oracle standard edition 2の強化と活用oracle database standard edition 2 →oracle se2 / se2...

Copyright © 2019 CO-Sol Inc. All Rights Reserved. 1Copyright © 2019 CO-Sol Inc. All Rights Reserved.

SE-RACが廃止されても、まだまだ使える！3rd Party製品やカスタマイズで実現するOracle Standard Edition 2の強化と活用

2019年9月25日株式会社コーソル技術統括渡部亮太

Copyright © 2019 CO-Sol Inc. All Rights Reserved. 2

このセミナーについて

• Standard EditionおよびStandard Edition Oneの販売終了や19cでのSE-RACの廃止、リリースされる新機能がEnterprise Editionや有償オプション中心であることから、Oracle Database Standard Edition 2の先行きを不安に感じたり、機能不足に悩まれている方も多いと思います。

• 本セッションでは、3rd Party製品やオラクル製品のカスタマイズによりOracle Database Standard Edition 2の高可用性機能、レプリケーション機能、暗号化機能などを強化するソリューションをご紹介します。

• Oracle Database Standard Edition 2を今後も有効に活用してゆきたいユーザーの方に向けたセッションです。


おことわり

• 正式な製品名を、紙面の都合上以下のように短縮表記することがあります。Oracle Database → OracleOracle Database Standard Edition 2 → Oracle SE2 / SE2Oracle Database Enterprise Edition → Oracle EE / EE

• OracleとJavaは、Oracle Corporation 及びその子会社、関連会社の米国及びその他の国における登録商標です。

• 文中の社名、商品名等は各社の商標または登録商標である場合があります。

• 本資料の無断転載・複製を禁じます。


自己紹介+所属会社紹介

• 渡部亮太（わたべりょうた）

– Oracle ACE (Oracle Database分野、日本に4名)

– 著書「オラクルマスター教科書 Gold Oracle Database 12c」、「Oracleの基本」、「プロとしてのOracleアーキテクチャ入門」

– JPOUG 共同創設者、ボードメンバー

– ORACLE MASTER Platinum 12c/11g/10gMySQL OCP 5.6、OSS-DB Gold(INACTIVE)

• 株式会社コーソル

– 「CO-Solutions＝共に解決する」の理念のもと、Oracle技術および仮想化技術に特化した事業を展開中。心あるサービスの提供とエンジニアの育成に注力している

– 社員数: 133名 (2019年9月時点)

– ORACLE MASTER Platinum保持者数4年連続日本一11g 保持者数 47名 / 12c 保持者数 42名


ORACLE MASTER Platinum保持者数 4年連続 No.1コーソル紹介

https://www.oracle.com/jp/education/promotion/showcase-oujfy20-ja.html

単年取得者数6年連続No.1

累計保持者数4年連続No.1


3拠点体制 - 24x365/DR/グローバル化のニーズに対応

コーソル紹介

カナダトロント

東京福岡

0時

12時

6時18時24x365

基幹系DBの 24x365 運用支援

オラクル製品 24x365 サポート


Agenda

• Oracle Database Standard Editionとは

• Oracle Database Standard Editionの現状

• 機能と代替ソリューション

– 高可用性クラスタ

– 拠点障害対策（DR）

– レプリケーション

– メール通知

– パフォーマンス分析

– SQLチューニング

– データ暗号化

– データ伏字化

– 特権ユーザー管理


Oracle DatabaseStandard Editionとは


Oracle Database Standard Editionとは

• 機能および性能が制限されているが、大幅に価格が安いOracle Database

• 現在は Oracle Database Standard Edition 2のみが販売

– 従来は Oracle Database Standard Edition、Oracle Database Standard Edition Oneが存在した

• 小中規模システム、コスト重視のお客様（製造業、小売業など）にとても重宝された


Oracle SE2の制限Oracle Database Standard Editionとは

制限項目説明

CPU制限 • 最大CPUソケット数 : 2• 最大使用可能CPUスレッド数 : 16

使用できる機能 • Enterprise Edition限定の機能は使用不可[主要なEnterprise Edition限定機能]・ Oracle Data Guard・リソースマネージャ・各種パラレル処理・各種オンライン操作・大部分のフラッシュバック系機能

