oracle10g_start3_win

意外と簡単!?Oracle Database 10g - データベース構築から運用まで - 「セキュリティ設定編」 （Windows版） Creation Date: Mar 08, 2004 Last Update: Apr 23, 2004 Version: 1.3 セキュリティ設定編 意外と簡単!?Oracle Database 10g 2 はじめに 「意外と簡単!?」シリーズは、Oracle Database 10g を使用してこれからシステム構築を 行い、運用していく方向けに作成しており、初心者の方でも容易に構築/運用ができるよう 全編にわたり極力 GUI ツールを利用した説明として構成しております。 システム構築のや運用にはさまざまな方法が存在しますが、「意外と簡単!?」シリ ーズでは特定のハードウェア上で小中規模のシステムを構築/運用することを目的とした 実践的な資料として構成している関係上、個々の機能の説明等は最小限に留めております。 また基本的に Standard Edition で利用可能な機能の範囲にて説明しております。 「意外と簡単!?」シリーズが皆様のシステム構築/運用の一助になれば幸いです。 「意外と簡単!?」シリーズの資料構成 「意外と簡単!?」シリーズは、以下の 5 つの資料から構成しております。 1. データベース構築基礎 2. セキュリティ設定（本書） 3. バックアップとリカバリ 4. データベースの運用 － 監視 5. データベースの運用 － チューニング 「意外と簡単!?」シリーズにおける H/W、S/W 構成 サーバー：DELL PowerEdge 2650 CPU:Xeon 3.06 GHz x 2 メモリ：6GB オペレーティング・システム：Microsoft Windows 2000 + Service Pack4 RDBMS：Oracle Database 10g Standard Edition for Windows セキュリティ設定編 意外と簡単!?Oracle Database 10g 3 セキュリティ設定 データベース・システムを運用していくにあたって、データを見る・修正するなどの処 理を行うことのできる人を明確に制限することは非常に重要です。 ここでは、データベース・システムでの考慮すべきセキュリティを高めるための施策の 中から、Oracle データベースの設定で実現できるもののうちの基本的な設定項目について 解説しています。 大きく分けて以下の観点で解説します。 • 認証の管理 • 権限の管理 • 外部からのアクセス • その他 認証の管理 Oracle では、ユーザーによるデータベースへのログインを許可するために、いくつかの 方法でそのユーザーを認証できます。 • データベースによるパスワード認証：ログイン時にパスワードを入力す る方法 • 外部認証：OS またはネットワークシステムを利用 • グローバル認証：ディレクトリ・サービスを利用 本ドキュメントではデータベースによる認証をベースに記述しております。 Oracle への認証モードの設定とログイン・ユ ーザーの作成 ここでは、新しいユーザーの作成方法を紹介します。 実習： ユーザーの作成 Enterprise Manager を利用して新しいユーザーを作成してみましょう。 1. 現在作成されているユーザーの一覧を確認します。Enterprise Manager に SYSDBA 権限でログインしてください。ホーム画面の「管理」タブの中の セキュリティ設定編 意外と簡単!?Oracle Database 10g 4 「セキュリティ」以下の「ユーザー」をクリックします。現在の作成され ているユーザーが確認できます。 ２． ボタンをクリックするとユーザー情報の入力画面が示されます。こ こで、以下のように入力してボタンをクリックするとユーザーが作成され ます。 項目名 入力 名前 ORADIRECT プロファイル DEFAULT 認証 パスワード 期限切れパスワード チェックしない デフォルト表領域 USERS 一時表領域 TEMP ステータス ロック解除 セキュリティ設定編 意外と簡単!?Oracle Database 10g 5 また、インストール後にデフォルトで作成されているデータベース・ユーザーに デフォルトのパスワードを使用している場合、変更しておくべきです。 実習：パスワードの変更方法 1. Enterprise Manager に SYSDBA 権限でログインしてください。ホーム画面の 「管理」タブの中の「セキュリティ」以下の「ユーザー」をクリックしま す。現在の作成されているユーザーが確認できます。SYSMAN ユーザーの パスワードを変更します。 2. 「パスワードの入力」の項目に変更後のパスワードを入力、「パスワードの 確認」の項目にも同様に入力して ボタンを押してパスワードを変更し てください。 