[OCI Technical Deep Dive] “あとから”では遅い！OCIセキュリティ＆運用管理の基本(2025年8月5日開催)

Transcript

1. “あとから”では遅い︕OCIセキュリティ＆運⽤管理の基本 2025年8⽉5⽇ ⽇本オラクル株式会社 クラウド事業統括 製品事業統括 OCI Platform COE本部 Security &

   Management ソリューション部 クラウド・データベースのための運⽤監視とセキュリティ

2. 1. はじめに 2. サービス概要 • セキュリティ・サービス • 運⽤監視・サービス 3. 導⼊効果とユースケース

   4. 事例 5. Enterprise Managerとの⽐較 6. 運⽤監視・サービスの提案ポイント 7. まとめ Agenda Copyright © 2025, Oracle and/or its affiliates 2

3. はじめに

4. 【本セッションの⽬的】 Oracle Databaseに対応するOCIの運⽤監視とセキュリティ・サービスについて下記内容を理解し、 提案・検討できるようになる • OCIの運⽤監視・サービスとセキュリティ・サービスの機能概要 • ユースケース・お客様の導⼊事例 • Oracle

   Enterprise Managerとの違いと提案ポイント 【対象のユーザー】 • 既存システムでOCIのOracle Databaseを利⽤しているユーザー • 新規システムでOCIのOracle Databaseを検討しているユーザー • オンプレミスや他社クラウドからOCIのOracle Databaseへの移⾏を検討しているユーザー はじめに Copyright © 2025, Oracle and/or its affiliates 4

5. セキュリティ・サービス

6. オラクルクラウドにおけるセキュリティの特徴 OCI Security Copyright © 2025, Oracle and/or its affiliates

   6 データ中⼼の セキュリティ ⾃動化された セキュリティ 管理 セキュリティ ・バイ・デザイン SECURITY ON THE CLOUD SECURITY OF THE CLOUD ＋ 強⼒、完全なテナント分離 強制的な暗号化 （Database/Storage/Network） 階層型権限管理 リスクのある設定を⾃動検知 脆弱性スキャン リスクにつながる振る舞いを検知 脅威インテリジェンス情報の集約 セキュリティポリシーの⾃動有効 特権ユーザーのアクセス制御 Webアプリケーションファイアウォール ネットワークファイアウォール 多要素認証とリスクベース認証 重要情報の隠蔽 セキュリティ構成 機密データ発⾒ アクティビティ監査 DBセキュリティ対策の⾃動化 脆弱性⾃動修復 ⾃動化されたログ分析

7. データベースのセキュリティに求められる主な要件と対応するOCI サービス 7 Copyright © 2025, Oracle and/or its affiliates

   要件 ⽬的 遵守事項 (主なポイント) 必須となる 機能・サービス 権限の管理 アクセス権限の不適切な管理に起因する不 正アクセスや管理者権限の悪⽤を防⽌する • 管理者権限の主体情報が盗まれた際の被害の 最⼩化、内部からの不正操作の防⽌措置 • 不要なアクセス権限の付与がないか定期的に監視 Data Safe 監視機能 セキュリティ・インシデントや不正利⽤の速や かな認知、セキュリティ対策の実効性の確認 のために、適切な監視機能の実装と運⽤を ⾏う • 運⽤管理機能要件を策定し、監視機能を実装 • 情報セキュリティ責任者は、データベースの監視機能を適切 に運⽤する • 新たな脅威に備えて、監視の対象や⼿法を 定期的に⾒直す Data Safe Log Analytics ログの取得・管理 不正侵⼊や不正操作等のセキュリティ・イン シデント及びその予兆を検知するための重要 な材料として活⽤する • 不正侵⼊、不正操作等を検証できるログを取得 • 保存期間や改ざん防⽌など適切な運⽤管理 • 取得したログを定期的に点検⼜は分析する Data Safe Log Analytics

8. Oracle Databaseのセキュリティを強化するクラウドベースのデータベース・セキュリティ・サービス OCIコンソールから⼀元的にデータベースのセキュリティ状態を可視化 • 構成やユーザー情報からセキュリティ・リスクを評価 • データベース監査ログの可視化 • テスト⽤のマスキングデータを⽣成 •

   SQLレベルで制御するファイアウォールの管理 ターゲットとなるOracle Database • Autonomous Database, Base Database, Exadata Databased • オンプレミスまたは他社クラウド上のOracle Database • データベースのVersionは11.2〜、Standard Editionでも利⽤可能 価格 • 対象がOracle Cloud Databaseの場合は無償 (※ログは100万件/⽉まで) • オンプレミス、他社クラウド上のOracle Database有償 Data Safe 8 Oracle Cloud Database オンプレミス上の Oracle Database AWS, Azure上の Oracle Database Protec t Audi t Users Discover Assess Mask Copyright © 2025, Oracle and/or its affiliates

9. データベースの構成をスキャンし、STIG, CIS Benchmarkなどのベストプラクティス要件と⽐較してセキュリティ・リスクを評価 基本構成、ユーザーアカウント、権限・ロール、アクセス制御、監査、暗号化等のカテゴリで評価 データ・ディクショナリから必要な情報を収集するため、DBのパフォーマンスには影響なし アセスメントは、定期的なスケジュール実⾏が可能 アセスメント結果は、ベースラインとして登録することができ、⽐較分析や過去の実⾏結果履歴が参照可能 セキュリティ・アセスメント Copyright ©

   2025, Oracle and/or its affiliates 9

10. ユーザー・アカウントをスキャンし、アカウントの使⽤状況や付与された権限・ロールからリスクを分析 DBAやDatabase Vault、Auditなどの管理者権限の付与状況を⼀括で可視化 アカウントに付与された不要になる可能性があるシステム権限やロールを識別 休眠アカウントやパスワードが失効しているユーザーを特定 セキュリティアセスメントど同様に、スケジュール実⾏、ベースラインとの⽐較分析、実⾏履歴の参照が可能 ユーザー・アセスメント Copyright © 2025,

