Oracle Direct Seminar <Insert Picture Here> システム管理者必見! ~ 乱立する DB と OS のユーザー / 権限管理の改善方法 日本オラクル株式会社 Fusion Middleware 事業統括本部 Security SC 部大森潤
本日の内容 はじめに ユーザーと権限を まとめて 管理する まとめて 簡単に 管理する Oracle ソリューションご紹介 既存環境との連携と導入 事例 まとめ 無償技術サービス Oracle Direct Concierge SQL Server からの移行アセスメント MySQL からの移行相談 PostgreSQL からの移行相談 Access からの移行アセスメント Oracle Database バージョンアップ支援 Oracle Developer/2000 Web アップグレード相談 パフォーマンス クリニック Oracle Database 構成相談 Oracle Database 高可用性診断 システム連携アセスメント システムセキュリティ診断 簡易業務診断 http://www.oracle.com/lang/jp/direct/services.html Copyright 2010, Oracle. All rights reserved. 2
<Insert Picture Here> はじめに Copyright 2010, Oracle. All rights reserved. 3
はじめに 最近 お客様からこんな話を耳にします どのユーザーがどの DB/OS 権限を持っているのか把握できない 依頼が多くて処理できないから 権限はとりあえず DBA みんなで root( または sys) を使っている アカウントがいつまでたっても作られなくて作業ができない いまどのユーザーが使用中で どのユーザーが必要ないか分からない Copyright 2010, Oracle. All rights reserved. 4
企業での DB/OS ユーザー管理の現状 システム部や開発の現場でのデータベース /OS 管理 権限を変更して下さい システム管理者 退職した人のアカウント ちゃんと消えてるか確認して OS / DB 群 新しいプロジェクトができたのでアカウントください Copyright 2010, Oracle. All rights reserved. 5
企業での DB/OS ユーザー管理の現状 システム部や開発の現場でのデータベース /OS 管理 件数が多すぎて処理しきれない 退職者アカウントを削除したり 権限を個別に割り振るのは難しい 管理者 アカウント作成 権限変更に時間がかかる すぐ作業に取り掛かれない 情報システム部管理者 OS / DB 群 ユーザー Copyright 2010, Oracle. All rights reserved. 6
企業での DB/OS ユーザー管理の現状 システム部や開発の現場でのデータベース /OS 管理 いろんな部署の人に問い合わせるのが大変 棚卸の進捗確認だけで時間と手間がかかりすぎる 監査担当 情報システム部管理者 退職した人のアカウント ちゃんと消えてるか確認して 各部署ごとの異なるアカウント申請手続きが複雑 ユーザー OS / DB 群 Copyright 2010, Oracle. All rights reserved. 7
不適切なユーザー / 権限管理 管理の煩雑さはセキュリティ ポリシーを徹底できなくし 企業全体のセキュリティを低下させます 依頼が多くて処理できないから 権限はとりあえず DBA 情報システム部管理者 OS は root を使いまわせばいいや OS / DB 群 トラッキングが不可能な管理者アカウントの利用や 過剰権限を悪用するケースの増加 Copyright 2010, Oracle. All rights reserved. 8
解決方法 じゃあ どうすればいいの? Copyright 2010, Oracle. All rights reserved. 9
<Insert Picture Here> ユーザーと権限を まとめて 管理 Copyright 2010, Oracle. All rights reserved. 10
だからこそ必要な 簡単 まとめる 管理 それらのユーザー / 権限を まとめて 管理することは 負担を減らすだけでなく ミスのない安全な運用も可能にします ユーザー & 権限一元管理機構 申請 監査 新規プロジェクト OS / DB 群 情報システム部管理者 Copyright 2010, Oracle. All rights reserved. 11
まとめて 管理をする まとめて管理はシステム部管理者 利用者 また監査責任者などにとって 多数のメリットをもたらすことができます 監査人 法対応での調査が楽になった 権限も全システムにわたって 適切に設定されていて セキュリティレベルも向上してるね ユーザー 申請方法が統一されて わかりやすくなった 権限の変更にも すぐに対応してくれるから仕事の効率が上がるよ 管理者 一か所で全部の OS と DB に対してのユーザー管理ができるようになって 負担が減ったよ 権限も自動的に設定されるし楽 Copyright 2010, Oracle. All rights reserved. 12
まとめて 管理することのメリット 管理対象を多数から 1 つに減らすことによるユーザー / 権限管理負荷の軽減 権限の過剰付与による悪用リスク ( 情報漏えいなど ) の軽減 ユーザー利便性の向上 Copyright 2010, Oracle. All rights reserved. 13