セキュリティ設定編 意外と簡単!?Oracle Database 10g 6 パスワード管理 プロファイルを利用すると、パスワードの制限を設定することが出来ます。 プロファイルとは、システム・リソースおよびパスワードの制限の設定をまとめ たもので、パスワード管理の制御を行うことができます。 例えば、以下のような設定が可能です。 ユーザーのロック： 特定のユーザーが、ある回数以上データベースへの接続に失敗した場合にその ユーザーをロックするような設定。 有効期間の設定： パスワードに有効期限をつけて、同じパスワードを使いつづけないようにする 設定。 パスワード履歴管理： 同じパスワードを利用することが出来ないようにする設定。パスワード履歴オプ ションは、新しく指定される各パスワードを調べて、指定された期間内に、また は指定されたパスワード変更回数の間に、同じパスワードが再利用されないよう にするためのものです。 データベース管理者は、プロファイルを使用してパスワ ードの再利用のルールを構成できます。 実習：プロファイルの設定とユーザーの設定 1. Enterprise Manager に SYSDBA 権限でログインしてください。ホーム画面の 「管理」タブの中の「セキュリティ」以下の「プロファイル」をクリック します。 ボタンをクリックして、プロファイルを新規作成します。 2. 名前に「ORADIRECT」と入力して、「パスワード」タブをクリックします。 セキュリティ設定編 意外と簡単!?Oracle Database 10g 7 3. 今回の設定では、以下のように設定しています。以下の表のように設定後 に、OK ボタンを押すことでパスワードに関する設定が変更されます。 項目名 入力内容 説明 有効期限（日） 60 設定したパスワードは 60 日間使 いつづけられます。 期限切れ後の猶予日数 30 有効期限が切れた後、30 日間は 同じパスワードを使いつづけら れます。（合計 90 日） パスワード再利用前の変更回数 2 2 度異なるパスワードに変更さ れてからでないと、同じパスワー ドは使用できません。 再利用できなくなるまでの日数 30 パスワード履歴を保持する期間 複雑なパスワード検証のための関数 DEFAULT （変更なし） ロックされるまでのログイン試行失敗 回数 6 6 回ログインを失敗するとユー ザーが、ロックされます 指定回数失敗後、ロックされる日数 5 ロックされた後で 5 日間経過す ると、ロック解除されます。 セキュリティ設定編 意外と簡単!?Oracle Database 10g 8 4. 続いて、作成したプロファイルをユーザーに割り当てます。Enterprise Manager のホーム画面に戻っていただき、「管理」タブの中の「セキュリテ ィ」以下の「ユーザー」をクリックします。現在の作成されているユーザ ーが確認できます。ORADIRECT ユーザーのプロファイルを変更します。 「ORADIRECT」ユーザーのリンクをクリックします。 5. 「プロファイル」の中から、先程作成した「ORADIRECT」を選択して ボタンをクリックします。先程作成されたプロファイルがユーザー ORADIRECT に対して有効になりました。 不要なユーザーを利用可能な状態にしない Oracle データベースの作成時に、いくつかの管理ユーザーやデモ用のユーザーが 作成されることがあります。 運用上必要でないユーザーは、ログインできないようにロックするべきです。 セキュリティ設定編 意外と簡単!?Oracle Database 10g 9 特に「SCOTT」ユーザーは、本番環境では Oracle データベースのデモユーザとし て有名ですので削除するか、ロックすることをお勧めします。 以下のような手順でユーザーをロックすることが出来ます。 実習：ユーザーのロック 1. 現在ロックされていないユーザーの情報を確認します。Enterprise Manager に SYSDBA 権限でログインしてください。ホーム画面の「管理」タブの中 の「セキュリティ」以下の「ユーザー」をクリックします。現在作成され ているユーザーが確認できます。「アカウント・ステータス」のタブを 2 回 クリックすると、上位にステータスが OPEN のユーザーが表示されます。 このユーザーが現在ロックされていないユーザーです。 ステータスが OPEN のユーザーをロックするには、変更したいユーザー名をクリックし ます。ここでは「SCOTT」をクリックします。 2. 「ステータス」のラジオボタン「ロック」を選択して ボタンをクリッ クします。 セキュリティ設定編 意外と簡単!?Oracle Database 10g 10 権限の管理 権限は、特定のタイプの SQL 文を実行するため、または別のユーザーのオブジェクトに アクセスするための権利です。たとえば、次のことをような権利が権限です。 - データベースへの接続（セッションの作成） - 表の作成 - 他のユーザーの表からの行の選択 - 他のユーザーのストアド・プロシージャの実行 セキュリティを維持するためには、必要な作業を実行する上で本当にその権限が必要な ユーザーにのみ最低限の権限を付与するようにしてください。