USR_DFLT_TBSPC_NAME
POLICY
デフォルト表領域
USR_DFLT_TBSPC_DESC
POLICY
SYSTEMまたはSYSAUXがデフォルト表領域としてユーザーに割り当てられていないことを確認します
USR_DFLT_TBSPC_IMPACT
POLICY
ユーザー・オブジェクトはデフォルト表領域に作成されます。ユーザーのデフォルト表領域を正しく設定しない(SYSTEMまたはSYSAUX)と、使用可能な領域をすべて消費するため、データベースが停止する可能性があります。
USR_DFLT_TBSPC_RECOMM
POLICY
SYSTEMまたはSYSAUXがデフォルト表領域として定義されているユーザーの表領域を割り当てなおします。
USR_TEMP_TABSPC_NAME
POLICY
ユーザーの一時表領域
USR_TEMP_TABSPC_DESC
POLICY
SYSTEMまたはSYSAUXが一時表領域としてユーザーに割り当てられていないことを確認します
USR_TEMP_TABSPC_IMPACT
POLICY
ユーザーの一時オブジェクトは一時表領域に作成されます。ユーザーの一時表領域を正しく設定しない(SYSTEMまたはSYSAUX)と、使用可能な領域をすべて消費するため、データベースが停止する可能性があります。
USR_TEMP_TABSPC_RECOMM
POLICY
SYSTEMまたはSYSAUXがデフォルトの一時表領域として定義されているユーザーの表領域を割り当てなおします。
TABLESPACE_QUOTA_NAME
POLICY
無制限の表領域割当て
TABLESPACE_QUOTA_DESC
POLICY
データベース・ユーザーに対する表領域の割当てが制限されていることを確認します
TABLESPACE_QUOTA_IMPACT
POLICY
表領域を無制限に割り当てると、割当て済ディスク領域がすべて使用され、データベースが応答しなくなる可能性があります。
TABLESPACE_QUOTA_REOMM
POLICY
表領域を無制限に割り当てられているユーザーに対して、表領域の割当てを制限してください。
AUDIT_FILE_DEST_NAME
POLICY
監査ファイル保存先
AUDIT_FILE_DEST_NAME_NT
POLICY
監査ファイル保存先(Windows)
AUDIT_FILE_DEST_DESC
POLICY
監査ファイル・ディレクトリへのアクセスが、Oracleソフトウェア・セットの所有者およびDBAグループに制限されていることを確認します。
AUDIT_FILE_DEST_IMPACT
POLICY
AUDIT_FILE_DEST初期化パラメータは、Oracle監査機能で監査ファイルを作成するディレクトリを指定します。このディレクトリに対するパブリック読取り権限を付与すると、起動、停止および優先接続のログ情報などの重要な情報が公開される可能性があります。
AUDIT_FILE_DEST_RECOMM
POLICY
監査ファイル・ディレクトリに対する権限を、Oracleソフトウェア・セットの所有者およびDBAグループに制限してください。パブリックに対して読取り権限、書込み権限および実行権限を付与しないでください。
USER_DUMP_DEST_NAME
POLICY
ユーザー・ダンプ保存先
USER_DUMP_DEST_NAME_NT
POLICY
ユーザー・ダンプ保存先(Windows)
USER_DUMP_DEST_DESC
POLICY
トレース・ファイル・ディレクトリへのアクセスが、Oracleソフトウェア・セットの所有者およびDBAグループに制限されていることを確認します
USER_DUMP_DEST_IMPACT
POLICY
サーバー・プロセスのトレース・ファイルは、USER_DUMP_DEST初期化パラメータで指定されたディレクトリに保存されます。このディレクトリに対するパブリック読取り権限を付与すると、データベースおよびアプリケーションに関する内部の重要な機密情報の詳細が公開される可能性があります。
USER_DUMP_DEST_RECOMM
POLICY
ユーザー・ダンプ・ディレクトリに対する権限を、Oracleソフトウェア・セットの所有者およびDBAグループに制限してください。パブリックに対して読取り権限、書込み権限および実行権限を付与しないでください。
BKGRND_DUMP_DEST_NAME
POLICY
バックグラウンド・ダンプ保存先
BKGRND_DUMP_DEST_NAME_NT
POLICY
バックグラウンド・ダンプ保存先(Windows)
BKGRND_DUMP_DEST_DESC
POLICY
トレース・ファイル・ディレクトリへのアクセスが、Oracleソフトウェア・セットの所有者およびDBAグループに制限されていることを確認します
BKGRND_DUMP_DEST_IMPACT
POLICY
ログ・ライター・プロセスやデータベース・ライター・プロセスなどのバックグラウンド・プロセスは、データベース操作の状態変化および例外やエラーの記録にトレース・ファイルを使用します。トレース・ファイルは、BACKGROUND_DUMP_DEST初期化パラメータで指定されたディレクトリに保存されます。このディレクトリに対するパブリック読取り権限を付与すると、データベースおよびアプリケーションに関する内部の重要な機密情報の詳細が公開される可能性があります。
BKGRND_DUMP_DEST_RECOMM
POLICY
バックグラウンド・ダンプ・ディレクトリに対する権限を、Oracleソフトウェア・セットの所有者およびDBAグループに制限してください。パブリックに対して読取り権限、書込み権限および実行権限を付与しないでください。
CORE_DUMP_DEST_NAME
POLICY
コア・ダンプ保存先
CORE_DUMP_DEST_NAME_NT
POLICY
コア・ダンプ保存先(Windows)
CORE_DUMP_DEST_DESC
POLICY
コア・ダンプ・ファイル・ディレクトリへのアクセスが、Oracleソフトウェア・セットの所有者およびDBAグループに制限されていることを確認します
CORE_DUMP_DEST_IMPACT
POLICY
コア・ダンプ・ファイルは、CORE_DUMP_DEST初期化パラメータで指定されたディレクトリに保存されます。このディレクトリに対するパブリック読取り権限があると、コア・ダンプ・ファイルから機密情報が公開される可能性があります。
CORE_DUMP_DEST_RECOMM
POLICY
コア・ダンプ・ディレクトリに対する権限を、Oracleソフトウェア・セットの所有者およびDBAグループに制限してください。パブリックに対して読取り権限、書込み権限および実行権限を付与しないでください。
CONTROL_FILES_NAME
POLICY
制御ファイルの権限
CONTROL_FILES_NAME_NT
POLICY
制御ファイルの権限(Windows)
CONTROL_FILES_DESC
POLICY
制御ファイル・ディレクトリへのアクセスが、Oracleソフトウェア・セットの所有者およびDBAグループに制限されていることを確認します
CONTROL_FILES_IMPACT
POLICY
制御ファイルとは、データファイルへのアクセスを制御するバイナリ構成ファイルです。制御ファイルは、CONTROL_FILES初期化パラメータで指定されたディレクトリに保存されます。このディレクトリに対するパブリック書込み権限があると、セキュリティ上の重大な問題を引き起こす可能性があります。
CONTROL_FILES_RECOMM
POLICY
制御ファイル・ディレクトリに対する権限を、Oracleソフトウェア・セットの所有者およびDBAグループに制限してください。パブリックに対して読取り権限および書込み権限を付与しないでください。
OH_DATAFILES_PERM_NAME
POLICY
Oracleホーム・データファイルの権限
OH_DATAFILES_PERM_NAME_NT
POLICY
Oracleホーム・データファイルの権限(Windows)
OH_DATAFILES_PERM_DESC
POLICY
データファイルへのアクセスが、Oracleソフトウェア・セットの所有者およびDBAグループに制限されていることを確認します
OH_DATAFILES_PERM_IMPACT
POLICY
データファイルにはすべてのデータベース・データが含まれています。パブリックからデータファイルの読取りが可能な場合、このデータに対するデータベース権限のないユーザーがデータファイルを読み取ることができます。
OH_DATAFILES_PERM_RECOMM
POLICY
データファイルに対する権限を、Oracleソフトウェア・セットの所有者およびDBAグループに制限してください。パブリックに対して読取り権限および書込み権限を付与しないでください。
OH_SPFILE_PERM_NAME
POLICY
サーバー・パラメータ・ファイルの権限
OH_SPFILE_PERM_NAME_NT
POLICY
サーバー・パラメータ・ファイルの権限(Windows)
OH_SPFILE_PERM_DESC
POLICY
サーバー・パラメータ・ファイルへのアクセスが、Oracleソフトウェア・セットの所有者およびDBAグループに制限されていることを確認します
OH_SPFILE_PERM_IMPACT
POLICY
サーバー・パラメータ・ファイル(SPFILE)を使用すると、初期化パラメータをサーバー側ディスク・ファイルで永続的に保存および管理できます。SPFILEがパブリックからアクセス可能な場合、機密情報に関する初期化パラメータがスキャンされ、データベースのセキュリティ・ポリシーが公開される可能性があります。SPFILEを検索してOracleデータベース構成の設定の脆弱性を見つけることもできます。
OH_SPFILE_PERM_RECOMM
POLICY
サーバー・パラメータ・ファイル(SPFILE)に対する権限を、Oracleソフトウェア・セットの所有者およびDBAグループに制限してください。パブリックに対して読取り権限および書込み権限を付与しないでください。
OH_INITORA_PERM_NAME
POLICY
初期化パラメータ・ファイルの権限
OH_INITORA_PERM_NAME_NT
POLICY
初期化パラメータ・ファイルの権限(Windows)
OH_INITORA_PERM_DESC
POLICY
初期化パラメータ・ファイルへのアクセスが、Oracleソフトウェア・セットの所有者およびDBAグループに制限されていることを確認します
OH_INITORA_PERM_IMPACT
POLICY
従来Oracleではテキストの初期化パラメータ・ファイルに初期化パラメータを格納します。初期化パラメータ・ファイルがパブリックからアクセス可能な場合、機密情報に関する初期化パラメータがスキャンされ、データベースのセキュリティ・ポリシーが公開される可能性があります。IFILEを検索してOracleデータベース構成の設定の脆弱性を見つけることもできます。
OH_INITORA_PERM_RECOMM
POLICY
初期化パラメータ・ファイルに対する権限を、Oracleソフトウェア・セットの所有者およびDBAグループに制限してください。パブリックに対して読取り権限および書込み権限を付与しないでください。
OH_IFILE_PERM_NAME
POLICY
IFILE参照先ファイルの権限
OH_IFILE_PERM_NAME_NT
POLICY
IFILE参照先ファイルの権限(Windows)
OH_IFILE_PERM_DESC
POLICY
IFILEパラメータに参照されるファイルへのアクセスが、Oracleソフトウェア・セットの所有者およびDBAグループに制限されていることを確認します
OH_IFILE_PERM_IMPACT
POLICY
IFILE初期化パラメータを使用すると、他の初期化パラメータ・ファイルの内容を現在の初期化パラメータ・ファイルに埋め込むことができます。初期化パラメータ・ファイルがパブリックからアクセス可能な場合、機密情報に関する初期化パラメータがスキャンされ、データベースのセキュリティ・ポリシーが公開される可能性があります。初期化パラメータ・ファイルを検索してOracleデータベース構成の設定の脆弱性を見つけることもできます。
OH_IFILE_PERM_RECOMM
POLICY
IFILE初期化パラメータに参照されるファイルに対する権限を、Oracleソフトウェア・セットの所有者およびDBAグループに制限してください。パブリックに対して読取り権限、書込み権限および実行権限を付与しないでください。
OH_BIN_FILE_OWNER_NAME
POLICY
Oracleホーム実行可能ファイルの所有者
OH_BIN_FILE_OWNER_DESC
POLICY
ORACLE_HOME/binフォルダ内のすべてのファイルおよびディレクトリの所有者がOracleソフトウェア・インストールの所有者と同じであることを確認します
OH_BIN_FILE_OWNER_IMPACT
POLICY
ファイル権限が適切でないOracleファイルがある場合、セキュリティ上の重要な問題が発生する可能性があります。
OH_BIN_FILE_OWNER_RECOMM
POLICY
ORACLE_HOME/binフォルダ内のファイルとディレクトリの所有者がOracleソフトウェア・インストールと異なる場合、インストールの所有者に変更してください。
EXE_FILE_PERM_NAME
POLICY
