0) { obj.className = "imgborder_on"; } } } function hideImage(obj) { if (obj.className.substr(0, 10) == "imgborder_") { obj.src = eyeglass.src; obj.className = "imgborder_off"; } } function showAllImages() { imgs = document.images; for (i=0; i < imgs.length; i++) { showImage(imgs[i]); } } function hideAllImages() { imgs = document.images; for (i=0; i < imgs.length; i++) { hideImage(imgs[i]); } } function MM_openBrWindow(theURL,winName,features) { //v2.0 window.open(theURL,winName,features); } //-->

Oracle Database Vaultを使用した、特権ユーザーに対する機密性の高いアプリケーション・データへのアクセス制限

用途

このチュートリアルでは、Oracle Database Vaultを使用して、DBAロールを所持する特権ユーザーに対して、HR部門の機密データへのアクセスを防止する方法を説明します。

所要時間

約15分

トピック

このチュートリアルでは、以下のトピックについて説明します。

概要
前提条件

SYSTEMデータベース接続の作成

SYSTEMユーザーによる機密データへのアクセス

HRスキーマに対するレルムの作成
レルムのテスト
監査レポートの生成
まとめ

スクリーンショットの表示

このアイコンの上にカーソルを置くと、すべてのスクリーンショットがロードし、表示されます。 (警告:すべてのスクリーンショットが同時にロードされるため、ご使用のインターネット接続によってはレスポンス・タイムが遅くなる場合があります。)

注:各手順に関連したスクリーンショットのみを表示する場合は、それぞれの手順にある各アイコンの上にカーソルを置いてください。

概要

Oracle Database Vaultは、今日のもっとも困難なセキュリティ課題である、インサイダーの脅威からの保護、規制遵守要件への対応、職務分離の強化に対する取組みを支援するものです。 Oracle Database Vaultは、パートナー、従業員、顧客に関するビジネス上の機密情報やプライバシ・データの保護が必要な顧客を扱う上での最大の懸念である、DBAによるアプリケーション・データの参照を防止します。 さらに、強力なアプリケーションDBAによるほかのアプリケーションへのアクセスや、認可された責務以外のタスクの実行を未然に防ぎます。 Oracle Database Vaultは、アプリケーション機能に影響を与えることなく、迅速かつ容易に既存アプリケーションの保護を実現します。

トピック・リストに戻る

前提条件

このチュートリアルを始める前に以下を確認してください。

1.

Oracle Database 11g Release 1 (11.1.0.6)がインストールされていること。サンプル・スキーマでデータベースを作成してください(インストール中またはインストール後のいずれかの時点)。
2.

Oracle SQL Developerをダウンロードおよび解凍していること。

3.

ご利用のデータベースにOracle Database Vaultオプションを構成していること。 Oracle DatabaseのインストールではOracle Database Vaultはインストールされませんが、Oracle Databaseインストール・メディアで入手できます。 Oracle Universal Installerを使用すれば、既存のデータベースにOracle Database Vaultをインストールできます。 Oracle Database Vaultをインストール後、Database Configuration Assistant( dbca )を使用して、Oracle Database Vaultをご利用のデータベースに登録し、次に、必要なOracle Database Vaultアカウントを作成します(詳細については、オンライン・ドキュメント『Oracle Database 2日でセキュリティ・ガイド 11g Release 1(11.1)』を参照してください)。

トピック・リストに戻る

SYSTEMデータベース接続の作成

従業員の機密情報へのアクセスが可能かどうかを確認するため、SYSTEMとしてデータベース接続を作成します。 以下の手順を実行します。

1.

Oracle SQL Developerを開きます。 「 Connections」を右クリックして、「 New Connection」を選択します。


2.

以下の情報を入力し、「 Test」をクリックします。

Connection Name: system@database vault
Username: system
Password: <ご使用のシステムのパスワード>
Save Password: チェック
Hostname: <ご使用のホスト名またはIPアドレス>
Port: <ご使用のデータベースのポート>
SID: <ご使用のデータベースのSID>


3.

