Oracle Direct Seminar <Insert Picture Here> システム管理者必見! ~ 乱立する DB と OS のユーザー / 権限管理の改善方法日本オラクル株式会社 Fusion Middleware 事業統括本部 Security SC 部大森潤

本日の内容はじめにユーザーと権限をまとめて管理するまとめて簡単に管理する Oracle ソリューションご紹介既存環境との連携と導入事例まとめ無償技術サービス Oracle Direct Concierge SQL Server からの移行アセスメント MySQL からの移行相談 PostgreSQL からの移行相談 Access からの移行アセスメント Oracle Database バージョンアップ支援 Oracle Developer/2000 Web アップグレード相談パフォーマンスクリニック Oracle Database 構成相談 Oracle Database 高可用性診断システム連携アセスメントシステムセキュリティ診断簡易業務診断 http://www.oracle.com/lang/jp/direct/services.html Copyright 2010, Oracle. All rights reserved. 2

はじめに最近お客様からこんな話を耳にしますどのユーザーがどの DB/OS 権限を持っているのか把握できない依頼が多くて処理できないから権限はとりあえず DBA みんなで root( または sys) を使っているアカウントがいつまでたっても作られなくて作業ができないいまどのユーザーが使用中でどのユーザーが必要ないか分からない Copyright 2010, Oracle. All rights reserved. 4

企業での DB/OS ユーザー管理の現状システム部や開発の現場でのデータベース /OS 管理いろんな部署の人に問い合わせるのが大変棚卸の進捗確認だけで時間と手間がかかりすぎる監査担当情報システム部管理者退職した人のアカウントちゃんと消えてるか確認して各部署ごとの異なるアカウント申請手続きが複雑ユーザー OS / DB 群 Copyright 2010, Oracle. All rights reserved. 7

不適切なユーザー / 権限管理管理の煩雑さはセキュリティポリシーを徹底できなくし企業全体のセキュリティを低下させます依頼が多くて処理できないから権限はとりあえず DBA 情報システム部管理者 OS は root を使いまわせばいいや OS / DB 群トラッキングが不可能な管理者アカウントの利用や過剰権限を悪用するケースの増加 Copyright 2010, Oracle. All rights reserved. 8

まとめて管理をするまとめて管理はシステム部管理者利用者また監査責任者などにとって多数のメリットをもたらすことができます監査人法対応での調査が楽になった権限も全システムにわたって適切に設定されていてセキュリティレベルも向上してるねユーザー申請方法が統一されてわかりやすくなった権限の変更にもすぐに対応してくれるから仕事の効率が上がるよ管理者一か所で全部の OS と DB に対してのユーザー管理ができるようになって負担が減ったよ権限も自動的に設定されるし楽 Copyright 2010, Oracle. All rights reserved. 12

Oracleソリューションまとめて簡単に管理するためのソリューション OracleはOSとDBのアカウントをディレクトリ Oracle Internet Directory で管理するソリューションを提供していますオペレーティングシステム Oracle Internet Directory Oracle Authentication Services for Operating Systems データベース Enterprise User Security プロキシ認証 Copyright 2010, Oracle. All rights reserved. 16

Oracle Internet Directory (OID) ~ Oracle Database を基盤とする高信頼性 LDAPv3 ディレクトリサーバー Oracle Internet Directory とは LDAP 標準ディレクトリサーバー LDAPv3 標準準拠のディレクトリサーバー小規模から大規模まで対応他社製ディレクトリサーバーとの連携機能を標準で提供 Oracle Internet Directory LDAP over SSL LDAP クライアント LDAP LDAP Listener Oracle DB Copyright 2010, Oracle. All rights reserved. 17

Oracle Internet Directory (OID) ~ Oracle Database を基盤とする高信頼性 LDAPv3 ディレクトリサーバー特徴 Oracle Database を基盤とした設計データ格納先にOracle Databaseを利用 Enterprise Managerによる運用管理 PL/SQL Javaによるプラグイン開発 Oracle DB 認証連携 Active Directory からのパスワード同期 OracleAS SSO との連携による Windows ネイティブ認証のサポートディレクトリデータ連携外部ディレクトリとのデータ同期 (AD など ) (Directory Integration Platform 機能 ) Oracle Database との連携 Copyright 2010, Oracle. All rights reserved. 18

