Oracle Direct Seminar <Insert Picture Here> システム管理者必見! ~ 乱立する DB と OS のユーザー / 権限管理の改善方法 日本オラクル株式会社 Fusion Middleware 事業統括本部 Security SC 部大森潤

<Insert Picture Here> 

Oracle 

Direct Seminar 

システム管理者必見！

本日の内容 

• 

はじめに 

• 

ユーザーと権限を「まとめて」管理する 

• 

「まとめて」「簡単に」管理する

Oracleソリューション

ご紹介 

• 

既存環境との連携と導入 

• 

事例 

• 

まとめ

・SQL Serverからの移行アセスメント ・MySQLからの移行相談 ・PostgreSQLからの移行相談 ・Accessからの移行アセスメント ・Oracle Database バージョンアップ支援 ・Oracle Developer/2000 Webアップグレード相談 ・パフォーマンス・クリニック ・Oracle Database 構成相談 ・Oracle Database 高可用性診断 ・システム連携アセスメント ・システムセキュリティ診断 ・簡易業務診断

<Insert Picture Here> 

はじめに 

• 

最近、お客様からこんな話を耳にします。

依頼が多くて処理 できないから、権限 はとりあえず、DBA  どのユーザーが どのDB/OS権限 を持っているのか 把握できない みんなでroot（また はsys）を使っている いまどのユーザーが 使用中で、どのユー ザーが必要ないか分 からない アカウントがいつまで たっても作られなくて 作業ができない・・・

企業でのDB/OSユーザー管理の現状 

• 

システム部や開発の現場でのデータベース/OS管理

システム管理者  権限を変更して下さい 退職した人のアカウント、 ちゃんと消えてるか確認して

企業でのDB/OSユーザー管理の現状 

• 

システム部や開発の現場でのデータベース/OS管理

情報システム部 管理者 件数が多すぎて処理しきれない。退職者アカウントを 削除したり、権限を個別に割り振るのは難しい。 アカウント作成・権限変更に時間がかかる。すぐ作業 に取り掛かれない。 管理者 ユーザー  OS / DB群

企業でのDB/OSユーザー管理の現状 

• 

システム部や開発の現場でのデータベース/OS管理

情報システム部 管理者  退職した人のアカウント、ち ゃんと消えてるか確認して いろんな部署の人に問い合わせるのが大変。棚卸の 進捗確認だけで時間と手間がかかりすぎる。 各部署ごとの異なるアカウント申請手続きが複雑。 監査担当 ユーザー

不適切なユーザー/権限管理 

•  管理の煩雑さはセキュリティ・ポリシーを徹底できなくし、企業全体のセ キュリティを低下させます。 情報システム部 管理者  OS / DB群 依頼が多くて処理 できないから、権限 はとりあえず、DBA  OSはrootを使い まわせばいいや トラッキングが不可能な管理者アカウントの利用 や、過剰権限を悪用するケースの増加

解決方法

<Insert Picture Here> 

だからこそ必要な「簡単」「まとめる」管理 

• 

それらのユーザー/権限を「まとめて」管理することは、負担

を減らすだけでなく、ミスのない安全な運用も可能にします

ユーザ ー＆権限 一元管理機構 申請 監査 新規プロジェクト

• 

まとめて管理はシステム部管理者、利用者、また監査責任

者などにとって、多数のメリットをもたらすことができます。 

「まとめて」管理をする

監査人 ユーザー 管理者 法対応での調査が楽になった。権限も全システムにわたって 適切に設定されていて、セキュリティレベルも向上してるね。 申請方法が統一されて、わかりやすくなった。権限の変更にも すぐに対応してくれるから仕事の効率が上がるよ。 一か所で全部のOSとDBに対してのユーザー管理ができるよう になって、負担が減ったよ。権限も自動的に設定されるし楽。

「まとめて」管理することのメリット 

• 

管理対象を多数から１つに減らすことによる

ユーザー/権限

管理負荷の軽減 

• 

権限の過剰付与による

悪用リスク（情報漏えいなど）の軽減 

•  ユーザー利便性の向上

「まとめて」管理ソリューションはオラクル 

• 

データベースからアプリケーションまで提供する弊社ならで

はのソリューションを提供しています 

Oracleはどんなソリューション

<Insert Picture Here> 

「まとめて」「簡単に」管理する 

Oracleソリューション 

• 

「まとめて」「簡単に」管理するためのソリューション 

•  OracleはOSとDBのアカウントをディレクトリ（Oracle Internet  Directory）で管理するソリューションを提供しています。  Oracle Internet  Directory  データベース オペレーティングシステム  Enterprise User Security  （プロキシ認証）  Oracle Authentication Services  for Operating Systems

