oracle database 11g release 2とoracle advanced ワイト・ペーパー - oracle database 11g...
TRANSCRIPT
Oracleホワイト・ペーパー 2010年10月
Oracle Database 11g Release 2とOracle Advanced Security
Oracleホワイト・ペーパー - Oracle Database 11g Release 2とOracle Advanced Security
はじめに .............................................................................................................................. 1
Oracle Advanced Security .................................................................................................. 2
Transparent Data Encryption .............................................................................................. 3
ハードウェアベースの暗号化アクセラレーションのサポート ..................................... 3
Transparent Data Encryptionとアプリケーション ........................................................ 3
Oracle Recovery Manager(Oracle RMAN)を使用した暗号化 .................................. 4
Oracle Data Pumpを使用した暗号化 ............................................................................ 4
Oracle Advanced Securityの暗号化キー管理 ................................................................ 5
Oracle Advanced Securityのネットワーク暗号化 .............................................................. 5
Secure Sockets Layer .................................................................................................... 5
JDBCセキュリティ ........................................................................................................ 6
Oracle Advanced Securityの厳密認証 ................................................................................ 6
Kerberos認証 ................................................................................................................. 6
PKIサポート ................................................................................................................... 7
RADIUS(Remote Authentication Dial-In User Service) ............................................ 7
結論 ..................................................................................................................................... 9
Oracleホワイト・ペーパー - Oracle Database 11g Release 2とOracle Advanced Security
はじめに 個人情報(PII)、知的財産、決算報告、およびその他の機密情報を保護することは、すべての組織
にとっての最優先事項です。大学、医療機関、小売業者をはじめとする多数の組織で、社会保障番
号から個人の健康情報(PHI)やクレジットカード番号まで、多岐にわたる機密情報が大量に取り扱
われています。組織が効率化を追及し、消費者がインターネット取引を使い続けていく限り、収集
および送信される機密情報の量は劇的に増え続けるでしょう。一方で、個人情報の盗難やその他の
