技術チーム
目次
はじめに
みなさん、こんにちは。
Oracle Cloud Infrastructure 検証チームです。
今回は2025/8/26に追加されたData Safeの新機能 セキュリティ・ポリシーの各種機能についてご紹介いたします。
Data Safeの新機能の一覧については下記サイトをご覧ください。
https://docs.oracle.com/en/cloud/paas/data-safe/wdscs/index.html
今回の執筆者は以下に登場しています。是非ご覧ください!
OCI オブジェクト・ストレージのプライベート・エンドポイントを利用してみよう!
Data Safeとは
Oracle Data Safe は、データのセキュリティに重点を置いた完全に統合されたリージョン・クラウド・サービスです。
Oracleデータベース内の機密データおよび規制対象データを保護するための完全で統合された一連の機能を提供します。
Data Safeによって、データ、ユーザー、設定に関するセキュリティ課題の可視化や、機密データのマスキングが可能です。
また、課題の検出や監査を自動化できるため、管理工数をかけずにクラウドで利用するデータベースのセキュリティ強化や重要なデータの保護、コンプライアンス対応の実現も可能です。
Data Safeのマニュアルは下記になります。
https://docs.oracle.com/en/cloud/paas/data-safe/udscs/index.html
Data Safeの既存の機能一覧
前回のData Safeの記事の執筆時点(2025/1/20時点)では、主な機能として下記の機能を紹介いたしました。
- セキュリティ・アセスメント
- ユーザー・アセスメント
- データ検出
- データ・マスキング
- アクティビティ監査
- アラート
- SQLファイアウォール
前回のData Safeの記事はこちらです。
OCIのData Safeについて検証してみた
セキュリティ・ポリシー概要
冒頭にも記載したように、2025/8/26に上記の各種機能に加えて、新たにセキュリティ・ポリシーの機能が追加されました。
セキュリティ・ポリシー機能では、セキュリティ・ポリシーを使用し、ターゲット・データベース・グループおよびターゲット・データベースに対して統合監査ポリシーを割り当てて管理することが可能です。
また、セキュリティ・ポリシーを使用すると、ターゲット・データベース・グループおよびターゲット・データベース全体にわたるSQLファイアウォール構成を管理することも可能です。
以前は、監査ポリシーはアクティビティ監査機能の中で設定をおこなっていましたが、今後はセキュリティ・ポリシー機能の中で設定をおこないます。
セキュリティ・ポリシーの各種機能紹介
セキュリティ・ポリシーの各種機能について紹介します。
セキュリティ・ポリシー
OCIコンソールにて、「Oracle Database」 → 「データ・セーフ・データベース・セキュリティ」 → 「セキュリティ・ポリシー」 に移動します。
セキュリティ・ポリシーの画面では、「Oracle事前定義済セキュリティ・ポリシー」と「カスタム・セキュリティ・ポリシー」が確認可能です。
「セキュリティ・ポリシーの作成」では名前を指定して、中身が空のカスタム・セキュリティ・ポリシーの作成が可能です。
カスタム・セキュリティ・ポリシー
カスタム・セキュリティ・ポリシーの詳細画面では、セキュリティ・ポリシーをデプロイした対象やセキュリティ・ポリシーに紐づく統合監査ポリシーの確認、SQLファイアウォール構成の編集などが可能です。
リソースの「統合監査ポリシー」では、セキュリティ・ポリシーに紐づく統合監査ポリシーの確認や追加が可能です。
「構成の編集」では、統合監査ポリシー構成とSQLファイアウォール構成の編集が可能です。
統合監査ポリシー構成は、Data Safe用のユーザーのアクティビティを統合監査ポリシーに含めるか除外するかを設定します。
SQLファイアウォール構成は、SQLファイアウォールを有効にするかどうか、違反ログを(7日ごとに)自動パージするかどうか、データベース・ジョブをSQLファイアウォールの適用に含めるかどうかを設定します。
SQLファイアウォールはOracle Database 26aiでのみ使用可能です。
Oracle Database 26aiをData Safeのターゲット・データベースに登録すると、空のセキュリティ・ポリシーが自動的に作成されます。
この自動的に作成されたセキュリティ・ポリシーは、ターゲット・データベースのSQLファイアウォール設定に影響を与える唯一のセキュリティ・ポリシーとなります。
そのため、他の手動で作成したセキュリティ・ポリシーにSQLファイアウォール設定をしてもターゲット・データベースの設定には影響しません。
自動で作成されるセキュリティ・ポリシーには下記のような説明が自動で付与されます。
Db originated policy for <Data Safeの対象のターゲット・データベースのOCID>
※マニュアルには明確に記載されていませんが、SQLファイアウォールを有効化していない場合は、SQLファイアウォール・ステータスを有効にしないとセキュリティ・ポリシーは自動的に作成されません。また、自動で作成されるセキュリティ・ポリシーは対象のOracle Database 26aiに対して、自動でデプロイされます。