Oracleホーム実行可能ファイルの権限
EXE_FILE_PERM_NAME_NT
POLICY
Oracleホーム実行可能ファイルの権限(Windows)
EXE_FILE_PERM_DESC
POLICY
ORACLE_HOME/binフォルダ内のすべてのファイルに対する書込み権限がないことを確認します
EXE_FILE_PERM_IMPACT
POLICY
ファイル権限が適切でないOracleファイルがある場合、セキュリティ上の重要な問題が発生する可能性があります。
EXE_FILE_PERM_RECOMM
POLICY
ORACLE_HOME/bin内のすべてのファイルに対する権限を、Oracleソフトウェア・セットの所有者およびDBAグループに制限してください。パブリックに対して書込み権限を付与しないでください。
OH_FILEPERM_NAME
POLICY
Oracleホーム・ファイルの権限
OH_FILEPERM_NAME_NT
POLICY
Oracleホーム・ファイルの権限(Windows)
OH_FILEPERM_DESC
POLICY
ORACLE_HOMEディレクトリ(ORACLE_HOME/binを除く)内のすべてのファイルに対する読取り権限、書込み権限および実行権限がないことを確認します
OH_FILEPERM_IMPACT
POLICY
ファイル権限が適切でないOracleファイルがある場合、セキュリティ上の重要な問題が発生する可能性があります。
OH_FILEPERM_RECOMM
POLICY
ORACLE_HOMEディレクトリ(ORACLE_HOME/binを除く)内のすべてのファイルに対する権限を、Oracleソフトウェア・セットの所有者およびDBAグループに制限してください。パブリックに対して読取り権限、書込み権限および実行権限を付与しないでください。
LOG_ARCH_DEST_NAME
POLICY
ログ・アーカイブ保存先の権限
LOG_ARCH_DEST_NAME_NT
POLICY
ログ・アーカイブ保存先の権限(Windows)
LOG_ARCH_DEST_DESC
POLICY
サーバーのアーカイブ・ログにパブリックからアクセスできないことを確認します
LOG_ARCH_DEST_IMPACT
POLICY
LOG_ARCHIVE_DESTパラメータ(init.oraファイル内)で指定されたディレクトリがOracleソフトウェア・インストールの所有者に所有されていないか、このディレクトリに対する権限が他のユーザーに付与されている場合、LogMinerを使用するとデータベース情報をアーカイブ・ログから取得できます。
LOG_ARCH_DEST_RECOMM
POLICY
LOG_ARCHIVE_DESTパラメータで指定されたディレクトリに対する権限は、Oracleソフトウェア・セットの所有者、およびパブリックに対する権限のないDBAグループに制限する必要があります。
LOG_ARCH_DEST_OWNER_NAME
POLICY
ログ・アーカイブ保存先の所有者
LOG_ARCH_DEST_OWNER_DESC
POLICY
サーバーのアーカイブ・ログ・ディレクトリが、Oracleソフトウェアの所有者に所有されている有効なディレクトリであることを確認します
LOG_ARCH_DEST_OWNER_IMPACT
POLICY
LOG_ARCHIVE_DESTパラメータ(init.oraファイル内)で指定されたディレクトリがOracleソフトウェア・インストールの所有者に所有されていないか、このディレクトリに対する権限が他のユーザーに付与されている場合、LogMinerを使用するとデータベース情報をアーカイブ・ログから取得できます。
LOG_ARCH_DEST_OWNER_RECOMM
POLICY
LOG_ARCHIVE_DESTパラメータで指定したディレクトリは、Oracleソフトウェア・セットの所有者に所有されている必要があります。
LOG_ARCHV_DUP_PERM_NAME
POLICY
ログ・アーカイブ二重保存先の権限
LOG_ARCHV_DUP_PERM_NAME_NT
POLICY
ログ・アーカイブ二重保存先の権限(Windows)
LOG_ARCHV_DUP_PERM_DESC
POLICY
サーバーのアーカイブ・ログにパブリックからアクセスできないことを確認します
LOG_ARCHV_DUP_PERM_IMPACT
POLICY
LOG_ARCHIVE_DUPLEX_DESTパラメータ(init.oraファイル内)で指定されたディレクトリがOracleソフトウェア・インストールの所有者に所有されていないか、このディレクトリに対する権限が他のユーザーに付与されている場合、LogMinerを使用するとデータベース情報をアーカイブ・ログから取得できます。
LOG_ARCHV_DUP_PERM_RECOMM
POLICY
LOG_ARCHIVE_DUPLEX_DESTパラメータで指定されたディレクトリに対する権限は、Oracleソフトウェア・セットの所有者、およびパブリックに対する権限のないDBAグループに制限する必要があります。
LOG_ARCHV_DUP_OWNER_NAME
POLICY
ログ・アーカイブ二重保存先の所有者
LOG_ARCHV_DUP_OWNER_DESC
POLICY
サーバーのアーカイブ・ログ・ディレクトリが、Oracleソフトウェアの所有者に所有されている有効なディレクトリであることを確認します
LOG_ARCHV_DUP_OWNER_IMPACT
POLICY
LOG_ARCHIVE_DUPLEX_DESTパラメータ(init.oraファイル内)で指定されたディレクトリがOracleソフトウェア・インストールの所有者に所有されていないか、このディレクトリに対する権限が他のユーザーに付与されている場合、LogMinerを使用するとデータベース情報をアーカイブ・ログから取得できます。
LOG_ARCHV_DUP_OWNER_RECOMM
POLICY
LOG_ARCHIVE_DUPLEX_DESTパラメータで指定したディレクトリは、Oracleソフトウェア・セットの所有者に所有されている必要があります。
LOG_ARCHIVE_START_NAME
POLICY
自動ログ・アーカイブ機能の使用
LOG_ARCHIVE_START_DESC
POLICY
REDOログのアーカイブが自動的に完了したことを確認し、REDOログがいっぱいになった場合にインスタンス操作を一時停止しません。データベースがARCHIVELOGモードの場合にのみ適用されます
LOG_ARCHIVE_START_IMPACT
POLICY
LOG_ARCHIVE_START初期化パラメータをTRUEに設定すると、REDOログのアーカイブが自動的に完了し、REDOログがいっぱいになった場合にインスタンス操作を一時停止しません。データベースがARCHIVELOGモードの場合にのみ適用されます。
LOG_ARCHIVE_START_RECOMM
POLICY
LOG_ARCHIVE_START初期化パラメータをTRUEに設定してください。
UTL_FILE_NAME
POLICY
ユーティリティ・ファイル・ディレクトリ初期化パラメータの設定
UTL_FILE_DESC
POLICY
ユーティリティ・ファイル・ディレクトリ(UTL_FILE_DIR)初期化パラメータが、「*」、「.」またはコア・ダンプ・トレース・ファイルの場所のいずれかに設定されていないことを確認します
UTL_FILE_IMPACT
POLICY
UTL_FILEパッケージがアクセス可能なディレクトリを指定します。パラメータをアスタリスク(*)、ピリオド(.)または機密情報ディレクトリに設定すると、UTL_FILEパッケージに対する実行権限のあるすべてのユーザーに機密情報が公開される可能性があります。
UTL_FILE_RECOMM
POLICY
UTL_FILE_DIR初期化パラメータを、アスタリスク(*)、ピリオド(.)およびコア・ダンプ・トレースの場所以外の値に変更してください。
UTL_FILE_9IPLUS_NAME
POLICY
Oracle9iリリース1以上でのユーティリティ・ファイル・ディレクトリ初期化パラメータの設定
UTL_FILE_9IPLUS_DESC
POLICY
UTL_FILE_DIR初期化パラメータがOracle9iリリース1以上で使用されていないことを確認します
UTL_FILE_9IPLUS_IMPACT
POLICY
UTL_FILEパッケージがアクセス可能なディレクトリを指定します。パラメータをアスタリスク(*)、ピリオド(.)または機密情報ディレクトリに設定すると、UTL_FILEパッケージに対する実行権限のあるすべてのユーザーに機密情報が公開される可能性があります。
UTL_FILE_9IPLUS_RECOMM
POLICY
Oracle9iリリース1以上の場合、UTL_FILE_DIR初期化パラメータを削除し、かわりにCREATE DIRECTORY機能を使用してください。
OS_AUTH_PRFX_DOM_NAME
POLICY
Windows NTドメイン接頭辞の使用
OS_AUTH_PRFX_DOM_DESC
POLICY
外部で識別されたユーザーが接続中にドメインを指定していることを確認します
OS_AUTH_PRFX_DOM_IMPACT
POLICY
この設定はWindowsシステムにのみ適用可能です。アカウントを外部で識別する必要がある場合、レジストリでOSAUTH_PREFIX_DOMAINをTRUEに設定すると、アカウントにドメインの指定を義務付けます。このため、異なるドメインまたはローカル・システムからのユーザー・アクセスのなりすましを防ぐことができます。
OS_AUTH_PRFX_DOM_RECOMM
POLICY
Windowsシステムの場合、外部で識別するユーザーに対してはOSAUTH_PREFIX_DOMAIN初期化パラメータをTRUEに設定してください。
PWD_LOCK_TIME_NAME
POLICY
パスワード・ロック期間
PWD_LOCK_TIME_DESC
POLICY
PASSWORD_LOCK_TIMEがすべてのプロファイルで適切な日数に設定されていることを確認します
PWD_LOCK_TIME_IMPACT
POLICY
値を低く設定すると、DoS攻撃の可能性が増加します。
PWD_LOCK_TIME_RECOMM
POLICY
PASSWORD_LOCK_TIMEパラメータをすべてのプロファイルで1以上に設定してください。
MIN_PWD_LOCK_TIME_PNAME
POLICY
MIN_PASSWORD_LOCK_TIME
PWD_GRACE_TIME_NAME
POLICY
パスワード猶予期間
PWD_GRACE_TIME_DESC
POLICY
すべてのプロファイルでPASSWORD_GRACE_TIMEが適切な日数に設定されていることを確認します
PWD_GRACE_TIME_IMPACT
POLICY
PASSWORD_GRACE_TIMEパラメータの値が高く設定されていると、ユーザーが同じパスワードを長時間使用できるため、データベースのセキュリティ上の重大な問題が発生する可能性があります。
PWD_GRACE_TIME_RECOMM
POLICY
すべてのプロファイルでPASSWORD_GRACE_TIMEパラメータを7日以下に設定してください。
MAX_PWD_GRACE_TIME_PNAME
POLICY
MAX_PASSWORD_GRACE_TIME
PWD_LIFE_TIME_NAME
POLICY
パスワード存続期間
PWD_LIFE_TIME_DESC
POLICY
すべてのプロファイルでPASSWORD_LIFE_TIMEが適切な日数に設定されていることを確認します
PWD_LIFE_TIME_IMPACT
POLICY
パスワード存続期間が長いとハッカーがパスワードを長時間推測できるため、データベースのセキュリティ上の重大な問題が発生する可能性があります。
PWD_LIFE_TIME_RECOMM
POLICY
すべてのプロファイルでPASSWORD_LIFE_TIMEパラメータを180日以下に設定してください。
MAX_PWD_LIFE_TIME_PNAME
POLICY
MAX_PASSWORD_LIFE_TIME
PWD_REUSE_MAX_NAME
POLICY
パスワード再使用最大回数
PWD_REUSE_MAX_DESC
POLICY
すべてのプロファイルでPASSWORD_REUSE_MAXが適切な回数に設定されていることを確認します
PWD_REUSE_MAX_IMPACT
POLICY
現在のパスワードを推測する場合、旧パスワードが通常最も多く使用されます。PASSWORD_REUSE_MAXパラメータの値が低いと、ユーザーが旧パスワードを何度も使用できるため、データベースのセキュリティ上の重大な問題が発生する可能性があります。
PWD_REUSE_MAX_RECOMM
POLICY
すべてのプロファイルでPASSWORD_REUSE_MAXパラメータの値をUNLIMITEDに設定してください。
MIN_PWD_REUSE_MAX_PNAME
POLICY
MIN_PASSWORD_REUSE_MAX
PWD_REUSE_TIME_NAME
POLICY
パスワード再使用期間
PWD_REUSE_TIME_DESC
POLICY
すべてのプロファイルでPASSWORD_REUSE_TIME が適切な日数に設定されていることを確認します
PWD_REUSE_TIME_IMPACT
POLICY