    Oracle and/or its affiliates 10

11. Oracle Databaseの監査ログを定期的に取得し、ログ分析やレポートを提供 対象は、Databaseに格納されている監査表のみ (Unified_Audit_Trail, FGA_LOG$, AUD$, DVSYS.AUDIT_TRAIL$) Data Safeまたはオンプレミス・コネクターがターゲットDBに直接SQLアクセスして監査ログを取得 監査データのオンライン保持期間は1〜12カ⽉

    (デフォルト 6カ⽉) オンラインを超える監査ログの保存は、アーカイブとしてオフラインで保持可能 (最⼤6年) CISベンチマークやSTIGといったコンプラインス対応の独⾃の監査ポリシーを適⽤可能 ⽬的ごとに定型化されたレポート分析画⾯ 監査ログは100万レコード/DB/⽉までは無料 - 以降、1万レコード単位で課⾦ プリセットされたアクティビティ・レポート(PDF, XLS) アクティビティ監査 Copyright © 2025, Oracle and/or its affiliates 11 Data Safe Oracle Database AUD$ FGA_LOG$ Unified Audit

12. データベースに格納されている機密データの列を検出する 検出⽅法は、以下の２パータン - NAME, ID, PASSWORDといった機密データを⽰すキーワードを含んでいる列 - メールやクレジット番号といったデータ形式が⼀般的に固定化されており かつ推測できる列 120以上の定義済みの機密データ・タイプ

    ユーザー独⾃の機密データ・タイプの定義を追加可能 - マイナンバー, 携帯電話番号, 社員番号など 発⾒した機密列は、データモデルととしてData Safeに登録され 必要時に任意の値にマスキングができる - マスキングの実⾏には機密データの検出が事前に必要 ユーザー独⾃の機密データ・タイプを定義すれば⽇本語の使⽤可 機密データ検出 Copyright © 2025, Oracle and/or its affiliates 12 Table XYZ Name Candy Column 2 xxxxxxx Column 3 xxxxxxx Email [email protected] Column 5 xxxxxxx Column 6 xxxxxxx Bank Name Mizuho Bank Acc No 2891721 Column 9 xxxxxxx Column 10 xxxxxxx Card No 4123123488990121

13. 機密性の⾼いデータを不可逆な形式にてマスキング データベースの特性を考慮したアーキテクチャ - 表の制約や表と表の関係性を認識した⼀貫性のあるマスキング - 列データの要素数、分布、件数など、本番データの特性を維持したマスキング環境の作成 GUIで⾃由に定義できる様々なデータマスキング・タイプを提供 60を超える定義済みのマスキング・テンプレート - クレジット・カード番号,

    Eメール, URL, ⾎液型, 郵便番号, 社会保障番号(US,Canada).. ユーザー独⾃のマスキング定義を追加設定可能 - 携帯番号, 社員番号, 郵便番号, マイナンバー, パスポート番号など⽇本固有のデータフォーマット RDMSの特性とカーディナリティを保持したままマスキング 条件分岐を含む複雑なマスキング定義は、PL/SQLでファンクションとして作成 データ・マスキング Copyright © 2025, Oracle and/or its affiliates 13 Database Cloud Data Safe

14. SQL Firewall SQLレベルで制御するデータベース・ネイティブのファイアーウォール SQL単位でデータベースのアクセスを制御するファイアーウォール データベース・ネイティブなので如何なる⼿段でもバイパスできない アクセス許可されるSQLは、列名や条件を含めて完全⼀致しなければならず SQLインジェクションや不必要なデータ参照を防⽌ 実⾏されるSQLを収集しファイアーウォール・ポリシーを作成 • SQL:

    DDL, DML • セッション・コンテキスト: IPアドレス、OSユーザー名、プログラム名 ⾮常に軽微なCPUオーバーヘッド ポリシー違反のアクセスをブロックまたはログ記録だけの検知としても使⽤可能 違反したログは、 DBA_SQL_FIREWALL_VIOLATIONSビューで参照 Oracle Database 23aiから利⽤可 AVDFまたはDatabase Vaultオプションが必要 (※Cloudの場合、FreeもしくはBaseDB EE-HP以上) 14 Oracle Database 23ai SQL Firewall Program OS User IP Address Copyright © 2025, Oracle and/or its affiliates

15. 運⽤監視・サービス

16. Oracle Cloud Observability and Management Platform (O&M) Copyright © 2025,

    Oracle and/or its affiliates 16 n OCIに最適化された運⽤管理プラット・フォーム すべての監視データを可視化し、シームレスに連携 リソースの稼働状況やアクセスログは常時モニタリングし 異常を素早く検知するフレームワーク アプリケーションやデータベースのパフォーマンス改善を 様々なインフラスタックの観点からアドバイス リモートワークに最適な接続の容易性と厳格な認証 マルチクラウド、オンプレミスのリソース監視へ拡張可能 n 最先端のテクノロジー 機械学習を⽤いたログ分析、将来必要となるリソースの 需要予測どのイノベーティブな機能を提供 n オープン・スタンダート クラウド・ネイティブに準拠し、OpenTracingやFluentd等の オープンな技術を採⽤、既存ツールとの相互運⽤性を向上 Logging Log Analytics Application Performance Monitoring Monitoring Stack Monitoring Database Management Ops Insights Observability and Management

17. Tokyo/Osaka Region Oracle Databaseの運⽤監視を強化するサービス 17 Copyright © 2025, Oracle and/or

    its affiliates Private Subnet Compartment / VCN Management Agent Log Analytics Database Management データベースの性能監視 データベースのリソース監視や パフォーマンス・チューニング ※Basic Management︓無償 Full Management ︓有償 Ops Insights リソースのトレンド分析 ⻑期データに基づいた 需要予測やSQL分析 ※有償 ログ分析基盤 アラートや監査ログ等の 各種ログを⼀元的に集約 横断的な分析と⻑期保管 ※10GBまでは無償 10GB以降は有償 Private Endpoint Monitoring リソースのメトリック監視 データーベースの稼働状況や 性能を表すメトリックを監視 ※⼀部有償 Stack Monitoring メトリックやプロセスの監視 ユーザー独⾃のメトリックやプロセ スを監視可能 ※有償 BaseDB