まとめて 管理ソリューションはオラクル データベースからアプリケーションまで提供する弊社ならではのソリューションを提供しています Oracle はどんなソリューションを提供しているの? Copyright 2010, Oracle. All rights reserved. 14
<Insert Picture Here> まとめて 簡単に 管理する Oracle ソリューションのご紹介 Copyright 2010, Oracle. All rights reserved. 15
Oracleソリューション まとめて 簡単に 管理するためのソリューション OracleはOSとDBのアカウントをディレクトリ Oracle Internet Directory で管理するソリューションを提供しています オペレーティングシステム Oracle Internet Directory Oracle Authentication Services for Operating Systems データベース Enterprise User Security プロキシ認証 Copyright 2010, Oracle. All rights reserved. 16
Oracle Internet Directory (OID) ~ Oracle Database を基盤とする高信頼性 LDAPv3 ディレクトリサーバー Oracle Internet Directory とは LDAP 標準ディレクトリ サーバー LDAPv3 標準準拠のディレクトリ サーバー 小規模から大規模まで対応 他社製ディレクトリ サーバーとの連携機能を標準で提供 Oracle Internet Directory LDAP over SSL LDAP クライアント LDAP LDAP Listener Oracle DB Copyright 2010, Oracle. All rights reserved. 17
Oracle Internet Directory (OID) ~ Oracle Database を基盤とする高信頼性 LDAPv3 ディレクトリサーバー 特徴 Oracle Database を基盤とした設計 データ格納先にOracle Databaseを利用 Enterprise Managerによる運用管理 PL/SQL Javaによるプラグイン開発 Oracle DB 認証連携 Active Directory からのパスワード同期 OracleAS SSO との連携による Windows ネイティブ認証のサポート ディレクトリデータ連携 外部ディレクトリとのデータ同期 (AD など ) (Directory Integration Platform 機能 ) Oracle Database との連携 Copyright 2010, Oracle. All rights reserved. 18
Oracleソリューション Enterprise User Security Oracle DB EE OID Enterprise User Securityは複数のOracle Databaseの ユーザー と 割り当てられている権限 をOracle Internet Directoryで管理する ソリューションです どのデータベースに どのユーザーが どんな権限で アクセスが 可能かを一つのOracle Internet Directoryのみで制御できます ユーザー/権限問い合 わせ Oracle Internet Directory データベース Enterprise User Security Copyright 2010, Oracle. All rights reserved. 19
Oracle ソリューション Enterprise User Security Enterprise User Security ではデータベースへのログイン認証を Oracle Internet Directory に移譲します Windows 統合認証を利用することも可能です ユーザー情報 ユーザー権限情報 Oracle Internet Directory 2 認証の要求 3 認証結果 4ロール要求 5ロール結果 データベース 1 ログイン (SQL Plus Java Forms など ) Copyright 2010, Oracle. All rights reserved. 20
Oracle ソリューション Enterprise User Security ディレクトリ内では 権限とユーザーのマッピングを定義します 特定の権限エントリに所属するユーザーであればその権限を自動的に割り当てる設定が可能です Oracle Internet Directory スキーママッピング DB1 スキーマ1 ユーザー A ユーザー B スキーマユーザー DB1 スキーマ 1 DB2 スキーマ 2 権限レルム 管理者ロール ユーザー A プロジェクト1ロールユーザー B ユーザー C DB 権限 DBA CONNECT RESOURCE CREATE TABLE データベース Copyright 2010, Oracle. All rights reserved. 21