不正を企てる者にとっての機密情報の価値も上がり続けています。過去数年にわたって報告された
情報漏洩件数は増加の一途をたどっており、その損害額は数千万ドルに達しています。その結果、
数多くのプライバシ法や侵害通知法が施行され、機密データの防御壁となる暗号化テクノロジーの
使用が義務付けられました。2003年、そのような法令の先陣を切って、米国カリフォルニア州で上
院法案1386が可決されました(下院法案1950により延長)。それ以来、最近のマサチューセッツ州
にいたるまで、米国中に同様の法令が導入されてきました。クレジットカード業界のデータ・セキュ
リティ標準(PCI-DSS)は、クレジットカード取引を処理するすべての組織が保管するクレジット
カード・データを、暗号化テクノロジーを使用して保護するよう義務付けた、業界主導型の取組み
です。2010年のHITECH Actは医療保険の相互運用性と説明責任に関する法律(HIPAA)に侵害通知
手順を追加したものであり、機密情報がパブリック・ネットワーク(例:インターネット)経由で
送信される場合に限って暗号化を義務付けています。Oracle Advanced Securityは、保管されたデー
タやネットワーク上のデータに対する暗号化と厳密な認証サービスを通じてデータを保護する、標
準ベースの透過型セキュリティ・ソリューションです。
1
Oracleホワイト・ペーパー - Oracle Database 11g Release 2とOracle Advanced Security
「価値の高いコンテンツは、セキュアな集中型データベースに保管されているため、簡単に管理でき、また、自動的にバックアップできます。最小限
の労力で行えるのが理想的です。私たちにとって、お客様のコンテンツほど重要なものはありません。情報の保護と成長戦略をサポートするためにオ
ラクルを選んだ理由は、そこにあります。」
Yuntaa、Chief Technology Officer、Andy Barrett
Oracle Advanced Security
Oracle Advanced SecurityのTransparent Data Encryption(TDE)は、業界でもっとも進んだデータベー
ス暗号化ソリューションを提供します。TDEは、Oracleデータベースによってデータがストレージに
書き込まれると、自動的に暗号化を行い、このデータを要求するユーザーまたはアプリケーション
がOracleデータベースで認証され、すべてのアクセス制御チェック(Oracle Database Vault、Oracle Label Security、仮想プライベート・データベースによるチェック)を通過すると、再び自動的に復号化を
行います。データベース・バックアップでは、データの暗号化が維持されるため、バックアップ・
メディアでも保護が実現されます。また、Oracle Databaseからフラット・ファイルにエクスポートさ
れるデータを暗号化することもできます。フィジカルとロジカルの両方のスタンバイ・データベース
にTDEを設定できるため、高可用性アーキテクチャにおいても、機密データが完全に保護されます。
Advanced Securityのネットワーク暗号化では、SSLベースの暗号化とネイティブのネットワーク暗号
化機能が提供されるため、転送中もデータが保護されます。Advanced Securityの厳密な認証サービス
は、既存のパスワードベースの認証に代わる方式として、PKI、Kerberos、およびRADIUSをサポー
トしています。
Figure 1: Oracle Advanced Security Transparent Data Encryption
2
Oracleホワイト・ペーパー - Oracle Database 11g Release 2とOracle Advanced Security
Transparent Data Encryption
Oracle Advanced SecurityのTDEでは、アプリケーション表における個々の列(クレジットカード番号
や社会保障番号など)とアプリケーション表領域の両方に対する暗号化機能が提供されています。
TDEの表領域暗号化を利用すると、個別の列を特定して暗号化するという複雑な作業が不要になる
ため、効率が上がり、パフォーマンスの向上にもつながります。Oracle Database 11gへアップグレー
ドすると、どの列を暗号化するかという識別プロセスを省略し、単純にTDE表領域暗号化を使用し
てアプリケーション表領域全体を保護することができます。暗号化された表領域に保存されたデー
タはすべて、自動的に暗号化されます。また、一時領域と'UNDO'表領域に保存されたデータとREDOログも暗号化されます。データベースがバックアップされる際、暗号化されたファイルはバックアッ
プ先のメディア上でも暗号化されたままであるため、バックアップ・メディアの紛失や盗難時にも
情報が保護されます。TDEの表領域暗号化は、Oracle Streams、Oracle Data Guard、Oracle Advanced Compression、Oracle Exadata Smart Scans、およびExadata Hybrid Columnar Compression(EHCC)と組
