Copyright © 2014 Oracle and/or its affiliates. All rights reserved. |Copyright © 2016 Oracle and/or its affiliates. All rights reserved. |
Oracle Advanced Security Data Redaction のご紹介
日本オラクル株式会社
Copyright © 2015 Oracle and/or its affiliates. All rights reserved. | 2
以下の事項は、弊社の一般的な製品の方向性に関する概要を説明するものです。また、情報提供を唯一の目的とするものであり、いかなる契約にも組み込むことはできません。以下の事項は、マテリアルやコード、機能を提供することをコミットメント(確約)するものではないため、購買決定を行う際の判断材料になさらないで下さい。
オラクル製品に関して記載されている機能の開発、リリースおよび時期については、弊社の裁量により決定されます。
Oracle は、米国オラクル・コーポレーション及びその子会社、関連会社の米国及びその他の国における登録商標または商標です。他社名又は製品名は、それぞれ各社の商標である場合があります。
Copyright © 2015 Oracle and/or its affiliates. All rights reserved. |
Oracle Data Redaction
3
• ユーザーの権限やクライアント情報に応じてリアルタイムにデータをリダクション
• アプリケーションのコード修正は必要のないデータベース内で完結する列アクセス制御
• コールセンターやサポート業務などの職責に応じた顧客情報へのアクセス制御の実現やPCIDSS に対応したクレジットカード番号の表示、アプリ開発者の直接アクセスも制御
クレジットカード番号
4451-2172-9841-43685106-6342-4881-52114891-3311-0090-5055
Policyデータ責任者
業務オペレーター
Copyright © 2015 Oracle and/or its affiliates. All rights reserved. |
サポートされるリダクションの種類
4
052-51-2147 XXX-XX-2147
格納されているデータ リダクション結果10/09/1992
[email protected] [hidden]@acme.com
4451-2172-9841-4368 4943-6344-0547-0110
Full
Partial
Regular Expression
Random
01/01/2001
Copyright © 2015 Oracle and/or its affiliates. All rights reserved. |
Oracle Data Redaction のアーキテクチャ
5
Oracle Database 12c
CustomerRedactionPolicy
Applications
通常表Product
ポリシーの条件となる要素 - IP アドレス - DB ユーザー - アプリケーション ID 等
929-55-2147
XXX-XX-2147
• リダクション・ポリシーを表やビューに対して DBMS_REDACT プロシージャで定義• 対象にできる列は、 CHAR/VARCHAR2 、 NUMBER 、 DATE 、 BLOB/CLOB 型• リダクション・ポリシーの条件に応じて、列の値を任意にリダクションする
Users
Copyright © 2015 Oracle and/or its affiliates. All rights reserved. |
リダクション・ポリシーの作成
6
DBMS_REDACT.ADD_POLICY プロシージャDBMS_REDACT.ADD_POLICY object_schema リダクション・ポリシーを適用するスキーマ名object_name リダクション・ポリシーを適用する表、またはビュー名policy_name 作成するリダクション・ポリシー名column_name リダクション・ポリシーを適用する列名
※複数指定したい場合は、 DBMS_REDACT.ADD_POLICY で別途追加するfunction_type DBMS_REDACT.FULL
DBMS_REDACT.RANDOMDBMS_REDACT.PARTIALDBMS_REDACT.REGEXP
expression SYS_CONTEXT の値に基づく、 Boolean 型の条件式を定義。条件の結果値が“ True” である場合のみ、リダクションが実行される
function_parameters DBMS_REDACT.PARTIAL を使用する場合のデータの IN と OUT の定義regexp……. function_type が DBMS_REDACT.REGEXP の場合のオプション群
Copyright © 2015 Oracle and/or its affiliates. All rights reserved. |
Expression( 条件式 ) の作成方法
7
SYS_CONTEXT('USERENV', 'IP_ADDRESS') = '130.35.46.77'
SYS_CONTEXT(’USERENV’, CLIENT_IDENTIFIER’) != ‘Applicaton001’ ORSYS_CONTEXT('USERENV', 'CLIENT_IDENTIFIER') IS NULL
SYS_CONTEXT('USERENV', 'SESSION_USER') = 'SCOTT’
SYS_CONTEXT('SYS_SESSION_ROLES','MGR') = 'FALSE'
• DB ユーザー名が SCOTT の場合
• IP アドレスが NULL の場合
• ユーザーが MGR ロールを持っていなかった場合
• SYS_CONTEXT からセッション情報を取り出し、比較する条件の値を取得する。また、それ以外の関数やユーザ独自の関数などは条件に使用できない
• 結果が TRUE or FALSE で評価できるように作成し、 TRUE の場合にリダクションが行われる
• 使用できる演算子は、 = 、 != 、 > 、 < 、 >= 、 <= のみ
• クライアント情報に Applicaton001 の識別子がない ※ null 値をフォローすることを忘れずに
Copyright © 2015 Oracle and/or its affiliates. All rights reserved. |
ポリシー式ビルダーで条件作成をサポート
8
Oracle Enterprise Manager 12c
Copyright © 2015 Oracle and/or its affiliates. All rights reserved. |
実際にアプリケーションで使用した場合• 接続するユーザーの所有するロールで制御しており、アプリケーションの修正は必要な
しexpression => ‘SYS_CONTEXT(’‘SYS_SESSION_ROLES’‘,’‘MGR’‘) = ’‘FALSE’‘‘ でコントロール
9
Copyright © 2015 Oracle and/or its affiliates. All rights reserved. |
Data Redaction の設定例
10
Copyright © 2015 Oracle and/or its affiliates. All rights reserved. | 11
リダクション対象
・ SCOTT ユーザ
・ CUSTOMER表
Copyright © 2015 Oracle and/or its affiliates. All rights reserved. | 12
リダクション対象
・ FIRSTNAME 列
・ランダムリダクション
Copyright © 2015 Oracle and/or its affiliates. All rights reserved. | 13
リダクション対象
・ CARDNO 列 ( 部分リダクション )
・ FISRTNAME 列 ( ランダムリダクション )・ LASTNAME 列 ( ランダムリダクション )・ VALIDATE 列 ( フルリダクション )
Copyright © 2015 Oracle and/or its affiliates. All rights reserved. | 14
リダクション条件
・ SCOTT ユーザ以外は リダクションさせる
Copyright © 2015 Oracle and/or its affiliates. All rights reserved. | 15
リダクション・ポリシー定義
・ SCOTT ユーザ
・ CUSTOMER 表
・ CARDNO 列 ( 部分リダクション )
・ FISRTNAME 列 ( ランダムリダクション ) ・ LASTNAME 列 ( ランダムリダクション ) ・ VALIDATE 列 ( フルリダクション )・条件
・ SCOTT ユーザ以外は リダクションさせる
Copyright © 2015 Oracle and/or its affiliates. All rights reserved. |
Data Redaction の設定完了
16
Copyright © 2015 Oracle and/or its affiliates. All rights reserved. |