有償オプションおよびパック

• 原則使用不可ただし、RACのみは無償で使用可（18c以前のみ）[主な有償オプション]・パーティション・マルチテナント・インメモリ・チューニング、診断系機能


Oracle SE2とOracle EEのコスト比較Oracle Database Standard Editionとは

• CPU数2、CPUコア数8で計算した5年分の総コストの比較

¥95,760,000 ¥8,820,000

OracleEE

Oracle SE2

約1/11

¥23,600,000

[参考]EDB Postgres

Enterprise

※: 定価ベース、更新時調整率考慮せず


Editionに依らないOracle Databaseの価値Oracle Database Standard Editionとは

項目説明

堅牢かつ豊富なコア機能

長年の歴史で培った堅牢性 / ACIDトランザクション / RMAN国際化対応 / 管理ビュー(DBAビュー・V$ビュー) / ASMストアドプロシージャ(PL/SQL) / 多くのプログラミング言語に対応 / 全文検索 / LOB(SecureFiles) / XML対応 / JSON対応/ ダイレクトローディング / データベースリンク

有形無形の過去資産と環境

• ユーザーの「信頼感」• 過去のノウハウやソフトウエア資産（スクリプト類）• 導入・製品サポートを提供する多くのオラクルパートナー• オラクル知識を持つエンジニアや書籍・解説資料• オラクル社提供の無償ツール群

対応アプリケーション・ツール

• Oracle対応パッケージアプリケーション• Oracle向けに作成したカスタムアプリケーション• 3rd Partyツール

将来的な選択肢の広さ

Enterprise Edition、マルチテナント環境、クラウドへなど、さまざな方向へ容易に移行・拡張可能


Oracle Database Standard Edition 2の価値Oracle Database Standard Editionとは

「低コスト」で「Oracle Databaseを使える」がOracle SE2の価値

低コスト Oracle Databaseを使える

• 堅牢かつ豊富なコア機能• 有形無形の過去資産と環境• 対応アプリケーション・ツール• 将来的な選択肢の広さ

OracleEE

Oracle SE2


Oracle DatabaseStandard Editionの現状


[12.1.0.2] SE2の導入とSE/SE Oneの廃止Oracle Database Standard Editionの現状

Standard Edition

価格: 210万円CPU制限: 最大4ソケット高可用性機能: RAC/OFS

Standard Edition One

価格: 70万円CPU制限: 最大2ソケット高可用性機能: OFS

Standard Edition 2

価格: 210万円CPU制限: 最大2ソケット

最大使用可能スレッド数16高可用性機能: RAC/OFS

12.1.0.1以前 12.1.0.2以後

1. CPU制限が厳しく最大ソケット数: 4→2 / 最大使用可能スレッド数制限が追加

2. Standard Edition Oneに対応する製品ラインが消滅→ Standard Edition 2へ移行（≒ コストアップを余儀なく）


[19c] SE-RACの廃止（サポート終了）Oracle Database Standard Editionの現状

• 10g R1から提供されたSE-RAC(Standard Edition RAC)が19cで廃止（サポート終了）

• SE-RACの普及度が高いため、インパクト大

Oracle RAC(Active-Active型クラスタ)

Active Active

SE2


最大スレッド数16高可用性機能: RAC/OFS

12.1.0.2以後

SE2



19c以後


[19c] Oracle Fail Safeの非推奨Oracle Database Standard Editionの現状

• あくまでも「非推奨」であり、「サポート終了」ではありません。

– サポート終了：×使用不可／廃止

– 非推奨: 将来的にサポート終了になる可能性あり

• Oracle Fail Safeとは

– Windows環境でHAクラスタ（共有ディスク型のActive-Standbyクラス

タ）を構築する製品

– 追加費用が不要なため、小規模かつ可用性が求められるWindows環境で比較的流行

Oracle Fail Safe(HAクラスタ)