18. データベースの運⽤監視要件に対応するOCIサービス 18 Copyright © 2025, Oracle and/or its affiliates 監視項⽬

    要件 要件を満たすための考慮ポイント 対応するOCIサービス リソース監視 データベースのリソースを監視し、 問題が発⽣した場合に早期に検知・対応できる 仕組みを確⽴する • CPU、メモリなどの各リソースの稼働状況を監視 • エラーや障害、異常な動作などの検出 • 検出された異常値を⾃動的に通知、アラートの⽣成 Monitoring Stack Monitoring Database Management 性能監視 データベースの性能要件が維持されていることを 確認し、業務特性やピーク時の特性を踏まえて性 能監視・チューニングを⾏う • レスポンス時間や処理速度を監視する • SQLのボトルネックを特定し、パフォーマンスを最適化 • リソースを予測し、性能不⾜を未然に防⽌ Database Management Ops Insights ログ管理 データベースの正常動作、およびエラーや障害など のログを⽇常的に取得・管理することで 問題発⽣時のトラブルシューティングに対応する • 問題を特定するための分析⼿法を確⽴ • ログの⻑期保管と不適切なアクセスや削除を防⽌ • エラーや異常なログを検出し、アラートの⽣成 Log Analytics

19. データベースの主な監視・管理項⽬への対応 19 Copyright © 2025, Oracle and/or its affiliates 監視・管理項⽬

    BaseDB管理詳細画⾯ (デフォルト表⽰) 対応するOCIサービス リソース監視 DBシステム (CPU、メモリ、スワップ、ASMディスク・グループ 使⽤率、ロード平均、ノード・ステータス) ◦ Monitoring データベース (CPU、メモリ使⽤等の使⽤率、ストレージの使 ⽤状況、実⾏数、ブロック変更、解析数(合計)、 現在のログオン) ◦ Monitoring (Database Managementの有効化でPDBの監視も可能) メトリック拡張 - Stack Monitoring 表領域管理 - Database Management キャパシティ管理 - Ops Insights データベースの運⽤管理 DBパラメータ管理、DBユーザー管理 - Database Management データベースの性能監視 AWRレポートの出⼒、AWRエクスプローラ - Database Management、 Ops Insights アクティブ・セッション履歴(ASH)分析、 SQLモニタリング - Database Management ⾃動データベース診断モニター(ADDM)、 SQLチューニング・アドバイザ - Database Management -Full (※EE 以上) ログ管理 ログ監視 - Log Analytics、 Database Management-Full (アラートログのみ) ログ分析 - Log Analytics

20. 20 リソースのメトリック監視 Copyright © 2025, Oracle and/or its affiliates

21. BaseDBやExaDB-Dの各サービスの性能や状態を表すメトリックを収集・監視 CDBのメトリック監視は無償 PDBのメトリック監視は有償（Database Managementの完全管理が必要） 主要なメトリックは、コンソールにメトリック・チャートとして表⽰ メトリック・エクスプローラーによる詳細なメトリック分析 ユーザー⾃⾝によるカスタム・メトリックの作成 メトリックの保持期間は90⽇間 - 90⽇を超える保存には、Object

    StorageやLog Analyticsと連携 することで対応可能 メトリックに対してアラームを作成可能 Monitoring 21 METRICS ALARMS CPU: 80 CPU: 90 CPU: 40 CPU: 50 Oracle Cloud Infrastructure Console Customer Monitoring Tool Monitoring Alarms Notifications Alarms Copyright © 2025, Oracle and/or its affiliates Database

22. メトリック・チャート メトリックとは、各リソースのヘルス状態、キャパシティ、性能についての測定値 Base-DB、ExaDB-Dで確認することのできるメトリック oci_database メトリック - CPU使⽤率,ストレージの使⽤状況 - DBブロック変更,実⾏数 -

    現在のログオン, 解析件 - トランザクション件数,ユーザー・コール - 使⽤済みストレージ領域,割り当て済みストレージ領域 oci_database_cluster メトリック - CPU使⽤率,メモリーの使⽤率 - スワップ使⽤率, ASMディスク・グループ使⽤率 - ロード平均, ノードステータス チャートにないメトリック、メトリック値のフィルタやグルーピングなど 問い合わせ内容をカスタマイズする場合は、メトリック・エクスプローラー を利⽤ Monitoring 22 メトリック・チャート Copyright © 2025, Oracle and/or its affiliates

23. メトリック・エクスプローラー Monitoring 23 Copyright © 2025, Oracle and/or its affiliates

    詳細なメトリック検索と分析 問い合わせエディタにクエリーを記述して検索も可能 問い合わせ GUI操作で条件を指定 直接コマンド編集も可能 問い合わせ結果の表⽰ GUI操作に連動して⾃動⽣成 表形式でも表⽰可能

24. カスタム・メトリック OCIで⽤意されている以外のメトリックを監視したい場合、ユーザー独⾃のメトリックとして Monitoringに追加し監視することが可能 - REST API, SDK, CLI等で作成したカスタム・メトリック値を定期的にMonitoringにPost (最⼩頻度: 1秒、最⼩集計間隔:

    1分） Monitoring <略> #OCIへの接続情報 . for proc in psutil.process_iter(）: try: if "vmstat" in proc.exe(）: existvalue = 1 except psutil.AccessDenied: pass dt_now = datetime.datetime.now(timezone('UTC’）） . <略> #OCIテナンシ情報 post_metric_data_response = monitoring_client.post_metric_data( post_metric_data_details=oci.monitoring.models.PostMetricDataDetails( metric_data=[ oci.monitoring.models.MetricDataDetails( namespace="osprocess", compartment_id="ocid1.compartment.oc1..aaaaaaaa6itxxxxxxxxxxx", name="process001", dimensions={ 'serverid': 'testsrv001’}, datapoints=[ oci.monitoring.models.Datapoint( timestamp=datetime.datetime.strftime( dt_now,"%Y-%m-%dT%H:%M:%S.%fZ"）, value=existvalue）] ）] ... ） Python SDKを使⽤したサンプルコード 稼働するプロセスやサービス を OS コ マ ン ド で 取 り 出 し メトリック値とする Monitoringを実施する コンパートメント名や、 作成するメトリック名、 ディメンションなどを指定 24 Copyright © 2025, Oracle and/or its affiliates ※Stack Monitoringの新機能 拡張メトリックでも作成可能

