Data Safe設定・運用ガイド

Transcript

1. Data Safe 設定/運用ガイド 日本オラクル株式会社 2026年5月

2. 目次 2 Copyright © 2026, Oracle and/or its affiliates 1

   2 3 4 5 Data Safe 概要 データベースの登録 アセスメント アクティビティ監査 アラート

3. Data Safe 概要

4. Data Safe サービス概要/特徴 • データベースを接続してDBセキュリティを提供 • DB設定・アカウントのリスク評価を実施 • データ・マスキング機能をDB on

   IaaSやオンプレミスのDBに 適用 • SQL Firewall (26ai~) の有効化・ポリシー作成・監視を実施 • DB監査ログを集約・分析、セキュリティ監視を強化 ユース・ケース • DBのセキュリティ設定やアカウント権限、監査設定を定期 評価・レポート • 管理者や機密データの監査ログを集約・分析し、リスクを可 視化 • 他社クラウドのOracle DBも、アセスメント・マスキング・監査 分析で保護 サービス価格 • Database Cloudサービス：無償 • DBonIaaS、オンプレミスのDB：¥31,000 /月 /DB • 監査機能：100万レコード /月 /DB まで無償 それ以降は ¥15.5 /10,000レコード /月 /DB 4 Copyright © 2026, Oracle and/or its affiliates データベースのセキュリティを補完・強化 *2026年4月1日時点 監査 ユーザー 発見 アセスメント マスキング Data Safe オンプレミス のデータベース Oracle Cloud上の データベース AWS, Azure上の オラクルデータベース

5. 本資料にて扱う機能について アセスメント データベース構成やユーザー権限のリスクを評価 ベースラインや過去結果と比較し、 設定変更や権限変更を確認 アクティビティ監査/アラート 監査データを収集・可視化 監査データをもとにアラートを生成し、 必要な監査ポリシーを適用 5

   Copyright © 2026, Oracle and/or its affiliates Data Safe では Oracle Database のセキュリティ態勢を把握・改善するための機能を提供します。 本資料ではその中でも運用上の利用頻度が高い 「アセスメント」 と 「アクティビティ監査/アラート」 に関連する機能の 活用方法をまとめたものとなります。

6. データベースの登録

7. OCI データベースの登録 前提条件と構成 前提条件： ✓ データベースが OCI 上に作成されていること ✓ 本資料では、ターゲット・データベースとして

   Oracle Base Database Service を使用します 注意事項： 画面の構成や操作手順は、UIの変更により変更されることがあります 参考文献： https://docs.oracle.com/cd//E83857_01/paas/data-safe/admds/index.html （日本語） https://docs.oracle.com/en/cloud/paas/data-safe/admds/index.html（英語） 7 Copyright © 2026, Oracle and/or its affiliates VCN Oracle Services Network Data Safe Base Database Private Endpoint

8. データベースの登録 Data Safeが使用するサービス・ユーザーについて Oracle Database Service の場合 • Autonomous AI

   Database 以外では、Data Safe が使用する DB ユーザーを手動で作成します。 • サービス・アカウントには利用する機能に応じて必要なロールを付与します。 • ロール付与は、datasafe_privileges.sql を使用して行います。 • このスクリプトは OCI コンソールからダウンロードが可能です。 Autonomous AI Database の場合 • DS$ADMIN という Data Safe 用のユーザーが事前に作成されており、登録時にアンロックされます。 • 多くのロールがすでに付与されていますが、Data Masking と SQL Firewall は別途以下のロール付与が必要です。 • DS$DATA_MASKING_ROLE • DS$SQL_FIREWALL_ROLE 8 Copyright © 2026, Oracle and/or its affiliates 詳細については以下リンクを参照ください https://docs.oracle.com/cd//E83857_01/paas/data-safe/admds/grant-roles-oracle-data-safe-service-account-your-target-database.html

9. データベースの登録（1/8） Data Safe用 DBユーザーの作成（1） ターゲット・データベースに Data Safe のためのDBユーザーを作成します。 まずはそのDBユーザーへの権限付与を行うスクリプトのダウンロードのため、OCI コンソールへアクセスします。