Oracle Internet Directory (OID) 

～ Oracle Databaseを基盤とする高信頼性LDAPv3ディレクトリサーバー LDAP クライアント LDAP over SSL LDAP  Oracle DB  LDAP  Listener  Oracle Internet Directory 

• 

Oracle Internet Directoryとは 

•  LDAP標準ディレクトリ・サーバー  •  LDAPｖ3標準準拠のディレクトリ・サーバー  •  小規模から大規模まで対応  •  他社製ディレクトリ・サーバーとの連携機能を標準で提供

Oracle Internet Directory (OID) 

～ Oracle Databaseを基盤とする高信頼性LDAPv3ディレクトリサーバー 

•

特徴 

•Oracle Database を基盤とした設計  •データ格納先にOracle Databaseを利用  •Enterprise Managerによる運用管理  •PL/SQL、Javaによるプラグイン開発  •認証連携  •Active Directoryからのパスワード同期  •OracleAS SSOとの連携によるWindowsネイティブ認証のサポート  •ディレクトリデータ連携  •外部ディレクトリとのデータ同期（ADなど） （Directory Integration Platform 機能）  •Oracle Database との連携  Oracle DB

Oracleソリューション 

• 

Enterprise User Security（Oracle DB EE、OID） 

•  Enterprise User Securityは複数のOracle Databaseの「ユーザー」 と「割り当てられている権限」をOracle Internet Directoryで管理する ソリューションです。  •  「どのデータベースに」「どのユーザーが」「どんな権限で」アクセスが 可能かを一つのOracle Internet Directoryのみで制御できます  Oracle Internet  Directory  データベース  ユーザー/権限問い合 わせ

Oracleソリューション 

• 

Enterprise User Security 

•  Enterprise User Securityではデータベースへのログイン認証を  Oracle Internet Directoryに移譲します。  •  Windows統合認証を利用することも可能です。  Oracle Internet  Directory  データベース ①ログイン（SQL Plus、  Java、Formsなど） ②認証の要求 ③認証結果 ④ロール要求 ⑤ロール結果 ユーザー情報、ユーザー権限情報

Oracleソリューション 

• 

Enterprise User Security 

•  ディレクトリ内では、権限とユーザーのマッピングを定義します。  •  特定の権限エントリに所属するユーザーであればその権限を自動的に 割り当てる設定が可能です。  Oracle Internet  Directory  権限レルム 管理者ロール プロジェクト1ロール ユーザーA  ユーザーB  スキーママッピング ユーザーA  ユーザーB  DB権限  DBA  CONNECT  RESOURCE  CREATE TABLE  スキーマユーザー  DB1 – スキーマ1  DB2 – スキーマ2  DB1 – スキーマ1

Oracleソリューション 

• 

Enterprise User Security 

•  ディレクトリ内ユーザーを各DBのスキーマユーザーにマッピング することで、同一スキーマをユーザーを識別できます （＝共有ユーザーを誰が操作を行ったかを識別することが可能） データベース スキーマユーザー  DB1 – スキーマ1  EUS導入前 ●スキーママッピング ユーザーA  ユーザーB  DB1 – スキーマ1  ユーザーC  EUS導入後  connect スキーマ1/Password  connect ユーザーA/Password  connect ユーザーB/Password  ユーザーA、ユーザーB  ユーザーA  ユーザーB  全員同じログイン方法なので誰 が使用したのか識別できない ディレクトリでのログインユーザ ー情報が記録できるので識別可

Oracleソリューション 

• 

Enterprise User Security導入のメリット 

•  複数のDBに存在しているユーザーを一元管理することによる 管理コストの削減  •  複数のDBに存在しているユーザーを一元管理することによる、 コンプライアンスの徹底  •  各DBのセキュリティレベルの向上  •  パスワードリセットの手間の削減  •  DB共有スキーマの利用ユーザーの識別

Oracleソリューション 

• 

Oracle Authentication Services for Operating Systems 

（Oracle Directory Servicesライセンス） 

•  Oracle Authentication Services for Operating Systemsは複数の  OSの「ユーザー」と「Sudo権限」をOracle Internet Directoryで管理 するソリューションです。  •  「どのユーザーが」「どんな操作」をOSに対して可能かを一つの  Oracle Internet Directoryのみで制御できます オペレーティング・システム  Oracle Authentication Services for Operating Systems  Oracle Internet  Directory

Oracleソリューション 

• 

Oracle Authentication Services for OS 

•  標準的なPAMを利用し、OSユーザー管理、Sudoを用いた権限管理を ディレクトリを利用して一元的に行います。  Oracle Internet  Directory  ①OSログイン ②認証の要求 ③認証結果