Active Standby


まとめOracle Database Standard Editionの現状

Standard Edition

価格: 210万円CPU制限: 最大4ソケット高可用性機能: RAC/OFS

SE1

価格: 70万円CPU制限: 最大2ソケット高可用性機能: OFS

SE2



12.1.0.1以前 12.1.0.2以後

SE2



19c以後

• 性能、機能および価格で制約が大きくなっている• Oracle EEまたはOracle Cloudへの移行を促す意味も大きい

ように思われる


機能と代替ソリューション


EE限定機能と代替ソリューション機能と代替ソリューション

機能 EE限定機能 SE2代替ソリューション例

高可用性クラスタ RAC*1 / RAC One Node Active-Standby型HA

拠点障害対策（DR） Data Guard Dbvisit Standby

レプリケーション GoldenGate*2 SharePlex / Attunity

メール通知 Diagnostic Pack Oracle向けZabbix拡張

パフォーマンス分析 MaxGauge / Performance Insight

SQLチューニング Tuning Pack Toad for Oracle

データ暗号化 Advanced Security Option

D'amo

データ伏字化 Aegis Wall

特権ユーザー管理 Database Vault Aegis Wall

*1: 18c以前はSEでRAC使用可能*2: Oracle SEでも使用可能。ただし高額

EE限定機能を完全に代替できるわけではないが、コアとなる機能は代替／補完ソリューションで代替可能


[参考] EE+Opt/PackとSE2+代替SWのコスト比較機能と代替ソリューション

• 高可用性構成、CPU数2、CPUコア数8で計算した5年分の総コストの比較

¥615,888,000 ¥32,576,816

OracleEE

Oracle SE2

約1/19

※: 定価ベース、更新時調整率考慮せず

EE x 3 + RAC + Diagnostic Pack +Tuning Pack + ASO + DV

SE2 x 2 + Dbvisit + MaxGauge + ToadD'amo + Aegis Wall


高可用性クラスタ


SE RACを用いない高可用性クラスタ高可用性クラスタ

• SE-RAC以外の方法で障害や計画停止に耐えうる高可用性を実現する → Active-Standby型HAクラスタ

• Active-Standby型HAクラスタとは

– 1つのノードをActiveとしてデータベースを起動する。

– Active側が障害および計画停止となった場合、Standby側でデータベースを起動し、サービスを継続する

– 障害および計画停止時のサービス停止時間はRACよりも長くなる

19c SE～Active-Standby型HAクラスタ

Active

～18c SEOracle RAC

Active Active Standby


Oracle GIを用いたActive-Standby型HA高可用性クラスタ

[注記] 現在、正式サービスメニュー化に向けて検討および検証中

シングルDB

Oracle GI

$ srvctl remove database -d <DBNAME>$ crsctl add type single_db.type -basetype cluster_resource ...$ crsctl add resource orcl.inst -type singledb.type$ crsctl modify resource orcl.inst -attr "USR_DB_NAME=orcl"$ crsctl modify resource orcl.inst -attr"USR_ORA_HOME=/u01/app/oracle/product/19.3.0/dbhome_1"$ crsctl start resource orcl.inst

カスタムリソースとしてOracle GIにシングルDBを追加


GI Active-Standby型HAクラスタのライセンス高可用性クラスタ

• 「10日ルール*」を満たせば待機サーバー用Oracleライセンスは不要

– *: 待機サーバーでのOracle製品稼働日数が年間10日以内– https://www.oracle.com/assets/data-recovery-licensing-070587.pdf

https://www.oracle.com/assets/datarecoverypolicy-079765-ja.pdf

• Oracle GI (ASM、Oracle Clusterware)は無償利用可能

– 一部の高度な機能は除く

Active Standby

• Oracle ライセンス不要• ただし、待機サーバーではOracleを年

10日を超えて起動できない

• 無償利用可能（一部の高度な機能を除く）Oracle GI


拠点障害対策（DR）


物理レプリケーションを用いた拠点障害対策拠点障害対策（DR）

通常運用時

メインサイトのサービスを利用

災害発生時

スタンバイサイトのサービスを利用

メインサイト(データセンターA)

データベースアプリケー

ション


ション

スタンバイサイト(データセンターB)

メインサイト(データセンターA)


ション


ション

スタンバイサイト(データセンターB)