PASSWORD_REUSE_TIMEパラメータの値が低いと、ユーザーが旧パスワードを何度も使用できるため、データベースのセキュリティ上の重大な問題が発生する可能性があります。
PWD_REUSE_TIME_RECOMM
POLICY
すべてのプロファイルでPASSWORD_REUSE_TIMEパラメータの値をUNLIMITEDに設定してください。
MIN_PWD_REUSE_TIME_PNAME
POLICY
MIN_PASSWORD_REUSE_TIME
PWD_CMPLX_FN_NAME
POLICY
パスワードの複雑性の検証機能の使用
PWD_CMPLX_FN_DESC
POLICY
プロファイルのPASSWORD_VERIFY_FUNCTIONリソースが設定されていることを確認します
PWD_CMPLX_FN_IMPACT
POLICY
複雑性の最低要件を満たさないパスワードを使用すると、複雑なパスワードを使用する場合に比べて大幅に保護機能が低下します。
PWD_CMPLX_FN_RECOMM
POLICY
プロファイルのPASSWORD_VERIFY_FUNCTIONリソースを設定してください。
TRACE_FILES_PUB_NAME
POLICY
パブリック・トレース・ファイル
TRACE_FILES_PUBLIC_DESC
POLICY
データベース・トレース・ファイルがパブリックから読取り不可能であることを確認します
TRACE_FILES_PUBLIC_IMPACT
POLICY
トレース・ファイルをPUBLICグループから読取り可能にすると、悪質なユーザーがトレース・ファイルを読取りにいき、機密情報が公開される可能性があります。
TRACE_FILES_PUBLIC_RECOMM
POLICY
初期化パラメータ_TRACE_FILES_PUBLICをFALSEに設定してください。
AUDIT_TRAIL_NAME
POLICY
データベース監査の有効化
AUDIT_TRAIL_DESC
POLICY
データベース監査が有効であることを確認します
AUDIT_TRAIL_IMPACT
POLICY
AUDIT_TRAILパラメータにより、データベース監査を有効または無効にします。監査はアカウンタビリティの実施や不正使用の証跡記録が可能であり、たびたび法的コンプライアンスで必要とされるため、監査により、セキュリティを強化できます。また、監査を行うことで、システム管理者は保護の強化、不信な操作の早期検出、セキュリティ・レスポンスの詳細チューニングなどを実行できます。
AUDIT_TRAIL_RECOMM
POLICY
AUDIT_TRAILをDB、デフォルトまたはOSに設定します。データベースに格納される監査レコードは、OSに格納される監査レコードに比べて表示や管理が容易です。ただし、オペレーティング・システムのファイルに格納される監査レコードは、適切なファイル権限で保護することができ、データベースが一時的にアクセス不可能な場合にも使用できます。
RMT_LSNR_NAME
POLICY
リモート・リスナー・インスタンスの使用
RMT_LSNR_DESC
POLICY
データベース・インスタンスとは別のリモート・マシンでリスナー・インスタンスを使用していないことを確認します
RMT_LSNR_IMPACT
POLICY
REMOTE_LISTENER初期化パラメータを使用すると、リモート・マシン上のリスナーがデータベースにアクセスできます。マルチマスター・レプリケーション環境またはRAC環境では、このパラメータ設定によりロード・バランシング・メカニズムがリスナーに提供されるため、このパラメータは適用できません。
RMT_LSNR_RECOMM
POLICY
REMOTE_LISTENERはNULL文字列に設定する必要があります。マルチマスター・レプリケーション環境またはRAC環境では、このパラメータ設定によりロード・バランシング・メカニズムがリスナーに提供されるため、このパラメータは適用できません。
OS_AUTH_PREFIX_NAME
POLICY
外部で識別されたアカウントの使用
OS_AUTH_PREFIX_DESC
POLICY
OS認証の接頭辞の値がOPS$以外に設定されていることを確認します
OS_AUTH_PREFIX_IMPACT
POLICY
OS_AUTHENT_PREFIXパラメータにより、サーバーへの接続を行うユーザーを認証する際に使用される接頭辞を指定します。接続リクエストが試行されると、Oracleではデータベースのユーザー名と接頭辞の付いたユーザー名が比較されます。特にOPS$などの接頭辞を使用する場合、アカウントがオペレーティング・システムのユーザーとして認証されたり、IDENTIFIED BY句で使用されているパスワードで認証された際には、構成がセキュアでなくなります。攻撃者がそのことに気付き、これらのアカウントに攻撃を仕掛ける可能性があります。
OS_AUTH_PREFIX_RECOMM
POLICY
OS_AUTHENT_PREFIXをOPS$以外の値に設定します。
SQL92_SECURITY_NAME
POLICY
SQL92セキュリティ機能の使用
SQL92_SECURITY_DESC
POLICY
SQL92セキュリティ機能の使用状況を確認します
SQL92_SECURITY_IMPACT
POLICY
SQL92セキュリティ機能を無効にすると、ユーザーは表に対するSELECT権限がなくてもWHERE句を使用してUPDATE文またはDELETE文を実行できる可能性があります。
SQL92_SECURITY_RECOMM
POLICY
初期化パラメータSQL92_SECURITYをTRUEに設定して、SQL92セキュリティ機能を有効にしてください。
GLOBAL_NAME_NAME
POLICY
データベース・リンクのネーミング
GLOBAL_NAME_DESC
POLICY
データベース・リンクの名前が、リモート・データベース名と同じであることを確認します
GLOBAL_NAME_IMPACT
POLICY
データベース・リンク名が接続するデータベースのグローバル名と一致しない場合、テスト・サーバーまたは開発サーバーから本番サーバーへのアクセスを管理者が誤って許可してしまう可能性があります。この情報は、悪質なユーザーがターゲット・データベースにアクセスする際に使用されます。
GLOBAL_NAME_RECOMM
POLICY
分散処理を使用中または計画中の場合、ネットワーク化された環境でデータベースとリンクの一貫したネーミング規則を確実に使用するために、GLOBAL_NAMES初期化パラメータをTRUEに設定することをお薦めします。
DB_LINK_WITH_PWD_NAME
POLICY
クリアテキスト・パスワードを使用するデータベース・リンクの使用
DB_LINK_WITH_PWD_DESC
POLICY
クリアテキスト・パスワードを使用するデータベース・リンクが使用されていないことを確認します
DB_LINK_WITH_PWD_IMPACT
POLICY
SYS.LINK$表にはデータベース・リンクで使用されるクリアテキスト・パスワードが含まれています。悪質なユーザーがSYS.LINK$表からクリアテキスト・パスワードを読み取り、望ましくない結果になる可能性があります。
DB_LINK_WITH_PWD_RECOMM
POLICY
固定されたユーザー・データベース・リンクを作成しないでください。
UMASK_SETTING_NAME
POLICY
UNIXシステムにおける適切なumaskの使用
UMASK_SETTING_DESC
POLICY
UNIXシステムで、Oracleソフトウェアの所有者がumaskを適切な値の022に設定していることを確認します
UMASK_SETTING_IMPACT
POLICY
umaskが適切な値(022など)に設定されていない場合、ログまたはトレース・ファイルがパブリックからアクセスできるようになり、機密情報が公開される可能性があります。
UMASK_SETTING_RECOMM
POLICY
Oracleソフトウェア所有者のumaskを022に設定してください。
UNLMT_FAILED_LGIN_NAME
POLICY
ログイン試行失敗回数が過剰に許可されたユーザー
PROFILE_UNLMTED_FAILED_NAME
POLICY
ログイン試行失敗回数が過剰に許可されたプロファイル
UNLMT_FAILED_LGIN_DESC
POLICY
ログイン試行失敗の許容回数が、すべてのプロファイルで適切なログイン試行回数に設定されていることを確認します
USR_UNLMT_FAILED_LGIN_DESC
POLICY
ログイン試行失敗の許容回数が、すべてのユーザーで適切なログイン試行回数に設定されていることを確認します
UNLMT_FAILED_LGIN_IMPACT
POLICY
悪質なユーザーによる手動および自動のパスワード推測を許可してしまいます。
UNLMT_FAILED_LGIN_RECOMM
POLICY
ユーザー・プロファイルでFAILED_LOGIN_ATTEMPTSを10以下に設定してください。
MAX_FAILED_LOGIN_ATTEMPTS_PNAME
POLICY
MAX_FAILED_LOGIN_ATTEMPTS
UTL_TCP_PUB_EXE_PRIV_NAME
POLICY
UTL_TCP実行のための制限された権限
UTL_TCP_PUB_EXE_PRIV_DESC
POLICY
PUBLICにはUTL_TCPパッケージに対する実行権限がないことを確認します
PUB_EXE_PRIV_IMPACT
POLICY
PUBLICロールに付与された権限は、自動的にすべてのユーザーに適用されます。EXECUTE権限を利用すると、悪質なユーザーは電子メール、ネットワークおよびhttpモジュールにアクセスできます。
UTL_TCP_PUB_EXE_PRIV_RECOMM
POLICY
UTL_TCPパッケージに対するEXECUTE権限を取り消します。
UTL_HTTP_PUB_EXE_PRIV_NAME
POLICY
UTL_HTTP実行のための制限された権限
UTL_HTTP_PUB_EXE_PRIV_DESC
POLICY
PUBLICにはUTL_HTTPパッケージに対する実行権限がないことを確認します
UTL_HTTP_PUB_EXE_PRIV_RECOMM
POLICY
UTL_HTTPパッケージに対するEXECUTE権限を取り消します。
UTL_SMTP_PUB_EXE_PRIV_NAME
POLICY
UTL_SMTP実行のための制限された権限
UTL_SMTP_PUB_EXE_PRIV_DESC
POLICY
PUBLICにはUTL_SMTPパッケージに対する実行権限がないことを確認します
UTL_SMTP_PUB_EXE_PRIV_RECOMM
POLICY
UTL_SMTPパッケージに対するEXECUTE権限を取り消します。
UTL_FILE_PKG_NAME
POLICY
PUBLICへのUTL_FILEに対する実行権限
UTL_FILE_PKG_DESC
POLICY
PUBLICにはUTL_FILEパッケージに対するEXECUTE権限がないことを確認します
UTL_FILE_PKG_IMPACT
POLICY
PUBLICロールに付与された権限は、自動的にすべてのユーザーに適用されます。UTL_FILE権限を付与すると、悪質なユーザーがシステム内の任意のファイルを読取り/書込みできるようになります。
UTL_FILE_PKG_RECOMM
POLICY
PUBLICに付与されたUTL_FILEパッケージに対するEXECUTE権限を取り消してください。
DBMS_JOB_PKG_NAME
POLICY
PUBLICへのDBMS_JOBに対する実行権限
DBMS_JOB_PKG_DESC
POLICY
DBMS_JOBパッケージに対するEXECUTE権限がPUBLICに付与されていないことを確認します
DBMS_JOB_PKG_IMPACT
POLICY
DBMS_JOBパッケージに対するEXECUTE権限をPUBLICに付与すると、ユーザーがデータベースに対してジョブをスケジュールできるようになります。
DBMS_JOB_PKG_RECOMM
POLICY
DBMS_JOBパッケージに対するEXECUTE権限をPUBLICに付与しないでください。
DBMS_SYS_SQL_PKG_NAME
POLICY
PUBLICへのDBMS_SYS_SQLに対する実行権限
DBMS_SYS_SQL_PKG_DESC
POLICY
DBMS_SYS_SQLパッケージに対するEXECUTE権限がPUBLICに付与されていないことを確認します
DBMS_SYS_SQL_PKG_IMPACT
POLICY
DBMS_SYS_SQLパッケージを使用すると、PL/SQLおよびSQLをコール元ではなくプロシージャの所有者として実行できます。
DBMS_SYS_SQL_PKG_RECOMM
POLICY
PUBLICグループからDBMS_SYS_SQLパッケージに対するEXECUTE権限を取り消してください。
DBMS_LOB_PKG_NAME
POLICY
PUBLICへのDBMS_LOBに対する実行権限
DBMS_LOB_PKG_DESC
POLICY
DBMS_LOBパッケージに対するEXECUTE権限がPUBLICグループに付与されていないことを確認します
DBMS_LOB_PKG_IMPACT
POLICY
DBMS_LOBパッケージを使用すると、Oracleソフトウェア・インストールの所有者としてシステム上のファイルにアクセスできます。
DBMS_LOB_PKG_RECOMM
POLICY