Oracleソリューション 

• 

Oracle Authentication Services for OSの特徴 

•  導入が容易  •  クライアント側OSのPAM設定、SSL設定用スクリプト  •  既存環境からのユーザー情報移行スクリプト  •  可用性、スケーラビリティ、安全  •  OIDを使用することで、ユーザー管理を可用性、拡張性、 セキュリティに優れたリポジトリで管理  •  クロス・プラットフォームサポート  •  一般的なLinux、Unixプラットフォームをサポートします

Oracleソリューション、その先に 

• 

企業内のセキュリティ・ポリシーの徹底 

•  ユーザー・ライフサイクル管理との連携による効率的に、かつ確実な  DB・OSアカウント管理  •  企業全体での同一のセキュリティポリシーの適用 企業 人事情報 _{アカウント管理} システム  OS  基幹システム ディレクトリ

セキュリティポリシー

Oracleソリューション、その先に 

Oracle Internet  Directory  Enterprise User Security  Oracle Authentication Services  for Operating Systems  自動アカウント操作、権限設定 企業内アカウント管理システム 人事システム 異動、退職などの 情報 アカウント申請/承認 データベース オペレーティング・ システム

「まとめて」管理ソリューションはオラクル

「まとめて」「簡単に」OSと 

DBのユーザーを管理する

<Insert Picture Here> 

既存環境との連携

あ、でも、会社内にすでに

ディレクトリがあって、管理対象

• 

既存のLDAPとユーザー情報連携を行う 

•  Oracle Internet DirectoryではDirectory Integration Platformという 機能を使うことによって、Active Directoryなどの外部ディレクトリと 情報連携を行うことができます。  •  パスワードフィルターを用いることで、パスワード連携も可能です データ連携 

既存環境との連携 

Active Directory  SJS Directory Server  など ユーザー/  対象DB、OS  Oracle Internet  Directory  DB、OS利用 ADパスワードフィルタ ー

• 

既存のLDAPを仮想ディレクトリに接続する 

•  Oracle Virtual Directoryという実態のない仮想ディレクトリを用いる ことで、すでに導入しているActive DirectoryやSunのディレクトリを 利用して、Enterprise User Securityを実現することも可能です。 

既存環境との連携 

Active Directory  SJS Directory Server  など EUS対象 データベース  Oracle Virtual  Directory  仮想統合  DB利用  Enterprise User Security

<Insert Picture Here> 

• システムごとのパスワード管理がサポートの重荷になっていた  • 無数のDB、OSがばらばら管理されていることで、棚卸などのコ ンプライアンス対応もほぼ不可能な状態  • オラクルDBなど製品に対する投資効果を最大化したかった 企業の課題

事例 – AMTrust Bank 

ヘルプデスク工数の削減

• 

AmTrust事例

事例 – AMTrust Bank 

ヘルプデスク工数の削減 データ連携  Active Directory  対象DB、OS  Oracle Internet  Directory  Windows  統合認証 ADパスワードフィルタ オラクルのソリューション  •Oracle Internet Directoryを導入。Directory Integration Platform（OIDの一機能）を利用して、 既存のActive Directoryとのデータ連携を行った  •Oracle Applicationsに対するログインOSSO、DB管理のためのEUS、OSユーザー管理のた めのOAS4OSを導入 ポータル

• DBとOSのパスワードに関するヘルプデスクに問い合わせが80％減少  • 各システムに対して一定レベルのシステム・セキュリティを確保  •AD連携をすることで、エンドユーザーにDBログインも含めたWindows統合認証を提供 できた 投資効果

事例 – AMTrust Bank 

ヘルプデスク工数の削減  • システムごとのパスワード管理がサポートの重荷になっていた  • 無数のDB、OSがばらばら管理されていることで、棚卸などのコ ンプライアンス対応もほぼ不可能な状態  • オラクルDBなど製品に対する投資効果を最大化したかった 企業の課題

• 企業にすでに導入されているディレクトリを利用して、新規構築 のデータウェアハウスのユーザー情報の管理、ロール割り当て管 理を行いたい  • しかし、新規ディレクトリを構築し、既存のディレクトリとデータを やり取りすることは行いたくない オラクルのソリューション  • Oracle Virtual Directoryを利用したEUS  を導入  • Oracle Virtual DirectoryがAD内の情報 を仮想的に統合  •ADと仮想統合することで、EUSが  Windowsと同じパスワードを利用すること ができる 企業の課題  • データウェアハウスに対するセキュアな ログインを、短い導入期間で実現  • データベースユーザーを管理するだけの ディレクトリを構築する必要がない  • データベースユーザ管理を一元化するこ とで管理を簡素化 投資効果