物理レプリケーション

• 拠点障害発生時もサービスを継続するため、スタンバイサイトに待機系システムを構築しておく

• 拠点障害発生時は、スタンバイサイトのサービスを利用• データベース内のデータは運用中に変更されるため、メインサイトのデータ

ベースのデータをスタンバイサイトのデータベースに常時物理レプリケーション（同期）する必要がある


Data GuardとDbvisit Standby拠点障害対策（DR）

プライマリDB(本番DB)

プライマリDBサーバ

スタンバイDB(待機系DB)

スタンバイDBサーバ更新処理内容(REDOログ)をネットワークでリアルタイム転送

Data Guardフィジカルスタンバイ : Enterprise Edition限定機能

Dbvisit Standbyを用いた基本スタンバイ: Standard Edition 2で使用可

LGWR LNS RFS MRP

プライマリDB(本番DB)

プライマリDBサーバ

スタンバイDB(待機系DB)

スタンバイDBサーバ

ARCH

定期的にリモートコピー

更新を適用

更新を適用

Oracleが自動的に実行

Dbvisit Standbyが実行

アーカイブログファイル

スタンバイログファイル

アーカイブログファイル

プロセス

更新処理内容（REDOログ）

ログスイッチ時にファイル出力


Data GuardとDbvisit Standbyの比較拠点障害対策（DR）

Data Guard Dbvisit Standby

使用可能なOracle DB Edition

• Enterprise Editionのみ• Standard Edition 2 使用不可

• 制限なし• Standard Edition 2で使用可

更新処理内容(REDOログ）の転送と適用

• 自動• ネットワーク経由でリアルタイム

に更新処理内容を転送• MRPプロセスが起動し、自動的に

更新を適用

• 自動• アーカイブログファイルのリモー

トコピーと更新適用をDbvisitが自動的に実行

障害発生時における更新処理のロスト

• 原則発生しない（保護モード設定に依存）

• 発生する可能性あり（アーカイブログファイルの出力間隔／リモートコピー間隔を短くすることでロスト量を軽減可能）

平常時のスタンバイDB活用

• 読取り専用でのOPEN可能（OPEN中は更新伝播が停止）

• Active Data Guardオプションを追加購入すると、読取り専用OPEN中の更新伝播や、更新処理の実行などが可能に

• 読取り専用でのOPEN可能（OPEN中は更新伝播が停止）

支援ツール • Data Guard Broker• Enterprise Manager(GUI)

• Dbvisit Web管理コンソール、Dbvisit CLI


レプリケーション / データ連携


レプリケーション（論理レプリケーション）

レプリケーション / データ連携

• 主要なOracle論理レプリケーション（ロジカルレプリケーション）製品

– Oracle GoldenGate

– SharePlex for Oracle

– Attunity Replicate

• Oracle SE2でもGoldenGateを使用可能だが、価格面で採用に躊躇するケースが多いのでは→ より低価格な代替ソリューションが有用


論理レプリケーション製品の選定ポイントレプリケーション / データ連携

製品選定ポイント

SharePlex for Oracle

• 大量バッチ更新の同期時間短縮が必要• 簡単にデータ整合性チェック＋修正を行いたい

Attunity Replicate• OracleおよびSQL Server以外のDB製品をソー

スにしたレプリケーションが必要• ソースDBサーバに追加で製品を導入できない

論理レプリケーションは柔軟性があって便利な反面、多くの落とし穴があります！製品に習熟した会社に相談しながら、製品選定および導入を進めることを強くお勧めします！


異常時のメール通知


Diag Pack + Tuning Packで提供される機能異常時のメール通知

Diagnostic Pack

• パフォーマンス監視と診断(データベースおよびホスト)• 自動ワークロード・リポジトリ(AWR)• AWRウェアハウス• 自動データベース診断モニター(ADDM)• 期間比較ADDM• リアルタイムADDM• アクティブ・セッション履歴(ASH)• ASH分析• パフォーマンス・ハブ• Exadata CELLグリッドの管理• Exadata CELLグリッドのパフォーマンス• Exadata CELLグループの「状態の概要」ページ• Exadataのリソース使用率• ブラックアウト• 通知• メトリックおよびアラートまたはイベント履歴• ユーザー定義のメトリックおよびメトリック拡張• 管理コネクタ• 動的メトリック・ベースラインおよび適応メトリックしきい値• 監視テンプレートおよびテンプレート・コレクション• リプレイ期間比較レポート• ストリーム当たりのボトルネック検出およびコンポーネント当