特に、管理者権限（SYSDBA、 SYSOPER、ANY のつく権限）は非常に強い権限ですので注意するようにしてください。 権限を付与するには、2 つの方法があります。直接ユーザーに対して権限を付与する方 法と、権限をロール（名前つきの権限グループ）に付与したあとで、このロールをユーザ ーに付与する方法です。 個々のユーザーに権限を付与するのではなく、ロールを使用するほうが権限の管理が簡 単になります。 権限の種類 権限は大きく分けて次の 2 つに分類されます。 ¾ システム権限 ¾ （スキーマ）オブジェクト権限 システム権限とは、特定のアクションを実行する権限、特定のタイプのオブジェ クトに対するアクションを実行する権限です。 例えば、 ¾ 表領域を作成する権限 ¾ データベースの任意の表から行を削除する権限 セキュリティ設定編 意外と簡単!?Oracle Database 10g 11 オブジェクト権限とは、特定のスキーマ・オブジェクトに対して特定のアクショ ンを実行する権限です。 例えば、 ¾ department 表から行を削除する権限など 権限の許可、拒否、取り消し ユーザーに直接、権限を割り当ててみます。 今回の例では、SCOTT ユーザーに対して HR スキーマの EMPLOYEES 表の SELECT 権限を割り当てる設定をしてみます。 実習：Enterprise Manager による権限の割り当て 1. Enterprise Manager に SYSDBA 権限でログインしてください。ホーム画面の 「管理」タブの中の「セキュリティ」以下の「ユーザー」をクリックしま す。この後、「SCOTT」ユーザーに対して権限を割り当てるので、ここでは 「SCOTT」をクリックします。 2. タブの中には、「システム権限」「オブジェクト権限」とありますのが、今 回の例ではオブジェクト権限を選択します。 セキュリティ設定編 意外と簡単!?Oracle Database 10g 12 3. 特定の表に対するオブジェクト権限を設定します。「オブジェクト・タイプ の選択」の項目に「表」を選択して ボタンをクリックしてください。 4. 他のスキーマの表を選択します。 をクリックすると選択用のウィンドウ が開きます。 5. スキーマに「HR」を選択し、 ボタンをクリックすると HR スキーマの 表が表示されます。「EMPLOYEES」を選択後、 ボタンをクリックして 選択します。 セキュリティ設定編 意外と簡単!?Oracle Database 10g 13 6. 「使用可能な権限」のリストから、「SELECT」を選択して ボタンを押 して、「選択した権限」のリストに追加後、 ボタンをクリックします。 7. リストに、「HR.EMPLOYEES」の「SELECT」権限が付与されたことが確認 できます。 ユーザー定義のデータベースロール スキーマに直接に権限を付与する方法をご説明しましたが、ロールを使ったほう が管理が簡単になります。ここでは、実際にロールを作る手順をご説明します。 実習：ユーザー定義ロールを作成する セキュリティ設定編 意外と簡単!?Oracle Database 10g 14 1. Enterprise Manager に SYSDBA 権限でログインしてください。ホーム画面の 「管理」タブの中の「セキュリティ」以下の「ロール」をクリックします。 新規のロールを作成しますので ボタンをクリックしてください。 2. 名前の項目にロールの名前を入力します。今回は「ORDROLE」というロ ールを作成してみます。その後、このロールに付与する権限を設定します。 「オブジェクト権限」のタブをクリックしてください。 3. オブジェクト・タイプの選択から「表」を選び、 ボタンをクリック します。 セキュリティ設定編 意外と簡単!?Oracle Database 10g 15 4. 他のスキーマの表を選択します。 をクリックすると選択用のウィンドウ が開きます。 5. スキーマに「HR」を選択し、 ボタンをクリックすると HR スキーマの 表が表示されます。「EMPLOYEES」を選択後、 ボタンをクリックして 選択します。 6. 「使用可能な権限」のリストから、「SELECT」を選択して ボタンを押 して、「選択した権限」のリストに追加後、 ボタンをクリックします。 7. ロールに対して HR スキーマの EMPLOYEES 表への SELECT 権限が付与さ れました。 ボタンを押すことで作成されます。 セキュリティ設定編 意外と簡単!?Oracle Database 10g 16 ロールによる権限管理の簡素化 次に、ロールを使ってユーザーに対して権限の設定を行ってみましょう。 先程作成した「ORDROLE」ロールを ORADIRECT ユーザーに割り当てます。 実習：ユーザーにロールを割り当てる 1. Enterprise Manager に SYSDBA 権限でログインしてください。