25. アラーム Monitoring 25 リソースのメトリック値にトリガールール(しきい値)を設定することで 管理者に通知、もしくは特定のアクションを⾃動実⾏ 通知には、 Notificationsサービスを使⽤ 選択可能なサブスクリプション - 電⼦メール,

    SMS, Slack - HTTPS(カスタムURL), PagerDuty - Functionの実⾏ CPUのしきい値 60%を超える 場合にアラームを発⽣させる Notifications 例）データベースのCPU使⽤率が60%超過した場合、 - Notificationsと連携し、Eメールにて通知 -（応⽤編） Functionsを呼出し、 データベースのシェイプを変更 Copyright © 2025, Oracle and/or its affiliates

26. 26 モニタリングの強化 Copyright © 2025, Oracle and/or its affiliates

27. Monitoringサービスでは監視できないメトリックやプロセスを監視 主な機能 - 各スタックの特性に応じたメトリックを提供 - メトリック・エクスプローラーやアラームはMonitoring同様に可能 - メトリックのベースラインを機械学習し、異常値を検出 ※EE -

    ⾃動実⾏可能な拡張メトリック ※EE - カスタム・リソースにより監視範囲の拡張 ※EE Standard EditionとEnterprise Editionの機能別ライセンス 動作には管理エージェントが必要 監視可能なリソース - ホスト - リスナー - コンテナDB - プラガブルDB Stack Monitoring 27 Copyright © 2025, Oracle and/or its affiliates Database Stack Monitoring Management Agent

28. パフォーマンス・チャート Linuxのメトリック・データ Stack Monitoring 28 Oracle Databaseのメトリック・データ ※Stack Monitoringのメトリックは、Monitoringのoracle_appmgmtのメトリックに格納される Oracle

    Databaseの場合のみoracle_oci_database Copyright © 2025, Oracle and/or its affiliates ベースラインから逸脱した 異常値の検出 ※EEのみ 表⽰させるメトリックはリソースごとにカスタマイズ可能

29. メトリック拡張 ユーザー独⾃のメトリックを追加することが可能 - プロセスの起動監視 - ディスク・スペースの詳細な容量 - アプリケーションやネットワークのレイテンシー等 OSコマンド、SQL、JMXをサポートしており、実⾏結果を メトリックとしてOCIにアップロードする

    複雑なロジックが必要な場合は、シェルスクリプトとして OSで作成・準備しておいて実⾏させる メトリックは数値データのみ 作成〜テスト〜デプロイまでOCIのガイドに従いGUIで 作成することが可能 収集間隔は最⼩5分〜 Monitoringのメトリックネームスペースは、 oracle_metric_extension_appmgmt Stack Monitoring Copyright © 2025, Oracle and/or its affiliates 29 Enterprise Edition

30. 30 ログ分析基盤 Copyright © 2025, Oracle and/or its affiliates

31. 機械学習のテクノロジーを活⽤した⾼度なログ分析・サービス基盤 様々なデータベースのログに対応した事前定義済みパーサー ユーザー独⾃のログに対応するためのカスタム・パーサを簡単に⼿動作成 異常値の検出、クラスタ分析、トレンド分析など、誰でも簡単に ログを⾒やすくビジュアライズし、⾼度な分析を実現 様々な観点からログ分析結果を集約したダッシュボードの提供 ログデータに応じたアラート通知 データベース関連のログ（アラートログ、監査ログ等）は 管理エージェントをインストールすることで分析可能 Log

    Analytics 31 Log Analytics 管理エージェント 連携 Syslog、Secureログ 監査ログ、 アラートログ Listnerログ、 Clusterwareログ etc.. Copyright © 2025, Oracle and/or its affiliates Database

32. パーサーが事前に定義されているデータベース関連のログ インスタンス関連のログ Database Alert Logs Database Trace Files Incident Dump

    Files リスナー関連のログ Database Listener Alert Logs Database Listener Trace Files 監査関連のログ Database Audit Tables Database Unified Audit Trail OS関連のログ OS Audit Logs OS Cron Logs OS Mail Delivery Logs OS Secure Logs OS Syslog Logs OS Package or Yum Logs ASM関連のログ ASM Alert Logs ASM Trace Files クラスタウェア関連のログ Clusterware Alert Log Clusterware Daemon Logs Clusterware Disk Monitor Logs Exadataストレージ関連のログ Linux Exadata Cell Alert Logs Linux Exadata Cell Management Server Logs Linux Exadata Cell Management Server Trace Logs Log Analytics Copyright © 2025, Oracle and/or its affiliates 32 事前定義済みのパーサーにないログは、ガイド付きパーサー・ビルダーで 簡単に正規表現のパーサー作成が可能

33. ドラッグ&ドロップ、クリックなどの直感的な操作でログを検索、分析 Log Analytics 33 検索クエリー GUI操作に連動して⾃動⽣成 直接コマンド編集も可能 フィールド ログパーサーによって解析され たフィールドと関連付いた値

    フィールドを⽤いたフィルタ 処理や検索、複数のフィード を組み合わせたグループ化 など柔軟な分析が可能 ビジュアライゼーション 分析結果を様々な形式でグラフ化 Copyright © 2025, Oracle and/or its affiliates ログ・エクスプローラ

34. クラスタ分析 機械学習を⽤いたログ分析 「無視してよい⼤量のログ」「⼤切な⼀⾏のログ」を効率的に探索 類似したパターンを持つログを⾃動的に認識しグルーピング 膨⼤な量のログイベントを少量のパターン情報 (クラスタ)へと集約 - 例外的パターンや断続的に発⽣するイベントを素早く検知することで 迅速なトラブルシューティングや、異常の検出を可能に Log