み合わせた場合もシームレスに使用できます。圧縮プロセスの完了後もデータは暗号化されている
ため、圧縮により削減されるストレージ量は変わりません。
ハードウェアベースの暗号化アクセラレーションのサポート
Transparent Data Encryptionによるパフォーマンスへの影響は非常に低く、ほとんどのトランザクショ
ン・アプリケーションで10%未満に抑えられています。Oracle Database 11g Release 2(11.2.0.2)のTDE表領域暗号化では、最新のインテル® Xeon® 5600 CPU(AES-NI)に搭載されているハードウェアベー
スの暗号化アクセラレーションが自動的に検出され、利用されるため、パフォーマンスへの影響を
ほとんどゼロに抑えたまま、保管データの保護が実現されます。このアクセラレーション機能を使
用すると、暗号化および復号化が8~10倍高速になります。暗号化プロセスのアクセラレーションに
はパッチ10080579が必要になりますが、復号化のアクセラレーション機能はデフォルトで利用可能
になっています。TDE列暗号化は、現時点では暗号化アクセラレーションをサポートしていません。
Oracle ExadataのX2-2とX2-8のストレージ・ノードには同じCPUが搭載されていますが、コンピュー
ティング・ノードには異なるCPUが使用されています。
Exadataモデル X2-2 X2-8
ノード 暗号化 復号化 暗号化 復号化
コンピューティング パッチ10080579を適用することで
ハードウェア・アクセラレーションを
利用可能(インテル® Xeon X5670)
デフォルトでハードウェア・ア
クセラレーションを利用可能
(インテル® Xeon X5670)
インテル® Xeon X7560のNehalemテクノロジーによって
低減されたハードウェア・アクセラレーション(~2倍)
ストレージ 該当なし デフォルトでハードウェア・ア
クセラレーションを利用可能
(インテル® Xeon L5640)
該当なし デフォルトでハードウェア・ア
クセラレーションを利用可能
(インテル® Xeon L5640)
Transparent Data Encryptionとアプリケーション
規制遵守とインサイダーによる脅威に対する取組みを支援するというコミットメントの一部として、
Oracle Advanced Security Transparent Data Encryptionは多数のアプリケーションで認定されています。
3
Oracleホワイト・ペーパー - Oracle Database 11g Release 2とOracle Advanced Security
Transparent Data Encryptionが認定されているOracleアプリケーションとサード・パーティ・アプリケーション
TDE列暗号化 TDE表領域暗号化
Oracle E-Business Suite 11.5.9および12.x Oracle E-Business Suite 11.5.10および12.x
Oracle PeopleSoft Enterprise 8.46以降 Oracle PeopleSoft Enterprise 8.48以降
Oracle Siebel CRM 7.7以降 Oracle Siebel CRM 8.0
Oracle Internet Directory 10.1.4.2 Oracle JD Edwards EnterpriseOne
SAP 6.40以降 SAP 6.40_EX2以降
RETEK Sales Audit
iFLEX FlexCube 10.0
Oracle Recovery Manager(Oracle RMAN)を使用した暗号化
バックアップを暗号化しておくと、万一、間違った人の手にバックアップ・メディアが渡ったり、
転送中に紛失したりした場合にも、データが保護されます。ソース・データベース内でデータが暗
号化されているかどうかに関係なく、Oracle RMANを使用して作成するデータベース・バックアップ
を暗号化することを推奨します(TDEでは暗号化できないSYSTEM表領域とSYSAUX表領域を含む)。
ソース・データベースでTDEが使用されている場合、Oracle RMANでTDEのマスター暗号化キーを使
用できます。この方法は、同じデータベースにバックアップをリストアする場合に推奨されています。
もう1つの方法として、パスフレーズを使用してRMANバックアップを暗号化することができます。
このパスフレーズは受信サイトとの間で簡単に共有でき、リストア時のデータの復号化に使用され
ます。また、TDEマスター暗号化キーとパスフレーズを同時に使用すると、最大のセキュリティと
柔軟性が提供されます。ソース・データベースでTDE表領域暗号化が使用されている場合、Oracle RMANを使用して暗号化バックアップを圧縮できます。この場合、暗号化された表領域のデータは
いったん復号化されてから圧縮され、再度、暗号化されます。暗号化されたアプリケーション表の
列は暗号化されていないかのように処理されるため、平均圧縮率が低下します。
オラクルは、Oracle Advanced Security TDEのウォレットを暗号化バックアップとは別のメディアに
