Database Vault

Database Vaultの領域

Oracle Database内に制限付きのアプリケーション環境を作成して、機密データへの不正アクセスをブロックできます。また、Oracle Database Vaultのセキュリティ制御は、欧州連合一般データ保護規則（EU GDPR）、クレジット・カード業界データ・セキュリティ基準（PCI- DSS）、および機密情報へのアクセス、開示、変更に関する強力な内部制御を必要とするその他多数の規制など、データ・プライバシーに関する法律および標準へのコンプライアンスに対応するのに役立ちます。

Database Vaultのコマンド・ルール

特権ユーザー・アカウントによる操作を中断する悪意のある変更や偶発的な変更を防止します。コマンド制御により、特定のメンテナンス・ウィンドウ外で試行された、DROP TABLEやALTER SYSTEMなどの不正なコマンドを防ぐことができます。

Database Vaultの信頼できるパス

クライアントのIPアドレス、プログラム、ユーザー名、時刻などの要素を使用して、データへのゼロトラスト・アクセスとデータ操作を制御できます。攻撃者は盗まれたアカウントを単に使用して機密データにアクセスすることができないため、Database Vaultは機密データへの不正アクセスをブロックし、疑わしいデータ・アクセス・アクティビティを管理者に通知する高価値のアラートを生成して、データの盗難が発生する前にデータを停止できるようにします。

職務の分離

特権ユーザーにチェック・アンド・バランスを適用し、攻撃者がセキュリティ制御を無効にしたり、不正なユーザーを作成したり、単一の特権アカウントの認証情報を利用して機密データにアクセスしたりするのを防止します。

統合的で、高パフォーマンスかつスケーラブル

コストと時間のかかるアプリケーション変更を必要とせずに、新規および既存のOracle Database環境を保護します。Database Vaultは、Oracle Real Application Clusters（RAC）、Oracle GoldenGate、Oracle Data Guardなどのエンタープライズ・アーキテクチャと互換性があり、追加のサーバーおよびエージェントを導入する必要はありません。

SQLインジェクション攻撃の検出またはブロック

SQLインジェクション攻撃の検出と防止は、データベースを不正アクセスや潜在的なデータ漏洩からの保護に不可欠です。23ai SQL Firewallにより、組織はSQLインジェクションのリスクに対処し、盗まれた認証情報の悪用をブロックする強力なツールを得ることができます。これにより、SQLインジェクション攻撃に対する耐性を大幅に強化し、耐障害性の高いデータを保護し、データベースの整合性を維持することができます。

23ai SQL Firewallは、アプリケーションが発行するSQL文やアプリケーションがデータベースへの接続に使用するコンテキスト（ネットワーク・アドレス、オペレーティング・システム・ユーザー、使用するプログラムなど）を含む、通常のアプリケーションの行動を学習することにより機能します。トレーニングが完了すると、23ai SQL Firewallは次の操作を実行できます。

• 正常な動作からの逸脱をログに記録およびブロック
• 異常なSQL文の識別
• アプリケーションのプロファイルにないアドレスやプログラムからの接続の検出

23ai SQL Firewallは、許可リスト・アプローチを使用しており、攻撃者がデータベースへの侵入を試みるために使用する可能性のある無限に近い選択肢を推測しようとする代わりに、使用できる行動の有限のセットを定義します。

23ai SQL FirewallはOracle Databaseカーネルに組み込まれているため、バイパスできません。ファイアウォールはシノニムやダイナミックSQLの使用に惑わされることはなく、ネットワークの暗号化にも影響されません。

脅威の軽減に加えて、23ai SQL Firewallログは、ファイアウォールがブロック・モードに設定されていない場合でも、ポリシーからの逸脱をすべて記録する、貴重な検出機能を提供します。必要に応じて、 Oracle Audit Vault や Database Firewall、Oracle Data Safe などのデータベース・アクティビティ・モニタリング・ソリューションで使用するために、ファイアウォール違反の監査記録を作成できます。

• Oracle SQL Firewallに関するFAQ (PDF)