    Analytics 34 クラスター: ログ・レコードのパターンを識別し、類似した パターンを持つログをグループ化 潜在的な問題: Error, Fatal(致命的), Exception(例外) などのキーワードを含むログ・レコードのクラスタ 外れ値: 特定の期間中に⼀度のみ発⽣し、クラスタに 含まれなかったログ・レコード トレンド: クラスタのトレンド。類似した傾向を持つクラスタ同⼠ をトレンドとして表⽰ Copyright © 2025, Oracle and/or its affiliates

35. ラベル ラベル • 特定の値を持つログエントリに「ラベル」＝「わかりやすいキーワード」を付与 • ⼈間にわかりやすい⾔葉でログを検索することが可能 事前定義済ラベル • ラベルとラベル付与ルールを事前定義済で提供 •

    ユーザー⾃⾝がカスタムで作成することも可能 Log Analytics 35 Tue Feb 14 22:24:23 2017 … Errors in file … (PDBNAME=CDB$ROOT): ORA-04031: unable to allocate 512 bytes of shared memory 「メモリエラー」 Oracle Databaseのアラートログ ラベル ラベルによる検索 「メモリエラー」に関する ログを教えて︕ Copyright © 2025, Oracle and/or its affiliates

36. Log Analytics Copyright © 2025, Oracle and/or its affiliates 36

    ログ・エクスプローラーで検索した条件を保存し、⼀⽬で ユーザーの参照したい画⾯をダッシュボードにして作成 ⽇付に応じた画⾯のリフレッシュ ログ・エクスプローラーの画⾯に遷移し、さらに詳細な 分析を⾏うことも可能 ダッシュボードをクローンすることで、事前定義済み ダッシュボードのカスタマイズ ダッシュボードの定義をエクスポートし、別のテナントに インポート可能 Database監視ダッシュボード ダッシュボード

37. 37 Oracle Databaseのパフォーマンス監視 Copyright © 2025, Oracle and/or its affiliates

38. オンプレミスやクラウド上にあるOracle Databaseの稼働状況を ⼀元的に管理する統合ビュー CPU、メモリ、I/O、表領域などのリソース使⽤率 多⾓的なパフォーマンス分析 - リアルタイムSQLモニタリング - ASH分析、実⾏計画、ブロッキングセッション検出 -

    チューニング・アドバイザによるSQLパフォーマンス改善 AWRエクスプローラーによるパフォーマンスデータの視覚化 ユーザー、データベース・パラメータ、表領域の監視 SQLジョブのスケジュール実⾏管理 監視可能データベース︓ - BaseDB, ExaDB-D, Autonomous DB, Oracle DB on IaaS - オンプレミスの Oracle DB, Exadata 対象のDBバージョン︓ - Oracle Database 11.2.0.4以上 (SEの場合は⼀部機能制限あり) Database Management 38 Cloud@Customer Public Cloud On-Premises Database Management Copyright © 2025, Oracle and/or its affiliates

39. リアルタイムSQLモニタリング データベースで実⾏されている全てのSQLの詳細、パフォーマンスを可視化 Database Management 39 ⼤量のリソースを消費する⻑時間実⾏SQLやパラレルSQLに 起因する実⾏時のパフォーマンス問題などを効果的に特定 SQLに対して最適なチューニング戦略の策定を⽀援 統計情報は、経過時間、CPU時間、読取りと書込みの 回数、I/O待機時間、その他の各種待機時間などの主要な

    パフォーマンス指標ごとに、実⾏計画の各ステップで追跡される Copyright © 2025, Oracle and/or its affiliates

40. SQLチューニング・アドバイザ パフォーマンスが最適ではないSQLを特定し 改善⽅法を明確な根拠に基づいてアドバイス アドバイスされた内容の実装を判断するために必要な 実⾏計画やコスト、ベネフィット率が明⽰化される 推奨事項として提供される項⽬ - オブジェクト統計の収集 - 索引の作成

    - SQL⽂のリライト - SQLプロファイルの作成 - SQL計画ベースラインの作成 ASHからチューニング対象のSQLを選択し実⾏ データベースの⾃動メンテナンス・タスクを有効化すれば 夜間のメンテナンス・ウィンドウ期間にSQLチューニング アドバイザが⾃動実⾏ 対象のデータベースはEE 12.2以上が必要 Database Management 40 Copyright © 2025, Oracle and/or its affiliates

41. AWRエクスプローラ SQL⽂を直接実⾏せずに、画⾯UI上からAWRレポート 情報を取得し、表に可視化 • ターゲットのDatabaseのAWRを直接参照し ロード・プロファイルや待機イベントといったインスタンス 全体の実⾏統計をビジュアライズ • スナップショットの時間軸やチャートの追加など 表⽰したいAWRの情報をカスタマイズ

    • AWR、SQLヘルスチェック、ASHレポートの出⼒ • 管理エージェントが直接ターゲットDBのAWRを参照 しているので、表⽰可能なAWRの情報はAWRの リテンションの設定に依存 Database Management 41 Copyright © 2025, Oracle and/or its affiliates

42. 42 リソースのトレンド分析 Copyright © 2025, Oracle and/or its affiliates

43. ホスト及びデータベースのリソース使⽤率を最⼤25カ⽉間保存し ⻑期データから包括的なインサイトを提供 過去のトレンドに基づいてリソースの将来需要を予測 データベース全体のSQLパフォーマンス・トレンドを集約し分析 俯瞰的にリソース稼働率を把握し、ITコストのプラニングに活⽤ 主な機能: - キャパシティ・プランニング - SQL

    Insights - Exadata Insights - AWRハブ 対象となるターゲット - Autonomous Database, BaseDB, ExaDB-D(19c〜) - オンプレミスのOracle Database(11.2.04〜) - Exadata (19c〜) Ops Insights 43 メトリック 情報収集 Ops Insights Copyright © 2025, Oracle and/or its affiliates

