22 ユーザーの管理とデータベースのセキュリティ保護

この章では、データベース・ユーザーの作成と管理について簡単に説明します。特に、セキュリティ・ポリシーを設定してデータベースを保護することの重要性について説明します。また、セキュリティに関する適切なドキュメントへの相互参照を示します。

この章の内容は、次のとおりです。

データベースに対するセキュリティ・ポリシー設定の重要性

すべてのデータベースに対してセキュリティ・ポリシーを設定することが重要です。セキュリティ・ポリシーによって、不慮または不正によるデータの破壊またはデータベース・インフラストラクチャの損傷からデータベースを保護する方法が設定されます。

すべてのデータベースにはセキュリティ管理者と呼ばれる管理者が割り当てられ、データベースのセキュリティ・ポリシーの実装およびメンテナンスを担当します。小規模なデータベース・システムの場合は、データベース管理者がセキュリティ管理者を兼務できます。ただし、大規模なデータベース・システムの場合は、専任者または専任グループがセキュリティ管理者の責務を担当するようにしてください。

データベースに対するセキュリティ・ポリシー設定の詳細は、『Oracle Databaseセキュリティ・ガイド』を参照してください。

ユーザーとリソースの管理

データベースに接続するには、各ユーザーが、データベースに事前に定義された有効なユーザー名を指定する必要があります。ユーザーにはアカウントが設定され、ユーザーに関する情報がデータベース・ディクショナリに格納されている必要があります。

データベース・ユーザー（アカウント）を作成するときは、ユーザーに関する次の属性を指定します。

ユーザー名
認証方式
デフォルト表領域
一時表領域
その他の表領域および割当て制限
ユーザー・プロファイル

ユーザーの作成および管理方法の詳細は、『Oracle Databaseセキュリティ・ガイド』を参照してください。

ユーザー権限とロールの管理

権限とロールは、ユーザーのデータへのアクセスおよび実行可能なSQL文のタイプを制御するために使用します。次の表は、権限とロールの、3つのタイプを示しています。

タイプ 説明

システム権限

システムによって定義された権限。常に管理者によって付与されます。特定のデータベース操作の実行をユーザーに許可します。

オブジェクト権限

システムによって定義された権限。特定のオブジェクトへのアクセスを制御します。

ロール

権限や他のロールの集合。システムによって定義されたロールも存在しますが、大部分は管理者によって作成されます。権限や他のロールをグループ化するロールによって、複数の権限またはロールをユーザーに容易に付与できます。

タイプ	説明
システム権限	システムによって定義された権限。常に管理者によって付与されます。特定のデータベース操作の実行をユーザーに許可します。
オブジェクト権限	システムによって定義された権限。特定のオブジェクトへのアクセスを制御します。
ロール	権限や他のロールの集合。システムによって定義されたロールも存在しますが、大部分は管理者によって作成されます。権限や他のロールをグループ化するロールによって、複数の権限またはロールをユーザーに容易に付与できます。

権限とロールを付与する権限を所有しているユーザーは、権限とロールを他のユーザーに付与できます。権限とロールの付与は、管理者レベルで開始します。データベースの作成時に、管理ユーザーSYSが作成され、システム権限およびOracle Databaseで事前定義されたロールがすべて付与されます。次に、ユーザーSYSは、権限とロールを他のユーザーに付与し、そのユーザーが別のユーザーに対して特定の権限を付与できる権限を与えることもできます。

ユーザーの権限とロールの管理方法の詳細は、『Oracle Databaseセキュリティ・ガイド』を参照してください。

データベース使用の監査

選択したユーザーのデータベース操作は、管理者が実行した操作も含めて、監視および記録できます。データベース監査を実装する理由はいくつかあります。その理由および使用可能な監査タイプの詳細は、『Oracle Databaseセキュリティ・ガイド』を参照してください。

『Oracle Databaseセキュリティ・ガイド』には、データベース監査の使用可能化と構成に関する指示も記載されています。