たりの上位待機イベント分析を実行するためのサポート機能

Tuning Pack

• SQLアクセス・アドバイザ• SQLチューニング・アドバイザ• Oracle Database In-Memoryアドバイ

ザ• 自動SQLチューニング• SQLプロファイル• リアルタイムSQLおよびPL/SQLの監視• リアルタイム・データベース操作の監視• オブジェクトの再編成

• 19c マニュアルより転記

Diagnostic Packを購入しないと、メール通知ができない


メトリックと通知異常時のメール通知

• Diagnostic Packを購入しないと、メール通知ができない

– クリティカルなサーバの運用を考えると、かなり致命的な制限

– メール通知はOracle Enterprise Managerと連携して動作

• メール通知なしの運用は考えられないため、何らかの3rd Party監視ツール/OSS監視ツールを導入するのが一般的

• 弊社のリモート監視サービスではOracle監視用Zabbixツールキットを独自に開発し導入


パフォーマンス分析


Diag Pack + Tuning Packで提供される機能パフォーマンス分析

Diagnostic Pack

• パフォーマンス監視と診断(データベースおよびホスト)• 自動ワークロード・リポジトリ(AWR)• AWRウェアハウス• 自動データベース診断モニター(ADDM)• 期間比較ADDM• リアルタイムADDM• アクティブ・セッション履歴(ASH)• ASH分析• パフォーマンス・ハブ• Exadata CELLグリッドの管理• Exadata CELLグリッドのパフォーマンス• Exadata CELLグループの「状態の概要」ページ• Exadataのリソース使用率• ブラックアウト• 通知• メトリックおよびアラートまたはイベント履歴• ユーザー定義のメトリックおよびメトリック拡張• 管理コネクタ• 動的メトリック・ベースラインおよび適応メトリックしきい値• 監視テンプレートおよびテンプレート・コレクション• リプレイ期間比較レポート• ストリーム当たりのボトルネック検出およびコンポーネント当

たりの上位待機イベント分析を実行するためのサポート機能

Tuning Pack

• SQLアクセス・アドバイザ• SQLチューニング・アドバイザ• Oracle Database In-Memoryアドバイ

ザ• 自動SQLチューニング• SQLプロファイル• リアルタイムSQLおよびPL/SQLの監

視• リアルタイム・データベース操作の監視• オブジェクトの再編成

• 19c マニュアルより転記

太字：よく使われると思われるパフォーマンス系機能（渡部判断による）


弊社取り扱いパフォーマンス分析製品パフォーマンス分析

• 本セッションではMaxGaugeを中心に主要なパフォーマンス分析機能を紹介します。• Performance Insightの機能については、インサイトテク

ノロジーのブースにて :-) • 実は・・・弊社では、 Diagnostic Pack、Tuning Packを持

つ顧客に対しても3rd Partyのパフォーマンス分析製品を推奨• Enterprise Managerのパフォーマンス分析画面は・・・


主要な性能指標を俯瞰できるビューパフォーマンス分析


複数データベースをまとめて1つの画面で表示パフォーマンス分析


ドリルダウン分析: セッション → SQLパフォーマンス分析


時系列での推移を表示パフォーマンス分析


各種レポートをExcel形式で出力パフォーマンス分析


SQLチューニング


高

低

Enterprise Edition + オプションが必要

SQLを分析し、知見の範囲でのチューニング作業

簡難

Oracle Tuning Pack

Toad

手動でのSQLチューニング費

用

難易度

低価格、かつ簡単な操作でSQLチューニングが可能

ツール使用手動

SQLチューニングの方法SQLチューニング

• SQLチューニングをせざるをえない状況は少なからず発生• ただし、手動でSQLチューニングをするには、高いスキルが必要• ツールでの解決が有用だが、コストが問題

→ Toad


Toad for Oracleを用いたSQLチューニングSQLチューニング

SQL Optimizer for Oracle

3.

4.

2.

1.