   9 Copyright © 2026, Oracle and/or its affiliates Data Safe の サービスページに移動 対象DBの種類に合わせた 「ウィザードの起動」を選択

10. データベースの登録（2/8） Data Safe用 DBユーザーの作成（2） データベースの登録画面をスクロールし、「権限スクリプトのダウンロード」ボタンをクリックします。 datasafe_privileges.sql ファイルがダウンロードされますので、控えておきます。 10 Copyright ©

    2026, Oracle and/or its affiliates

11. データベースの登録（3/8） Data Safe用 DBユーザーの作成（3） 対象のデータベースにSYSユーザーにて接続を行います。 あわせて、先程の登録画面よりダウンロードした datasafe_privileges.sql を手元に準備し、@コマンドで実行できるよう にしておきます。 DBへ接続後、以下を実行します。

    ※ DBユーザー名は任意ですが、ここでは名前を「DATASAFE$ADMIN」とします 11 Copyright © 2026, Oracle and/or its affiliates SQL> create user DATASAFE$ADMIN identified by <PASSWORD> ; SQL> @datasafe_privileges.sql DATASAFE$ADMIN GRANT ALL 必要な機能だけを使う場合は、ASSESSMENT、 AUDIT_COLLECTION などを個別に指定します。 すべての機能を有効にする場合は、ALL を指定できます。 https://docs.oracle.com/cd//E83857_01/paas/data-safe/admds/grant-roles-oracle-data-safe-service-account-your-target-database.html

12. データベースの登録（4/8） ① データベースの選択 DBユーザーの作成後、先程スクリプトを DL した OCI コンソールの Data Safe

    画面より、データベースの登録を行います。 12 Copyright © 2026, Oracle and/or its affiliates 対象となるデータベースを選択 前手順にて作成したDBユーザーとパスワードを入力

13. データベースの登録（5/8） ② 接続オプション 必要に応じて Data Safe の接続口となる「プライベート・エンドポイント」を作成します。 すでに既存のエンドポイントがある場合、そちらを利用することもできます。 13 Copyright

    © 2026, Oracle and/or its affiliates https://docs.oracle.com/en/cloud/paas/data-safe/admds/create-wallet-or-certificates-tls-connection.html TLSで接続する場合、 データベースのトラストストアをアップロードする必要があります

14. データベースの登録（6/8） ③ ピア・データベースの追加 Active Data Guard に関連付けられたデータベースを登録する場合は、この画面でピアデータベースを追加します。 プライマリとスタンバイが、同じプライベート・エンドポイントを使用する点に注意します。 14 Copyright

    © 2026, Oracle and/or its affiliates https://docs.oracle.com/en/cloud/paas/data-safe/admds/register-oracle-cloud-database.html

15. データベースの登録（7/8） ④ セキュリティ・ルールの追加 プライベート・エンドポイントを使用する場合、 セキュリティ・リストまたはネットワーク・セキュリティ・グループのイングレス及びエグレス・ルール追加を行うことが可能です。 15 Copyright © 2026, Oracle

    and/or its affiliates プライベート・エンドポイントからターゲット・データベースへの 接続通信のみを許可します。

16. データベースの登録（8/8） 最後に「確認および送信」設定を確認した後、「登録」をクリックします。 登録処理が始まり、ステータスが「作成中」から「アクテイブ」になることを確認します 16 Copyright © 2026, Oracle and/or its

    affiliates

17. アセスメント セキュリティ・アセスメント ユーザー・アセスメント

18. Data Safeでは、以下の2種類のアセスメントを実施することができます。 いずれのアセスメントも週に一度最新のアセスメントが実行され、結果は PDF / XLS として出力が可能です Data Safeで実施できる2種類のアセスメント セキュリティ・アセスメント

    • データベース構成やセキュリティ設定を分析し、潜在的 なリスクを可視化 • ベストプラクティスに基づく是正推奨を提示 • ベースラインや過去のアセスメントと比較し、設定変更 によるセキュリティ・ドリフトを確認 ユーザー・セキュリティ・アセスメント • データベース・ユーザー、ロール、システム権限、 パスワード・ポリシーを評価 • 高権限ユーザー、過剰な権限付与、休眠アカウント、 パスワード管理上のリスクを可視化 • ベースラインや過去のアセスメントと比較し、ユーザーや 権限の変化を確認 18 Copyright © 2026, Oracle and/or its affiliates