ホーム画面の 「管理」タブの中の「セキュリティ」以下の「ユーザー」をクリックしま す。この後、「ORADIRECT」ユーザーに対して権限を割り当てるので、こ こでは「ORADIRECT」をクリックします。 2. タブの中から、「ロール」を選択します。 セキュリティ設定編 意外と簡単!?Oracle Database 10g 17 3. ボタンをクリックして、ロールを追加します。 4. 「使用可能なロール」のリストの中から、「ORDROLE」を選択して ボ タンにて「選択したロール」に加えます。 5. 「ORDROLE」が追加されたことが確認できます。 Public ロール PUBLIC に権限を付与すると セキュリティ設定編 意外と簡単!?Oracle Database 10g 18 ・ 全ユーザーが、その権限を行使することができます。 ・ 今後の新規ユーザーも、その権限を行使することができます。 逆に、全ユーザーが与えられた権限を行使できるということを考慮して、PUBLIC に権限を付与する場合は十分気をつけて下さい。また、PUBLIC に対して付与し た権限を取り消す場合、PUBLIC で取り消す必要があります。 外部からのアクセス Oracle では、データベース・サーバーとクライアント間の通信には、Oracle Net Services というネットワーク・ライブラリを使用します。 リスナーとは、Oracle*Net の仕組み リスナーとは、データベースがクライアントからの初期接続要求を受け付けるア プリケーションです。リスナーは、クライアントからの要求を受け取ったあとデ ータベースへ要求を引き渡します。 リスナー・ポートを変更 リスナーのポートはデフォルトでは 1521 になっています。この番号は、広く使わ れているものであるので変更することをお勧めします。 実習：リスナー・ポートを変更する 1. Enterprise Manager のトップ・ページから、リスナーの設定ページに移動しま す。「リスナー」の横にリスナー名が表示されますので、クリックしてくださ い。リスナーの情報が表示されます。 ボタンを押して設定を変更します。 2. ボタンをクリックして、アドレスの編集を行います。 セキュリティ設定編 意外と簡単!?Oracle Database 10g 19 3. アドレスを任意の値に変更して、 ボタンをクリックします。今回は「1522」 と変更しています。 4. ボタンをクリックします。 5. 変更を反映させるために、リスナーを再起動するかを求められますので、再 起動を選択後に ボタンをクリックします。リスナーが再起動され設定が反 映されました。 セキュリティ設定編 意外と簡単!?Oracle Database 10g 20 リスナーの管理制限 リスナーの管理（設定変更や起動・停止など）を行う際にパスワードを入力する ことを必要とすることが出来ます。以下の設定を行うと、リスナーの起動や停止 の際には必ずパスワードの入力が必要になります。 実習：リスナーにパスワードを設定する 1. Enterprise Manager のトップ・ページから、リスナーの設定ページに移動しま す。「リスナー」の横にリスナー名が表示されますので、クリックしてくださ い。リスナーの情報が表示されます。 ボタンを押して設定を変更します。 2. 「認証」のタブをクリックします。 3. 「リスナー操作にパスワードが必要です」にチェックを入れて、「新規パスワ ード」と「パスワードの確認」の各項目にパスワードを入力してください。 その後 ボタンを押します。 セキュリティ設定編 意外と簡単!?Oracle Database 10g 21 4. 変更を反映させるために、リスナーを再起動するかを求められますので、再 起動を選択後に ボタンをクリックします。リスナーが再起動され設定が反 映されました。リスナーの設定変更などの管理操作時に、パスワードの入力 が必要になるような設定になります その他のセキュリティトピック その他、簡単に実現できるセキュリティを高めるための設定に関して、この章ではご紹介 します。 ビューとストアド プロシージャによるセキ ュリティの管理 ビューを使用したセキュリティ ビューとは、1 つ以上の表から選択されたデータを表現したものです。表に似た 利用方法になりますが、ビュー内に実際のデータは持ちません。 ビューに対しては、問い合せをすることができ、また更新も可能です。 たとえば、すべての従業員データの実表には、いくつかの列と多数の情報行が含 まれている場合があります。 その中の特定の列のみをユーザーに参照させる場合 は、参照可能な列のみを含んだ表のビューを作成できます。 次に、作成したビューへのアクセス権を他のユーザーに付与し、実表へのアクセ スを禁止します。 セキュリティ設定編 意外と簡単!?Oracle Database 10g 22 実習：ビューを使ったアクセス制限 1. ここでは、管理者がアクセスに制限をかけたビューを Enterprise Manager で 作成する例をご紹介します。