dbSecure_NAME
Oracleデータベースのセキュアな構成
racSecure_NAME
Oracle Real Application Clusterのセキュアな構成
dbSecure_DESC
データベースに対する外部からの脅威や攻撃を防止するような、最適なセキュリティ構成に設定しているか確認して、よりセキュアなOracleデータベースの運用環境を用意します。
dbSecure_SecurityKEYWORD
セキュリティ
PostInstallation_NAME
インストール後
PostInstallation_DESC
デフォルトのデータベース・サーバー・アカウントを確実に保護するルールが含まれます。最も単純な方法(ただし、データベースが損なわれる可能性もあり)は、デフォルトのデータベース・サーバー・アカウントでデフォルトのパスワードをそのまま使うようにすることです。
DefaultPwd_NAME
デフォルトのパスワードが変更されました
DefaultPwd_DESC
管理アカウントのデフォルトのパスワードが変更されたことを確認します。
DefaultPwd_RATIONALE
セキュリティは、デフォルトのデータベース・ユーザー・アカウントでインストール後もデフォルトのパスワードを使用している場合に最も簡単に損なわれます。すべてのOracle環境で、データベース・サーバーのインストールに成功した直後に強力でセキュアなパスワードを管理アカウントに割り当ててください。
DefaultPwd_FIX
管理ユーザーのデフォルトのパスワードを変更してください。
DefaultAccountLockedAndExpired_NAME
デフォルトのアカウントはロックされていて期限切れです
DefaultAccountLockedAndExpired_DESC
デフォルトの管理アカウントがロックされていて期限切れであることを確認します。
DefaultAccountLockedAndExpired_RATIONALE
Oracleデータベースは、多数のデフォルト(現在)のデータベース・ユーザー・アカウントとともにインストールされます。データベース・サーバー・インスタンスの作成に成功したら、デフォルトのデータベース・ユーザー・アカウントはロックされて期限切れになる必要があります。デフォルトの状態でオープンにされていると、これらのユーザー・アカウントが利用され、データへの不正なアクセス権の取得やデータベース操作の中断が行われる場合があります。
DefaultAccountLockedAndExpired_FIX
デフォルトの管理アカウントをロックして期限切れにしてください。
OracleDirAndFilePerms_NAME
Oracleディレクトリとファイル権限
OracleDirAndFilePerms_DESC
Oracleソフトウェアを含むディレクトリおよびファイルに対する権限を確実に満たすルールが含まれます。オペレーティング・システム・ユーザーがデータベースを簡単に攻撃できないようにするため、アクセスを制限します。
OracleDirAndFilePermsU_NAME
Unixプラットフォーム
OracleDirAndFilePermsU_DESC
Oracleソフトウェアを含むディレクトリおよびファイルに対する権限を確実に満たすルールが含まれます。
AppropriateUMaskValue_NAME
適切なumask値
AppropriateUMaskValue_DESC
Oracleソフトウェアの所有者に適切なumask値である022が設定されていることを確認します。
AppropriateUMaskValue_RATIONALE
umask値が適切な値(022など)に設定されていない場合、ログ・ファイルまたはトレース・ファイル(あるいはその両方)が一般にアクセス可能になり、機密情報が公開される可能性があります。
AppropriateUMaskValue_FIX
Oracleソフトウェアの所有者のumask値を022に設定してください。
DbDatafilesU_NAME
データベースのデータファイル
DbDatafilesU_DESC
データファイルへのアクセスが、Oracleソフトウェアの所有者とDBAグループに制限されていることを確認します。
DbDatafilesU_RATIONALE
偶然または故意のデータへの不正なアクセスやデータの不正な変更を防ぐために、データファイルへのアクセスを制限してください。
DbDatafilesU_FIX
データファイルに対する権限を、Oracleソフトウェアの所有者およびDBAグループに制限してください。全ユーザーに対して読取り権限および書込み権限を付与しないでください。
IFileU_NAME
IFILE参照先ファイル(IFILE)
IFileU_DESC
IFILEデータベース初期化パラメータに参照されるファイルへのアクセスが、Oracleソフトウェアの所有者およびDBAグループに制限されていることを確認します。
IFileU_RATIONALE
IFILEデータベース初期化パラメータは、現行の初期化パラメータ・ファイルに別の初期化パラメータ・ファイルの内容を埋め込むために使用できます。データベースのセキュリティ・ポリシーやOracleデータベース構成の脆弱性を公開することを防ぐために、初期化パラメータ・ファイルへのアクセスは制限してください。
IFileU_FIX
IFILE初期化パラメータに参照されるファイルに対する権限を、Oracleソフトウェアの所有者およびDBAグループに制限してください。全ユーザーに対して読取り権限または書込み権限を付与しないでください。
AuditFileDestU_NAME
監査ファイル保存先(AUDIT_FILE_DEST)
AuditFileDestU_DESC
AUDIT_FILE_DESTデータベース初期化パラメータに参照されるディレクトリへのアクセスが、Oracleソフトウェアの所有者およびDBAグループに制限されていることを確認します。
AuditFileDestU_RATIONALE
AUDIT_FILE_DESTデータベース初期化パラメータは、データベース監査が有効かどうかによらず、一部の監査データが書き込まれるオペレーティング・システム・ディレクトリを指定します。データベースの起動、停止および優先接続に関するログ情報などの機密情報が公開されることを防ぐために、監査ファイルへのアクセスを制限してください。
AuditFileDestU_FIX