Oracle Database 26aiのSQL Firewall機能については過去の記事もありますのでぜひご覧ください。
過去記事はこちら
【Oracle 23ai 新機能】SQL Firewallを導入してみました
「デプロイ」では、ターゲット・データベース・グループまたはターゲット・データベースを対象としてデプロイを実施します。
デプロイを実施すると、セキュリティ・ポリシーに紐づく統合監査ポリシーやSQLファイアウォール構成をターゲットのデータベースに対して適用します。
セキュリティ・ポリシー・デプロイメント
セキュリティ・ポリシー・デプロイメントの画面では、ターゲットおよびターゲット・グループのデプロイのサマリーが確認可能です。
ターゲット・データベースまたはターゲット・データベース・グループ名を選択するとセキュリティ・ポリシー・デプロイメントの詳細画面に移動します。
セキュリティ・ポリシー・デプロイメントの詳細画面ではサマリーと同様にターゲット・データベースや適用しているセキュリティ・ポリシーが確認可能です。
また、セキュリティ・ポリシーに変更があった場合は、「リフレッシュ」からデプロイをリフレッシュすることが可能です。
統合監査ポリシー
統合監査ポリシー の画面では、統合監査ポリシーの更新・追加や各ターゲット・データベースに設定されている統合監査ポリシーと監査条件、セキュリティ・ポリシーを確認することができます。
「統合監査ポリシーの追加」では、統合監査ポリシーを追加する対象のセキュリティ・ポリシーや追加したい統合監査ポリシーの基となる統合監査ポリシー定義、統合監査ポリシーの監査条件を指定して統合監査ポリシーを追加することが可能です。
※この画面から統合監査ポリシーを追加する場合は、統合監査ポリシー定義の選択が必要なため、実機で作成したカスタムの統合監査ポリシーは追加することができません。実機で作成したカスタムの統合監査ポリシーを追加したい場合は、後述の統合監査のポリシー・ビューの画面にて追加する必要があります。
作成した統合監査ポリシーは、統合監査ポリシーの詳細画面からポリシー・ステータスの有効化/無効化や監査条件の変更が可能です。
「ターゲットのサマリー」タブに移動してターゲット・データベース名を選択すると、統合監査のポリシー・ビューの画面に移動します。
統合監査のポリシー・ビューの画面では、各ターゲット・データベースに設定されている統合監査ポリシーと監査条件、統合監査ポリシーがセキュリティ・ポリシーにて管理されている場合はどのセキュリティ・ポリシーに紐づいているのか確認することが可能です。
また、各ターゲット・データベースに設定されている統合監査ポリシーをまとめてセキュリティ・ポリシーに追加することが可能です。
①セキュリティ・ポリシーに追加したい統合監査を選択し、「監査ポリシーをデータ・セーフにインポート」を選択します。
②既存のセキュリティ・ポリシーの選択あるいは新規のセキュリティ・ポリシーを作成し、「インポート」を選択します。
※この画面から統合監査ポリシーを追加する場合は、追加時に作成される統合監査ポリシー名の指定ができません。統合監査ポリシー名を変更したい場合は、インポート後に統合監査ポリシーの詳細画面から変更する必要があります。
統合監査ポリシー定義
統合監査ポリシー定義では、事前定義済みまたはカスタムの統合監査ポリシーのポリシー名や統合監査ポリシー作成時の定義文を確認することができます。
この画面からは統合監査ポリシー定義の作成はできません。統合監査のポリシー・ビューの画面から監査ポリシーをインポートした際、事前定義済みの統合監査ポリシーが存在しなかった場合に自動でカスタムの統合監査ポリシーが作成されます。
おわりに
いかがだったでしょうか。
今回はData Safeの新機能のセキュリティ・ポリシーの各種機能についてご紹介いたしました。
セキュリティ・ポリシーを利用することで、ターゲット・データベース・グループおよびターゲット・データベースに対して統合監査ポリシーを割り当てて簡単に管理することができますので、運用の際は検討してみてください。
次回は、セキュリティ・ポリシーの設定方法についてご紹介いたします。
詳細やご不明点については、お気軽にお問い合わせください。
最後までご覧頂き、ありがとうございました。
後半の記事も是非、併せてご覧下さい。
Data Safeの新機能 セキュリティ・ポリシー機能について(2/2)はこちら
\Oracle Datebaseでお困りならプロを頼りましょう!/
| Oracle関連のお悩みは弊社にお任せください |
|---|
| ・Oracle関連の資格保持者ばかりのプロ集団 ・オラクル社から何年にも渡りAwardを受賞 ・導入実績多数の安心感 |
投稿者プロフィール
-
DBひとりでできるもんを盛り上げるべく、技術チームが立ち上がり早8年。ひとりでできるもんと言いつつ、技術者が読んでプッとなるような、極めてピンポイントでマニアックな技術ネタを執筆しています!
最新技術情報や資格情報をチェックしたいアナタ!毎日遊びに来てください。きっとお役に立てます。
最新の投稿
Oracle2026年1月15日PDBホットクローンを作成してみました
23ai2026年1月13日Oracle AI Database 26ai Free–Developer Releaseを使ってみた!
Oracle2025年12月25日OCIへの移行を検証してみた その2 ADBへの移行(Datapump)
Oracle2025年12月22日AWRレポートで始める性能分析 -Part1 AWRレポートの取得方法-