Oracleソリューション Enterprise User Security Oracle DB EE OID Enterprise User Securityは複数のOracle Databaseのユーザーと割り当てられている権限をOracle Internet Directoryで管理するソリューションですどのデータベースにどのユーザーがどんな権限でアクセスが可能かを一つのOracle Internet Directoryのみで制御できますユーザー/権限問い合わせ Oracle Internet Directory データベース Enterprise User Security Copyright 2010, Oracle. All rights reserved. 19

Oracle ソリューション Enterprise User Security Enterprise User Security ではデータベースへのログイン認証を Oracle Internet Directory に移譲します Windows 統合認証を利用することも可能ですユーザー情報ユーザー権限情報 Oracle Internet Directory 2 認証の要求 3 認証結果 4ロール要求 5ロール結果データベース 1 ログイン (SQL Plus Java Forms など ) Copyright 2010, Oracle. All rights reserved. 20

Oracle ソリューション Enterprise User Security ディレクトリ内では権限とユーザーのマッピングを定義します特定の権限エントリに所属するユーザーであればその権限を自動的に割り当てる設定が可能です Oracle Internet Directory スキーママッピング DB1 スキーマ1 ユーザー A ユーザー B スキーマユーザー DB1 スキーマ 1 DB2 スキーマ 2 権限レルム管理者ロールユーザー A プロジェクト1ロールユーザー B ユーザー C DB 権限 DBA CONNECT RESOURCE CREATE TABLE データベース Copyright 2010, Oracle. All rights reserved. 21

Oracle ソリューション Enterprise User Security ディレクトリ内ユーザーを各 DB のスキーマユーザーにマッピングすることで同一スキーマをユーザーを識別できます (= 共有ユーザーを誰が操作を行ったかを識別することが可能 ) ユーザー A ユーザー B connect スキーマ 1/Password 全員同じログイン方法なので誰が使用したのか識別できない EUS 導入前スキーマユーザー DB1 スキーマ 1 ユーザー A connect ユーザー A/Password スキーママッピング DB1 スキーマ1 データベース EUS 導入後ユーザー B connect ユーザー B/Password ユーザー A ユーザー B ユーザー C ディレクトリでのログインユーザー情報が記録できるので識別可 Copyright 2010, Oracle. All rights reserved. 22

Oracle ソリューション Enterprise User Security 導入のメリット複数の DB に存在しているユーザーを一元管理することによる管理コストの削減複数の DB に存在しているユーザーを一元管理することによるコンプライアンスの徹底各 DB のセキュリティレベルの向上パスワードリセットの手間の削減 DB 共有スキーマの利用ユーザーの識別 Copyright 2010, Oracle. All rights reserved. 23

Oracle ソリューション Oracle Authentication Services for Operating Systems (Oracle Directory Services ライセンス ) Oracle Authentication Services for Operating Systems は複数の OS のユーザーと Sudo 権限を Oracle Internet Directory で管理するソリューションですどのユーザーがどんな操作を OS に対して可能かを一つの Oracle Internet Directory のみで制御できます Oracle Internet オペレーティングシステム Directory Oracle Authentication Services for Operating Systems Copyright 2010, Oracle. All rights reserved. 24

Oracle ソリューション Oracle Authentication Services for OS 標準的な PAM を利用し OS ユーザー管理 Sudo を用いた権限管理をディレクトリを利用して一元的に行います 1OS ログイン 2 認証の要求 3 認証結果オペレーティングシステム Oracle Internet Directory Copyright 2010, Oracle. All rights reserved. 25

Oracle ソリューション Oracle Authentication Services for OS の特徴導入が容易クライアント側 OS の PAM 設定 SSL 設定用スクリプト既存環境からのユーザー情報移行スクリプト可用性スケーラビリティ安全 OID を使用することでユーザー管理を可用性拡張性セキュリティに優れたリポジトリで管理クロスプラットフォームサポート一般的な Linux Unix プラットフォームをサポートします Copyright 2010, Oracle. All rights reserved. 26

Oracle ソリューションその先に企業内のセキュリティポリシーの徹底ユーザーライフサイクル管理との連携による効率的にかつ確実な DB OS アカウント管理企業全体での同一のセキュリティポリシーの適用基幹システム企業ディレクトリセキュリティポリシー人事情報アカウント管理システムシステムのセキュリティガバナンスの徹底 DB OS Copyright 2010, Oracle. All rights reserved. 27