AUDIT_FILE_DEST初期化パラメータに参照されるディレクトリに対する権限を、Oracleソフトウェアの所有者およびDBAグループに制限してください。全ユーザーに対して読取り権限または書込み権限を付与しないでください。
UserDumpDestU_NAME
ユーザー・ダンプ保存先(USER_DUMP_DEST)
UserDumpDestU_DESC
USER_DUMP_DESTデータベース初期化パラメータに参照されるディレクトリへのアクセスが、Oracleソフトウェアの所有者およびDBAグループに制限されていることを確認します。
UserDumpDestU_RATIONALE
USER_DUMP_DESTデータベース初期化パラメータは、ユーザー・プロセスのかわりにサーバーによってデバッグ・トレース・ファイルが書き込まれるディレクトリを指定します。データベースやデータベース上で実行されているアプリケーションに関する機密情報が公開されることを防ぐために、これらのデバッグ・トレース・ファイルへのアクセスは制限してください。
UserDumpDestU_FIX
USER_DUMP_DEST初期化パラメータに参照されるディレクトリに対する権限を、Oracleソフトウェアの所有者およびDBAグループに制限してください。全ユーザーに対して読取り権限または書込み権限を付与しないでください。
BackgroundDumpDestU_NAME
バックグラウンド・ダンプ保存先(BACKGROUND_DUMP_DEST)
BackgroundDumpDestU_DESC
BACKGROUND_DUMP_DESTデータベース初期化パラメータに参照されるディレクトリへのアクセスが、Oracleソフトウェアの所有者およびDBAグループに制限されていることを確認します。
BackgroundDumpDestU_RATIONALE
BACKGROUND_DUMP_DESTデータベース初期化パラメータは、Oracle操作中のバックグラウンド・プロセス(LGWR、DBWnなど)用にデバッグ・トレース・ファイルがサーバーによって書き込まれるディレクトリを指定します。データベースやデータベース上で実行されているアプリケーションに関する機密情報が公開されることを防ぐために、これらのデバッグ・トレース・ファイルへのアクセスは制限してください。
BackgroundDumpDestU_FIX
BACKGROUND_DUMP_DEST初期化パラメータに参照されるディレクトリに対する権限を、Oracleソフトウェアの所有者および DBAグループに制限してください。全ユーザーに対して読取り権限または書込み権限を付与しないでください。
CoreDumpDestU_NAME
コア・ダンプ保存先(CORE_DUMP_DEST)
CoreDumpDestU_DESC
CORE_DUMP_DESTデータベース初期化パラメータに参照されるディレクトリへのアクセスが、Oracleソフトウェアの所有者およびDBAグループに制限されていることを確認します。
CoreDumpDestU_RATIONALE
CORE_DUMP_DESTデータベース初期化パラメータは、コア・ダンプ・ファイルがサーバーによって書き込まれるディレクトリを指定します。データベースやデータベース上で実行されているアプリケーションに関する機密情報が公開されることを防ぐために、これらのコア・ダンプ・ファイルへのアクセスは制限してください。
CoreDumpDestU_FIX
CORE_DUMP_DEST初期化パラメータに参照されるディレクトリに対する権限を、Oracleソフトウェアの所有者およびDBAグループに制限してください。全ユーザーに対して読取り権限または書込み権限を付与しないでください。
ControlFilesU_NAME
制御ファイル(CONTROL_FILES)
ControlFilesU_DESC
CONTROL_FILESデータベース初期化パラメータに参照されるディレクトリへのアクセスが、Oracleソフトウェアの所有者およびDBAグループに制限されていることを確認します。
ControlFilesU_RATIONALE
データベースおよびそのデータに関する機密情報が公開されることを防ぐために、制御ファイルへのアクセスは制限してください。
ControlFilesU_FIX
CONTROL_FILES初期化パラメータに参照されるファイルに対する権限を、Oracleソフトウェアの所有者およびDBAグループに制限してください。全ユーザーに対して読取り権限または書込み権限を付与しないでください。
OHExecutablesU_NAME
Oracleホーム実行可能ファイル
OHExecutablesU_DESC
ORACLE_HOME/binディレクトリ内のファイルへのアクセスが制限されていることを確認します。
OHExecutablesU_RATIONALE
アクセス制御権限が緩すぎる場合、不正な利用や偶然または故意の誤用が発生する可能性があります。
OHExecutablesU_FIX
ORACLE_HOME/bin内ディレクトリのすべてのファイルに対する権限を、Oracleソフトウェアの所有者およびDBAグループに制限してください。グループまたは全ユーザーに対して書込み権限を付与しないでください。つまり、権限は0755以下に設定してください。
OHNonExecutablesU_NAME
Oracleホーム実行不可能ファイル
OHNonExecutablesU_DESC
ORACLE_HOMEディレクトリ(ORACLE_HOME/binを除く)内のファイルへのアクセスが制限されていることを確認します。
OHNonExecutablesU_RATIONALE
これらのファイルへのアクセスを制限してください。アクセス制御権限が緩すぎる場合、不正な利用や偶然または故意の誤用が発生する可能性があります。
OHNonExecutablesU_FIX
ORACLE_HOMEディレクトリ(ORACLE_HOME/binを除く)内のすべてのファイルに対する権限を、Oracleソフトウェアの所有者およびDBAグループに制限してください。グループへの書込み権限の付与や全ユーザーへの読取り権限、書込み権限または実行権限の付与は行わないでください。つまり、権限は0750以下に設定してください。
OracleDirAndFilePermsW_NAME
Windowsプラットフォーム
OracleDirAndFilePermsW_DESC
Oracleソフトウェアを含むディレクトリおよびファイルに対する権限を確実に満たすルールが含まれます。