Oracle ソリューション Enterprise User Security ディレクトリ内ユーザーを各 DB のスキーマユーザーにマッピングすることで 同一スキーマをユーザーを識別できます (= 共有ユーザーを誰が操作を行ったかを識別することが可能 ) ユーザー A ユーザー B connect スキーマ 1/Password 全員同じログイン方法なので誰が使用したのか識別できない EUS 導入前 スキーマユーザー DB1 スキーマ 1 ユーザー A connect ユーザー A/Password スキーママッピング DB1 スキーマ1 データベース EUS 導入後 ユーザー B connect ユーザー B/Password ユーザー A ユーザー B ユーザー C ディレクトリでのログインユーザー情報が記録できるので識別可 Copyright 2010, Oracle. All rights reserved. 22
Oracle ソリューション Enterprise User Security 導入のメリット 複数の DB に存在しているユーザーを一元管理することによる管理コストの削減 複数の DB に存在しているユーザーを一元管理することによる コンプライアンスの徹底 各 DB のセキュリティレベルの向上 パスワードリセットの手間の削減 DB 共有スキーマの利用ユーザーの識別 Copyright 2010, Oracle. All rights reserved. 23
Oracle ソリューション Oracle Authentication Services for Operating Systems (Oracle Directory Services ライセンス ) Oracle Authentication Services for Operating Systems は複数の OS の ユーザー と Sudo 権限 を Oracle Internet Directory で管理するソリューションです どのユーザーが どんな操作 を OS に対して可能かを一つの Oracle Internet Directory のみで制御できます Oracle Internet オペレーティング システム Directory Oracle Authentication Services for Operating Systems Copyright 2010, Oracle. All rights reserved. 24
Oracle ソリューション Oracle Authentication Services for OS 標準的な PAM を利用し OS ユーザー管理 Sudo を用いた権限管理をディレクトリを利用して一元的に行います 1OS ログイン 2 認証の要求 3 認証結果 オペレーティング システム Oracle Internet Directory Copyright 2010, Oracle. All rights reserved. 25
Oracle ソリューション Oracle Authentication Services for OS の特徴 導入が容易 クライアント側 OS の PAM 設定 SSL 設定用スクリプト 既存環境からのユーザー情報移行スクリプト 可用性 スケーラビリティ 安全 OID を使用することで ユーザー管理を可用性 拡張性 セキュリティに優れたリポジトリで管理 クロス プラットフォームサポート 一般的な Linux Unix プラットフォームをサポートします Copyright 2010, Oracle. All rights reserved. 26
Oracle ソリューション その先に 企業内のセキュリティ ポリシーの徹底 ユーザー ライフサイクル管理との連携による効率的に かつ確実な DB OS アカウント管理 企業全体での同一のセキュリティポリシーの適用 基幹システム 企業 ディレクトリ セキュリティポリシー 人事情報アカウント管理システム システムのセキュリティ ガバナンスの徹底 DB OS Copyright 2010, Oracle. All rights reserved. 27
Oracleソリューション その先に Oracle Authentication Services for Operating Systems オペレーティング システム Enterprise User Security Oracle Internet Directory データベース 自動アカウント操作 権限設定 異動 退職などの 情報 アカウント申請/承認 人事システム 企業内アカウント管理システム 例 Oracle Identity Manager Copyright 2010, Oracle. All rights reserved. 28
まとめて 管理ソリューションはオラクル まとめて 簡単に OS と DB のユーザーを管理するには Oracle がいいんだ! Copyright 2010, Oracle. All rights reserved. 29
<Insert Picture Here> 既存環境との連携 Copyright 2010, Oracle. All rights reserved. 30
既存環境との連携 あ でも 会社内にすでに ディレクトリがあって 管理対象 を増やしたくないんだけど Copyright 2010, Oracle. All rights reserved. 31