PUBLICグループからDBMS_LOBパッケージに対するEXECUTE権限を取り消してください。
PUB_SYSPRIV_NAME
POLICY
PUBLICへのシステム権限
PUB_SYSPRIV_DESC
POLICY
システム権限がPUBLICに付与されていないことを確認します
PUB_SYSPRIV_IMPACT
POLICY
PUBLICロールに付与された権限は、自動的にすべてのユーザーに適用されます。すべてのユーザーにSYSTEM権限が付与されることになるため、セキュリティ上のリスクがあります。
PUB_SYSPRIV_RECOMM
POLICY
PUBLICからSYSTEM権限を取り消してください。
DFLT_ACT_PWD_NAME
POLICY
デフォルト・パスワード
DFLT_ACT_PWD_DESC
POLICY
既知のアカウントにデフォルト・パスワードがないことを確認します
DFLT_ACT_PWD_IMPACT
POLICY
デフォルト・パスワードを利用すると、知識のある悪質なユーザーはデータベースへのアクセスが可能です。
DFLT_ACT_PWD_RECOMM
POLICY
すべてのデフォルト・パスワードを変更する必要があります。
WELL_KNOWN_ACCOUNT1_NAME
POLICY
Well Knownアカウント(ステータス)
WELL_KNOWN_ACCOUNT2_NAME
POLICY
Well Knownアカウント
WELL_KNOWN_ACCOUNT_DESC
POLICY
Well Knownアカウントが期限切れでロックされていることを確認します
WELL_KNOWN_ACCOUNT_IMPACT
POLICY
Well Knownアカウントを利用すると、知識のある悪質なユーザーはデータベースへのアクセスが可能です。
WELL_KNOWN_ACCOUNT_RECOMM
POLICY
Well Knownアカウントを期限切れにしてロックしてください。
RMT_LGIN_NAME
POLICY
リモート・パスワード・ファイル
RMT_LGIN_DESC
POLICY
オペレーティング・システムで特権ユーザーが認証されていることを確認します。この場合、Oracleではパスワード・ファイルが無視されます
RMT_LGIN_IMPACT
POLICY
REMOTE_LOGIN_PASSWORDFILEパラメータで、Oracleによりパスワード・ファイルが確認されるかどうかを指定します。パスワード・ファイルにはSYSなどのユーザー・パスワードが含まれるため、オペレーティング・システムで認証されている特権ユーザーを要求することが、パスワードの総当たり攻撃による接続を防止する最も確実な方法です。
RMT_LGIN_RECOMM
POLICY
パスワード・ファイルを削除し、REMOTE_LOGIN_PASSWORDFILEをNONEに設定します。
RMT_ROLE_AUTH_NAME
POLICY
リモートOS認証
RMT_ROLE_AUTH_DESC
POLICY
REMOTE_OS_AUTHENT初期化パラメータがFALSEに設定されていることを確認します
RMT_ROLE_AUTH_IMPACT
POLICY
リモートOS認証が許可されている場合、悪質なユーザーはデータベースへのアクセスが可能です。
RMT_ROLE_AUTH_RECOMM
POLICY
REMOTE_OS_AUTHENT初期化パラメータをFALSEに設定してください。
RMT_OS_ROLE_NAME
POLICY
リモートOSロール
RMT_OS_ROLE_DESC
POLICY
REMOTE_OS_ROLES初期化パラメータがFALSEに設定されていることを確認します
RMT_OS_ROLE_IMPACT
POLICY
リモート・ユーザーに権限のあるロールを付与できる場合、悪質なユーザーはデータベースへのアクセスが可能です。
RMT_OS_ROLE_RECOMM
POLICY
REMOTE_OS_ROLES初期化パラメータをFALSEに設定してください。
USR_ACCSS_AUD_NAME
POLICY
SYS.AUD$表へのアクセス
USR_ACCSS_AUD_DESC
POLICY
SYS.AUD$表へのアクセスが制限されていることを確認します
USR_ACCSS_AUD_IMPACT
POLICY
悪質なユーザーは、機密監査情報へのアクセスが可能です。
USR_ACCSS_AUD_RECOMM
POLICY
DBA/SYS以外のデータベース・ユーザーからSYS.AUD$表へのアクセスを取り消してください。
ACCESS_USER_HIST_NAME
POLICY
SYS.USER_HISTORY$表へのアクセス
ACCESS_USER_HIST_DESC
POLICY
SYS.USER_HISTORY$表へのアクセスが制限されていることを確認します
ACCESS_USER_HIST_IMPACT
POLICY
ユーザー名およびパスワード・ハッシュがSYS.USER_HISTORY$表から読み取られるため、ハッカーによる総当たり攻撃が可能になります。
ACCESS_USER_HIST_RECOMM
POLICY
DBA/SYS以外のデータベース・ユーザーからSYS.USER_HISTORY$表へのアクセスを取り消してください。
ACSS_SRC_TAB_NAME
POLICY
SYS.SOURCE$表へのアクセス
ACSS_SRC_TAB_DESC
POLICY
SYS.SOURCE$表へのアクセスが制限されていることを確認します
ACSS_SRC_TAB_IMPACT
POLICY
データベースにあるすべてのストアド・パッケージ・ユニットのソースが含まれています。
ACSS_SRC_TAB_RECOMM
POLICY
SYS/DBA以外のデータベース・ユーザーからSYS.SOURCE$表へのアクセスを取り消してください。
ACCSS_LINK_TAB_NAME
POLICY
SYS.LINK$表へのアクセス
ACCSS_LINK_TAB_DESC
POLICY
LINK$表へのアクセスが制限されていることを確認します
ACCSS_LINK_TAB_IMPACT
POLICY
知識のある悪質なユーザーは、SYS.LINK$表からユーザー・パスワードへのアクセスが可能です。
ACCSS_LINK_TAB_RECOMM
POLICY
SYS.LINK$表へのアクセスを制限してください。
ACCSS_USER_TAB_NAME
POLICY
SYS.USER$表へのアクセス
ACCSS_USER_TAB_DESC
POLICY
SYS.USER$表へのアクセスが制限されていることを確認します
ACCSS_USER_TAB_IMPACT
POLICY
ユーザー名およびパスワード・ハッシュがSYS.USER$表から読み取られるため、ハッカーによる総当たり攻撃が可能になります。
ACCSS_USER_TAB_RECOMM
POLICY
SYS.USER$表へのアクセスを制限してください。
ACCSS_SQLTEXT_TAB_NAME
POLICY
STATS$SQLTEXT表へのアクセス
ACCSS_SQLTEXT_TAB_DESC
POLICY
STATS$SQLTEXT表へのアクセスが制限されていることを確認します
ACCSS_SQLTEXT_TAB_IMPACT
POLICY
この表には最近実行されたSQL文の完全なテキストが記載されています。SQL文から機密情報が公開される可能性があります。
ACCSS_SQLTEXT_TAB_RECOMM
POLICY
STATS$SQLTEXT表へのアクセスを制限してください。
ACCSS_SQLSUM_TAB_NAME
POLICY
STATS$SQL_SUMMARY表へのアクセス
ACCSS_SQLSUM_TAB_DESC
POLICY
STATS$SQL_SUMMARY表へのアクセスが制限されていることを確認します
ACCSS_SQLSUM_TAB_IMPACT
POLICY
サーバーに対して発行されたほとんどのリソース集約コマンドを表すSQLテキストの最初の数行が含まれています。バインド変数なしで実行されたSQL文がここに表示され、機密情報が公開される可能性があります。
ACCSS_SQLSUM_TAB_RECOMM
POLICY
STATS$SQL_SUMMARY表へのアクセスを制限してください。
ACCSS_ALL_SRC_NAME
POLICY
ALL_SOURCEビューへのアクセス
ACCSS_ALL_SRC_DESC
POLICY
ALL_SOURCEビューへのアクセスが制限されていることを確認します
ACCSS_ALL_SRC_IMPACT
POLICY
ALL_SOURCEビューにはデータベースにあるすべてのストアド・パッケージのソースが含まれています。
ACCSS_ALL_SRC_RECOMM
POLICY
SYS以外のデータベースユーザーからALL_SOURCEビューへのアクセスを取り消してください。
ACCSS_DBA_ROLES_NAME
POLICY
DBA_ROLESビューへのアクセス
ACCSS_DBA_ROLES_DESC
POLICY
DBA_ROLESビューへのアクセスが制限されていることを確認します
ACCSS_DBA_ROLES_IMPACT
POLICY
DBA_ROLESビューにはデータベース内のすべてのロールに関する詳細が含まれています。データベース内のロールの構造に関する情報は、悪質なユーザーに利用される可能性があります。
ACCSS_DBA_ROLES_RECOMM
POLICY
DBA_ROLESビューへのアクセスを制限してください。
ACCSS_DBA_SYSPRIVS_NAME
POLICY
DBA_SYS_PRIVSビューへのアクセス
ACCSS_DBA_SYSPRIVS_DESC
POLICY
DBA_SYS_PRIVSビューへのアクセスが制限されていることを確認します
ACCSS_DBA_SYSPRIVS_IMPACT
POLICY
DBA_SYS_PRIVSビューに問い合せて、ロールおよびユーザーに付与されたシステム権限を検索できます。データベース内のロールの構造に関する情報は、悪質なユーザーに利用される可能性があります。
ACCSS_DBA_SYSPRIVS_RECOMM
POLICY
DBA_SYS_PRIVSビューへのアクセスを制限してください。
ACCSS_DBA_ROLEPRIVS_NAME
POLICY
DBA_ROLE_PRIVSビューへのアクセス
ACCSS_DBA_ROLEPRIVS_DESC
POLICY
DBA_ROLE_PRIVSビューへのアクセスが制限されていることを確認します
ACCSS_DBA_ROLEPRIVS_IMPACT
POLICY
DBA_ROLE_PRIVSビューにはユーザーに付与されたロールおよびその他のロールがリストされています。データベース内のロールの構造に関する情報は、悪質なユーザーに利用される可能性があります。
ACCSS_DBA_ROLEPRIVS_RECOMM
POLICY
DBA_ROLE_PRIVSビューへのアクセスを制限してください。
ACCSS_DBA_TABPRIVS_NAME
POLICY
DBA_TAB_PRIVSビューへのアクセス
ACCSS_DBA_TABPRIVS_DESC
POLICY
DBA_TAB_PRIVSビューへのアクセスが制限されていることを確認します
ACCSS_DBA_TABPRIVS_IMPACT
POLICY
ユーザーまたはロールに付与された、データベース内のオブジェクトに対する権限がリストされています。データベース内のロールの構造に関する情報は、悪質なユーザーに利用される可能性があります。
ACCSS_DBA_TABPRIVS_RECOMM
POLICY
DBA_TAB_PRIVSビューへのアクセスを制限してください。
ACCSS_DBA_USERS_NAME
POLICY
DBA_USERSビューへのアクセス
ACCSS_DBA_USERS_DESC
POLICY
DBA_USERSビューへのアクセスが制限されていることを確認します
ACCSS_DBA_USERS_IMPACT
POLICY
ユーザー・パスワード・ハッシュおよびその他のアカウント情報が含まれています。この情報にアクセスすると、総当たり攻撃を開始できます。
ACCSS_DBA_USERS_RECOMM
POLICY
DBA_USERSビューへのアクセスを制限してください。
ACCSS_ROLE_ROLE_NAME
POLICY
ROLE_ROLE_PRIVSビューへのアクセス
ACCSS_ROLE_ROLE_DESC
POLICY
ROLE_ROLE_PRIVSビューへのアクセスが制限されていることを確認します
ACCSS_ROLE_ROLE_IMPACT
POLICY
他のロールに付与されたロールがリストされています。データベース内のロールの構造に関する情報は、悪質なユーザーに利用される可能性があります。
ACCSS_ROLE_ROLE_RECOMM
POLICY
ROLE_ROLE_PRIVSビューへのアクセスを制限してください。
ACCSS_USER_TAB_PRIVS_NAME
POLICY
USER_TAB_PRIVSビューへのアクセス
ACCSS_USER_TAB_PRIVS_DESC
POLICY
USER_TAB_PRIVSビューへのアクセスが制限されていることを確認します
ACCSS_USER_TAB_PRIVS_IMPACT
POLICY
ユーザーが所有者、権限付与者または権限受領者のオブジェクトに対する権限がリストされています。データベース内の権限に関する情報は、悪質なユーザーに利用される可能性があります。