バックアップすることを推奨しています(特に'自動オープン'ウォレットを使用している場合)。
Oracle Data Pumpを使用した暗号化
Oracle Data Pumpユーティリティを使用してOracle Databaseからエクスポートされるデータは、デフォルト
で、クリアテキストにエクスポートされます。TDEを使用すると、Oracle Data Pumpのエクスポート・
ファイルを圧縮および暗号化した状態で作成できます。エクスポート・ファイルの暗号化には、Oracle Advanced Security TDEのマスター・キーまたはパスフレーズ、あるいはその両方が使用されます。
4
Oracleホワイト・ペーパー - Oracle Database 11g Release 2とOracle Advanced Security
Oracle Advanced Securityの暗号化キー管理
Transparent Data Encryptionでは2層のキー・アーキテクチャが使用されているため、柔軟かつ透過的
なキー・ローテーションが実現され、運用とパフォーマンスへの影響が最小化されています。少な
くとも1つの暗号化列を含むアプリケーション表には、それぞれ独自の表キーが設定されており、こ
のキーがその表に含まれるすべての暗号化列に適用されます。同様に、暗号化された表領域には固
有の表領域キーが設定されています。表キーはデータベースのデータ・ディクショナリに保存され
ますが、表領域キーは表領域のヘッダーと、表領域を構成する各OSファイルのヘッダーに保存され
ます。これらの各キーはTDEマスター暗号化キーを使用して暗号化されており、このマスター・キー
はデータベースの外側にある外部セキュリティ・モジュールに保存されています。外部セキュリティ・
モジュールにはOracle Wallet(特定のセキュリティ管理者またはDBAがセットアップ中に指定したパ
スフレーズを使用して暗号化されたPKCS#12形式のファイル)か、より確実なハードウェア・セキュ
リティ・モジュール(HSM)デバイス(Bull、Safenet、Thales、Utimaco製など)を使用できます。
Oracle Advanced Securityでは、HSMデバイスとの通信に業界標準であるPKCS#11インタフェースが使
用されています。表キーと表領域キーにはAES(キー長が256、192、128ビットのもの)または3DES168を使用できますが、TDEマスター・キーには常にAES256キーが使用されます。
Oracle Advanced Securityのネットワーク暗号化
Oracle Advanced Securityは暗号化とハッシングを使用してネットワーク上の送信データの機密性と整合性を
保護することで、データ・スニッフィング、データ損失、リプレイ攻撃、PIM(Person-In-the-Middle)攻撃を防止します。Oracle Databaseとのすべての通信は、Oracle Advanced Securityを使用して暗号化
できます。Oracle Advanced Securityは、ネットワーク上のデータを保護するため、ネイティブ暗号化
/データ整合性アルゴリズムとSecure Sockets Layer(SSL)の両方をサポートしています。
完全に透過的なOracle Advanced Securityのネットワーク暗号化は、X.509証明書なしで、簡単にセッ
トアップできます。Oracle Advanced Securityでサポートされている暗号化アルゴリズムは、次のとお
りです。
• AES(256、192、128ビット)
• 3DES(168ビットの3鍵および2鍵)
• RC4(256、128ビット)
• SHA1
Secure Sockets Layer
公開鍵インフラストラクチャ(PKI)を導入している企業は、SSLベースの暗号化を使用できます。
Oracle Advanced Security 10gでは、TLS 1.0プロトコルに対するサポートが導入されました。Oracle Database 10g以降のOracle Advanced Securityでは、TLS 1.0プロトコルを使用したAES暗号スイートが
サポートされています。
Oracleデータベースは、データベース・クライアントとデータベースの間で交換されるデータを暗号
化するため、SSLプロトコルを実装しています。これには、Oracle Net Services(旧称Net8)、LDAP、シックJDBC(タイプ2)、シンJDBC(タイプ4)およびIIOP形式のデータが含まれます。ユーザーは、
Oracle Advanced Securityのネイティブ暗号化の代わりに、SSL暗号化を使用できます。
5
Oracleホワイト・ペーパー - Oracle Database 11g Release 2とOracle Advanced Security
3階層システムでは、データベースでのSSLサポートにより、中間層とデータベースの間で交換され
るデータがSSLを使用して暗号化されます。OracleのSSLの実装は、匿名(Diffie-Hellman)、X.509証明書によるサーバーのみの認証、X.509による相互(クライアント/サーバー)認証の3つの標準認
証モードをサポートしています。
