はじめに

みなさん、こんにちは。
Oracle Cloud Infrastructure 検証チームです。

今回は、前回の記事(Data Safeの新機能 セキュリティ・ポリシー機能について（1/2）)の続きとなります。

前回は、Data Safeの新機能 セキュリティ・ポリシーの各種機能についてご紹介いたしました。
今回は、セキュリティ・ポリシーの設定方法についてご紹介いたします。

今回の執筆者は以下に登場しています。是非ご覧ください！
OCI オブジェクト・ストレージのプライベート・エンドポイントを利用してみよう！

セキュリティ・ポリシーの設定手順

今回の検証のOCI構成について

以前のData Safeの検証時と同様に、プライベート・サブネットに存在するBaseDB1台をData Safeのターゲット・データベースとして登録し、セキュリティ・ポリシー機能について設定を行います。

セキュリティ・ポリシーの設定手順

設定手順は下記のような流れになります。なお、セキュリティ・ポリシーの設定にあたり、Data Safeの利用前に必要な設定項目は設定済みであるとします。

1. カスタム・セキュリティ・ポリシーの作成
2. 作成したセキュリティ・ポリシーに対して、統合監査ポリシーを追加
3. セキュリティ・ポリシーの構成の編集
4. セキュリティ・ポリシーのデプロイ
5. セキュリティ・ポリシーの適用確認

Data Safeの利用前に必要な設定項目についてはこちらの記事をご覧ください。
OCIのData Safeについて検証してみた(Data Safeの利用前に必要な設定項目)

では、実際にセキュリティ・ポリシーの設定をしてみましょう。

1. カスタム・セキュリティ・ポリシーの作成
   OCIコンソールにて、「Oracle Database」 → 「データ・セーフ・データベース・セキュリティ」 → 「セキュリティ・ポリシー」 に移動します。
   
   「セキュリティ・ポリシーの作成」を選択し、名前を指定して「作成」を選択します。
   
   
   
2. 作成したセキュリティ・ポリシーに対して、統合監査ポリシーを追加
   今回は、「統合監査ポリシー」の「ターゲットのサマリー」の「統合監査ポリシー・ビュー」から統合監査ポリシーを追加します。
   セキュリティ・ポリシーの画面に戻り、関連リソースの「統合監査ポリシー」を選択し、「ターゲットのサマリー」タブを選択します。
   セキュリティ・ポリシーに追加する統合監査ポリシーの含まれているターゲット・データベースを選択します。
   セキュリティ・ポリシーに追加する統合監査ポリシーを選択し、「監査ポリシーをデータ・セーフにインポート」を選択します。インポート先のセキュリティ・ポリシーを選択し、「インポート」を選択します。
   
   リソースの「統合監査ポリシー」を選択し、統合監査ポリシーがインポートされていることを確認します。
   
3. セキュリティ・ポリシーの構成の編集
   統合監査ポリシーをインポートしたセキュリティ・ポリシーの詳細画面にて、「構成の編集」を選択します。
   今回はターゲット・データベースが19cのため、統合監査ポリシー構成を設定し、「保存」を選択します。
   ※Oracle Database 26aiにてSQLファイアウォール設定をおこなう場合は、自動で作成されたセキュリティ・ポリシーを使用する必要があります。
   
   統合監査ポリシー構成が「組込み」または「除外済」となっていることを確認します。
   
4. セキュリティ・ポリシーのデプロイ
   「デプロイ」を選択します。
   
   セキュリティ・ポリシーをデプロイする対象のターゲット・データベースを選択し、「デプロイ」を選択します。
   
   デプロイ完了後、セキュリティ・ポリシー詳細画面にてセキュリティ・ポリシー・デプロイメントとしてターゲット・データベースが表示されます。
   
5. セキュリティ・ポリシーの適用確認
   セキュリティ・ポリシーの画面に戻り、関連リソースの「統合監査ポリシー」を選択し、「ターゲットのサマリー」タブを選択します。
   次に、セキュリティ・ポリシーをデプロイしたターゲット・データベースを選択します。
   統合監査ポリシー・ビューにて、セキュリティ・ポリシーが表示されていることを確認します。
   

Data Safeでは、ターゲット・データベース・グループという機能がセキュリティ・ポリシー機能と同じく2025/8/26に追加されています。
この機能は、複数のターゲット・データベースをグループ化し、複数のターゲット・データベースに対する操作を同時に一度で実施することができる機能です。

セキュリティ・ポリシー機能においても、ターゲット・データベース・グループ機能を使用することができます。
セキュリティ・ポリシーのデプロイ時には、ターゲット・データベースだけでなくターゲット・データベース・グループに対してもデプロイが可能です。
ターゲット・データベース・グループに対してデプロイを行う場合、ターゲット・データベース・グループに含まれるすべてのターゲット・データベースに対してセキュリティ・ポリシーが適用されます。
この時、ターゲット・データベースごとに異なる統合監査ポリシーおよび監査条件が設定されていたとしても、セキュリティ・ポリシーの監査条件が優先され、適用されます。

※カスタムの統合監査ポリシーを作成してセキュリティ・ポリシーに追加した場合、ターゲット・データベース・グループに含まれる他のターゲット・データベースにおいて監査条件として設定されているユーザーやテーブルが存在しないことがあります。この場合、他のターゲット・データベースでは統合監査ポリシーは作成されず、デプロイ画面にてコンフリクトの状態が発生します。