DbDatafilesW_NAME
データベースのデータファイル
DbDatafilesW_DESC
データファイルへのアクセスが、Oracleソフトウェアの所有者に制限されていることを確認します。
DbDatafilesW_RATIONALE
偶然または故意のデータへの不正なアクセスやデータの不正な変更を防ぐために、データファイルへのアクセスを制限してください。
DbDatafilesW_FIX
データファイルに対する権限を、Oracleソフトウェアの所有者およびDBAグループに制限してください。他のユーザーまたはユーザー・グループに対しては、DELETE、WRITE_DAC、WRITE_OWNER、CHANGE、ADDまたはFULL権限を付与しないでください。
IFileW_NAME
IFILE参照先ファイル(IFILE)
IFileW_DESC
IFILEデータベース初期化パラメータに参照されるファイルへのアクセスが、Oracleソフトウェアの所有者に制限されていることを確認します。
IFileW_RATIONALE
IFILEデータベース初期化パラメータは、現行の初期化パラメータ・ファイルに別の初期化パラメータ・ファイルの内容を埋め込むために使用できます。データベースのセキュリティ・ポリシーやOracleデータベース構成の脆弱性を公開することを防ぐために、初期化パラメータ・ファイルへのアクセスは制限してください。
IFileW_FIX
IFILE初期化パラメータに参照されるファイルに対する権限を、Oracleソフトウェアの所有者およびDBAグループに制限してください。他のユーザーまたはユーザー・グループに対しては、DELETE、WRITE_DAC、WRITE_OWNER、CHANGE、ADDまたはFULL権限を付与しないでください。
AuditFileDestW_NAME
監査ファイル保存先(AUDIT_FILE_DEST)
AuditFileDestW_DESC
AUDIT_FILE_DESTデータベース初期化パラメータに参照されるディレクトリへのアクセスが、Oracleソフトウェアの所有者に制限されていることを確認します。
AuditFileDestW_RATIONALE
AUDIT_FILE_DESTデータベース初期化パラメータは、データベース監査が有効化された場合に、監査証跡が書き込まれるオペレーティング・システム・ディレクトリを指定します。データベースの起動、停止および優先接続に関するログ情報などの機密情報が公開されることを防ぐために、監査ファイルへのアクセスは制限してください。
AuditFileDestW_FIX
AUDIT_FILE_DEST初期化パラメータに参照されるディレクトリに対する権限を、Oracleソフトウェアの所有者およびDBAグループに制限してください。他のユーザーまたはユーザー・グループに対しては、DELETE、WRITE_DAC、WRITE_OWNER、CHANGE、ADDまたはFULL権限を付与しないでください。
UserDumpDestW_NAME
ユーザー・ダンプ保存先(USER_DUMP_DEST)
UserDumpDestW_DESC
USER_DUMP_DESTデータベース初期化パラメータに参照されるディレクトリへのアクセスが、Oracleソフトウェアの所有者に制限されていることを確認します。
UserDumpDestW_RATIONALE
USER_DUMP_DESTデータベース初期化パラメータは、ユーザー・プロセスのかわりにサーバーによってデバッグ・トレース・ファイルが書き込まれるディレクトリを指定します。データベースやデータベース上で実行されているアプリケーションに関する機密情報が公開されることを防ぐために、これらのデバッグ・トレース・ファイルへのアクセスは制限してください。
UserDumpDestW_FIX
USER_DUMP_DEST初期化パラメータに参照されるディレクトリに対する権限を、Oracleソフトウェアの所有者およびDBAグループに制限してください。他のユーザーまたはユーザー・グループに対しては、DELETE、WRITE_DAC、WRITE_OWNER、CHANGE、ADDまたはFULL権限を付与しないでください。
BackgroundDumpDestW_NAME
バックグラウンド・ダンプ保存先(BACKGROUND_DUMP_DEST)
BackgroundDumpDestW_DESC
BACKGROUND_DUMP_DESTデータベース初期化パラメータに参照されるディレクトリへのアクセスが、Oracleソフトウェアの所有者に制限されていることを確認します。
BackgroundDumpDestW_RATIONALE
BACKGROUND_DUMP_DESTデータベース初期化パラメータは、Oracle操作中のバックグラウンド・プロセス(LGWR、DBWnなど)用にデバッグ・トレース・ファイルがサーバーによって書き込まれるディレクトリを指定します。データベースやデータベース上で実行されているアプリケーションに関する機密情報が公開されることを防ぐために、これらのデバッグ・トレース・ファイルへのアクセスは制限してください。
BackgroundDumpDestW_FIX
BACKGROUND_DUMP_DEST初期化パラメータに参照されるディレクトリに対する権限を、Oracleソフトウェアの所有者およびDBAグループに制限してください。他のユーザーまたはユーザー・グループに対しては、DELETE、WRITE_DAC、WRITE_OWNER、CHANGE、ADDまたはFULL権限を付与しないでください。
CoreDumpDestW_NAME
コア・ダンプ保存先(CORE_DUMP_DEST)
CoreDumpDestW_DESC
CORE_DUMP_DESTデータベース初期化パラメータに参照されるディレクトリへのアクセスが、Oracleソフトウェアの所有者に制限されていることを確認します。
CoreDumpDestW_RATIONALE
CORE_DUMP_DESTデータベース初期化パラメータは、コア・ダンプ・ファイルがサーバーによって書き込まれるディレクトリを指定します。データベースやデータベース上で実行されているアプリケーションに関する機密情報が公開されることを防ぐために、これらのコア・ダンプ・ファイルへのアクセスは制限してください。
CoreDumpDestW_FIX
CORE_DUMP_DEST初期化パラメータに参照されるディレクトリに対する権限を、Oracleソフトウェアの所有者およびDBAグループに制限してください。他のユーザーまたはユーザー・グループに対しては、DELETE、WRITE_DAC、WRITE_OWNER、CHANGE、ADDまたはFULL権限を付与しないでください。