19. セキュリティ・アセスメント 機能概要 左メニューより [Data Safe – データベース・セキュリティ] → [セキュリティ・アセスメント] を選択すると

    セキュリティ・アセスメント全体画面からは検出されたリスクなど、全体サマリを確認することができます 19 Copyright © 2026, Oracle and/or its affiliates

20. セキュリティ・アセスメントの構成要素（1/2） 左メニュー項目より 評価レポート • 複数のターゲットDBやフリート全体のリスクレポートを横断的に観察 • 標準レポートとして「All risks (aggregated)」 と

    「All risks (detailed)」が用意 • [レポート詳細の表示] から閲覧することが可能 • レポートは PDF または XLS でダウンロードも • 別途フィルタを通したカスタム・レポートとして保存することも可能 アセスメント・テンプレート • アセスメントとして評価する項目についてのテンプレート • すべてをチェックする「All checks」や CIS Benchmark、オラクルのベストプラクティスなどに 基づいた事前定義テンプレートが用意 • 必要なチェック項目だけを選択したカスタムテンプレートも作成可能 20 Copyright © 2026, Oracle and/or its affiliates

21. セキュリティ・アセスメントの構成要素（2/2） 左メニュー項目より テンプレート・ベースライン • アセスメント・テンプレートの評価項目における比較用の重大度をまとめたベースライン • テンプレートをターゲットDBに適用する際に、規定の重大度を持つベースラインが固有に生成 • 必要に応じて重大度を変更することが可能 アセスメント履歴

    • 実行されたアセスメントの履歴を確認 スケジュール • アセスメントの実行スケジュール (LATEST) とアセスメントのコピーの保存スケジュール (SAVED) を管理 • スケジュールとして Daily / Weekly / Monthly が選択可能 21 Copyright © 2026, Oracle and/or its affiliates

22. セキュリティ・アセスメント結果の確認 [セキュリティ・アセスメント] → [ターゲットのサマリ] から対象のターゲットDBを選択することで、そのデータベースにて実施され たアセスメントの結果を確認することができます。 このアセスメント詳細画面より、他のアセスメントと比較や、将来のアセスメントと比較するためのベースラインとしての設定、 レポート生成などを行うことができます 22 Copyright

    © 2026, Oracle and/or its affiliates 上位の一般的なセキュリティ・コントロール ベースラインを設定すると、以後の評価では 自動的に差分 (drift) がチェックされます レポートは次の３形式で生成が可能です • PDF • XLS • STIGコンプライアンス・レポート (XLS)

23. ユーザー・アセスメント 機能概要 左メニューより [Data Safe – データベース・セキュリティ] → [ユーザー・アセスメント] を選択すると

    全体概要画面からは検出されたリスクやパスワードに関する全体サマリが確認できます 23 Copyright © 2026, Oracle and/or its affiliates

24. ユーザー・アセスメント結果の確認 [ユーザー・アセスメント] → [Target Summary] から対象のターゲットDBを選択することで、そのデータベースにて実施され たアセスメントの結果を確認することができます。 このアセスメント詳細画面より、他のアセスメントと比較や将来のアセスメントと比較するベースラインの設定、レポート生成 などを行うことができます 24

    Copyright © 2026, Oracle and/or its affiliates ユーザー一覧および、ログイン時刻や所有 するロールなど詳細情報を確認できます ユーザー・プロファイルにおけるパスワード ポリシー設定を確認することができます レポートは次の形式で生成が可能です • PDF • XLS

25. ユーザー・アセスメントの構成要素 左メニュー項目より ユーザー・プロファイル • ターゲットDBのユーザープロファイルに設定された以下の属性などが確認可能 • 適用ユーザー数 • パスワード要件 •

    許容ログイン失敗回数 • 許容非アクティブ日数など アセスメント履歴 • 実行されたアセスメントの履歴を確認 スケジュール • アセスメントの実行スケジュール (LATEST) とアセスメントのコピーの保存スケジュール (SAVED) を管理 • スケジュールとして Daily / Weekly / Monthly が選択可能 25 Copyright © 2026, Oracle and/or its affiliates

