|
|
Index
本連載の初回「今だから見直そうデータベースセキュリティ(前編)~DBセキュリティとはCIA(機密性、完全性、可用性)を正しく保つこと~ 」でセキュリティの3要素であるCIAについてご説明しました。アイデンティティとアクセスの管理とは、CIAのうちのC(機密性: Confidentiality)に大きく関わります。
| C:Confidentiality | 機密性 | しかるべきエンティティのみがデータにアクセスすることが可能な状態 |
| I :Integrity | 完全性 | データが最新の状態でありかつ不整合がない状態 |
| A:Availability | 可用性 | データをいつでも利用できる状態 |
C(機密性: Confidentiality)とは、「しかるべきエンティティ(存在)のみがデータにアクセスすることが可能な状態」と説明しました。「しかるべきエンティティ(存在)」とは何か。これを定義することがアイデンティティの管理を行なうために必要です。そして「しかるべきエンティティ(存在)」をどのように判別するのか、どのデータに対してアクセスすることを許可するかを定義することがアクセスの管理となります。
本記事では、これらの基本的な考え方を説明したいと思います。
しかるべきエンティティとは何か。これは、基本的に実在する人物=アイデンティティを指します。ITシステムにアクセスする実在する人物を特定することと同じ意味です。加えて、その実在する人物が使用する端末もアイデンティティとして識別する余地があります。これらのアイデンティティの概念を包含するものがエンティティとご理解いただければと思います。
実在する人物とシステムにアクセスするためのアカウント、言い換えると実在する人物=アイデンティティ=エンティティとアカウントを適合させることです。さらに、しかるべきエンティティが実在する人物本人であることを証明することも必要です。最後に、しかるべきエンティティがどのシステムにアクセスできるか、システムに格納されているどのデータにアクセスできるか。これらを規定することも必要です。これがアイデンティティとアクセスの管理と理解いただければと思います。
実在する人物を特定する。その人物をシステムにアクセスするためのアカウントを整理する。その人物・端末がどの情報にアクセスできるのか。これは識別・認証・認可の3つの概念に該当します。こちらを紹介します。
システムにアクセスするユーザー自身が誰なのかを特定できるようにすることが「識別」です。例えば、ユーザーIDやIPアドレス、MACアドレス、プロセスIDなどがユーザーを特定するための情報となります。
ユーザーがシステムにアクセスする際に、実在する人物・端末とその人物がシステムにアクセスするために付与されたアカウントが適合しているか、つまり本人であるかを検証することが「認証」です。認証の方法の代表的なものとして、ユーザーIDとそれに紐づくパスワードで実施することが挙げられます。
ユーザーIDとパスワードによる認証の他に、最近では以下の3要素を複数使用した多要素認証の採用も増えています。
「識別」のプロセスでは、システムにアクセスする人物が誰なのか、また「認証」のプロセスでその人物・端末がシステムにアクセスできるようにするために、本人であるかを特定してきました。そして認証された人物がどのようなデータにアクセス可能なのかを定義することが「認可」です。
実在しない人物のIDが存在し、それを使用できる状態は、ITシステムを運用するうえで統制が取れている状態とは言い難いです。誰がどのITシステム(および格納されているデータ)にアクセスできるかを規定することは、機密性(Confidentiality)を実現するために必要です。
また、識別・認証・認可のプロセスにおいて、誰がいつ何をしたのかの証跡を確保することも重要です。それが、誰によってシステムにアクセス可能な人物が定義され、システムおよび格納されているデータへのアクセスを許可されたのかに関する説明責任(Accountability)を果たすことにつながります。
Oracle Cloud Infrastructureでは、OCI IAM Identity Domainの機能を使用することで、識別されたユーザーの認証と認可の仕組みを構築することができます。具体的には、強力なID/パスワード認証や多要素認証、IDのライフサイクル管理、SAML、OAuth、OpenID Connectを用いたフェデレーション、ポリシーによるアクセスコントロールなどです。
識別・認証・認可についてのガイドラインとしては、米国国立標準技術研究所(NIST: National Institute of Standards and Technology, 以下 NISTと称す)のSP800-63シリーズ(Digital Identity Guidelines https://pages.nist.gov/800-63-3/
)が有名です。お時間のある方はこちらも併せて参照いただければと思います。
本記事では、アイデンティティとアクセスの管理の概念をご理解いただけたかと思います。識別・認証・認可の仕組みを構築することに加えて、そのプロセスを経たうえでアクセスされる情報資産の重要度を常に管理することも求められます。
情報は日々増減し、情報の重要度も変わります。このような状況において、自身が保有する情報を常に以下のように分類することが極めて重要です。「極秘」・「機密」・「社外秘」・「部外秘」のような情報の分類を行ない、情報の破壊・漏洩が発生した場合の影響度を確認すること。また、誰が・何に対して・どのような操作を行なうことができるのかを常にモニタリングすることもセキュリティを担保するうえで必要となります。
次回は、実際にOCIの機能を使用してどのようにアイデンティティとアクセスの管理を行うのか。その設定方法について次回解説します。お楽しみに。
■本記事の内容について
本記事に記載されている製品およびサービス、定義及び条件は、特段の記載のない限り本記事執筆時点のものであり、予告なく変更になる可能性があります。あらかじめご了承ください。
■商標に関して
・Oracle®、Java及びMySQLは、Oracle、その子会社及び関連会社の米国及びその他の国における登録商標です。
・Amazon Web Services、AWS、Powered by AWS ロゴ、[およびかかる資料で使用されるその他の AWS 商標] は、Amazon.com, Inc. またはその関連会社の商標です。
文中の社名、商品名等は各社の商標または登録商標である場合があります。
本記事では、従来のON COMMIT MViewが抱えてきたこのようなスループット低下や待機イベントのボトルネックを振り返りつつ、Oracle AI Database 26aiが提供する「同時リフレッシュ(Concurrent Refresh)」によって、OLTP/DWHそれぞれのユースケースでどのような改善が見込めるのかを検証していきます。
BaseDBの運用でData Pump用の領域が不足した際、外部ストレージの活用が有効です。本記事では3つのストレージについて1TB利用時のコスト目安や性能、運用負荷を徹底比較します。自社環境に最適な外部ストレージ選びのポイントが分かります。
Oracle Trace File Analyzer(TFA)は、障害時のログ収集を効率化するツールです。複数ログの一括取得や時間指定、シングル環境での導入手順まで、現場目線でわかりやすく解説します。
![[260424T]脱・PostgreSQL運用の不安!EDBのPEM管理術:GUIでの障害特定から監視まで](/db_blog/__icsFiles/afieldfile/2026/03/23/EDB_mail-bannar-260424a_176x250px.png)