セキュリティ・ポリシー設定後の変更方法

セキュリティ・ポリシーの設定後にData Safeで統合監査ポリシーの監査条件を変更する場合は、下記の手順が必要になります。

1. セキュリティ・ポリシーの統合監査ポリシーの監査条件の変更
2. セキュリティ・ポリシー・デプロイメントのリフレッシュ
3. 統合監査ポリシーの監査条件の変更確認

では、実際にセキュリティ・ポリシー設定後の変更をしてみましょう。

今回は、「ORA_LOGON_FAILURES」を「無効」に変更します。
変更前は、「ORA_LOGON_FAILURES」は「すべてのユーザーに対して有効」となっています。

実機にて確認した場合：
統合監査ポリシー・ビューにて確認した場合：

 

1. セキュリティ・ポリシーの統合監査ポリシーの監査条件の変更
   OCIコンソールにて、「Oracle Database」 → 「データ・セーフ・データベース・セキュリティ」 → 「セキュリティ・ポリシー」 に移動し、「カスタム・セキュリティ・ポリシー」を選択します。
   
   統合監査ポリシーを変更したいセキュリティ・ポリシーを選択します。
   
   リソースの「統合監査ポリシー」を選択し、変更したい統合監査ポリシーを選択します。
   
   統合監査ポリシーの有効化/無効化をしたい場合は「更新ステータス」、統合監査ポリシーが有効化されているときは「条件の編集」から監査条件の変更が可能です。
   今回は、統合監査ポリシーを無効化するため、「更新ステータス」を選択します。
   
   デプロイメント時のステータスが「Disabled」となっていることを確認します。
2. セキュリティ・ポリシー・デプロイメントのリフレッシュ
   セキュリティ・ポリシーの詳細の画面に戻り、「ターゲットのサマリー」からセキュリティ・ポリシーをデプロイしているターゲット・データベースを選択します。
   
   「リフレッシュ」を選択します。
   ※セキュリティ・ポリシーをデプロイしているターゲット・データベース・グループまたはターゲット・データベースが複数ある場合は、すべてに対してリフレッシュを実施します。※セキュリティ・ポリシー・デプロイメントのリフレッシュを実施してもステータスが「PENDING_DEPLOYMENT」となる場合は、セキュリティ・ポリシーの詳細画面から「デプロイ」し、セキュリティ・ポリシー・デプロイメントの詳細画面にてステータスが「DEPLOYED」であり問題が発生していないことを確認してから次のステップに進みます。
3. 統合監査ポリシーの監査条件の変更確認
   セキュリティ・ポリシーの画面に戻り、関連リソースの「統合監査ポリシー」を選択し、「ターゲットのサマリー」タブを選択します。
   セキュリティ・ポリシーをデプロイしたターゲット・データベースを選択します。
   統合監査ポリシー・ビューにて、統合監査ポリシーの監査条件が変更されていることを確認します。
   ※統合監査ポリシーの監査条件が変更されていない場合は、セキュリティ・ポリシーの詳細画面から「デプロイ」した後、統合監査ポリシー・ビューにて再度確認してください。

実機においても、「ORA_LOGON_FAILURES」が「無効」となっていることが確認できます。
セキュリティ・ポリシーの設定後に実機で統合監査ポリシーを追加・修正した場合は、ターゲット・データベースのリフレッシュをすることによって、統合監査ポリシーのターゲットのサマリー画面から最新のターゲット・データベースの統合監査ポリシーの設定状況が確認可能となります。

※セキュリティ・ポリシーにて管理している統合監査ポリシーを実機で変更するとセキュリティ・ポリシーとの差分が発生してしまうため、注意が必要です。

おわりに

いかがだったでしょうか。
今回はData Safeの新機能のセキュリティ・ポリシーの設定方法についてご紹介いたしました。

セキュリティ・ポリシーを利用することで、ターゲット・データベース・グループおよびターゲット・データベースに対して統合監査ポリシーを割り当てて簡単に管理することができますので、運用の際は検討してみてください。

詳細やご不明点については、お気軽にお問い合わせください。
最後までご覧頂き、ありがとうございました。

こちらの記事の前半の記事はこちらです↓。
Data Safeの新機能 セキュリティ・ポリシー機能について（1/2）

＼Oracle Datebaseでお困りならプロを頼りましょう！／

Oracle関連のお悩みは弊社にお任せください
・Oracle関連の資格保持者ばかりのプロ集団 ・オラクル社から何年にも渡りAwardを受賞 ・導入実績多数の安心感 Oracleの課題、専門家が解決します Oracleの相談を今すぐ依頼する › 豊富な実績を持つプロが最適プランをご提案

投稿者プロフィール

技術チーム

DBひとりでできるもんを盛り上げるべく、技術チームが立ち上がり早8年。ひとりでできるもんと言いつつ、技術者が読んでプッとなるような、極めてピンポイントでマニアックな技術ネタを執筆しています！
最新技術情報や資格情報をチェックしたいアナタ！毎日遊びに来てください。きっとお役に立てます。

最新の投稿

• Oracle Cloud2025年12月15日Data Safeの新機能 セキュリティ・ポリシー機能について（2/2）
• Oracle Cloud2025年12月12日Data Safeの新機能 セキュリティ・ポリシー機能について（1/2）
• Oracle APEX2025年12月10日Oracle APEXの生成AIサービスを利用した動的アクションを試してみました。
• AIメディアブースト2025年12月9日イラスト1枚がPR動画に変わる：Python初心者向けにGemini Veo3.1の実装ガイド