ControlFilesW_NAME
制御ファイル(CONTROL_FILES)
ControlFilesW_DESC
CONTROL_FILESデータベース初期化パラメータに参照されるディレクトリへのアクセスが、Oracleソフトウェアの所有者に制限されていることを確認します。
ControlFilesW_RATIONALE
データベースおよびそのデータに関する機密情報が公開されることを防ぐために、制御ファイルへのアクセスは制限してください。
ControlFilesW_FIX
CONTROL_FILES初期化パラメータに参照されるファイルに対する権限を、Oracleソフトウェアの所有者およびDBAグループに制限してください。他のユーザーまたはユーザー・グループに対しては、DELETE、WRITE_DAC、WRITE_OWNER、CHANGE、ADDまたはFULL権限を付与しないでください。
OHExecutablesW_NAME
Oracleホーム実行可能ファイル
OHExecutablesW_DESC
ORACLE_HOME/binディレクトリ内のファイルへのアクセスが制限されていることを確認します。
OHExecutablesW_RATIONALE
これらの実行可能ファイルへのアクセスを制限してください。アクセス制御権限が緩すぎる場合、不正な利用や偶然または故意の誤用が発生する可能性があります。
OHExecutablesW_FIX
ORACLE_HOME/binディレクトリ内のすべてのファイルに対する権限を、Oracleソフトウェアの所有者およびDBAグループに制限してください。他のユーザーまたはユーザー・グループに対しては、DELETE、WRITE_DAC、WRITE_OWNER、CHANGE、ADDまたはFULL権限を付与しないでください。
OHNonExecutablesW_NAME
Oracleホーム実行不可能ファイル
OHNonExecutablesW_DESC
ORACLE_HOMEディレクトリ(ORACLE_HOME/binを除く)内のファイルへのアクセスが制限されていることを確認します。
OHNonExecutablesW_RATIONALE
これらのファイルへのアクセスを制限してください。アクセス制御権限が緩すぎる場合、不正な利用や偶然または故意の誤用が発生する可能性があります。
OHNonExecutablesW_FIX
ORACLE_HOMEディレクトリ(ORACLE_HOME/binを除く)内のすべてのファイルに対する権限を、Oracleソフトウェアの所有者およびDBAグループに制限してください。他のユーザーまたはユーザー・グループに対しては、DELETE、WRITE_DAC、WRITE_OWNER、CHANGE、ADDまたはFULL権限を付与しないでください。
OHExecutablesOracleOwned_NAME
所有者がOracleでないOracleホーム実行可能ファイル
OHExecutablesOracleOwned_DESC
ORACLE_HOME/binディレクトリ内のすべてのファイルの所有者がOracleソフトウェア・インストールの所有者と同じであることを確認します。
OHExecutablesOracleOwned_RATIONALE
これらの実行可能ファイルへのアクセスを制限してください。アクセス制御権限が緩すぎる場合、不正な利用や偶然または故意の誤用が発生する可能性があります。
OHExecutablesOracleOwned_FIX
ORACLE_HOME/binディレクトリ内のファイルの所有者をOracleソフトウェア・インストールと同じ所有者に変更してください。
OracleParamSettings_NAME
Oracleパラメータ設定
OracleParamSettings_DESC
データベースの初期化パラメータ設定を確実に保護するルールが含まれます。
AccessToTraceFileDisabled_NAME
トレース・ファイルへのアクセス無効(_TRACE_FILES_PUBLIC)
AccessToTraceFileDisabled_DESC
データベース・トレース・ファイルがユーザーから読取り不可能であることを確認します。
AccessToTraceFileDisabled_RATIONALE
_TRACE_FILES_PUBLICパラメータは、USER_DUMP_DESTパラメータで指定されたディレクトリにOracleによって生成されたデバッグ・トレース・ファイルを全員が読取り可能かどうかを示します。データベースやデータベース上で実行されているアプリケーションに関する機密情報が公開されることを防ぐために、これらのデバッグ・トレース・ファイルへのアクセスは制限してください。
AccessToTraceFileDisabled_FIX
_TRACE_FILES_PUBLICをFALSEに設定してください。
RemoteOSRolesDisabled_NAME
リモートOSロール無効(REMOTE_OS_ROLES)
RemoteOSRolesDisabled_DESC
リモートOSロールが無効化されていること、つまり、リモート・オペレーティング・システムのユーザー・グループ・メンバーシップに基づくロールを有効化するようにデータベースが構成されていないことを確認します。
RemoteOSRolesDisabled_RATIONALE
REMOTE_OS_ROLESパラメータは、オペレーティング・システム・ロールがリモート・クライアントに対して許可されるかどうかを指定します。ユーザーがデータベースにOracle Net経由で接続し、そのユーザーのロールがOracleによって認証されない場合、リモート・ユーザーはネットワーク接続上で別のオペレーティング・システム・ユーザーになることができます。ユーザーにリモート認証を許可すること自体が、セキュリティ上の措置としては問題です。これらのアカウントでオペレーティング・システム・ロールを使用できるようにすると、セキュリティ状況はさらに悪化します。
RemoteOSRolesDisabled_FIX
REMOTE_OS_ROLESをFALSEに設定し、Oracleデータベースに接続しているクライアントに対してサーバー・ベースの認証を強制できるようにしてください。
RemoteOSAuthenticationDisabled_NAME