ACCSS_USER_TAB_PRIVS_RECOMM
POLICY
USER_TAB_PRIVSビューへのアクセスを制限してください。
ACCSS_USER_ROLE_PRIV_NAME
POLICY
USER_ROLE_PRIVSビューへのアクセス
ACCSS_USER_ROLE_PRIV_DESC
POLICY
USER_ROLE_PRIVSビューへのアクセスが制限されていることを確認します
ACCSS_USER_ROLE_PRIV_IMPACT
POLICY
現在のユーザーに付与されたロールがリストされています。データベース内のロールの構造に関する情報は、悪質なユーザーに利用される可能性があります。
ACCSS_USER_ROLE_PRIV_RECOMM
POLICY
USER_ROLE_PRIVSビューへのアクセスを制限してください。
SECURE_OS_AUDIT_LEVEL_NAME
POLICY
セキュアなOS監査レベル
SECURE_OS_AUDIT_LEVEL_DESC
POLICY
UNIXシステムでOSレベルの監査が有効な場合、AUDIT_SYSLOG_LEVELがデフォルト以外の値に設定されていることを確認します
SECURE_OS_AUDIT_LEVEL_IMPACT
POLICY
AUDIT_SYSLOG_LEVEL初期化パラメータをデフォルト値(NONE)に設定すると、DBAがOS監査レコードにアクセスできるようになります。
SECURE_OS_AUDIT_LEVEL_RECOM
POLICY
オペレーティング・システム監査が有効な場合、AUDIT_SYSLOG_LEVEL初期化パラメータを有効な値に設定し、Oracle OS監査レコードが別のファイルに書き込まれるように/etc/syslog.confを構成してください。
DATA_DICTIONARY_PROTECTED_NAME
POLICY
データ・ディクショナリ保護
DATA_DICTIONARY_PROTECTED_DESC
POLICY
データ・ディクショナリの保護が有効であることを確認します
DATA_DICTIONARY_PROTECTED_IMPACT
POLICY
07_DICTIONARY_ACCESSIBILITYパラメータは、データ・ディクショナリへのアクセスを制御します。07_DICTIONARY_ACCESSIBILITYをTRUEに設定すると、ANYシステム権限を持つユーザーにデータ・ディクショナリへのアクセスが許可されます。この結果、これらのユーザー・アカウントを利用してデータに不正にアクセスできます。
DATA_DICTIONARY_PROTECTED_RECOM
POLICY
07_DICTIONARY_ACCESSIBILITYをFALSEに設定してください。
AUDIT_SYS_OPS_NAME
POLICY
SYS操作の監査有効
AUDIT_SYS_OPS_DESC
POLICY
SYSとして接続しているユーザーのセッションが完全に監査されていることを確認します
AUDIT_SYS_OPS_IMPACT
POLICY
AUDIT_SYS_OPERATIONSパラメータは、SYSユーザーおよびSYSDBAまたはSYSOPER権限で接続しているユーザーが発行した操作の監査を有効または無効にします。
AUDIT_SYS_OPS_RECOM
POLICY
AUDIT_SYS_OPERATIONSをTRUEに設定してください。
PROXY_ACCOUNT_NAME
POLICY
プロキシ・アカウント
PROXY_ACCOUNT_DESC
POLICY
プロキシ・アカウントの権限が制限されていることを確認します
PROXY_ACCOUNT_IMPACT
POLICY
プロキシ・ユーザーが必要なのはデータベースへの接続だけです。接続した後は、かわりに接続を行った対象のユーザーの権限を使用します。CREATE SESSION権限以外の権限をプロキシ・ユーザーに付与することは、不要であり誤用を招くおそれがあります。
PROXY_ACCOUNT_RECOMM
POLICY
プロキシ・アカウントの権限をCREATE SESSIONのみに制限します。
RBS_IN_SYSTEM_NAME
POLICY
SYSTEM表領域のロールバック・セグメント
RBS_IN_SYSTEM_DESC
POLICY
SYSTEM表領域にロールバック・セグメントがないかどうかをチェックします
RBS_IN_SYSTEM_IMPACT
POLICY
SYSTEM表領域は、Oracleデータ・ディクショナリとその関連オブジェクト専用に確保しておく必要があります。ユーザー表、ユーザー索引、ユーザー・ビュー、ロールバック・セグメント、UNDOセグメントおよび一時セグメントなど他のオブジェクトの格納には使用しないでください。
RBS_IN_SYSTEM_RECOM
POLICY
SYSTEM表領域ではなく、UNDO専用の表領域を使用してください。
RBS_TBSP_TR_NLSID
POLICY
ロールバック・セグメント表領域名
PERM_AS_TEMP_TBSP_NAME
POLICY
永続表領域を一時表領域として使用しているユーザー
PERM_AS_TEMP_TBSP_DESC
POLICY
永続表領域を一時表領域として使用しているユーザーをチェックします
PERM_AS_TEMP_TBSP_IMPACT
POLICY
これらのユーザーは、永続表領域を一時表領域として使用しています。一時表領域を使用すれば、ソート操作の領域管理をさらに効率化できます。ソート操作に永続表領域を使用した場合、特にReal Application Clustersではパフォーマンス低下の原因になることがあります。ユーザーがシステム表領域を一時表領域として使用している場合、さらに他のセキュリティ上の問題があります。ユーザーがシステム表領域内のすべての使用可能な領域を使用できるため、データベースが停止する可能性があります。
PERM_AS_TEMP_TBSP_RECOM
POLICY
これらのユーザーの一時表領域を変更し、タイプがTEMPORARYの表領域を指定してください。
SYSTEM_AS_DEFAULT_TBSP_NAME
POLICY
システム表領域をデフォルト表領域として使用しているシステム以外のユーザー
SYSTEM_AS_DEFAULT_TBSP_DESC
POLICY
SYSTEMまたはSYSAUXをデフォルト表領域として使用しているシステム以外のユーザーをチェックします
SYSTEM_AS_DEFAULT_TBSP_IMPACT
POLICY
これらのシステム以外のユーザーが、システム表領域をデフォルト表領域として使用しています。この違反状態では、システム以外のデータ・セグメントがシステム表領域に追加されるため、これらのデータ・セグメントの管理がより困難になり、システム表領域のパフォーマンス低下の原因となります。これはセキュリティ上の問題でもあります。システム表領域内のすべての使用可能な領域が消費されるため、データベースが停止する可能性があります。
SYSTEM_AS_DEFAULT_TBSP_RECOM
POLICY
これらのユーザーのデフォルト表領域を変更し、システム以外の表領域を指定してください。
TBSP_SEGSPACE_MGMT_NAME
POLICY
自動セグメント領域管理が使用されていない表領域
TBSP_SEGSPACE_MGMT_DESC
POLICY
手動セグメント領域管理を使用しているローカル管理表領域をチェックします。SYSTEMおよびSYSAUX表領域はこのチェックから除外されます。
TBSP_SEGSPACE_MGMT_IMPACT
POLICY
自動セグメント領域管理は、セグメント内の領域を管理するより簡単でより効率的な方法です。これを使用すると、表領域内で作成されたスキーマ・オブジェクトのPCTUSED、FREELISTSおよびFREELIST GROUPS記憶域パラメータを指定してチューニングする必要が完全になくなります。RAC環境では、空きリスト・グループを使用する場合の領域の難しいパーティション化を回避できるという利点もあります。
TBSP_SEGSPACE_MGMT_RECOM
POLICY
すべての永続ローカル管理表領域の手動セグメント領域管理の設定を自動に変更します。この設定を変更するために、表領域を再編成する必要があります。
TBSP_DICTIONARY_NAME
POLICY
ディクショナリ管理表領域
TBSP_DICTIONARY_DESC
POLICY
ディクショナリ管理表領域をチェックします
TBSP_DICTIONARY_IMPACT
POLICY
これらの表領域はディクショナリ管理されています。パフォーマンスの向上および領域管理の簡略化のために、自動セグメント領域管理を使用して、ローカル管理表領域を使用することをお薦めします。
TBSP_DICTIONARY_RECOM
POLICY
表領域がローカルで管理されるよう再定義してください。
TBSP_MIXED_SEGS_NAME
POLICY
ロールバックおよびデータ・セグメントを含む表領域
TBSP_MIXED_SEGS_DESC
POLICY
ロールバック・セグメントとデータ・セグメントの両方を含む表領域がないかどうかをチェックします
TBSP_MIXED_SEGS_IMPACT
POLICY
これらの表領域には、ロールバック・セグメントとデータ・セグメントの両方が含まれています。このようにタイプの異なるセグメントを混在させると、領域管理がより困難になり、表領域のパフォーマンスが低下することもあります。ロールバック・セグメント専用の表領域を使用すれば、可用性とパフォーマンスが向上します。
TBSP_MIXED_SEGS_RECOM
POLICY
自動UNDO管理(Oracle9.0.1以上)を使用してこの表領域からロールバック・セグメントを削除するか、またはロールバック・セグメント専用に1つ以上の表領域を作成して、この表領域からロールバック・セグメントを削除します。あるいは、この表領域をロールバック・セグメント専用とし、データ・セグメントを他の表領域に移動します。
DEFAULT_TEMP_TBSP_NAME
POLICY
デフォルトの一時表領域がシステム表領域に設定されている
DEFAULT_TEMP_TBSP_DESC
POLICY
DEFAULT_TEMP_TABLESPACEデータベース・プロパティがシステム表領域に設定されているかどうかをチェックします
DEFAULT_TEMP_TBSP_IMPACT
POLICY
明示的に指定されていない場合、DEFAULT_TEMP_TABLESPACEはデフォルトでシステム表領域になります。この設定は、お薦めしません。デフォルトの一時表領域は、一時表領域が明示的に割り当てられていないすべてのユーザーの一時表領域として使用されます。データベースのデフォルトの一時表領域がシステム表領域に設定されている場合、一時表領域が明示的に割り当てられていないすべてのユーザーによって、システム表領域がユーザーの一時表領域として使用されます。システム表領域を一時的なデータの格納に使用することはお薦めしません。このように使用すると、データベースのパフォーマンスが低下する可能性があります。これはセキュリティ上の問題でもあります。システム以外のユーザーがシステム表領域にデータを格納している場合、システム表領域内のすべての使用可能な領域が消費されるため、データベースが停止する可能性があります。
DEFAULT_TEMP_TBSP_RECOM
POLICY
DEFAULT_TEMP_TABLESPACEをシステム一時表領域以外に設定することをお薦めします。データベースの10gのバージョンでは、DEFAULT_TEMP_TABLESPACEは一時表領域グループにも設定できます。一時表領域または一時表領域グループを作成または編集し、デフォルトの一時表領域に設定します。
DEFAULT_PERMANENT_TBSP_NAME
POLICY
デフォルトの永続表領域がシステム表領域に設定されている
DEFAULT_PERMANENT_TBSP_DESC
POLICY
DEFAULT_PERMANENT_TABLESPACEデータベース・プロパティがシステム表領域に設定されているかどうかをチェックします
DEFAULT_PERMANENT_TBSP_IMPACT
POLICY
明示的に指定されていない場合、DEFAULT_PERMANENT_TABLESPACEはデフォルトでシステム表領域になります。この設定は、お薦めしません。データベースのデフォルトの永続表領域は、永続表領域が明示的に割り当てらていないシステム以外のすべてのユーザーの永続表領域として使用されます。データベースのデフォルトの永続表領域がシステム表領域に設定されている場合、表領域が明示的に割り当てられていないすべてのユーザーによって、システム表領域が使用されます。システム以外のユーザーがデータの格納にシステム表領域を使用することはお薦めしません。このように使用すると、データベースのパフォーマンスが低下する可能性があります。これはセキュリティ上の問題でもあります。システム以外のユーザーがシステム表領域にデータを格納している場合、システム表領域内のすべての使用可能な領域が消費されるため、データベースが停止する可能性があります。
DEFAULT_PERMANENT_TBSP_RECOM
POLICY
DEFAULT_PERMANENT_TABLESPACEをシステム表領域以外に設定することをお薦めします。DEFAULT_PERMANENT_TABLESPACEとして別の表領域を選択します。これを行うには、表領域を作成または編集し、デフォルトの永続表領域に設定します。