1. SQL書換えプランを多数生成し、

効果を測定

2. 効果を踏まえた最適プランをアドバイス

3. 指定したプランのSQL文を表示

4. 指定したプランのSQL実行計画

を表示

5.

5. 指定SQLを任意の環境で即実行

チューニングしたいSQL文を入力し、分析開始

単一SQL文を簡単操作でチューニング


Toad for Oracleを用いたSQLチューニングSQLチューニング

SQL Optimizer for Oracleselect * from customers where cust_id = (select s.cust_id from PRODUCTS p,SALES_TRANSACTIONS_EXT s where p.prod_id=s.prod_id and p.prod_id=143 and s.channel_id=3 and s.promo_id=351 and cust_id=7700)union allselect * from customers where cust_id = (select cust_id from SALES_TRANSACTIONS_EXT where cust_id=17633 and promo_id=999 and quantity_sold=1 and prod_id=13 and unit_cost=783.03);

最速プランオリジナル

SELECT * FROM customers

WHERE cust_id = (SELECT s.cust_idFROM PRODUCTS p,

SALES_TRANSACTIONS_EXT s WHERE p.prod_id = s.prod_id

AND p.prod_id = 143 AND s.channel_id = 3 AND s.promo_id = 351 AND cust_id = 7700)

UNION ALL SELECT *

FROM customers WHERE cust_id = (SELECT cust_id

FROM SALES_TRANSACTIONS_EXT WHERE cust_id = 17633

AND promo_id = 999 AND quantity_sold = 1 AND prod_id = 13 AND unit_cost = 783.03)

SELECT * FROM customers CUSTOMERS1

WHERE cust_id = (SELECT s.cust_idFROM SALES_TRANSACTIONS_EXT s,

PRODUCTS p WHERE p.prod_id = s.prod_id + 0

AND p.prod_id + 0 = 143 AND s.channel_id = 3 AND s.promo_id = 351 AND cust_id = 7700)

UNION ALL SELECT *

FROM customers CUSTOMERS2 WHERE cust_id = ANY (SELECT cust_id

FROM SALES_TRANSACTIONS_EXT WHERE cust_id = 17633

AND promo_id = 999 AND quantity_sold = 1 AND prod_id = 13 AND unit_cost = 783.03)

Elapsed Time：2.54 secs Elapsed Time：1.23 secs

50%削減

SQL全文 SQL全文


透過型データ暗号化


透過型データ暗号化とは透過型データ暗号化

• アプリケーションに影響を与えることなく（＝透過的）データを暗号化する機能

• データファイルへのデータ保存時に暗号化データファイルからデータを読み取るときに復号化

• データファイルの不正な持ち出しによるデータ漏洩を防ぐことが可能

• Oracle EEでは有償オプションAdvanced Securityで実現

012

012

!aZ

暗号化復号化

SQL>


D'amoを用いた透過型暗号化の動作イメージ透過型データ暗号化

ビューemp テーブルemp_damo

id MYNUMBER …

データ参照時

id SEC_MYNUMBER …

10 AB1E4F5G7JX8…

11 Z1Y7U83JK5R1…

:

id MYNUMBER

10 0123456789…

11 9876543210…

:

SQL>

アプリケーション

SELECT id, mynumberFROM emp;

SELECT id, 復号化関数(sec_mynumber) FROM emp_damo;

元データ

暗号化データ

復号化処理実行


D'amoを用いた透過型暗号化の動作イメージ透過型データ暗号化

ビューemp テーブルemp_damo

id MYNUMBER …

データ更新時

id SEC_MYNUMBER …

10 AB1E4F5G7JX8…

11 Z1Y7U83JK5R1…

:

SQL>

アプリケーション

INSERT INTO emp VALUES(12, '0123…', …);

INSERT INTO emp_damoVALUES (12, 暗号化関数('0123…') , …);

