし、いくつかの重要な例外として、このサイトに、将来のリリースや早期アクセス・バージョンでの変更に関する情報が含まれる場合があります。

免責事項

以下の情報は、オラクルの現在の計画についての概要です。一般的な情報を公開することを目的としています。オラクルはこのような変更についての事前通知を提供するよう努めていますが、このロードマップは、ほとんどまたはまったく警告なく変更される可能性があります。場合によっては、特定のリリースまたはリリースの更新の後に、必要な変更が公開される可能性があります。


追加情報とその他のリソース

Oracle JREおよびJDKの暗号化に関するロードマップ - データベース内のJavaベースのストアドプロシージャは、Oracle JREおよびJDKの暗号化に関するロードマップに従い、以下の情報の中では説明していません。

オラクル・テクノロジーに関するLifetime Support Policy - Oracle AI Databaseのバージョンとサポート・スケジュールに関する情報が記載されています。

ブログ: 量子時代におけるOracle AI Database 26aiの保護

ブログ: 2つを組み合わせるメリット – Oracle AI Database 26aiにハイブリッド・モードの量子耐性サポートを追加

2025 KuppingerColeデータ・セキュリティ・プラットフォーム向けリーダーシップ・コンパス

KuppingerColeがオラクルをデータベース・セキュリティのリーダーに選出した理由をご覧ください

予定されている変更

実施スケジュール

対象のリリースと影響を受ける機能

予定されている対応

2026年後半

19c/TLS

弱い暗号をデフォルトで無効にする

現在、下位互換性のために、SSL_ENABLE_WEAK_CIPHERSパラメータはデフォルトでTRUEに設定されています。今後のリリースで、デフォルト設定をFALSEに変更する予定です。これにより、sqlnet.oraでパラメータを明示的にTRUEに設定しないかぎり、これらの暗号は無効になります。

  1. TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
  2. TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA
  3. TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
  4. TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA
  5. TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384
  6. TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA
  7. TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256
  8. TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA
  9. TLS_RSA_WITH_AES_256_GCM_SHA384
  10. TLS_RSA_WITH_AES_256_CBC_SHA256
  11. TLS_RSA_WITH_AES_256_CBC_SHA
  12. TLS_RSA_WITH_AES_128_GCM_SHA256
  13. TLS_RSA_WITH_AES_128_CBC_SHA256
  14. TLS_RSA_WITH_AES_128_CBC_SHA
  15. TLS_DHE_RSA_WITH_AES_256_CBC_SHA256
  16. TLS_DHE_RSA_WITH_AES_128_CBC_SHA256
  17. TLS_DHE_RSA_WITH_AES_256_CBC_SHA
  18. TLS_DHE_RSA_WITH_AES_128_CBC_SHA

2026年後半

19c/TLS

TLS 1.0およびTLS 1.1のサポートを削除する

現在、TLS 1.0および1.1は、SSL_VERSIONで明示的に無効に設定しないかぎり、デフォルトで有効になります。今後のリリースでは、TLS 1.3のサポートを有効にし、それと同時に、SSL_VERSIONのデフォルト値を1.3および1.2に設定します。TLS 1.0またはTLS 1.1(あるいは両方)を再度有効にする場合は、SSL_VERSIONの値を更新して、それらの一方または両方を含める必要があります。TLS 1.3を使用する場合、TLS 1.0とTLS 1.1はサポートされません。

2026年後半

19c/NNE、DBMS_CRYPTO

データベースがFIPS 140-3モードで動作している場合、3DES暗号化、MD2、MD4ハッシュを無効にする

現在、Oracle Database 19cはFIPS 140-2をサポートしています。今後のリリースには、FIPS 140-3のサポートが含まれます。そのリリースの一環として、データベースがFIPS 140-3モードで動作している場合、MD2およびMD4ハッシュと3DES暗号化は無効になります。

2027年前半

19c/TLS

弱い楕円曲線グループの無効化を可能にする

今後のリリースでは、デフォルト値がfalseの新しいパラメータSSL_DISABLE_WEAK_EC_CURVESが導入されます。このパラメータをTRUEに設定すると、以下に示す、キー長が256ビット未満のECC曲線が無効になります。

sect163k1、sect163r1、sect163r2、sect193r1、sect193r2、sect233k1、sect233r1、sect239k1、sect283k1、sect283r1、sect409k1、sect409r1、sect571k1、sect571r1、secp160k1、secp160r1、secp160r2、secp192k1、secp192r1、secp224k1、secp224r1、secp256k1