NO_UNDO_TBSP_NAME
POLICY
自動UNDO管理を使用していない
NO_UNDO_TBSP_DESC
POLICY
自動UNDO領域管理が使用されていないことをチェックします
NO_UNDO_TBSP_IMPACT
POLICY
自動UNDO管理を使用しないと、データベースで不要な競合とパフォーマンスの問題が発生します。特に、ロールバック・セグメントのヘッダー・ブロックに対する競合は、バッファ・ビジー待機の形で発生し、ORA-1555 (スナップショットが古すぎます)のエラーが発生する確率が高くなります。
NO_UNDO_TBSP_RECOM
POLICY
手動UNDOまたはロールバック・セグメントではなく、自動UNDO領域管理を使用してください。
NO_SPFILE_NAME
POLICY
SPFILEを使用していない
NO_SPFILE_DESC
POLICY
SPFILEを使用しているかどうかをチェックします
NO_SPFILE_IMPACT
POLICY
SPFILE (サーバー・パラメータ・ファイル)を使用すると、ALTER SYSTEMコマンドによって行ったOracle初期化パラメータへの動的な変更を永続させることができます。この永続性は、データベースのシャットダウン後にも維持されます。データベースでSPFILEが設定されている場合、対応する変更をOracleのinit.oraファイルに反映させる必要はありません。また、ALTER SYSTEMコマンドによって行われたすべての変更は、シャットダウンと再起動の後でも失われません。
NO_SPFILE_RECOM
POLICY
変更を動的に更新するには、サーバー・パラメータ・ファイルを使用してください。
NON_UNIFORM_TBSP_NAME
POLICY
表領域の不均一なデフォルト・エクステント・サイズ
NON_UNIFORM_TBSP_DESC
POLICY
デフォルト・エクステント・サイズが不均一なディクショナリ管理表領域または移行されたローカル管理表領域がないかどうかをチェックします
NON_UNIFORM_TBSP_IMPACT
POLICY
均一でないデフォルト・エクステント・サイズを使用しているディクショナリ管理表領域または移行されたローカル管理表領域が見つかりました。1つの表領域内に様々なサイズのエクステントが存在すると、フラグメンテーションが発生し、領域が適切に使用されず、パフォーマンスの低下を招きます。
NON_UNIFORM_TBSP_RECOM
POLICY
エクステント・サイズが均一になるように、「第2以降のエクステント(NEXT)」を「初期エクステント(INITIAL)」と等しいかその倍数にし、「増加率(PCTINCREASE)(%)」をゼロに設定して、各表領域の記憶域属性を設定します。記憶域属性は、セグメント・レベルでは明示的に指定しないでください。セグメントの記憶域の値は、表領域のデフォルトの記憶域属性から継承されるようにします。
SEG_NONSYS_SEG_IN_SYS_TS_NAME
POLICY
SYSTEM表領域のSYSTEM以外のデータ・セグメント
SEG_NONSYS_SEG_IN_SYS_TS_DESC
POLICY
表領域SYSTEMおよびSYSAUX内にあって、システム以外のユーザーが所有しているデータ・セグメントをチェックします
SEG_NONSYS_SEG_IN_SYS_TS_IMPACT
POLICY
システム・ユーザー以外に属するこれらのセグメントは、システム表領域(SYSTEMまたはSYSAUX)に格納されています。この違反状態では、これらのデータ・セグメントの管理がより困難になり、システム表領域のパフォーマンス低下の原因となる場合があります。これはセキュリティ上の問題でもあります。システム以外のユーザーがシステム表領域にデータを格納している場合、システム表領域内のすべての使用可能な領域が消費されるため、データベースが停止する可能性があります。システム・ユーザーには、SYSおよびSYSTEMなどのDBMSの一部であるユーザーや、CTXSYS、SYSMANおよびOLAPSYSなど、Oracleが提供する機能の一部であるユーザーが含まれます。
SEG_NONSYS_SEG_IN_SYS_TS_RECOM
POLICY
システム以外のセグメントを別の表領域に再配置してください。
SEG_EXT_GROWTH_VIO_NAME
POLICY
エクステント増加ポリシーに違反するセグメント
SEG_EXT_GROWTH_VIO_DESC
POLICY
エクステント・サイズが不適切であるか、または「増加率」が0以外に設定されている(あるいはその両方の)ディクショナリ管理表領域または移行されたローカル管理表領域のセグメントをチェックします
SEG_EXT_GROWTH_VIO_IMPACT
POLICY
これらのセグメントには、サイズが初期エクステントの倍数ではない、または「増加率」がゼロ以外に設定されているエクステントが含まれています。この状態では領域が適切に再利用されず、フラグメンテーションの問題が発生することがあります。
SEG_EXT_GROWTH_VIO_RECOM
POLICY
次の2つのいずれかを実行することが推奨されます。1)ローカル管理表領域を作成してセグメントを再編成します。2)または、「次のエクステント」値に初期エクステントの倍数を指定し、「増加率」の値を0に設定して、これらのセグメントを再編成します。
HIDDEN_PARAMS_NAME
POLICY
標準以外の初期化パラメータの使用
HIDDEN_PARAMS_DESC
POLICY
標準以外の初期化パラメータを使用していないかどうかをチェックします
HIDDEN_PARAMS_IMPACT
POLICY
標準以外の初期化パラメータが使用されています。これらのパラメータは、適切でないアドバイスや誤った推定に基づいて使用された可能性があります。特に、ラッチのSPIN_COUNTおよびドキュメントに記載されていないオプティマイザ機能に関連するパラメータは、多くの確認作業を必要とする大きな問題となる可能性があります。
HIDDEN_PARAMS_RECOM
POLICY
標準以外の初期化パラメータは使用しないでください。
STATISTICS_LEVEL_HIGH_NAME
POLICY
STATISTICS_LEVELパラメータがALLに設定されている
STATISTICS_LEVEL_HIGH_DESC
POLICY
STATISTICS_LEVEL初期化パラメータがALLに設定されているかどうかをチェックします
STATISTICS_LEVEL_HIGH_IMPACT
POLICY
自動統計収集は、オプティマイザによる正確な実行計画の生成を可能にし、またパフォーマンスの問題を特定および修正する場合に必要です。STATISTICS_LEVEL初期化パラメータは、現在、ALLに設定されています。これは指定時間に動作する追加のOSおよび計画実行統計が収集中であることを意味します。これらの統計は必要なく、またシステムに追加のオーバーヘッドを作成します。
STATISTICS_LEVEL_HIGH_RECOM
POLICY
STATISTICS_LEVEL初期化パラメータをTYPICALに設定することをお薦めします。
STATISTICS_LEVEL_NAME
POLICY
無効な自動統計収集
STATISTICS_LEVEL_DESC
POLICY
STATISTICS_LEVEL初期化パラメータがBASICに設定されているかどうかをチェックします
STATISTICS_LEVEL_IMPACT
POLICY
自動統計収集は、オプティマイザによる正確な実行計画の生成を可能にし、またパフォーマンスの問題を特定および修正する場合に必要です。デフォルトでは、STATISTICS_LEVELはTYPICALに設定されています。STATISTICS_LEVEL初期化パラメータがBASICに設定されると、Oracleデータベースの機能および機能性で必要な多くの重要な統計の収集が無効になります。
STATISTICS_LEVEL_RECOM
POLICY
STATISTICS_LEVEL初期化パラメータをTYPICALに設定することをお薦めします。
TIMED_STATISTICS_NAME
POLICY
TIMED_STATISTICSがFALSEに設定されている
TIMED_STATISTICS_DESC
POLICY
TIMED_STATISTICS初期化パラメータがFALSEに設定されているかどうかをチェックします。
TIMED_STATISTICS_IMPACT
POLICY
TIMED_STATISTICSをFALSEに設定すると、時間関連の統計(各種の内部操作の実行時間など)は収集されません。これらの統計は診断やパフォーマンス・チューニングに役立ちます。TIMED_STATISTICSをTRUEに設定すると、時間関連の統計を収集できます。また、トレース・ファイルに提供される値も増えることで、長時間の操作についてより正確な統計を生成できます。
TIMED_STATISTICS_RECOM
POLICY
TIMED_STATISTICS初期化パラメータをTRUEに設定することをお薦めします。TIMED_STATISTICSはシステム・レベルまたはセッション・レベルのどちらかで設定できます。
TIMED_STATISTICS_MESSAGE
POLICY
TIMED_STATISTICSはFALSEに設定されています。
TIMED_STATISTICS_CLEAR_MESSAGE
POLICY
TIMED_STATISTICSはTRUEに設定されています。
TIMED_STATISTICS_FIX
POLICY
TIMED_STATISTICS初期化パラメータの編集
AUTO_PGA_NAME
POLICY
自動PGA管理を使用していない
AUTO_PGA_DESC
POLICY
PGA_AGGREGATE_TARGET初期化パラメータの値が0であるかどうか、またはWORKAREA_SIZE_POLICYの値がMANUALであるかどうかをチェックします。
AUTO_PGA_IMPACT
POLICY
自動PGAメモリー管理は、PGAメモリーの割当て方法を簡略化し向上させます。有効にすると、DBAが設定したPGA_AGGREGATE_TARGET制限を保持したまま、作業領域専用のPGAメモリーの一部がOracleによって動的に調整できるようになります。
AUTO_PGA_RECOM
POLICY
自動PGAメモリー管理を有効にし、PGA_AGGREGATE_TARGET初期化パラメータを0以外に設定することをお薦めします。Oracle PGAアドバイスを使用すると、PGA_AGGREGATE_TARGETを最適なサイズに簡単に設定できます。
SMALL_REDO_LOGS_NAME
POLICY
REDOログ・サイズの不足
SMALL_REDO_LOGS_DESC
POLICY
REDOログ・ファイルが1MB未満でないかをチェックします
SMALL_REDO_LOGS_IMPACT
POLICY
REDOログのサイズが小さいと、システム・チェックポイントでバッファ・キャッシュとI/Oシステムに継続的に高負荷がかかります。
SMALL_REDO_LOGS_RECOM
POLICY
REDOログのサイズを少なくとも1MBに増やしてください。
REDO_LOG_SIZE_TR_NLSID
POLICY
Redoログ・ファイル・サイズ(MB)
INSUFF_REDO_LOGS_NAME
POLICY
REDOログ数の不足
INSUFF_REDO_LOGS_DESC
POLICY
使用しているREDOログが2つ以下でないかをチェックします
INSUFF_REDO_LOGS_IMPACT
POLICY
オンラインREDOログ・ファイルは、リカバリに備えてデータベースにおける変更を記録するために使用されます。アーカイブが有効な場合、オンラインREDOログを再利用する前にアーカイブする必要があります。各データベースでは、最低で2つのオンラインREDOログ・グループが実行中である必要があります。オンラインREDOログのサイズと数が不足すると、LGWRはログを上書きする前に、ARCHがアーカイブ済ログ保存先への書込みを完了するのを待ちます。このような動作は、アクティビティがピークに達する期間には著しくパフォーマンスを低下させる原因となります。
INSUFF_REDO_LOGS_RECOM
POLICY
オラクル社では、少なくとも3つのログ・グループと、各グループに少なくとも2つのメンバーを用意することをお薦めします。同じグループのメンバーは、異なるディスク・ドライブ上にある必要があります。
REDO_LOG_COUNT_TR_NLSID
POLICY
REDOログ数
INSUFF_CONTROL_FILES_NAME
POLICY
制御ファイル数の不足
INSUFF_CONTROL_FILES_DESC
POLICY
単一の制御ファイルを使用していないかどうかをチェックします
INSUFF_CONTROL_FILES_IMPACT
POLICY
制御ファイルは、Oracleデータベースで最も重要なファイルの1つです。このファイルには、データベースに関する多くの物理特性と重要なリカバリ情報が記載されています。メディア・エラーによって1つしかない制御ファイルが失われると、不要な停止時間その他のリスクが発生します。
INSUFF_CONTROL_FILES_RECOM
POLICY
異なるディスク上に多重化された2つ以上の制御ファイルを使用してください。
CONTROL_FILE_COUNT_TR_NLSID
POLICY
制御ファイル数