Enterprise Manager に SYSDBA 権限でログイン してください。ホーム画面の「管理」タブの中の「スキーマ」以下の「ビ ュー」をクリックします。 ボタンをクリックします。 2. ビューの作成では、「名前」に「EMPVIEW」、「問合せテキスト」にビュー を定義するための SQL 文を以下のように記述します。EMP 表の中から、 ENAME と SAL のカラムのみにアクセスするようなビューを作成します。 ボタンを押して次に進みます。 名前 ： EMPVIEW スキーマ ： SCOTT 問合せテキスト ： SELECT ENAME , SAL FROM EMP 3. 作成されました。ここで、「アクション」から「データの表示」を選択して ボタンをクリックします。 セキュリティ設定編 意外と簡単!?Oracle Database 10g 23 4. ビューから見えるデータが検索されました。EMP 表に格納されているデー タの中から、EMPNAME、SAL の項目のみが検索できていることが確認で きました。 ストアドプロシージャを使用したセキュリティ ストアド・プロシージャは、業務運用に応じた権限の使用を実現することができ ます。 たとえば、アプリケーション開発者は、EMPLOYEES 表にある従業員の名前およ び住所のみを、通常の勤務時間内にのみ更新するプロシージャを作成できます。 また、開発者（またはアプリケーション管理者）は、人事部門の担当者に EMPLOYEES 表の UPDATE 権限を付与するのではなく、プロシージャのみに権 限を付与できます。 これによって、人事部門の担当者が権限を使用できるのはプ ロシージャのコンテキスト内のみになり、EMPLOYEES 表を直接更新できなくな ります。 初期化パラメータ セキュリティの観点から、いくつかの初期化パラメータの値を確認してみましょ う。 セキュリティ設定編 意外と簡単!?Oracle Database 10g 24 O7_DICTIONARY_ACCESSIBILITY このパラメータは、SELECT ANY TABLE 権限をもっていればデータ・ディクシ ョナリへのアクセスを可能になるパラメータです。何らかの理由でこの設定が必 要となった場合に TRUE にしますが、これは一時的な設定ですので、必要なくな った場合には、FALSE に設定して下さい。Oracle Database 10g でのデフォルトは、 FALSE になっています。 REMOTE_OS_AUTHENT OS のユーザー名によるユーザー認証が行われるようになります。これによって、 全てのクライアントを暗黙的に許可するようになります。全てのクライアントが 信頼できる環境にある場合を除いては FALSE に設定することをおすすめします。 Oracle Database 10g でのデフォルトは、FALSE になっています。 実習：初期化パラメータの確認方法 １． Enterprise Manager に SYSDBA 権限でログインし、「管理」->「すべての初期 化パラメータ」をクリックします。 ２． フィルタのフィールドに「O7_DICTIONARY_ACCESSIBILITY」と入力して、 をクリックして検索します。 セキュリティ設定編 意外と簡単!?Oracle Database 10g 25 日本オラクル株式会社 Copyright © 2004 Oracle Corporation Japan. All Rights Reserved. 無断転載を禁ず この文書はあくまでも参考資料であり、掲載されている情報は予告なしに変更されるこ とがあります。日本オラクル社は本書の内容に関していかなる保証もいたしません。また、 本書の内容に関連したいかなる損害についても責任を負いかねます。 Oracle は米国 Oracle Corporation の登録商標です。文中に参照されている各製品名及び サービス名は米国 Oracle Corporation の商標または登録商標です。その他の製品名及びサ ービス名はそれぞれの所有者の商標または登録商標の可能性があります。 意外と簡単!?Oracle Database 10g「セキュリティ設定：Windows版」 はじめに 「意外と簡単!?」シリーズの資料構成 「意外と簡単!?」シリーズにおけるH/W、S/W セキュリティ設定 認証の管理 Oracle への認証モードの設定とログイン・ユ ーザーの作成 パスワード管理 不要なユーザーを利用可能な状態にしない 権限の管理 権限の種類 権限の許可、拒否、取り消し ユーザー定義のデータベースロール ロールによる権限管理の簡素化 Public ロール 外部からのアクセス リスナーとは、Oracle*Net の仕組み リスナー・ポートを変更 リスナーの管理制限 その他のセキュリティトピック ビューとストアドプロシージャによるセキ ュリティの管理 初期化パラメータ