44. キャパシティ・プランニング 蓄積した過去のデータを⽤いて、OSとOracle Databaseの リソース使⽤率をトレンド分析・需要予測 - CPU, ストレージ, メモリー, I/O 指定したトレーニング期間(最⼤365⽇)に基づた機械学習と

    線形の未来値予測 従来のメトリック値では分からない、リソース使⽤量の変化率を分析 多数のリソースを集約し分析したダッシュボード ⼗分に活⽤されていないサーバーを識別し、リソースの適切な 割り当てにより運⽤コストの削減を⽀援 Ops Insights 44 Copyright © 2025, Oracle and/or its affiliates

45. SQL Insights 最⼤25か⽉の⻑期保存されたSQLのパフォーマンス・データを 分析する専⽤ダッシュボード V$SQLSTATSなど様々なDBディクショナリビューから情報を30分毎に 収集し、以下3つの観点でインサイトを提供 データベース全体を俯瞰するフリート分析 - 稼働率の⾼いアクティブな上位データベース -

    それぞれのDBの実⾏SQLのトレンドや性能を⽐較 時間経過に伴うワークロードを解析するデータベース分析 - コマンドおよびモジュール別のSQLアクティビティの内訳 - 実⾏SQLをパフォーマンス観点で解析し下記のカテゴリに識別 • 低下,変動,⾮効率,計画変更,向上するSQL SQLパフォーマンス統計に基づいた詳細なSQL分析 - 実⾏SQLに占めるリソース待機時間やDisk I/O時間 - 実⾏計画の違いによるSQLパフォーマンス⽐較 Ops Insights 45 Copyright © 2025, Oracle and/or its affiliates

46. 価格 メトリック ⽉額概算 年額概算 ¥11.6 10モニター・リソース/時間 ¥8,649 ¥103,788 OCIの運⽤監視サービスを利⽤したBaseDB、ExaDB-Dの監視費⽤ Copyright

    © 2025, Oracle and/or its affiliates 46 Database Management 価格 メトリック ⽉額概算 年額概算 ¥7.75 OCPU/時間 ¥23,064 ¥276,768 4OCPUのBaseDB、ExaDB-Dを監視する場合 価格 メトリック ⽉額概算 年額概算 ¥2.325 OCPU/時間 ¥6,919.20 ¥83,030.4 Ops Insights Stack Monitoring (EE) Log Analytics 価格 メトリック ⽉額概算 年額概算 - 1unit（300GB） ¥57,660 ¥691,920 Database Management 価格 メトリック ⽉額概算 年額概算 ¥7.75 OCPU/時間 ¥92,256 ¥1,107,071 16OCPUのBaseDB、ExaDB-Dを監視する場合 価格 メトリック ⽉額概算 年額概算 ¥2.325 OCPU/時間 ¥ 276,76.8 ¥332,121.6 Ops Insights Stack Monitoring (EE) Log Analytics 価格 メトリック ⽉額概算 年額概算 - 1unit（300GB） ¥57,660 ¥691,920 価格 メトリック ⽉額概算 年額概算 ¥11.6 10モニター・リソース/時間 ¥8,649 ¥103,788

47. ユースケース

48. Data Safe ユースケース⼀覧 48 Copyright © 2025, Oracle and/or its

    affiliates ユースケース 利⽤機能 ユーザの管理/アクティビティの分析 • ユーザ・アセスメント • アクティビティ監査 ベストプラクティスの管理/⽐較分析 • セキュリティ/ユーザ・アセスメント セキュアなデータの管理 • 機密データ検出/データマスキング SQLインジェクションや不必要なデータ参照を防⽌ • SQL Firewall 不正な操作の追跡、証跡の確保、監査レポート作成 • セキュリティ/ユーザ・アセスメント • アクティビティ監査 ※⾚字を記載

49. Data Safe ユースケース 49 Copyright © 2025, Oracle and/or its

    affiliates 不正な操作の追跡、証跡の確保、監査レポート作成 Before（現⾏） After（Data Safe利⽤） 定期的に監査ログから⼿動で集計・レポート作成 2025-07-15 10:12:04,519 [USER=SCOTT] [HOST=corp-pc-001] [SESSION=56789] ACTION=SELECT OBJECT=HR.EMPLOYEES SQL=SELECT * FROM HR.EMPLOYEES WHERE DEPTNO=10 POLICY=DEFAULT_AUDIT_POLICY RESULT=SUCCESS (RETURN_CODE=0) 2025-07-15 10:15:33,801 [USER=UNKNOWN] [HOST=10.0.2.101] [SESSION=56801] ACTION=LOGON OBJECT= SQL= POLICY=DEFAULT_LOGON_AUDIT RESULT=FAILURE (RETURN_CODE=1017 ORA-01017: invalid username/password; logon denied) 2025-07-15 11:00:12,313 [USER=SYS] [HOST=dbserver1] [SESSION=56815] ACTION=ALTER USER OBJECT=SCOTT SQL=ALTER USER SCOTT ACCOUNT UNLOCK POLICY=SYSSEC_POLICY RESULT=SUCCESS (RETURN_CODE=0) ・・・ ・リアルタイム性に⽋ける ・集計処理やレポート作成の⼯数が必要 ・経験者による作業が必要 ・いつでも任意の期間の状況確認が可能 ・集計の⼿間が削減できる ・セキュリティの専⾨知識がなくても状況把握が可能 ユーザー作成変更といったデータベースの変更操作 (DDL)やログイン・ログオフといった情報を監査ログか ら抽出する定義済みの各種レポート

50. OCI Observability & Management ユースケース⼀覧 50 Copyright © 2025, Oracle

    and/or its affiliates ユースケース 利⽤サービス 異常傾向(いつもと違う傾向)の早期発⾒・障害の予兆検知 • Stack Monitoring • Log Analytics SQLパフォーマンス低下のボトルネックの早期分析 • Database Management • Ops Insights データベースの性能傾向推移の把握 • Ops Insights 発⽣したエラーログの緊急対応必要性の早期判断と分析 • Log Analytics ※⾚字を記載