26. アクティビティ監査

27. アクティビティ監査 機能概要 Oracle Database の監査機能にて収集された監査ログを収集・保持し、分析やアクティビティの調査に使用することが できます。 左メニューより [アクティビティ監査] → [ターゲットのサマリー]

    より対象のデータベースを選択することで、 収集された監査イベントを確認することができます。 27 Copyright © 2026, Oracle and/or its affiliates

28. Data Safe では、セキュリティ・ポリシーを通じて統合監査ポリシーを管理し、ターゲットDBまたはターゲットDBグループへデ プロイが可能です。 Oracle提供の定義済みポリシーを利用することも、カスタムのセキュリティ・ポリシーを作成することも可能です。 統合監査ポリシーは、統合監査ポリシー定義と監査条件で構成されます。 これらをまとめた「セキュリティ・ポリシー」をデプロイすることで、対象DBに監査設定を適用します 監査ポリシー 概要 28

    Copyright © 2026, Oracle and/or its affiliates セキュリティ・ポリシー 監査ポリシー定義 ポリシー名 ポリシー定義 監査ポリシー 監査ポリシー ユーザーなど、 適用する範囲条件を指定 デプロイ ターゲットDB

29. 監査ポリシーの作成手順 ターゲットDBへ設定するための監査ポリシーを作成します [アクティビティ監査] → [監査ポリシー] より、「統合監査ポリシーを追加」を選択します。 その後、事前定義された監査ポリシー文またはカスタムポリシー文にベースに、監査条件として、適用対象のユーザー/ ロール、および成功・失敗時の監査条件を設定することで完了します。 29 Copyright

    © 2026, Oracle and/or its affiliates ※ 定義文は「統合監査ポリシー」詳細画面からも確認することができます 「統合監査ポリシー定義」にて設定されている定義文については、 必要に応じて [セキュリティ・ポリシー] → [統合監査ポリシー定義] の各ポリシー定義より確認が可能です。※

30. アクティビティ監査の構成要素（1/2） 左メニュー項目より 監査レポート • 収集済みの監査イベントを定義済みレポートまたはカスタムレポートとして可視化・分析 • 列やフィルタを調整し、PDF/XLS 形式での出力が可能 監査レポート履歴 •

    生成されたレポートの履歴を確認し、必要に応じて再取得を実施 監査ポリシー • ターゲットDBにて作成される統合監査ポリシーをセキュリティ・ポリシーに含める形で管理 監査プロファイル • ターゲットDBにおける監査ログ保持ポリシーや課金関連設定 • 監査量の見積り/確認にも使用 30 Copyright © 2026, Oracle and/or its affiliates

31. アクティビティ監査の構成要素（2/2） 左メニュー項目より アーカイブ・データ取得 • アーカイブ済みの監査データをオンライン・リポジトリに戻し、再度レポートや分析の対象に 監査証跡 • ターゲットDB上の監査証跡を管理 • 監査データ収集の開始や停止、自動パージ、Last

    Archive Timestamp (LAT) 設定などを 実施 監査インサイト • クライアントやDBユーザーなどの監査量を可視化し、どの要素が監査量を多く生んでいるかを 把握 • 監査量の偏りを分析し、監査ポリシーの過不足やチューニングに活用 31 Copyright © 2026, Oracle and/or its affiliates

32. カスタム統合監査ポリシーの取り込み データベースで別途カスタム統合監査ポリシーを作成し、その設定を Data Safe へインポートすることも可能です [アクティビティ監査] → [監査ポリシー] より、[Target Summary]

    を選択し、対象データベースから [View policies] を 選択します 該当するポリシーを選択すると、統合監査ポリシーがセキュリティ・ポリシーに含まれる形でインポートされます 32 Copyright © 2026, Oracle and/or its affiliates インポートを行うと、 雛形として統合監査ポリシー定義も作成されます

33. アラート

34. アラート 機能概要 収集した監査データをもとに、指定した条件に一致する監査イベントを検知してアラートを生成します。 アラート・ポリシーには Oracle 定義済みとカスタム作成の両方があり、 [アラート] → [アラート・ポリシー] から一覧・管理で