ASM_DISK_SIZE_NAME
POLICY
ディスク・グループにはサイズが大幅に異なるディスクが含まれている
ASM_DISK_SIZE_DESC
POLICY
ディスク・サイズが5%を超えて変動するディスクのディスク・グループをチェックします
ASM_DISK_SIZE_IMPACT
POLICY
ディスク・グループ内のディスク間では、それぞれのサイズの差を5%以内にする必要があります。ただし、データ移行時を除きます。自動ストレージ管理では、ディスクのサイズに比例してデータを均一に分散します。I/Oと最適なパフォーマンスのバランスをとるためには、指定したディスク・グループ内のディスクを、同一のサイズとパフォーマンス特性にする必要があります。
ASM_DISK_SIZE_RECOM
POLICY
ディスク間でのサイズの差を5%未満にするように、ディスク・グループ内のディスクを削除、交換またはサイズ変更します。
ASM_DATA_PROTECTION_NAME
POLICY
ディスク・グループは外部冗長性に依存し、非保護のディスクを所有している
ASM_DATA_PROTECTION_DESC
POLICY
外部冗長性に依存するディスク・グループで、ミラー化されていないか、またはパリティ保護されていないディスクをチェックします。
ASM_DATA_PROTECTION_IMPACT
POLICY
ディスク・グループが外部冗長性に依存し、ディスクがミラー化されていないか、またはパリティ保護されていない場合は、データ損失が発生する可能性があります。
ASM_DATA_PROTECTION_RECOM
POLICY
問題のあるディスクをミラー化されたディスクまたはパリティ保護されたディスクと交換するか、非保護のディスクを「標準」または「高」の冗長性を持つディスク・グループに移動します。
ASM_MIXED_REDUNDANCY_NAME
POLICY
ディスク・グループには、異なる冗長性属性を持つディスクが含まれている
ASM_MIXED_REDUNDANCY_DESC
POLICY
異なる冗長性属性を持つディスクのディスク・グループをチェックします。
ASM_MIXED_REDUNDANCY_IMPACT
POLICY
異なる冗長性属性を持つ同じディスク・グループ内のディスクでは、データ保護のレベルに一貫性がなくなる場合があります。
ASM_MIXED_REDUNDANCY_RECOM
POLICY
異なる冗長性属性を持つディスクを別のディスク・グループに移動します。
ASM_UNNEEDED_REDUNDANCY_NAME
POLICY
「標準」または「高」の冗長性を持つディスク・グループに、ミラー化されたディスクまたはパリティ保護されたディスクがある
ASM_UNNEEDED_REDUNDANCY_DESC
POLICY
「標準」または「高」の冗長性を持つディスク・グループで、ミラー化されているディスクまたはパリティ保護されているディスクをチェックします。
ASM_UNNEEDED_REDUNDANCY_IMPACT
POLICY
ディスクとそのディスク・グループがデータの冗長性を提供している場合は、ディスク・リソースが消費され、不必要にパフォーマンスに影響を与えます。
ASM_UNNEEDED_REDUNDANCY_RECOM
POLICY
「標準」または「高」の冗長性を持つディスク・グループのディスクを非保護ディスクと交換します。
NO_RECOVERY_AREA_NAME
POLICY
リカバリ領域の場所が未設定
NO_RECOVERY_AREA_DESC
POLICY
リカバリ領域が設定されているかどうかのチェック
NO_RECOVERY_AREA_IMPACT
POLICY
リカバリ領域の場所を設定しないと、すべてのリカバリ・コンポーネントに対する記憶域の場所が分割されます。
NO_RECOVERY_AREA_RECOM
POLICY
すべてのリカバリ・コンポーネントに対して統合された記憶域の場所が提供されるよう、リカバリ領域の場所を設定することをお薦めします。
NO_FORCE_LOGGING_NAME
POLICY
強制ロギングが無効
NO_FORCE_LOGGING_DESC
POLICY
Data Guard Brokerの使用時に、プライマリ・データベースの強制ロギングが無効になっていないかのチェック
NO_FORCE_LOGGING_IMPACT
POLICY
プライマリ・データベースが強制ロギング・モードではありません。そのため、ログに記録されないプライマリ・データベースへの直接書込みはスタンバイ・データベースに伝播されません。
NO_FORCE_LOGGING_RECOM
POLICY
ALTER DATABASE FORCE LOGGINGを使用して、プライマリ・データベースを強制ロギング・モードに設定してください。
TKPROF_NAME
POLICY
TKPROF実行可能ファイルの権限
TKPROF_NAME_NT
POLICY
TKPROF実行可能ファイルの権限(Windows)
TKPROF_DESC
POLICY
tkprof実行可能ファイルの権限がグループに対する読取りおよび実行に制限されていることと、パブリックにはアクセスできないことを確認します
TKPROF_IMPACT
POLICY
TKPROFに対する過度の権限は、内部の情報を未保護の状態にします。
TKPROF_RECOM
POLICY
tkprof実行可能ファイルが必要ない場合は削除します。そうでない場合は、tkprof実行可能ファイルの権限をグループに対する読取りおよび実行に制限し、パブリックにはアクセスできないようにする必要があります。
TKPROF_OWNER_NAME
POLICY
TKPROF実行可能ファイルの所有者
TKPROF_OWNER_DESC
POLICY
tkprof実行可能ファイルがOracleソフトウェアの所有者に所有されていることを確認します
TKPROF_OWNER_IMPACT
POLICY
TKPROF所有権をOracleソフトウェア・セットおよびDBAグループに制限しないと、情報漏れが発生する可能性があります。
TKPROF_OWNER_RECOM
POLICY
tkprof実行可能ファイルの権限をOracleソフトウェア・セットおよびDBAグループに制限します。
OTRACE_NAME
POLICY
OTRACEデータファイル
OTRACE_DESC
POLICY
OTRACEで収集されたデータによって引き起こされる、データベース・パフォーマンスとディスク領域使用量への悪影響を回避します。
OTRACE_IMPACT
POLICY
データ収集によるパフォーマンスとリソースの使用は、データベース・パフォーマンスとディスク領域使用量に悪影響を与える可能性があります。
OTRACE_RECOM
POLICY
OTRACEを無効にする必要があります。
SQLPLUS_NAME
POLICY
SQL*Plus実行可能ファイルの権限
SQLPLUS_NAME_NT
POLICY
SQL*Plus実行可能ファイルの権限(Windows)
SQLPLUS_DESC
POLICY
SQL*Plus実行可能ファイルの権限がOracleソフトウェア・セットおよびDBAグループに制限されていることを確認します
SQLPLUS_IMPACT
POLICY
適切な権限のあるアカウントを持つユーザーがSQL*Plusを使用すると、データベース上ですべてのSQLを実行できます。SQL*PlusのPUBLIC EXECUTE権限は、悪質なユーザーに機密情報を公開することによってセキュリティ上の問題を発生させる可能性があります。
SQLPLUS_RECOMM
POLICY
SQL*Plus実行可能ファイルの権限をOracleソフトウェア・セットおよびDBAグループに制限します。
SQLPLUS_OWNER_NAME
POLICY
SQL*Plus実行可能ファイルの所有者
SQLPLUS_OWNER_DESC
POLICY
SQL*Plus所有権がOracleソフトウェア・セットおよびDBAグループに制限されていることを確認します
SQLPLUS_OWNER_IMPACT
POLICY
適切な権限のあるアカウントを持つユーザーがSQL*Plusを使用すると、データベース上ですべてのSQLを実行できます。SQL*Plus所有権をOracleソフトウェア・セットおよびDBAグループに制限しないと、悪質なユーザーに機密情報を公開することによってセキュリティ上の問題が発生する可能性があります。
SQLPLUS_OWNER_RECOM
POLICY
SQL*Plus所有権をOracleソフトウェア・セットおよびDBAグループに制限します。
WIN_PLATFORM_NAME
POLICY
ドメイン・コントローラへのインストール
WIN_PLATFORM_DESC
POLICY
Oracleがドメイン・コントローラにインストールされていないことを確認します
WIN_PLATFORM_IMPACT
POLICY
Oracleをドメイン・コントローラにインストールすると、重大なセキュリティ上の問題が発生する可能性があります。
WIN_PLATFORM_RECOMM
POLICY
Oracleは、ドメインのメンバーであるサーバーまたはスタンドアロンのサーバーのみにインストールしてください。
DRIVE_PERM_NAME
POLICY
インストール済Oracleホームのドライブ権限
DRIVE_PERM_DESC
POLICY
Windowsで、インストール済Oracleホームのドライブが、Everyoneグループにアクセスできないことを確認します
DRIVE_PERM_IMPACT
POLICY
Oracleのインストール済ドライブにEveryoneへの権限を付与すると、重大なセキュリティ上の問題が発生する可能性があります。
DRIVE_PERM_RECOMM
POLICY
インストール済Oracleホームのドライブは、Everyoneグループにアクセスできないようにする必要があります。
DOMAIN_USERS_NAME
POLICY
ローカルのUsersグループのDomain Usersグループ・メンバー
DOMAIN_USERS_DESC
POLICY
ドメイン・サーバーのローカルのUsersグループにDomain Usersグループが含まれていないことを確認します
DOMAIN_USERS_IMPACT
POLICY
ローカルのUsersグループにDomain Usersグループが含まれていると、重大なセキュリティ上の問題が発生する可能性があります。
DOMAIN_USERS_RECOMM
POLICY
ローカルのUsersグループからDomain Usersグループを削除します。
WIN_TOOLS_NAME
POLICY
Windowsツールの権限
WIN_TOOLS_DESC
POLICY
OracleサービスにWindowsツールの権限がないことを確認します
WIN_TOOLS_IMPACT
POLICY
OracleサービスにWindowsツールの権限を付与すると、重大なセキュリティ上の問題が発生する場合があります。
WIN_TOOLS_RECOMM
POLICY
WindowsツールのOracleサービス・アカウントの権限を削除します。
WEBCACHE_NAME
POLICY
Webキャッシュ初期化ファイルの権限
WEBCACHE_NAME_NT
POLICY
Webキャッシュ初期化ファイルの権限(Windows)
WEBCACHE_DESC
POLICY
Webキャッシュ初期化ファイル(webcache.xml)の権限がOracleソフトウェア・セットおよびDBAグループに制限されていることを確認します
WEBCACHE_IMPACT
POLICY
Webキャッシュ初期化ファイル(webcache.xml)には機密情報が格納されます。Webキャッシュ初期化ファイルがパブリックからアクセス可能な場合、管理者パスワードのハッシュなどの機密データを取得するために使用される可能性があります。
WEBCACHE_RECOMM
POLICY
Webキャッシュ初期化ファイル(webcache.xml)のアクセスを、Oracleソフトウェア・セットおよびDBAグループに制限します。
SNMP_RO_NAME
POLICY
Oracle AgentのSNMP読取り専用構成ファイルの権限
SNMP_RO_NAME_NT
POLICY
Oracle AgentのSNMP読取り専用構成ファイルの権限(Windows)
SNMP_RO_DESC
POLICY
Oracle AgentのSNMP読取り専用構成ファイル(snmp_ro.ora)の権限が、Oracleソフトウェア・セットおよびDBAグループに制限されていることを確認します
SNMP_RO_IMPACT
POLICY
Oracle AgentのSNMP読取り専用構成ファイル(snmp_ro.ora)には、認識しているエージェントのリスニング・アドレス、SQL*Netリスナーの名前およびOracleデータベース・サービスと、トレース・パラメータが含まれています。SNMP読取り専用構成ファイルがパブリックからアクセス可能な場合、トレース・ディレクトリの場所やdbsnmpアドレスなどの機密データを取得するために使用される可能性があります。
SNMP_RO_RECOMM
POLICY
Oracle AgentのSNMP読取り専用構成ファイル(snmp_ro.ora)のアクセスを、Oracleソフトウェア・セットおよびDBAグループに制限します。
SNMP_RW_NAME
POLICY
Oracle AgentのSNMP読取り-書込み構成ファイルの権限