51. OCI Observability & Managementユースケース 51 Copyright © 2025, Oracle and/or

    its affiliates データベースの性能傾向推移の把握 Before（現⾏） After（OMC利⽤） Before（現⾏） After（O&M利⽤） ・データベース管理者がそれぞれのデータベースで分析を⾏うため、正確な⽐ 較・分析ができない 多数存在するデータベースのそれぞれで性能情報を確認 分析レベルが「⼈」依存となり、問題の予兆に気づけなかったり、 解決に時間がかかることがある ・収集したデータを基に機械的に⽐較分析することが可能 複数データベースの性能概況を⼀覧で確認 概況レポート 個別システム管理者 運⽤責任者 過去と⽐較して性能が悪くなっているSQLや パフォーマンスが低下しているデータベース簡単に特定 性能問題の未然防⽌

52. OCI Observability & Management ユースケース 52 Copyright © 2025, Oracle

    and/or its affiliates 発⽣したエラーログの緊急対応必要性の早期判断 Before（現⾏） After（OMC利⽤） Before（現⾏） After（O&M利⽤） ・経験値からの判断も必要になり対応が俗⼈化する ・エラーの発⽣毎に照らし合わせチェックが必要となる ・専⾨知識がなくても分かりやすい⽤語(ラベル)や 視覚的に迅速に緊急性を判断可能 データベース側でエラーが発⽣ 発⽣エラーの緊急対応の必要性を判断したい データベースの処理でエラーが発⽣ 経験者(専⾨要員)によるエラー対応マニュアルとログ内容を 照らし合わせ緊急対応必要性を判断 ログ (エラーコード) 対応マニュアル エラーコードやエラー⽂字列をラベル付け ラベル毎にエラー内容を定義 ラベル付け条件 ラベル緊急度 ラベル緊急度が⾼いログ出⼒を 視覚的に把握 (ラベル緊急度に応じたアラートも可能)

53. 事例

54. Data Safeによるデータベース・セキュリティの担保 背景・要件（ビジネス上の課題） 故意/過失問わず、ユーザ操作に伴うリスクと 意図しない対抗システムからの情報流⼊リスクを懸念 導⼊効果 • ユーザ/セキュリティ・アセスメント ü ユーザの⼀元管理

    ü ベスプラ⽐較で評価、可視化 • 機密データ検出/マスキング ü DB内”データ”の内リスクあるデータを検出 ü 検出データを任意値にマスキング • アクティビティ監査 ü 監査ログの定期収集、レポーティング ü 各ユーザごとの、監査追跡 導⼊サービス • Data Safe システム構成イメージ 活⽤事例︓通信業のお客様 Copyright © 2025, Oracle and/or its affiliates 54 OCI VCN Oracle Services Network Admin Subnet Oracle Autonomous Data Warehouse Data Safe

55. Log AnalyticsによるDB監査ログのリアルタイム監視とレポーティング 背景・要件（ビジネス上の課題） OracleDBの監査ログをサードパーティ製品で監視していたが、 ハードウェアのメンテナンスやライセンスなど、維持管理にコストが 年々増加していた 導⼊効果 • クラウドを利⽤することでハードウェアのライフサイクル管理から 解放され、維持管理コストを削減

    • オンプレミスでは困難だった柔軟なリソースや性能のスケール • 既存ツールと同等の機能が使える ü ⽇本語ログの画⾯表⽰ ü ログにSQLテキストを表⽰ ü カスタマイズ可能なダッシュボード 導⼊サービス • Log Analytics システム構成イメージ 活⽤事例︓⾦融業のお客様 Copyright © 2025, Oracle and/or its affiliates 55 OCI Subnet VCN Subnet DB Oracle Services Network AP Log Analytics Agent Admin DB監査ログ運⽤業務 l リアルタイムログ監視 l レポーティング

56. データベースのパフォーマンス管理を⾼度化 活⽤事例︓製造業のお客様 Copyright © 2025, Oracle and/or its affiliates 56

    システム構成イメージ OCI Subnet VCN Subnet Oracle Services Network AP Admin Database Management ExaDB-D Ops Insights 背景・要件（ビジネス上の課題） • スキル不⾜でSQLチューニングが出来なかった • AWR取得の負荷が⾼い • EMの利⽤をやめたい ü EMのIaaS管理をやめたい ü 使いこなせていない 導⼊効果 • チューニング⽅法の確⽴ ü SQLチューニングアドバイザーを利⽤することでDB管理者のナ レッジをサポート • キャパシティ・プランニング ü データベース全体のSQLのパフォーマンスやリソース稼働率を把 握したITコストのプランニング 導⼊サービス • Database Management • Ops Insights

57. Enterprise Managerとの⽐較

58. 管理・監視サービスの⽐較 58 Copyright © 2025, Oracle and/or its affiliates O&M

    Database ManagementとEnterprise Manager(Diag/Tuning)の機能⽐較 EMのライセンス EMの機能 O&M(DB Management) 基本機能 DBの起動/停⽌ - 可⽤性監視 ◯ パラメータ管理 ◯ スキーマ管理 - 記憶域管理 ◯(表領域管理) ユーザ/ロール/プロファイルの管理 ◯(監視) ジョブ ◯(SQLジョブ:DML/DDL/PLSQL) バックアップ/リカバリ △(バックアップの監視) パッチ推奨 - 複数DBの管理 ◯ Diagnostics Pack AWR管理 ◯ アクティブセッション履歴 ◯ 期間⽐較ADDM ◯ リアルタイムADDM ◯ 稼働情報(Exa,BaseDB,ExaDB- D) ◯ 稼働状況のレポート ◯(AWR,SQL,ASH) ハング分析 ◯Blocking Session メトリック作成 ◯*1 通知（メールなど） ◯(メール,SMSなど)*1 EMのライセンス EMの機能 O&M(DB Management) Tuning Pack SQLチューニングアドバイザ ◯ SQLチューニングセット ◯ ⾃動SQLチューニング ◯ リアルタイムSQL監視 ◯ *Enterprise Managerの主要機能をもとに作成しております。 最新の情報は下記を参照ください。 Enterprise Manager13c(13.5) https://docs.oracle.com/cd/F45244_01/oemli/enterprise-database-management.html #GUID-B7FDEFFE-DECB-4826-A3C8-7660B013C5DE *1 OCI Monitoringまたはにて複数DBのメトリック問い合わせやアラートをセット Stack Monitoringにてより詳細なメトリックを監視可能 サービス 機能 DB Management Database Management アラートログの管理 ◯ SQL Performance Watch ◯