    き、対象DBへ適用・有効化することで利用します。 34 Copyright © 2026, Oracle and/or its affiliates

35. アラート・ポリシーの作成 必要に応じて、カスタム・アラート・ポリシーを作成することができます。 ルール式は SCIM フィルタ構文※で記述し、必要に応じて既存のアラート・ポリシーからルールをコピーすることが可能です。 35 Copyright © 2026, Oracle

    and/or its affiliates ※ https://datatracker.ietf.org/doc/html/rfc7644#section-3.4.2.2

36. アラート・ルールにて使用可能なパラメータ（1/2） 36 Copyright © 2026, Oracle and/or its affiliates 値

    説明 auditType 使用される監査タイプ 例）STANDARD / DATABASE_VAULT / RMAN / DATAPUMPなど clientHostname クライアントのホストネーム clientId クライアント識別子 clientIp クライアントのIPアドレス clientProgram クライアント・アプリケーション 例）SQL Developerなど dbUserName DB ユーザー名 errorCode アクティビティに対するエラーコード 成功した場合は “0” errorMessage エラーの詳細メッセージ eventName イベント名 例）LOGIN、CREATE INDEX など

37. アラート・ルールにて使用可能なパラメータ（2/2） 値 説明 externalUserId 外部ユーザーID auditLocation 監査証跡の場所 objectName 操作対象となったオブジェクト名。大文字で指定 objectOwner

    対象オブジェクトのスキーマ名 objectType 対象オブジェクトのタイプ 例）PL/SQL、SYNONYMなど operation オブジェクトに対して実行したタイプ 例）ALTER、 CREATE、 DROPなど operationStatus イベントのステータス。Success または Failure を指定 osUserName クライアントのOSユーザー名 osTerminal クライアントのOSターミナル名 auditPolicies 参照された監査ポリシー 37 Copyright © 2026, Oracle and/or its affiliates

38. 事前定義済みアラートポリシー 名前 重大度 説明 前提となる監査ポリシー Failed logins by admin user

    CRITICAL 管理者ユーザーのログイン失敗 ORA_LOGIN_FAILURES または ORA_LOGIN_LOGOUT Profile changes CRITICAL ユーザープロファイルの変更 Critical Database Activity SQL Firewall violations CRITICAL SQL Firewallによるブロック SQL Firewall有効時に監査を有効化 Database parameter changes HIGH ALTER SYSTEMによるパラメータの変更 Critical Database Activity または ORA_DATABASE_PARAMETER Audit policy changes HIGH 監査ポリシーの変更 必須監査 User creation/modification MEDIUM ユーザー作成または変更 Critical Database Activity または ORA_ACCOUNT_MGMT User entitlement changes MEDIUM ユーザー権限の変更 Critical Database Activity または ORA_ACCOUNT_MGMT Database schema changes MEDIUM スキーマの変更 Database Schema Changes 38 Copyright © 2026, Oracle and/or its affiliates

39. SCIMフィルタ演算子 演算子 意味 例 eq 等しい（大文字小文字を区別しない） operation eq "LOGIN" eq_cs

    等しい（大文字小文字を区別する） objectType eq_cs "PROFILE" ne 等しくない dbUserName ne "APPUSER" co 含む clientProgram co "SQL" sw 〜で始まる objectName sw "EMP" ew 〜で終わる objectName ew "_BK" gt より大きい errorCode gt 0 ge 以上 errorCode ge 1000 lt より小さい errorCode lt 1000 le 以下 errorCode le 999 in 指定した候補のいずれかに一致 operation in ("CREATE","ALTER","DROP") not_in 指定した候補のいずれにも一致しない dbUserName not_in ("APPUSER","BATCHUSER") pr 値が存在する clientIp pr and 両方の条件を満たす operation eq "LOGIN" and operationStatus eq "FAILURE" or どちらかの条件を満たす operation eq "LOGIN" or operation eq "LOGON" 39 Copyright © 2026, Oracle and/or its affiliates

40. イベント・サービスとの連携 アラートが生成されると、Data Safe の「Alert Generated」イベントが OCI Events から利用できます。 そのため、OCI Events

    にて OCI Notifications、Functions サービスなどと連携することで、通知や後続処理を自動化 することが可能です。 40 Copyright © 2026, Oracle and/or its affiliates その他、Data Safe でサポートされるイベント一覧 https://docs.oracle.com/cd/E83857_01/paas/data-safe/admds/overview-oracle-data-safe-events.html
41. None