既存環境との連携 既存の LDAP とユーザー情報連携を行う Oracle Internet Directory では Directory Integration Platform という機能を使うことによって Active Directory などの外部ディレクトリと情報連携を行うことができます パスワードフィルターを用いることで パスワード連携も可能です DB OS 利用 AD パスワードフィルター データ連携 ユーザー / 対象 DB OS Oracle Internet Directory Active Directory SJS Directory Server など プログラムなど Copyright 2010, Oracle. All rights reserved. 32
既存環境との連携 既存の LDAP を仮想ディレクトリに接続する Oracle Virtual Directory という実態のない仮想ディレクトリを用いることで すでに導入している Active Directory や Sun のディレクトリを利用して Enterprise User Security を実現することも可能です Enterprise User Security DB 利用 仮想統合 ユーザー / EUS 対象 データベース Oracle Virtual Directory Active Directory SJS Directory Server など プログラムなど Copyright 2010, Oracle. All rights reserved. 33
<Insert Picture Here> 事例 Copyright 2010, Oracle. All rights reserved. 34
事例 AMTrust Bank ヘルプデスク工数の削減 企業の課題 システムごとのパスワード管理がサポートの重荷になっていた 無数の DB OS がばらばら管理されていることで 棚卸などのコンプライアンス対応もほぼ不可能な状態 オラクル DB など製品に対する投資効果を最大化したかった Copyright 2010, Oracle. All rights reserved. 35
事例 AMTrust Bank ヘルプデスク工数の削減 AmTrust 事例 ポータル AD パスワードフィルタ Windows 統合認証 対象 DB OS Oracle Internet Directory オラクルのソリューション データ連携 Active Directory Oracle Internet Directory を導入 Directory Integration Platform(OID の一機能 ) を利用して 既存の Active Directory とのデータ連携を行った Oracle Applications に対するログイン OSSO DB 管理のための EUS OS ユーザー管理のための OAS4OS を導入 Copyright 2010, Oracle. All rights reserved. 36
事例 AMTrust Bank ヘルプデスク工数の削減 企業の課題 システムごとのパスワード管理がサポートの重荷になっていた 無数の DB OS がばらばら管理されていることで 棚卸などのコンプライアンス対応もほぼ不可能な状態 オラクル DB など製品に対する投資効果を最大化したかった 投資効果 DB と OS のパスワードに関するヘルプデスクに問い合わせが 80% 減少 各システムに対して一定レベルのシステム セキュリティを確保 AD 連携をすることで エンドユーザーに DB ログインも含めた Windows 統合認証を提供できた Copyright 2010, Oracle. All rights reserved. 37
事例 MKB Bank EUS を用いた DB セキュリティ 企業の課題 企業にすでに導入されているディレクトリを利用して 新規構築のデータウェアハウスのユーザー情報の管理 ロール割り当て管理を行いたい しかし 新規ディレクトリを構築し 既存のディレクトリとデータをやり取りすることは行いたくない オラクルのソリューション Oracle Virtual Directory を利用した EUS を導入 Oracle Virtual Directory が AD 内の情報を仮想的に統合 AD と仮想統合することで EUS が Windows と同じパスワードを利用することができる 投資効果 データウェアハウスに対するセキュアなログインを 短い導入期間で実現 データベースユーザーを管理するだけのディレクトリを構築する必要がない データベースユーザ管理を一元化することで管理を簡素化 Copyright 2010, Oracle. All rights reserved. 38
事例 MKB Bank EUS を用いた DB セキュリティ Enterprise User Security DB 利用 仮想統合 ユーザー / EUS 対象 データベース Oracle Virtual Directory Active Directory プログラムなど ユーザー グループを アカウント管理システムで管理 企業内アカウント管理システム ( 例 :Oracle Identity Manager) Copyright 2010, Oracle. All rights reserved. 39
<Insert Picture Here> まとめ Copyright 2010, Oracle. All rights reserved. 40
まとめ まとめて 簡単に OS DBアカウントを管理することはたくさんのメリットをもたらします 管理負荷の軽減 過剰権限付与 不正使用のリスクを軽減 ユーザー利便性の向上 Oracle ソリューションは既存の環境に適用することができ さらにお客様のセキュリティポリシーに従った運用に乗せることができます 既存のディレクトリの活用 DB OS のユーザー 権限管理ライフサイクルをより簡単に Copyright 2010, Oracle. All rights reserved. 41