Oracleソリューションその先に Oracle Authentication Services for Operating Systems オペレーティングシステム Enterprise User Security Oracle Internet Directory データベース自動アカウント操作権限設定異動退職などの情報アカウント申請/承認人事システム企業内アカウント管理システム例 Oracle Identity Manager Copyright 2010, Oracle. All rights reserved. 28

既存環境との連携既存の LDAP とユーザー情報連携を行う Oracle Internet Directory では Directory Integration Platform という機能を使うことによって Active Directory などの外部ディレクトリと情報連携を行うことができますパスワードフィルターを用いることでパスワード連携も可能です DB OS 利用 AD パスワードフィルターデータ連携ユーザー / 対象 DB OS Oracle Internet Directory Active Directory SJS Directory Server などプログラムなど Copyright 2010, Oracle. All rights reserved. 32

既存環境との連携既存の LDAP を仮想ディレクトリに接続する Oracle Virtual Directory という実態のない仮想ディレクトリを用いることですでに導入している Active Directory や Sun のディレクトリを利用して Enterprise User Security を実現することも可能です Enterprise User Security DB 利用仮想統合ユーザー / EUS 対象データベース Oracle Virtual Directory Active Directory SJS Directory Server などプログラムなど Copyright 2010, Oracle. All rights reserved. 33

事例 AMTrust Bank ヘルプデスク工数の削減 AmTrust 事例ポータル AD パスワードフィルタ Windows 統合認証対象 DB OS Oracle Internet Directory オラクルのソリューションデータ連携 Active Directory Oracle Internet Directory を導入 Directory Integration Platform(OID の一機能 ) を利用して既存の Active Directory とのデータ連携を行った Oracle Applications に対するログイン OSSO DB 管理のための EUS OS ユーザー管理のための OAS4OS を導入 Copyright 2010, Oracle. All rights reserved. 36

事例 AMTrust Bank ヘルプデスク工数の削減企業の課題システムごとのパスワード管理がサポートの重荷になっていた無数の DB OS がばらばら管理されていることで棚卸などのコンプライアンス対応もほぼ不可能な状態オラクル DB など製品に対する投資効果を最大化したかった投資効果 DB と OS のパスワードに関するヘルプデスクに問い合わせが 80% 減少各システムに対して一定レベルのシステムセキュリティを確保 AD 連携をすることでエンドユーザーに DB ログインも含めた Windows 統合認証を提供できた Copyright 2010, Oracle. All rights reserved. 37

事例 MKB Bank EUS を用いた DB セキュリティ企業の課題企業にすでに導入されているディレクトリを利用して新規構築のデータウェアハウスのユーザー情報の管理ロール割り当て管理を行いたいしかし新規ディレクトリを構築し既存のディレクトリとデータをやり取りすることは行いたくないオラクルのソリューション Oracle Virtual Directory を利用した EUS を導入 Oracle Virtual Directory が AD 内の情報を仮想的に統合 AD と仮想統合することで EUS が Windows と同じパスワードを利用することができる投資効果データウェアハウスに対するセキュアなログインを短い導入期間で実現データベースユーザーを管理するだけのディレクトリを構築する必要がないデータベースユーザ管理を一元化することで管理を簡素化 Copyright 2010, Oracle. All rights reserved. 38

事例 MKB Bank EUS を用いた DB セキュリティ Enterprise User Security DB 利用仮想統合ユーザー / EUS 対象データベース Oracle Virtual Directory Active Directory プログラムなどユーザーグループをアカウント管理システムで管理企業内アカウント管理システム ( 例 :Oracle Identity Manager) Copyright 2010, Oracle. All rights reserved. 39

まとめまとめて簡単に OS DBアカウントを管理することはたくさんのメリットをもたらします管理負荷の軽減過剰権限付与不正使用のリスクを軽減ユーザー利便性の向上 Oracle ソリューションは既存の環境に適用することができさらにお客様のセキュリティポリシーに従った運用に乗せることができます既存のディレクトリの活用 DB OS のユーザー権限管理ライフサイクルをより簡単に Copyright 2010, Oracle. All rights reserved. 41