ステータスがSuccessと表示されたら、「 Connect」をクリックします。


4.

接続が作成されました。

SYSTEMユーザーによる機密データへのアクセス

このトピックでは、SYSTEMユーザーとしてログインし、従業員情報へアクセスします。 以下の手順を実行します。

1.

SQL Worksheet領域に以下のSELECT文を入力し、「 Execute Statement」アイコン を選択するか、[ F9]を押します。 

                                         
SELECT last_name, salary
 FROM hr.employees
 WHERE employee_id < 110


2.

SYSTEMユーザーは、従業員機密情報にアクセスできることがわかりました。 これをアクセスできないようにする必要があります。 Oracle Database Vaultは、次のトピックで説明するレルムを使用して、この問題を解決できます。

 

トピック・リストに戻る

HRスキーマに対するレルムの作成

このトピックでは、HRスキーマに対してレルムを作成し、すべてのユーザーを対象にHRスキーマの変更を禁止します。 ただし、HRユーザーについては制限から除外されます。 以下の手順を実行します。

1.

ブラウザを開き、次のURLを入力します。

https://<ホスト名>:1158/dva

以下の情報を入力し、「 Login」をクリックします。

User Name: <Oracle Database Vaultのオーナー>
Password: <Oracle Database Vaultのオーナーのパスワード>
Host: <ホスト名>
Port: <ご使用のデータベースのポート>
SID / Service: <SIDを選択し、ご使用のデータベースのSIDを入力>


2.

Realms」リンクをクリックします。

 
3.

Create」をクリックして、新規のレルムを作成します。


4.

Nameに HR Application Protectionと入力し、Descriptionに説明を記入します。 Statusには Enabled、Audit Optionsには Audit On Failureが選択されていることを確認します。 「 OK」をクリックします。

 
5.

新規のレルムを選択し、「 Edit」をクリックします。

 
6.

Realm Secured Objectsの下にある「 Create」をクリックします。

 
7.

Object Ownersリストから「 HR」を選択します。 HRスキーマのオブジェクトはすべて保護されます。Object TypeおよびObject Nameには%が選択されていることを確認してください。 「 OK」をクリックします。

 
8.

これで、HRスキーマ・オブジェクトがRealm Secured Objectsリストに表示されていることが確認できます。 「 OK」をクリックして、レルムの編集を終了します。

 
9.

HR Application Protectionレルムが作成されました。

 

トピック・リストに戻る

レルムのテスト

現時点では、HRスキーマのすべてのオブジェクトがレルムに追加されています。さきほどOracle SQL Developerで実行したSQL文を再度実行します。 今回は、従業員情報へのアクセスは不可であることが表示され、レルム違反が発行されます。 以下の手順を実行します。

1.

Oracle SQL Developerに切り替えます。 「 Execute Statement」アイコン をクリックするか、[ F9]を押して、前述で実行したSQLを再度実行します。


2 .

レルム違反が発生します。 今回は、SYSTEMユーザーが従業員機密情報にアクセスを試みると、違反が発生します。

 

トピック・リストに戻る

監査レポートの生成

レルムの作成後、監査オプションがAudit on Failureに設定されています。 監査をおこなうには、以下の手順に従います。

1.

Oracle Database Vaultに切り替えます。 「 Database Instance: orcl」リンクをクリックすると、このデータベースのOracle Database Vaultメイン・ページに戻ります。


2.

Data Vault Reports」タブをクリックします。


3.

Data Vault Reportsカテゴリで、「 Realm Audit」を選択し、「 Run Report」をクリックします。

 

4.

レポートが表示されます。 作成したレルムが含まれていることが確認できます。

 

トピック・リストに戻る

まとめ

このチュートリアルでは、HRスキーマを使用して、特権ユーザーに対し機密データへのアクセスを制限する方法を学習しました。

トピック・リストに戻る

このアイコンの上にカーソルを置くと、すべてのスクリーンショットが非表示になります。