リモートOS認証無効(REMOTE_OS_AUTHENT)
RemoteOSAuthenticationDisabled_DESC
リモートOS認証が無効化されていることを確認します。
RemoteOSAuthenticationDisabled_RATIONALE
REMOTE_OS_AUTHENTパラメータをTRUEに設定すると、Oracleは、セキュアでない接続上で受信したクライアント・オペレーティング・システム・ユーザー名を受け入れ、それをアカウント・アクセスに使用するように強制されます。PCなどのクライアントはオペレーティング・システム認証を正しく実行するとは信頼されていないため、この機能を有効にすることは、セキュリティ上の措置として問題です。
RemoteOSAuthenticationDisabled_FIX
REMOTE_OS_AUTHENTをFALSEに設定し、Oracleデータベースに接続しているクライアントに対してサーバー・ベースの認証を強制できるようにしてください。
RemoteLsnrInstancesDisabled_NAME
リモート・リスナー・インスタンスの使用無効(REMOTE_LISTENER)
RemoteLsnrInstancesDisabled_DESC
データベース・インスタンスとは別のリモート・マシンでリスナー・インスタンスの使用が無効化されていることを確認します。
RemoteLsnrInstancesDisabled_RATIONALE
REMOTE_LISTENERパラメータを使用すると、リモート・マシン上のリスナーがデータベースにアクセスできます。リモート・マシン上のリスナーの使用は禁止してください。
RemoteLsnrInstancesDisabled_FIX
REMOTE_LISTENERを"" (NULL文字列)に設定してください。ただし、マルチマスター・レプリケーション環境またはRAC環境では、このパラメータ設定によりロード・バランシング・メカニズムがリスナーに提供されるため、このパラメータは適用できません。
DbAuditingEnabled_NAME
データベース監査有効(AUDIT_TRAIL)
DbAuditingEnabled_DESC
データベース監査が有効であることを確認します。
DbAuditingEnabled_RATIONALE
AUDIT_TRAILパラメータは、データベース監査を有効または無効にします。監査は常にアカウンタビリティに関して行われ、データベースに格納されている情報のプライバシの保護および維持のために頻繁に行われます。また、監査により、システム管理者は保護の強化、不審なアクティビティの早期検出およびセキュリティ・レスポンスの微調整を行うことができます。
DbAuditingEnabled_FIX
AUDIT_TRAILをDB、デフォルトまたはOSに設定します。データベースに格納される監査レコードは、OSに格納される監査レコードに比べて表示や管理が容易です。ただし、オペレーティング・システムのファイルに格納される監査レコードは、適切なファイル権限で保護することができ、データベースが一時的にアクセス不可能な場合にも使用できます。
DbAuditingEnabled_WARNING
監査はリソースをあまり消費しませんが、監査イベントの数はできるかぎり制限してください。制限することで、監査文の実行のパフォーマンスに対する影響と監査証跡のサイズが最小化され、分析と理解が容易になります。
SecureOSAuthenticationPrefix_NAME
セキュアなOS認証の接頭辞(OS_AUTHENT_PREFIX)
SecureOSAuthenticationPrefix_DESC
OS認証の接頭辞の値がOPS$以外に設定されていることを確認します
SecureOSAuthenticationPrefix_RATIONALE
OS_AUTHENT_PREFIXパラメータは、サーバーに接続しようとしているユーザーの認証に使用される接頭辞を指定します。接続リクエストが試行されると、Oracleでは接頭辞付きのユーザー名をデータベース内のユーザー名と比較します。OPS$接頭辞を使用すると、アカウントをオペレーティング・システム・ユーザーとして、またはIDENTIFIED BY句で使用されるパスワードによって認証できるため、構成がセキュアでなくなる傾向があります。攻撃者はこれを認識 していて、これらのアカウントを攻撃します。
SecureOSAuthenticationPrefix_FIX
OS_AUTHENT_PREFIXをOPS$以外の値に設定します。
AccessToDataDictionaryProtected_NAME
データ・ディクショナリへのアクセス保護(07_DICTIONARY_ACCESSIBILITY)
AccessToDataDictionaryProtected_DESC
データ・ディクショナリの保護が有効であることを確認します。
AccessToDataDictionaryProtected_RATIONALE
07_DICTIONARY_ACCESSIBILITYをTRUEに設定すると、ANYシステム権限を持つユーザーにデータ・ディクショナリへのアクセスが許可されます。この結果、これらのユーザー・アカウントを利用してデータに不正にアクセスできます。かわりに、DBA優先接続を行っている認可されたユーザーのみがANYシステム権限を使用してデータ・ディクショナリにアクセスできるように、データ・ディクショナリを保護してください。
AccessToDataDictionaryProtected_FIX
07_DICTIONARY_ACCESSIBILITYをFALSEに設定してください。ユーザーがデータ・ディクショナリへの表示アクセスを必要としている場合に、そのユーザーにSELECT ANY DICTIONARYシステム権限を付与してください。
AuditingSysOperationsEnabled_NAME
SYS操作の監査有効(AUDIT_SYS_OPERATIONS)
AuditingSysOperationsEnabled_DESC
SYSとして接続しているユーザーのセッションが完全に監査されることを確認します。
AuditingSysOperationsEnabled_RATIONALE
AUDIT_SYS_OPERATIONSパラメータは、SYSユーザーおよびSYSDBAまたはSYSOPER権限で接続しているユーザーが発行した操作の監査を有効または無効にします。これらのユーザーは強い権限を持っているため、監査が特に重要な場合があります。