OTN ダイセミでスキルアップ!! 技術的な内容について疑問点を解消したい! 一般的なその解決方法などを知りたい! セミナ資料など技術コンテンツがほしい! Oracle Technology Network(OTN) を御活用下さい http://otn.oracle.co.jp/forum/index.jspa?categoryid=2 技術的な疑問点は OTN 掲示版のデータベース一般へ OTN 掲示版は基本的に Oracle ユーザー有志からの回答となるため 100% 回答があるとは限りませんただ過去の履歴を見ると質問の大多数に関してなんらかの回答が書き込まれております http://www.oracle.com/technology/global/jp/ondemand/otn seminar/index.html 過去のセミナ資料動画コンテンツは OTN の OTN コンテンツオンデマンドへダイセミ事務局にダイセミ資料を請求頂いてもお受けできない可能性がございますので予めご了承くださいダイセミ資料は OTN コンテンツオンデマンドかセミナ実施時間内にダウンロード頂くようお願い致します Copyright 2010, Oracle. All rights reserved. 44

OTN セミナーオンデマンドコンテンツ期間限定にてダイセミの人気セミナーを動画配信中!! ダイセミのライブ感はそのままにお好きな時間で受講頂けます http://www.oracle.com/technology/global/jp/ondemand/otn seminar/index.html 掲載のコンテンツ内容は予告なく変更になる可能性がありますいずれも期間限定での配信です気になるコンテンツは早めにダウンロード頂くことをお勧めいたします Copyright 2010, Oracle. All rights reserved. 45

IT プロジェクト全般に渡る無償支援サービス Oracle Direct Concierge サービスメニューシステム運用状況の診断パフォーマンスクリニックサービスシステムセキュリティ診断サービスデータ管理最適化サービス経営企画業務改善計画の作成支援業務診断サービス BI アセスメントサービス運用 IT 企画システム企画の作成支援業務診断サービス BI アセスメントサービスシステム構築時の道案内 Access / SQL Server からの移行 MySQL / PostgreSQL からの移行 Oracle Database バージョンアップ支援 Oracle Developer Web アップグレードシステム連携アセスメントサービス構築設計 RFP/ 提案書の作成支援 BI アセスメントサービス仮想化アセスメントサービス Oracle Database 構成相談サービス Oracle Database 高可用性クリニック Copyright 2010, Oracle. All rights reserved. 46

あなたにいちばん近いオラクル Oracle Direct まずはお問合せください Oracle Direct 検索システムの検討構築から運用まで ITプロジェクト全般の相談窓口としてご支援いたしますシステム構成やライセンス / 購入方法などお気軽にお問い合わせ下さい Web 問い合わせフォームフリーダイヤル専用お問い合わせフォームにてご相談内容を承ります http://www.oracle.co.jp/inq_pl/inquiry/quest?rid=28 フォームの入力には Oracle Direct Seminar 申込時と同じログインが必要となりますこちらから詳細確認のお電話を差し上げる場合がありますのでご登録されている連絡先が最新のものになっているかご確認下さい 0120-155-096 月曜 ~ 金曜 9:00~12:00 13:00~18:00 ( 祝日および年末年始除く ) Copyright 2010, Oracle. All rights reserved. 47

以上の事項は弊社の一般的な製品の方向性に関する概要を説明するものですまた情報提供を唯一の目的とするものでありいかなる契約にも組み込むことはできません以下の事項はマテリアルやコード機能を提供することをコミットメント ( 確約 ) するものではないため購買決定を行う際の判断材料になさらないで下さいオラクル製品に関して記載されている機能の開発リリースおよび時期については弊社の裁量により決定されます Oracle PeopleSoft JD Edwards 及び Siebel は米国オラクルコーポレーション及びその子会社関連会社の登録商標ですその他の名称はそれぞれの会社の商標の可能性があります Copyright 2010, Oracle. All rights reserved. 48

Oracle Direct Seminar <Insert Picture Here> システム管理者必見! ~ 乱立する DB と OS のユーザー / 権限管理の改善方法 日本オラクル株式会社 Fusion Middleware 事業統括本部 Security SC 部大森潤

Oracle Direct Seminar <Insert Picture Here> システム管理者必見! ~ 乱立する DB と OS のユーザー / 権限管理の改善方法日本オラクル株式会社 Fusion Middleware 事業統括本部 Security SC 部大森潤