まとめ これで DB OS 管理は ばっちりだ!! Copyright 2010, Oracle. All rights reserved. 42
<Insert Picture Here> 付録 : Oracle Direct サービスのご紹介 Copyright 2010, Oracle. All rights reserved. 43
OTN ダイセミでスキルアップ!! 技術的な内容について疑問点を解消したい! 一般的なその解決方法などを知りたい! セミナ資料など技術コンテンツがほしい! Oracle Technology Network(OTN) を御活用下さい http://otn.oracle.co.jp/forum/index.jspa?categoryid=2 技術的な疑問点は OTN 掲示版の データベース一般 へ OTN 掲示版は 基本的に Oracle ユーザー有志からの回答となるため 100% 回答があるとは限りません ただ 過去の履歴を見ると 質問の大多数に関してなんらかの回答が書き込まれております http://www.oracle.com/technology/global/jp/ondemand/otn seminar/index.html 過去のセミナ資料 動画コンテンツは OTN の OTN コンテンツオンデマンド へ ダイセミ事務局にダイセミ資料を請求頂いても お受けできない可能性がございますので予めご了承ください ダイセミ資料は OTN コンテンツオンデマンドか セミナ実施時間内にダウンロード頂くようお願い致します Copyright 2010, Oracle. All rights reserved. 44
OTN セミナーオンデマンドコンテンツ 期間限定にて ダイセミの人気セミナーを動画配信中!! ダイセミのライブ感はそのままに お好きな時間で受講頂けます http://www.oracle.com/technology/global/jp/ondemand/otn seminar/index.html 掲載のコンテンツ内容は予告なく変更になる可能性があります いずれも期間限定での配信です 気になるコンテンツは早めにダウンロード頂くことをお勧めいたします Copyright 2010, Oracle. All rights reserved. 45
IT プロジェクト全般に渡る無償支援サービス Oracle Direct Concierge サービスメニュー システム運用状況の診断 パフォーマンス クリニック サービス システム セキュリティ診断サービス データ管理最適化サービス 経営企画 業務改善計画の作成支援 業務診断サービス BI アセスメントサービス 運用 IT 企画 システム企画の作成支援 業務診断サービス BI アセスメントサービス システム構築時の道案内 Access / SQL Server からの移行 MySQL / PostgreSQL からの移行 Oracle Database バージョンアップ支援 Oracle Developer Web アップグレード システム連携アセスメントサービス 構築 設計 RFP/ 提案書の作成支援 BI アセスメントサービス 仮想化アセスメントサービス Oracle Database 構成相談サービス Oracle Database 高可用性クリニック Copyright 2010, Oracle. All rights reserved. 46
あなたにいちばん近いオラクル Oracle Direct まずはお問合せください Oracle Direct 検索 システムの検討 構築から運用まで ITプロジェクト全般の相談窓口としてご支援いたします システム構成やライセンス / 購入方法などお気軽にお問い合わせ下さい Web 問い合わせフォームフリーダイヤル 専用お問い合わせフォームにてご相談内容を承ります http://www.oracle.co.jp/inq_pl/inquiry/quest?rid=28 フォームの入力には Oracle Direct Seminar 申込時と同じログインが必要となります こちらから詳細確認のお電話を差し上げる場合がありますので ご登録さ れている連絡先が最新のものになっているか ご確認下さい 0120-155-096 月曜 ~ 金曜 9:00~12:00 13:00~18:00 ( 祝日および年末年始除く ) Copyright 2010, Oracle. All rights reserved. 47
以上の事項は 弊社の一般的な製品の方向性に関する概要を説明するものです また 情報提供を唯一の目的とするものであり いかなる契約にも組み込むことはできません 以下の事項は マテリアルやコード 機能を提供することをコミットメント ( 確約 ) するものではないため 購買決定を行う際の判断材料になさらないで下さい オラクル製品に関して記載されている機能の開発 リリースおよび時期については 弊社の裁量により決定されます Oracle PeopleSoft JD Edwards 及び Siebel は 米国オラクル コーポレーション及びその子会社 関連会社の登録商標です その他の名称はそれぞれの会社の商標の可能性があります Copyright 2010, Oracle. All rights reserved. 48