AuditingSysOperationsEnabled_FIX
AUDIT_SYS_OPERATIONSをTRUEに設定してください。
AuditingSysOperationsEnabled_WARNING
一部の操作(エクスポートなど)には特権ユーザーによる多数のアクションが含まれる場合があり、大量の不要な監査データが発生することがあります。このような状況では、このパラメータをFALSEに設定すると、監査レコードが含まれるSYSTEM表領域のオーバーロードを回避できます。
DbPwdProfileSettings_NAME
データベース・パスワード・プロファイル設定
DbPwdProfileSettings_DESC
データベース・プロファイル設定を正しく定義するルールが含まれます。Oracleのパスワード管理はユーザー・プロファイルを使用して行われ、このプロファイルが次にデータベース・ユーザーに割り当てられることで、データベース・セキュリティの全体的な管理が可能になります。
SecureFailedLoginAttemptsSetting_NAME
セキュアな失敗したログイン試行設定
SecureFailedLoginAttemptsSetting_DESC
プロファイルでFAILED_LOGIN_ATTEMPTSが失敗した試行に関して適切な回数に設定されていることを確認します。
SecureFailedLoginAttemptsSetting_RATIONALE
FAILED_LOGIN_ATTEMPTSパラメータは、アカウントのステータスがロックに変更されるまでに連続して失敗可能なログイン試行の回数を定義します。これは、アカウントのパスワードを推測しようとする攻撃者に対する保護となります。このパラメータを十分に低い値に設定すると、データベースに対するパスワード攻撃を失敗させることができます。
SecureFailedLoginAttemptsSetting_FIX
FAILED_LOGIN_ATTEMPTSの値は10以下に設定してください。
SecurePwdLifeTimeSetting_NAME
セキュアなパスワード存続期間設定
SecurePwdLifeTimeSetting_DESC
プロファイルでPASSWORD_LIFE_TIMEが適切な日数に設定されていることを確認します。
SecurePwdLifeTimeSetting_RATIONALE
PASSWORD_LIFE_TIMEパラメータは、パスワードの最大存続期間を定義します。パスワードを定期的に変更することは、パスワードが漏えいした可能性がある場合の脅威を軽減するためのセキュリティ上の措置として、一般に行われています。このパラメータが高すぎる値に設定されている場合や、未設定の場合は、古いパスワードが漏えいしたまま長期間使用されている可能性があります。
SecurePwdLifeTimeSetting_FIX
PASSWORD_LIFE_TIMEの値は180日などに設定してください。この値では、ユーザーに新しいパスワードを頻繁に選択させるという負担をかけずに、パスワードを適切な頻度で変更することが要求されます。この値が低すぎると、ユーザーは自分のパスワードを頻繁に更新することを強制されるため、パスワードを記憶できるように、簡単なパスワードを選択する必要が発生します。
SecurePwdLockTimeSetting_NAME
セキュアなパスワード・ロック期間設定
SecurePwdLockTimeSetting_DESC
プロファイルでPASSWORD_LOCK_TIMEが適切な日数に設定されていることを確認します。
SecurePwdLockTimeSetting_RATIONALE
PASSWORD_LOCK_TIMEパラメータは、失敗したログイン試行の最大回数に達した後にアカウントがロックされたままになる日数を定義します。大きい値を指定すると、DoS攻撃の可能性が増加します。ゼロ(0)を指定すると、パスワードの不正な推測が繰り返されることに対するペナルティがなくなります。
SecurePwdLockTimeSetting_FIX
PASSWORD_LOCK_TIMEの値は1以上に設定してください。
SecurePwdGraceTimeSetting_NAME
セキュアなパスワード猶予期間設定
SecurePwdGraceTimeSetting_DESC
プロファイルでPASSWORD_GRACE_TIMEが適切な日数に設定されていることを確認します。
SecurePwdGraceTimeSetting_RATIONALE
PASSWORD_GRACE_TIMEパラメータは、パスワードの期限が切れた後にユーザーがパスワードの変更を強制されない日数を定義します。猶予期間中は、このアカウントへのアクセスが試行されるたびに、ユーザーは新しいパスワードの入力を求められます。このパラメータが高すぎる値に設定されると、パスワードの期限切れが無視される場合があります。
SecurePwdGraceTimeSetting_FIX
PASSWORD_GRACE_TIMEの値は7以下に設定してください。
PwdComplexityCheckingEnabled_NAME
パスワードの複雑さのチェック有効
PwdComplexityCheckingEnabled_DESC
プロファイルでPASSWORD_VERIFY_FUNCTIONが定義されていることを確認します。
PwdComplexityCheckingEnabled_RATIONALE
PASSWORD_VERIFY_FUNCTIONは、パスワードの強度の検証に使用される関数を定義します。パスワードの強度を検証する関数を設定すると、強力なパスワードが使用されていることを確認できます。
PwdComplexityCheckingEnabled_FIX
PASSWORD_VERIFY_FUNCTIONパラメータを使用して、パスワード検証関数を指定してください。
DbAccessSettings_NAME
データベース・アクセス設定
DbAccessSettings_DESC
データのセキュリティを保護するルールが含まれます。オブジェクト・レベルのデータベースへのアクセスとその使用は、そのジョブの実行に実際に必要な権限のみをユーザーが付与されるように制限されます。
Views_NAME
ビュー
Views_DESC
ビューに対する権限を制限するルールが含まれます。
DBARoles_NAME
DBA_ROLESへのアクセス制限