今後いずれかの時点で、この新しいパラメータのデフォルト値をTRUEに変更します。

2027年前半

26ai/TLS

弱い楕円曲線をデフォルトで無効にする

現在、パラメータSSL_DISABLE_WEAK_EC_CURVESのデフォルト値はfalseです。この値をtrueに設定すると、以下に示す、キー長が256ビット未満のECC曲線が無効になります。

sect163k1、sect163r1、sect163r2、sect193r1、sect193r2、sect233k1、sect233r1、sect239k1、sect283k1、sect283r1、sect409k1、sect409r1、sect571k1、sect571r1、secp160k1、secp160r1、secp160r2、secp192k1、secp192r1、secp224k1、secp224r1、secp256k1

今後いずれかの時点で、この新しいパラメータのデフォルト値をTRUEに変更します。SSL_DISABLE_WEAK_EC_CURVESは非推奨になり、デフォルト値としてhybrid、ec、weak、ml-kemを持つTLS_KEY_EXCHANGE_GROUPSを優先します。弱い設定では、上に記載した弱いECC曲線が有効になります。SSL_DISABLE_WEAK_EC_CURVESのデフォルト設定を変更すると同時に、TLS_KEY_EXCHANGE_GROUPSのデフォルト値からweakを削除します。

リリース済みの変更

リリース日

影響を受けるリリース

影響を受ける機能

アルゴリズム/プロトコルおよび対応

2026-01-20

23.26.1

TLS(1.3のみ)

ハイブリッド

ハイブリッド・キー交換モードを使用するオプションを追加しました。これはECDHEとML-KEMを組み合わせたものです。これには、「ハーヴェスト・ナウ、ディクリプト・レイター」の量子脅威に直面した場合に、TLSキー交換に対して追加の保証を提供できるメリットがあります。ハイブリッド・キー交換では、両方の交換アルゴリズムが侵害されなければ、セッション・キーが侵害されることはありません。

TLS_KEY_EXCHANGE_GROUPSを次のように更新します。

  • 新しい値HYBRIDを追加します。
  • パラメータにリストされている値の順序が考慮されます。
  • デフォルト値は、hybrid、ec、weak、ml-kemです。

2025-10-15

23.26.0

TLS(1.3のみ)

ML-KEM

キー交換の暗号化としてML-KEMを選択するオプションを追加しました。これは、転送中のTLSデータに量子耐性を提供することを目的としています。ML-DSA証明書のサポートを追加しました。

新しいパラメータTLS_KEY_EXCHANGE_GROUPSをsqlnet.oraに追加しました。指定できる値は、ec(ECDHE)、weak、およびml-kemです。値が指定されていない場合、この順番に優先されます。

2025-01-02

23.7

TLS(1.2のみ)

TLS楕円曲線グループ

デフォルト値がFALSEの「SSL_DISABLE_WEAK_EC_CURVES」パラメータを使用して、TLS接続の弱い楕円曲線を有効または無効にするオプションを追加します。

RFC8422に従って、secp256r1、secp384r1、secp521r1、x25519楕円曲線のみが引き続きサポートされます。以下の曲線は、このRFCに従って弱いと見なされます。

sect163k1、sect163r1、sect163r2、sect193r1、sect193r2、sect233k1、sect233r1、sect239k1、sect283k1、sect283r1、sect409k1、sect409r1、sect571k1、sect571r1、secp160k1、secp160r1、secp160r2、secp192k1、secp192r1、secp224k1、secp224r1、secp256k1

これらの曲線はデフォルトで有効のままですが、必要に応じて、新しい設定パラメータを使用してこれらの曲線を無効にできます。

2024-05-02

23.4

NNE

MD4、MD5、DES、3DES、RC4

ネイティブ・ネットワーク暗号化(NNE)のMD4、MD5、DES、3DES、およびRC4に関連するアルゴリズムを削除しました。

2024-05-02

23.4

DBMS_CRYPTO

MD4、MD5、DES、3DES、RC4

DBMS_CRYPTOのMD4、MD5、DES、3DES、およびRC4に関連するアルゴリズムをデフォルトで無効にします。

  • RC4暗号化およびMD4は、23.4で完全に無効になりました。
  • RC4復号化、MD5、DES、3DES、およびSHA-1は、PRAGMA DEPRECATEを使用して非推奨に設定されました。
  • PL/SQLの警告が有効な場合、これらの非推奨のアルゴリズムを使用すると、開発者に警告が表示されます。また、ALLOW_WEAK_CRYPTO初期化パラメータをFALSE(デフォルト値はTRUE)に設定した場合、これらの非推奨のアルゴリズムは機能しません。