暗号化処理実行

id MYNUMBER

12 0123456789…

id MYNUMBER

12 A67ZUY8K3…

暗号化データ

元データ

INSERTトリガ発動


データ伏字化


データ伏字化とその必要性データ伏字化

• データ伏字化: クライアントに返すデータを動的に伏字化する

• 本来クライアントに見せるべきではないデータに万が一アクセスされた場合でもデータ漏洩を防ぐことが可能

• Oracle EEでは有償オプションAdvanced Securityで実現

XXX

012


データ暗号化とデータ伏字化の違いデータ伏字化

透過型データ暗号化データ伏字化

メカニズム • データファイルに保存するデータを暗号化

• データファイルからデータを読み取るときに復号化

• DBサーバからクライアントにデータを返すときに伏字化

対処できる脅威

DBサーバ内部に侵入された場合のデータファイルの不正な持ち出し

クライアントアプリケーションを経由した不正なデータアクセス

***

012

!aZ

暗号化復号化

伏字化


Aegis Wallによるデータ伏字化設定データ伏字化

マスキング対象をオブジェクトで設定

• オブジェクト名: マスキングルールの名称

• 種類: カラム/正規表現(文字列のパターン)のどちらの手法でマスキングするかを選択

• マスキング: カラム名/正規表現のマッチ条件

• グループ: マスキング対象のグループ

• 詳細: マスキング対象についての説明文(任意)

を単体またはグループで指定


Aegis Wallによるデータ伏字化動作データ伏字化

SQL Developerからのアクセス

SQL*Plusからのアクセス

• クライアントアプリケーションによらず、データ伏字化を実行可• データ伏字化の実行条件を定義することも可能

• クライアントのIPアドレスがXXXだとデータ伏字化するなど


特権ユーザー管理


特権ユーザー管理とは特権ユーザー管理

• データベースセキュリティの文脈では「大きな権限を持つ管理者ユーザーによる不正行為を防止する各種機能」を指す。具体的には・・・

機密データ×

特権ユーザー

①実利用者の識別／

認証

③機密データの保護

②実行可能な操作の制限

④監査ログの出力

複数の利用者で共用される場合が多い


Oracle SE2における特権ユーザー管理の問題点特権ユーザー管理

項目 Oracle SE2での問題点

①実利用者の識別／認証 • Oracle標準機能によりクライアントIPアドレスやクライアントホストでのOSユーザー名などが取得可能だが、詐称が可能

• 実利用者毎の認証が困難

②実行可能な操作の制限 • 制限不可（Oracle標準の権限機能の制約）

③機密データの保護 • 制限不可（Oracle標準の権限機能の制約）

④監査ログの出力 • Oracle標準機能で監査可能だが、情報の完全性や監査ログの一元管理などの点で問題あり

• Oracle EEではDatabase Vaultを導入することで上記問題の多くを解決可能

• ただし、Oracle SE2ではDatabase Vaultを使用不可→ 3rd Partyソフトウェアを使用して解決


Aegis Wallによる特権ユーザー管理特権ユーザー管理

特権ユーザー・アクセス管理

PC/WEB AgentのIDで使用者個人を特定

ワンタイムパスワードによる二段階認証も可

DB ･システム (OS )に

対して全操作が可能

共有 ID /PWで利用されていて個人識別できないことが多い

ログ管理

いつ･誰が･何をしたかを正確に記録

検索や動画によるセッション再現も可能

パケットキャプチャ方式でパフォーマンス負荷0 %

アクセス・コマンド権限制御

正規ユーザー以外のアクセスを遮断

テーブル・カラム単位での制御が可能

ワークフローで作業申請を効率的に管理

許可されたユーザー

許可されていない

ユーザー

*********** 01234567890←

クエリ・コマンドなどユーザーの操作内容

に対するルール設定、マイナンバーなどの

重要データのマスキングも可能

DBからの戻り値をマスキング


まとめ


まとめ

• Oracle SE2には多くの機能制限があり、一部の制限はエンタープライズ用途では致命的です

• しかし、Oracle SE2には「低コスト」で「Oracleを使える」という代えがたいメリットがあります。

• 3rd Partyツールの導入／カスタマイズによりOracle SE2に機能をプラスすることで、Oracle SE2を有効に活用できます。

• Oracle SE2に限らず、Oracle DatabaseおよびOracle関連製品でお悩みの際には弊社までご相談くださいませ。→ https://cosol.jp

oracle standard edition 2の強化と活用oracle database standard edition 2 →oracle se2 / se2...

Documents