DBARoles_DESC
DBA_ROLESへのアクセスが制限されていることを確認します。
DBARoles_RATIONALE
DBA_ROLESビューにはデータベース内のすべてのロールに関する詳細が含まれています。データベース内のロールの構造に関する情報は、悪質なユーザーに利用される可能性があります。DBA_ROLESへのアクセスは制限してください。
DBARoles_FIX
SYSまたはDBAアカウント以外のすべてのユーザーからDBA_ROLESへのアクセスを取り消してください。
DBASysPrivs_NAME
DBA_SYS_PRIVSへのアクセス制限
DBASysPrivs_DESC
DBA_SYS_PRIVSへのアクセスが制限されていることを確認します。
DBASysPrivs_RATIONALE
DBA_SYS_PRIVSビューにはロールおよびユーザーに付与されたシステム権限の詳細が含まれています。システム権限に関する情報は、悪質なユーザーに利用される可能性があります。DBA_SYS_PRIVSへのアクセスは制限してください。
DBASysPrivs_FIX
SYSまたはDBAアカウント以外のすべてのユーザーからDBA_SYS_PRIVSへのアクセスを取り消してください。
DBARolePrivs_NAME
DBA_ROLE_PRIVSへのアクセス制限
DBARolePrivs_DESC
DBA_ROLE_PRIVSへのアクセスが制限されていることを確認します。
DBARolePrivs_RATIONALE
DBA_ROLE_PRIVSビューにはユーザーに付与されたすべてのロールおよびその他のロールの詳細が含まれています。データベース内のロールの構造に関する情報は、悪質なユーザーに利用される可能性があります。DBA_ROLE_PRIVSへのアクセスは制限してください。
DBARolePrivs_FIX
SYSまたはDBAアカウント以外のすべてのユーザーからDBA_ROLE_PRIVSへのアクセスを取り消してください。
DBATabPrivs_NAME
DBA_TAB_PRIVSへのアクセス制限
DBATabPrivs_DESC
DBA_TAB_PRIVSへのアクセスが制限されていることを確認します。
DBATabPrivs_RATIONALE
DBA_TAB_PRIVSビューにはデータベース内のすべてのオブジェクトに対するすべての権限に関する詳細が含まれています。誰にデータベース内のどのオブジェクト権限が付与されているかに関する情報は、悪質なユーザーに利用される可能性があります。DBA_TAB_PRIVSへのアクセスは制限してください。
DBATabPrivs_FIX
SYSまたはDBAアカウント以外のすべてのユーザーからDBA_TAB_PRIVSへのアクセスを取り消してください。
DBAUsers_NAME
DBA_USERSへのアクセス制限
DBAUsers_DESC
DBA_USERSへのアクセスが制限されていることを確認します。
DBAUsers_RATIONALE
DBA_USERSビューにはデータベース内のすべてのユーザーに関する情報(パスワード・ハッシュやその他のアカウント情報など)が含まれています。このタイプの情報は、悪質なユーザーに利用される可能性があります。DBA_USERSへのアクセスは制限してください。
DBAUsers_FIX
SYSまたはDBAアカウント以外のすべてのユーザーからDBA_USERSへのアクセスを取り消してください。
Tables_NAME
表
Tables_DESC
表に対する権限を制限するルールが含まれます。
SYSAud_NAME
SYS.AUD$へのアクセス制限
SYSAud_DESC
SYS.AUD$へのアクセスが制限されていることを確認します。
SYSAud_RATIONALE
データベース監査が有効で、データベース監査証跡(DBに設定されているAUDIT_TRAIL)を使用している場合、データベースでは監査レコードをSYS.AUD$という名前の単一表に送信します。不審なデータベース・アクティビティを監査している場合は、監査証跡を保護し、監査なしに監査情報を追加、変更または削除できないようにする必要があります。このデータに対する偶然または故意の不正なアクセスまたは変更を防ぐために、SYS.AUD$へのアクセスは制限してください。
SYSAud_FIX
SYSまたはDBAアカウント以外のすべてのユーザーからSYS.AUD$へのアクセスを取り消してください。
SYSUserHistory_NAME
SYS.USER_HISTORY$へのアクセス制限
SYSUserHistory_DESC
SYS.USER_HISTORY$へのアクセスが制限されていることを確認します。
SYSUserHistory_RATIONALE
SYS.USER_HISTORY$表では、各アカウントで以前に使用されたハッシュ・パスワードを格納します。この表へのアクセスにより、アカウントの既存のパスワードをデータベースのハッカーが推測することが容易になる場合があります。SYS.USER_HISTORY$へのアクセスは制限してください。
SYSUserHistory_FIX
SYSまたはDBAアカウント以外のすべてのユーザーからSYS.USER_HISTORY$へのアクセスを取り消してください。
SYSUser_NAME
SYS.USER$へのアクセス制限
SYSUser_DESC
SYS.USER$へのアクセスが制限されていることを確認します。
SYSUser_RATIONALE
SYS.USER$表では、ユーザー名、ハッシュ・パスワードおよびその他のデータベース・アカウント情報を格納します。この表へのアクセスにより、データベースのハッキングが容易になる場合があります。SYS.USER$へのアクセスは制限してください。
SYSUser_FIX
SYSまたはDBAアカウント以外のすべてのユーザーからSYS.USER$へのアクセスを取り消してください。
SYSSource_NAME
SYS.SOURCE$へのアクセス制限
SYSSource_DESC
SYS.SOURCE$へのアクセスが制限されていることを確認します。
SYSSource_RATIONALE
SYS.SOURCE$表では、データベースに格納されているすべてのソース・コードを格納します。この表へのアクセスにより、データベースのハッキングが容易になる場合があります。SYS.SOURCE$へのアクセスは制限してください。
SYSSource_FIX
SYSまたはDBAアカウント以外のすべてのユーザーからSYS.SOURCE$へのアクセスを取り消してください。