事例– MKB Bank 

EUSを用いたDBセキュリティ 

事例– MKB Bank 

EUSを用いたDBセキュリティ  Active Directory  ユーザー/  プログラムなど  EUS対象 データベース  Oracle Virtual  Directory  仮想統合  DB利用  Enterprise User Security  企業内アカウント管理システム ユーザー、グループを アカウント管理システムで管理 

<Insert Picture Here> 

まとめ 

• 

「まとめて」「簡単に」OS、DBアカウントを管理することは

たくさんのメリットをもたらします。 

•  管理負荷の軽減  •  過剰権限付与・不正使用のリスクを軽減  •  ユーザー利便性の向上 

• 

Oracleソリューションは既存の環境に適用することができ、

さらにお客様のセキュリティポリシーに従った運用に乗せる

ことができます。 

•  既存のディレクトリの活用  •  DB、OSのユーザー・権限管理ライフサイクルをより簡単に

まとめ

これでDB、OS管理は

ばっちりだ！！

<Insert Picture Here> 

付録： 

OTN 

OTN×ダイセミ

×ダイセミ でスキルアップ

でスキルアップ!! 

!! 

※OTN掲示版は、基本的にOracleユーザー有志からの回答となるため100%回答があるとは限りません。 ただ、過去の履歴を見ると、質問の大多数に関してなんらかの回答が書き込まれております。  Oracle Technology Network(OTN)を御活用下さい。 ・技術的な内容について疑問点を解消したい！ ・一般的なその解決方法などを知りたい！ ・セミナ資料など技術コンテンツがほしい！ 技術的な疑問点は、OTN掲示版の

「データベース一般」

へ  http://otn.oracle.co.jp/forum/index.jspa?categoryID=2  過去のセミナ資料、動画コンテンツはOTNの

「OTNコンテンツ オン デマンド」

へ  http://www.oracle.com/technology/global/jp/ondemand/otn­seminar/index.html  ※ダイセミ事務局にダイセミ資料を請求頂いても、お受けできない可能性がございますので予めご了承ください。 ダイセミ資料はOTNコンテンツ オン デマンドか、セミナ実施時間内にダウンロード頂くようお願い致します。

OTN 

OTNセミナー

セミナー オンデマンド

オンデマンド コンテンツ

コンテンツ 

http://www.oracle.com/technology/global/jp/ondemand/otn­seminar/index.html 

期間限定にて、ダイセミの人気セミナーを動画配信中!! 

運用

構築

設計 

IT 企画

経営企画

業務改善計画の作成支援  •  業務診断サービス  •  BIアセスメントサービス システム企画の作成支援  •業務診断サービス  •BIアセスメントサービス  RFP／提案書の作成支援  •BIアセスメントサービス  •仮想化アセスメントサービス  •Oracle Database 構成相談サービス  •Oracle Database 高可用性クリニック システム構築時の道案内  •Access / SQL Serverからの移行  •MySQL / PostgreSQLからの移行  •Oracle Database バージョンアップ支援  •Oracle Developer Webアップグレード  •システム連携アセスメントサービス システム運用状況の診断  •パフォーマンス・クリニック・サービス  •システム・セキュリティ診断サービス  •データ管理最適化サービス 

ITプロジェクト全般に渡る無償支援サービス 

Oracle Direct Conciergeサービスメニュー

http://www.oracle.co.jp/inq_pl/INQUIRY/quest?rid=28  Oracle Direct  検索

あなたにいちばん近いオラクル 

Oracle 

Direct 

まずはお問合せください

まずはお問合せください 

Web問い合わせフォーム

フリーダイヤル

専用お問い合わせフォームにてご相談内容を承ります。

※フォームの入力には、Oracle Direct Seminar申込時と同じ ログインが必要となります。 ※こちらから詳細確認のお電話を差し上げる場合がありますので、ご登録さ

0120－155－096 

※月曜~金曜  9:00~12:00、13:00~18:00  （祝日および年末年始除く） システムの検討・構築から運用まで、ITプロジェクト全般の相談窓口としてご支援いたします。 システム構成やライセンス/購入方法などお気軽にお問い合わせ下さい。

以上の事項は、弊社の一般的な製品の方向性に関する概要を説明するものです。 また、情報提供を唯一の目的とするものであり、いかなる契約にも組み込むことは できません。以下の事項は、マテリアルやコード、機能を提供することをコミットメン ト（確約）するものではないため、購買決定を行う際の判断材料になさらないで下さ い。オラクル製品に関して記載されている機能の開発、リリースおよび時期につい ては、弊社の裁量により決定されます。  Oracle、PeopleSoft、JD Edwards、及びSiebelは、米国オラクル・コーポレーション及びその子会社、関連会社の登 録商標です。その他の名称はそれぞれの会社の商標の可能性があります。