2024-05-02

23.4

TLS

TLS

ALLOW_MD5_CERTSおよびALLOW_SHA1_CERTS sqlnet.oraパラメータは、26aiでは非推奨です。これらのパラメータのかわりに、Oracle Database 26aiに新しく追加されたALLOWED_WEAK_CERT_ALGORITHMS sqlnet.oraパラメータを使用してください。

2024-05-02

23.4

TLS

弱い暗号をデフォルトで無効にする

デフォルト値がTRUEの弱いTLS暗号を有効または無効にするオプションを提供するために、SSL_ENABLE_WEAK_CIPHERSパラメータを2023年10月に導入しました。デフォルトでセキュリティを確保するために、23.4以降から、SSL_ENABLE_WEAK_CIPHERSはデフォルトでFALSEに設定されています。

2024-05-02

23.4

TLS、NNE

RSA、DH、DSA

FIPSモードでキー長を増やします。

26ai以降では、FIPSモードにおいて、RSA、Diffie-Hellman(DH)、およびDigital Signature Algorithm(DSA)で2048以上のキー長がサポートされています。非FIPSモードでのみ、キー長をこれより短くすることができます。

2023-17-10

19.21

TLS

TLS

弱い暗号をデフォルトで無効にします。

デフォルト値がTRUEの弱いTLS暗号を有効または無効にするオプションを提供するために、SSL_ENABLE_WEAK_CIPHERSパラメータを導入しました。

2023-04-19

23.1

TLS

TLS

SSLv3、TLS1.0、TLS1.1のサポート終了

2023-04-19

23.1

TLS

TLS

DH Anon暗号のサポートを終了します。

    アウトバウンド接続とデータベース・クライアント/サーバー接続の両方について、DH Anon暗号のサポートを終了します。
    • TLS_DH_ANON_WITH_AES_256_GCM_SHA384
  • TLS_DH_ANON_WITH_AES_128_GCM_SHA256
  • SSL_DH_ANON_WITH_3DES_EDE_CBC_SHA

2021-08-13

21c

TLS

TLS

匿名RC4暗号スイートのサポート終了(SSL_DH_anon_WITH_RC4_128_MD5)

21c以降、非認証TLS接続での匿名RC4暗号スイートの使用はサポートされません。

2021-05-13

21c

NNE、DBMS_CRYPTO

SHA1

NNEおよびDBMS_CRYPTOでのSHA-1の使用を非推奨にします。

オラクルのデータベース・セキュリティを使い始める


Advanced Securityを試す

お客様の主要なユースケースをLiveLabsで設定して、Advanced Securityを実際に体験してみましょう。このラボでは、Transparent Data Encryption(TDE)やData RedactionなどのOracle Advanced Securityの機能に焦点を当てます。これらの機能を設定してデータベースと機密データを保護する方法を紹介します。このワークショップはご自身のテナンシで実施することも、予約してLiveLabsを使用することもできます(無料)。


今すぐお試しください

Key Vaultを試す

このラボでは、TDEで暗号化されたOracle Database 19cをローカル・ウォレットからOracle Key Vaultに移行して、キーの管理を一元化する方法を説明します。PCI DSSコンプライアンスのためのTDEマスター・キーのアップロードと削除、タグ付きキーを使用したPDBの関連付けの簡単化、およびキーの一元化とローテーションのための反復可能で監査可能なワークフローの確立について学習します。このワークショップはご自身のテナントで実施することも、LiveLabsで予約して実施することもできます(無料)。


今すぐお試しください

Key Vaultを試す

このワークショップでは、Oracle Key Vaultの高度なSSHキー管理機能について説明します。堅牢なポリシードリブンの環境内でSSHキーの管理を一元化し、資格証明の盗難や構成の誤りのリスクを最小限に抑える方法を紹介します。SSHキー・ペアをKey Vaultで直接的に格納、制御、およびローテーションする方法について学習します。この場合、秘密キーは抽出不可に設定できるため、サーバーが侵害されても、キーは引き続き保護されます。


今すぐお試しください

Data Safeを試す

お客様の主要なユースケースをLiveLabsで設定して、Data Safeを実際に体験してみましょう。これは、概要ラボです。データベースの構成とセキュリティ統制の評価、ユーザーのセキュリティと権限の評価、監査とアラートによるユーザー・アクティビティの監視、コンプライアンスのための機密データの検出とマスキング、SQLファイアウォールを使用したSQLインジェクションおよび侵害されたアカウントからのリスクの軽減に焦点を当てます。


今すぐ試す