PERFSTATStatsSqlText_NAME
PERFSTAT.STATS$SQLTEXTへのアクセス制限
PERFSTATStatsSqlText_DESC
PERFSTAT.STATS$SQLTEXTへのアクセスが制限されていることを確認します。
PERFSTATStatsSqlText_RATIONALE
PERFSTAT.STATS$SQLTEXT表には、最近実行されたSQL文の完全なテキストが記載されています。この表へのアクセスにより、データベースのハッキングが容易になる場合があります。PERFSTAT.STATS$SQLTEXTへのアクセスは制限してください。
PERFSTATStatsSqlText_FIX
SYSまたはDBAアカウント以外のすべてのユーザーからPERFSTAT.STATS$SQLTEXTへのアクセスを取り消してください。
PERFSTATStatsSqlSummary_NAME
PERFSTAT.STATS$SQL_SUMMARYへのアクセス制限
PERFSTATStatsSqlSummary_DESC
PERFSTAT.STATS$SQL_SUMMARYへのアクセスが制限されていることを確認します。
PERFSTATStatsSqlSummary_RATIONALE
PERFSTAT.STATS$SQL_SUMMARY表には、最近実行されたほとんどのリソース集約コマンドを表すSQLテキストの最初の数行が含まれています。この表へのアクセスにより、データベースのハッキングが容易になる場合があります。PERFSTAT.STATS$SQL_SUMMARYへのアクセスは制限してください。
PERFSTATStatsSqlSummary_FIX
SYSまたはDBAアカウント以外のすべてのユーザーからPERFSTAT.STATS$SQL_SUMMARYへのアクセスを取り消してください。
Packages_NAME
パッケージ
Packages_DESC
パッケージに対する権限を制限するルールが含まれます。
UtlFile_NAME
UTL_FILEを実行する権限の制限
UtlFile_DESC
UTL_FILEパッケージを実行する権限がPUBLICロールに付与されていないことを確認します。
UtlFile_RATIONALE
UTL_FILEパッケージを使用すると、オペレーティング・システム上のファイルからのPL/SQLの読取りとファイルへのPL/SQLの書込みが可能になります。この機能は、非常に便利ですが、データベースへの侵入、高い権限の取得またはデータベースの破壊にも使用できます。この強力なパッケージにPUBLICロールを介してアクセスできるようにすることは、セキュリティ上の問題となります。すべてのデータベース・ユーザーがPUBLICに付与された権限を実行できるようになるためです。このパッケージへのアクセスは制限してください。
UtlFile_FIX
UTL_FILEパッケージを実行する権限は、このパッケージを実行する必要があるアカウントにのみ付与してください。
UtlTcp_NAME
UTL_TCP実行のための制限された権限
UtlTcp_DESC
UTL_TCPパッケージを実行する権限がPUBLICロールに付与されていないことを確認します。
UtlTcp_RATIONALE
UTL_TCPパッケージを使用すると、データベースは、送信ネットワーク接続を任意の受信ネットワーク・サービスに対して確立できます。このため、あらゆるデータをデータベースと任意の待機ネットワーク・サービス間で送信できます。
UtlTcp_FIX
UTL_TCPパッケージを実行する権限は、このパッケージを実行する必要があるアカウントにのみ付与してください。
UtlHttp_NAME
UTL_HTTP実行のための制限された権限
UtlHttp_DESC
UTL_HTTPパッケージを実行する権限がPUBLICロールに付与されていないことを確認します。
UtlHttp_RATIONALE
UTL_HTTPパッケージを使用すると、HTTPリクエストおよびレスポンスをPL/SQLから送信できます。このパッケージをPUBLICに付与すると、HTMLフォームを使用して悪質なWebサイトにデータを送信することが可能になる場合があります。
UtlHttp_FIX
UTL_HTTPパッケージを実行する権限は、このパッケージを実行する必要があるアカウントにのみ付与してください。
UtlSmtp_NAME
UTL_SMTP実行のための制限された権限
UtlSmtp_DESC
UTL_SMTPパッケージを実行する権限がPUBLICロールに付与されていないことを確認します。
UtlSmtp_RATIONALE
UTL_SMTPパッケージを使用すると、データベース・ユーザーはPL/SQLを使用して電子メールを送受信できます。このパッケージをPUBLICに付与すると、メール・メッセージの不正な交換が可能になる場合があります。
UtlSmtp_FIX
UTL_SMTPパッケージを実行する権限は、このパッケージを実行する必要があるアカウントにのみ付与してください。
DbmsJob_NAME
DBMS_JOBを実行する権限の制限
DbmsJob_DESC
DBMS_JOBパッケージを実行する権限がPUBLICロールに付与されていないことを確認します。
DbmsJob_RATIONALE
DBMS_JOBパッケージを使用すると、ユーザーは管理手順が定期的に実行されるようにスケジュールできます。このパッケージは、ジョブ・キュー用のインタフェースでもあります。厳密にはセキュリティ上の問題ではありませんが、このパッケージに対する実行権限をPUBLICに付与する正当な理由はありません。
DbmsJob_FIX
DBMS_JOBパッケージを実行する権限は、このパッケージを実行する必要があるアカウントにのみ付与してください。
DbmsSysSql_NAME
DBMS_SYS_SQLを実行する権限の制限
DbmsSysSql_DESC
DBMS_SYS_SQLパッケージを実行する権限がPUBLICロールに付与されていないことを確認します。
DbmsSysSql_RATIONALE
DBMS_SYS_SQLパッケージを使用すると、ユーザーはPL/SQLおよびSQLをコール元ではなくプロシージャの所有者として実行できます。このパッケージへのアクセスは制限してください。
DbmsSysSql_FIX
DBMS_SYS_SQLパッケージを実行する権限は、このパッケージを実行する必要があるアカウントにのみ付与してください。