JDBCセキュリティ
JDBCは、Javaプログラムからリレーショナル・データベースに接続する際の標準を提供する業界標
準です。Oracleには、2種類のJDBCドライバが実装されています。1つはCベースのOracle Net Servicesクライアント上に構築されたシックJDBCドライバであり、もう1つはダウンロード可能なアプレット
をサポートするシン(Pure Java)JDBCドライバです。
シックJDBC(タイプ2)はクライアントとサーバーの両方でOracle Net Services通信スタック全体を
使用するため、既存のOracle Advanced Securityの暗号化および認証メカニズムを活用できます。シン
JDBCドライバ(タイプ4)はインターネット経由で使用されるダウンロード可能なアプレット向け
に設計されているため、Oracleにはシン・クライアント用にOracle Advanced Securityの暗号化、整合
性、認証アルゴリズムの100% Java実装が含まれています。
サーバーおよび(または)クライアントのネットワーク・パラメータを設定することで、ネットワー
ク暗号化および整合性機能を有効にできます。つまり、アプリケーションに変更を加える必要がな
いため、ほとんどの企業はこのテクノロジーを簡単に導入できるということです。
Oracle Advanced Securityの厳密認証
Oracle Advanced Securityは、従来のパスワードベースの認証に代わる、厳密認証ソリューションを提
供するものであり、Kerberos、PKI、およびRADIUSの各ソリューションがサポートされています。
Oracle Advanced Securityを利用すると、データベース・ユーザーは、Microsoft KDCを使用したWindows環境で、Oracleデータベースにシングル・サインオンできます。データベース・ユーザーは、Oracleデータベースへの認証用に、スマートカードやその他のハードウェア・ストレージ・モジュールに
格納したPKI資格証明を使用できます。これにより、クライアント・サーバー・アプリケーションを
介したデータベースへのローミング・アクセスが可能になるため、ユーザーにとって特に便利です。
KerberosとPKIはともに、Oracle Enterprise User Security(Oracle EUS)でサポートされています。Oracle EUSでは、Oracle Internet Directoryまたは既存のエンタープライズLDAPリポジトリをOracle Virtual Directoryと組み合わせることで、データベース・ユーザーの一元管理を実現します。
Kerberos認証
Oracle Advanced Securityには、MIT v5に準拠した任意のKerberosサーバーまたはMicrosoft KDCから発
行されるKerberos v5チケットと互換性を持つKerberosクライアントが含まれています。Oracle Advanced SecurityのKerberosソリューションを使用することにより、企業は異機種環境下でも業務を継続でき
ます。
6
Oracleホワイト・ペーパー - Oracle Database 11g Release 2とOracle Advanced Security
OracleデータベースをKerberosサーバーに登録し、Kerberosサービスをサポートするように設定する
だけで、企業ユーザーがデータベース認証を実行しなくても、データベースに対して直接認証され
ます。すでにKerberosサーバーとOracle Advanced SecurityのKerberosアダプタを使用している企業は、
外部データベース・ユーザーをディレクトリに移行して、ユーザーを集中管理できます。
Oracle Database 11g Advanced SecurityのKerberos拡張機能には、最大2,000の文字長を持つプリンシパ
ル名がサポートされています。また、クロス・レルム・サポートが提供されているため、あるレル
ムのKerberosプリンシパルを使用して別のレルムのKerberosプリンシパルに対する認証を実行でき
ます。
PKIサポート
Oracle Advanced SecurityのSSLクライアントでは、業界標準のX.509v3証明書を使用できます。Oracle Wallet Managerを使用すると、証明書要求の作成やその他の証明書管理タスクを実行できます。また、
証明書失効リスト(CRL)の管理およびその他のOracle Walletの操作に役立つ、追加のコマンドライ
ン・ユーティリティも用意されています。
LDAPサーバー、ファイル・システム、またはURLに対して公開された証明書失効リストがサポート
されます。
オラクルは、以下のサポートを通じて、PKIの統合および相互運用性をサポートします。
• PKCS #7、#11のサポート
• Oracle Internet Directoryへのウォレットの格納
• 各ウォレットに対する複数の証明書の適用
• ウォレットの強力な暗号化
集中化されたLDAP準拠のディレクトリにウォレットを格納しておくことで、ユーザー・ローミング
