透過的データ暗号化(TDE)
データファイルを暗号化し、ディスク上のデータ漏えいリスクを下げます。 クエリに対しては透過的に復号されるため、利用側の改修を最小化できます。
Oracle DBSec Tutorial
Oracle Databaseのセキュリティ機能を短い手順で試せるチュートリアル集です。
暗号化・マスキング
Section titled “暗号化・マスキング”通信暗号化
クライアントとDB間の通信を暗号化し、盗聴リスクを低減します。 併せて整合性チェックを有効化することで、通信の改ざん検出も行えます。
Data Redaction
クエリ結果に対して動的にマスキングを行い、機微情報の表示を抑止します。 データ自体を書き換えず、参照時の見せ方だけを制御できる点が特徴です。
アクセス制御
Section titled “アクセス制御”Virtual Private Database
行・列レベルでアクセス制御を行い、同じ表でもユーザーごとに見えるデータを変えます。 アプリケーションのSQLを変えずに、DB側のポリシーで条件を付与できます。
Database Vault
職務分離のための制御を追加し、強力な権限ユーザーの操作も制限できます。 保護領域や操作ルールを定義し、運用上の不正や誤操作のリスクを下げます。
SQL Firewall
許可されたSQLの特性を基に、逸脱したSQLを検知・遮断する仕組みです。 予期しないSQL実行による被害を抑止するための追加防御として使えます。
Oracle Label Security
ラベル(分類)に基づいてアクセス制御を行い、データの取り扱い基準を一貫させます。 ユーザーのラベルとデータのラベルの関係で、参照・更新可否を判定します。
IAM DBパスワード
OCI IAM のユーザーを使ってDBへログインする方式です。 IAM側のユーザー/グループ管理と、DB側の権限付与を連携することができます。
IAM DBトークン
OCI IAM が発行する、短時間で失効するトークンを用いてDBへログインする方式です。 長期的に固定の秘密情報を配布・保持する運用を減らせます。
MS Entra ID 認証
Microsoft Entra ID のユーザーを使用してDBにログインする方式です。 Entra ID 側のユーザーやロールと連携し、一元化されたユーザーおよび認可管理を行うことができます。
多要素認証(MFA)
パスワードに加えて第二の認証要素を要求し、ログインを強化します。 パスワード漏えい時の不正ログインリスクを低減できます。
Oracle Cloud
Section titled “Oracle Cloud”Oracle Data Safe
監査、セキュリティ評価、機微データ検出などを統合的に扱うクラウドサービスです。 複数DBのセキュリティ状況を一元的に可視化できます。
> 準備中