59. O&M Database ManagementとEnterprise Managerの⽐較 作業項⽬ 作業内容 Enterprise Managerの各種設定 MarketplaceからEMの設定（パラメータなど） ü

    コンピュート・インスタンスの作成 ü EMリポジトリサイズとOMSのノード数 ü EMを配置するためのVCNとサブネットの指定 ü OMS情報の⼊⼒ ü OMRの情報の⼊⼒ ü Bastionの情報⼊⼒ EM側のNetwork Security Groupの設定 Agentの導⼊ Agentのデプロイ ü DBCSのホストの指定 ü 資格証明設定 ターゲット設定 データベースのターゲット設定 ü Oracleデータベース ü リスナー ü ストレージ ⼤まかな導⼊作業の流れ Copyright © 2025, Oracle and/or its affiliates 59 作業項⽬ 作業内容 ポリシー作成 IAMポリシーの作成(Database Management⽤） データベース側の 設定 データベースツール︓プライベート・エンドポイントの作成 ü ターゲットデータベースへの接続 ü DBSNMPユーザーアンロック ü 権限追加 Vaultのシークレットの作成 接続設定 DBM︓プライベート・エンドポイントの作成 ターゲット設定 Database Managementの有効化 ü データベース情報⼊⼒ ü 接続資格証明設定 ü 管理オプションの指定（基本・完全） （導⼊の前提条件として） • VCNとBaseDBが作成済（CIDRの値は任意） • BaseDBはプライベートサブネットに配置 • 関連サービスとしてVaultとBastionを使⽤ 詳 細 な 設 定 が 必 要 Database Managementの場合 Enterprise Managerの場合 ü Enterprise Manager導⼊時のサイジング ü お客様管理 • インスタンス管理 • Enterprise Manager管理 • エージェント管理 ü 設定完了まで2時間程度(OMRのRAC構成では３時間以上） ü マネージド・サービス ü 管理エージェントを導⼊の場合は、⾃動アップデート可能 ü 設定完了まで20分〜30分程度

60. Enterprise Manager or OCIの運⽤監視・サービス Enterprise Managerを利⽤している、慣れている OCIの統⼀画⾯で管理したい パフォーマンス運⽤監視でAgentを導⼊したくない 導⼊作業の負荷を軽減したい サービス・コストの軽減(OCIの運⽤監視場合はターゲットDB毎にコスト増)

    開発フェーズから利⽤(スキーマ管理、ユーザー、ロール管理) Enterprise Managerにのみ存在する機能を利⽤ パフォーマンス問題解決の⼀時利⽤ 機械学習やキャパシティ・プランニング機能の利⽤ OCIの運⽤間サービス Enterprise Manager Enterprise Managerを検討している サービスの管理を軽減したい(マネージドサービス) ログ管理、アプリ監視機能との連携 Copyright © 2025, Oracle and/or its affiliates 60

61. 運⽤監視・サービスの提案ポイント

62. 提案のポイント 62 Copyright © 2025, Oracle and/or its affiliates 運⽤監視の提案は、初期段階のアプローチが重要

    要件確認 提案・⾒積 契約 構築 運⽤ ベスト ギリギリ 最終(やばい) タイミング 初期段階からの提案 初期段階からの必要性確認 運⽤段階でのハードル ü 運⽤ツール・体制の把握 ü クラウドのL&Sは運⽤のL&Sでもある ü クラウドの⾒落としがちな運⽤要件の確認 ü コンサル・ACSの有償サービスの提供 ü クラウド利⽤における厚みと安⼼感の付加 ü 運⽤要件の確認、運⽤計画レビュー ü 既存ツールの課題の洗い出し ü Go-Live後の運⽤モデルの相談 ü 運⽤サービス、有償サービスの追加提案 ü 運⽤構築の追加予算の承認 ü 構築済みの運⽤ツールの評価・課題認識 ü 運⽤体制の確認と⽀援依頼の緊急対応 ü 追加の運⽤サービス紹介・提案 ü 将来的なクラウド環境の運⽤の⾒直し ü 将来的なクラウド予算の⾒直し u要件確認の段階でお客様の課題を把握することで様々な提案⽅法（内容）でアプローチ Ç √

63. まとめ

64. オラクルが取り組むクラウドのセキュリティ対策と運⽤監視 64 Cloudへの最適化 構築が容易 運⽤にかかわるオペレーショ ンコストの低減 • クラウド環境で発⽣する監視作業やセ キュリティ対策を前提にしたツール設計 •

    リソースの全体把握 • 有休リソースの可視化 • セキュリティ/監視問題の⾃動発⾒ • セキュリティリスクの評価 • 環境の準備や構成にかかる⼯数 を削減 • データベースやアプリケーションも 対象にした事前構築済み監視 サービス • 導⼊作業とセットアップが容易で すぐ使い始められる • 少ない⼈員での運⽤ •機械学習を活⽤した異常検知やア ラート発報で、業務を⾃動化 •統合された監視ダッシュボードや事 前定義済みのレポートで担当者を集 約。管理下のリソースが増えても監視 の労⼒は同じ クラウドで必要のない運⽤を省略しクラウドで必要な管理に注⼒ Oracle Cloud Infrastructureはクラウドに最適化されたサービスを備えているので 少ない⼈員で効率的にセキュリティ対策と運⽤監視ができます Copyright © 2025, Oracle and/or its affiliates
65. None