がサポートされるため、ユーザーは複数の場所またはデバイスから自身の資格証明にアクセスでき
ます。これにより、一貫性と信頼性に優れたユーザー認証が実現されるとともに、ウォレットのラ
イフ・サイクル全体を通じた一元管理が実現されます。
Oracle Walletは、1つのウォレットに対して、次を含む複数の証明書をサポートします。
• S/MIME署名証明書
• S/MIME暗号化証明書
• Code署名証明書
RADIUS(Remote Authentication Dial-In User Service)
Oracle Advanced Securityは、Remote Authentication Dial-In User Service(RADIUS)クライアントを提
供します。これにより、Oracle Databaseは、RADIUSサーバーによりアサートされた認証と認可を利
用できます。この機能は、2つの要素による認証に関心のある企業にとって特に便利です。この認証
では、知っていること(パスワードまたはPIN情報)と持っているもの(トークン・カード・メーカー
により提供されるトークン・カード)に基づいてIDが確立されます。
7
Oracleホワイト・ペーパー - Oracle Database 11g Release 2とOracle Advanced Security
RADIUSは、ネットワーク・サービスへのリモート・アクセスを保護する分散システムであり、ネッ
トワークへのリモート・アクセスおよびアクセス制御の業界標準として、長期にわたって確立され
ています。RADIUSのユーザー資格証明およびアクセス情報は、RADIUSサーバーに定義されます。
リクエストが発生すると、この外部サーバーが、認証、認可、およびアカウンティング・サービス
を実行します。
OracleのRADIUSサポートでは、RADIUSクライアント・プロトコルを実装することで、RADIUSユー
ザーに対する認証、認可、およびアカウンティング・サービスをデータベースから提供します。Oracleデータベースは、認証要求をRADIUSサーバーに送信し、サーバー応答に応じた処理を実行します。
認証は、同期認証モードでも非同期認証モードでも実行でき、RADIUSをサポートするためのOracleの構成に含まれます。
8
Oracleホワイト・ペーパー - Oracle Database 11g Release 2とOracle Advanced Security
9
結論
データの暗号化と厳密な認証は、多重防御の原則において重要な要素です。オラクルは、長期にわ
たって、データベース・セキュリティの技術革新をリードしてきましたが、今後も、新規および既
存ソリューションの開発を通じて、急速に増加するプライバシ要件や規制遵守への対応を求める顧
客を支援します。Oracle Advanced SecurityのTDEを使用することで、小売業者や金融機関はPCI要件
に対応し、大学や医療機関は、医療保険の相互運用性と説明責任に関する法律(HIPAA)要件を遵
守しながら、社会保障番号やその他の機密情報を保護できます。Oracle Advanced SecurityのTDEは、
ディスク・ドライブやバックアップ・メディア上の機密データを不正アクセスから保護するととも
に、メディアの紛失や盗難による影響を軽減します。Oracle Advanced Securityのネットワーク暗号化
は、転送時のデータの保護において特に重要な役割を果たし、インターネット経由で送信される機
密データを不正なスニッフィングから保護します。KerberosやPKIなどの厳密認証サービスは、より
確実なユーザー識別を実現する方法として人気を得ています。
Oracle Database 11g Release 2と Oracle Advanced Security
Copyright © 10/2010, Oracle and/or its affiliates.All rights reserved. 本文書は情報提供のみを目的として提供されており、ここに記載される内容は予告なく変更されることがあります。本文書は一
切間違いがないことを保証するものではなく、さらに、口述による明示または法律による黙示を問わず、特定の目的に対する商
品性もしくは適合性についての黙示的な保証を含み、いかなる他の保証や条件も提供するものではありません。オラクル社は本
文書に関するいかなる法的責任も明確に否認し、本文書によって直接的または間接的に確立される契約義務はないものとします。
本文書はオラクル社の書面による許可を前もって得ることなく、いかなる目的のためにも、電子または印刷を含むいかなる形式
や手段によっても再作成または送信することはできません。
Oracleは米国Oracle Corporationおよびその子会社、関連会社の登録商標です。その他の名称はそれぞれの会社の商標です。
0109
2010年10月 著者:Peter Wahl、Paul Needham Oracle Corporation World Headquarters 500 Oracle Parkway Redwood Shores, CA 94065 U.S.A. 海外からのお問い合わせ窓口: 電話:+1.650.506.7000 ファクシミリ:+1.650.506.7200 www.oracle.com