SNMP_RW_NAME_NT
POLICY
Oracle AgentのSNMP読取り-書込み構成ファイルの権限(Windows)
SNMP_RW_DESC
POLICY
Oracle AgentのSNMP読取り-書込み構成ファイル(snmp_rw.ora)の権限が、Oracleソフトウェア・セットおよびDBAグループに制限されていることを確認します
SNMP_RW_IMPACT
POLICY
Oracle AgentのSNMP読取り-書込み構成ファイル(snmp_rw.ora)には、認識しているエージェントのリスニング・アドレス、SQL*Netリスナーの名前およびOracleデータベース・サービスと、トレース・パラメータが含まれています。SNMP読取り-書込み構成ファイルがパブリックからアクセス可能な場合、トレース・ディレクトリの場所やdbsnmpアドレスなどの機密データを取得するために使用される可能性があります。
SNMP_RW_RECOMM
POLICY
Oracle AgentのSNMP読取り-書込み構成ファイル(snmp_rw.ora)のアクセスを、Oracleソフトウェア・セットおよびDBAグループに制限します。
WDBSVR_NAME
POLICY
Oracle HTTP Serverのmod_plsql構成ファイルの権限
WDBSVR_NAME_NT
POLICY
Oracle HTTP Serverのmod_plsql構成ファイルの権限(Windows)
WDBSVR_DESC
POLICY
Oracle HTTP Serverのmod_plsql構成ファイル(wdbsvr.app)の権限が、Oracleソフトウェア・セットおよびDBAグループに制限されていることを確認します
WDBSVR_IMPACT
POLICY
Oracle HTTP Serverのmod_plsql構成ファイル(wdbsvr.app)には、認証に使用するデータベース・アクセス記述子が含まれています。mod_plsql構成ファイルがパブリックからアクセス可能な場合、悪質なユーザーがそれを利用し、データベース・アクセス記述子の設定を変更してPL/SQLアプリケーションにアクセスしたり、DoS攻撃を実行したりする可能性があります。
WDBSVR_RECOMM
POLICY
Oracle HTTP Serverのmod_plsql構成ファイル(wdbsvr.app)のアクセスを、Oracleソフトウェア・セットおよびDBAグループに制限します。
XSQL_NAME
POLICY
Oracle XSQL構成ファイルの権限
XSQL_NAME_NT
POLICY
Oracle XSQL構成ファイルの権限(Windows)
XSQL_DESC
POLICY
Oracle XSQL構成ファイル(XSQLConfig.xml)の権限が、Oracleソフトウェア・セットおよびDBAグループに制限されていることを確認します
XSQL_IMPACT
POLICY
Oracle XSQL構成ファイル(XSQLConfig.xml)には、データベース接続の機密情報が含まれています。XSQL構成ファイルがパブリックからアクセス可能な場合、機密データへのアクセスまたはさらなる攻撃に利用可能なデータベース・ユーザー名およびパスワードが公開される可能性があります。
XSQL_RECOMM
POLICY
Oracle XSQL構成ファイル(XSQLConfig.xml)のアクセスを、Oracleソフトウェア・セットおよびDBAグループに制限します。
HTACCESS_NAME
POLICY
Oracle HTTP Server分散構成ファイルの権限
HTACCESS_NAME_NT
POLICY
Oracle HTTP Server分散構成ファイルの権限(Windows)
HTACCESS_DESC
POLICY
Oracle HTTP Server分散構成ファイルの権限が、Oracleソフトウェア・セットおよびDBAグループに制限されていることを確認します
HTACCESS_IMPACT
POLICY
Oracle HTTP Server分散構成ファイル(通常は.htaccess)は、webフォルダのアクセス制御および認証に使用されます。このファイルを変更して、機密情報を含むページへのアクセス権を取得することができます。
HTACCESS_RECOMM
POLICY
Oracle HTTP Server分散構成ファイルのアクセスを、Oracleソフトウェア・セットおよびDBAグループに制限します。
WEBCACHE_OWNER_NAME
POLICY
Webキャッシュ初期化ファイルの所有者
WEBCACHE_OWNER_DESC
POLICY
Webキャッシュ初期化ファイル(webcache.xml)がOracleソフトウェアの所有者に所有されていることを確認します
WEBCACHE_OWNER_IMPACT
POLICY
Webキャッシュ初期化ファイル(webcache.xml)には機密情報が格納されます。Webキャッシュ初期化ファイルがパブリックからアクセス可能な場合、管理者パスワードのハッシュなどの機密データを取得するために使用される可能性があります。
WEBCACHE_OWNER_RECOMM
POLICY
Webキャッシュ初期化ファイル(webcache.xml)の権限をOracleソフトウェア・セットの所有者およびDBAグループに制限します。
SNMP_RO_OWNER_NAME
POLICY
Oracle AgentのSNMP読取り専用構成ファイルの所有者
SNMP_RO_OWNER_DESC
POLICY
Oracle AgentのSNMP読取り専用構成ファイル(snmp_ro.ora)がOracleソフトウェアの所有者に所有されていることを確認します
SNMP_RO_OWNER_IMPACT
POLICY
Oracle AgentのSNMP読取り専用構成ファイル(snmp_ro.ora)には、認識しているエージェントのリスニング・アドレス、SQL*Netリスナーの名前およびOracleデータベース・サービスと、トレース・パラメータが含まれています。SNMP読取り専用構成ファイルがパブリックからアクセス可能な場合、トレース・ディレクトリの場所やdbsnmpアドレスなどの機密データを取得するために使用される可能性があります。
SNMP_RO_OWNER_RECOMM
POLICY
Oracle AgentのSNMP読取り専用構成ファイル(snmp_ro.ora)の権限をOracleソフトウェア・セットの所有者およびDBAグループに制限します。
SNMP_RW_OWNER_NAME
POLICY
Oracle AgentのSNMP読取り-書込み構成ファイルの所有者
SNMP_RW_OWNER_DESC
POLICY
Oracle AgentのSNMP読取り-書込み構成ファイル(snmp_rw.ora)がOracleソフトウェアの所有者に所有されていることを確認します
SNMP_RW_OWNER_IMPACT
POLICY
Oracle AgentのSNMP読取り-書込み構成ファイル(snmp_rw.ora)には、認識しているエージェントのリスニング・アドレス、SQL*Netリスナーの名前およびOracleデータベース・サービスと、トレース・パラメータが含まれています。SNMP読取り-書込み構成ファイルがパブリックからアクセス可能な場合、トレース・ディレクトリの場所やdbsnmpアドレスなどの機密データを取得するために使用される可能性があります。
SNMP_RW_OWNER_RECOMM
POLICY
Oracle AgentのSNMP読取り-書込み構成ファイル(snmp_rw.ora)の権限をOracleソフトウェア・セットの所有者およびDBAグループに制限します
WDBSVR_OWNER_NAME
POLICY
Oracle HTTP Serverのmod_plsql構成ファイルの所有者
WDBSVR_OWNER_DESC
POLICY
Oracle HTTP Serverのmod_plsql構成ファイル(wdbsvr.app)がOracleソフトウェアの所有者に所有されていることを確認します
WDBSVR_OWNER_IMPACT
POLICY
Oracle HTTP Serverのmod_plsql構成ファイル(wdbsvr.app)には、認証に使用するデータベース・アクセス記述子が含まれています。mod_plsql構成ファイルがパブリックからアクセス可能な場合、悪質なユーザーがそれを利用し、データベース・アクセス記述子の設定を変更してPL/SQLアプリケーションにアクセスしたり、DoS攻撃を実行したりする可能性があります。
WDBSVR_OWNER_RECOMM
POLICY
Oracle HTTP Serverのmod_plsql構成ファイル(wdbsvr.app)の権限をOracleソフトウェア・セットの所有者およびDBAグループに制限します。
XSQL_OWNER_NAME
POLICY
Oracle XSQL構成ファイルの所有者
XSQL_OWNER_DESC
POLICY
Oracle XSQL構成ファイル(XSQLConfig.xml)がOracleソフトウェアの所有者に所有されていることを確認します
XSQL_OWNER_IMPACT
POLICY
Oracle XSQL構成ファイル(XSQLConfig.xml)には、データベース接続の機密情報が含まれています。XSQL構成ファイルがパブリックからアクセス可能な場合、機密データへのアクセスまたはさらなる攻撃に利用可能なデータベース・ユーザー名およびパスワードが公開される可能性があります。
XSQL_OWNER_RECOMM
POLICY
Oracle XSQL構成ファイル(XSQLConfig.xml)の権限をOracleソフトウェア・セットの所有者およびDBAグループに制限します。
HTACCESS_OWNER_NAME
POLICY
Oracle HTTP Server分散構成ファイルの所有者
HTACCESS_OWNER_DESC
POLICY
Oracle HTTP Server分散構成ファイルの所有権がOracleソフトウェア・セットおよびDBAグループに制限されていることを確認します
HTACCESS_OWNER_IMPACT
POLICY
Oracle HTTP Server分散構成ファイル(通常は.htaccess)は、webフォルダのアクセス制御および認証に使用されます。このファイルを変更して、機密情報を含むページへのアクセス権を取得することができます。
HTACCESS_OWNER_RECOMM
POLICY
Oracle HTTP Server分散構成ファイルの所有権をOracleソフトウェア・セットおよびDBAグループに制限します。
ALL_PRIVILEGE_NAME
POLICY
ALL PRIVILEGESの付与
ALL_PRIVILEGE_DESC
POLICY
ALL PRIVILEGESがどのユーザーまたはロールにも付与されていないことを確認します
ALL_PRIVILEGE_IMPACT
POLICY
権限はどのユーザーまたはロールにも付与できます。過剰な権限は不正に使用される可能性があります。ALL PRIVILEGESはどのユーザーまたはロールにも付与しないでください。
ALL_PRIVILEGE_RECOMM
POLICY
権限はどのユーザーまたはロールにも付与できます。過剰な権限は不正に使用される可能性があります。ALL PRIVILEGESはどのユーザーまたはロールにも付与しないでください。
SELECT_ANY_TABLE_NAME
POLICY
SELECT ANY TABLE権限の付与
SELECT_ANY_TABLE_DESC
POLICY
SELECT ANY PRIVILEGEがどのユーザーまたはロールにも付与されていないことを確認します
SELECT_ANY_TABLE_IMPACT
POLICY
SELECT ANY TABLE権限は、ユーザーまたはロール自身が所有していない表のデータを表示できるようにするために使用できます。この権限を持つユーザー・アカウントへのアクセス権を持つ悪質なユーザーは、これを利用して機密データにアクセスできます。
SELECT_ANY_TABLE_RECOMM
POLICY
SELECT ANY TABLE権限を付与しないでください。
SELECT_PRIVILEGE_NAME
POLICY
DBA_*ビューへのアクセス
SELECT_PRIVILEGE_DESC
POLICY
SELECT権限がどのDBA_ビューにも付与されていないことを確認します
SELECT_PRIVILEGE_IMPACT
POLICY
DBA_*ビューを使用すると、データベースの権限およびポリシーの設定にアクセスできます。これらのビューの一部では、セキュリティ・ポリシーを理解するために使用できる重要なPL/SQLコードを表示することもできます。
SELECT_PRIVILEGE_RECOMM
POLICY
DBA_ビューにはSELECT権限を付与しないでください。SELECT権限を持つユーザーがいる場合、DBA_ビューへのアクセスがすべて監査されていることを確認してください。
INSERT_FAILURE_NAME
POLICY
監査の挿入失敗
INSERT_FAILURE_DESC
POLICY
重要なデータ・オブジェクトについて、挿入の失敗が監査されていることを確認します
INSERT_FAILURE_IMPACT
POLICY
重要なデータ・オブジェクトで挿入の失敗を監査しないと、悪質なユーザーがシステムのセキュリティに侵入する可能性があります。
INSERT_FAILURE_RECOMM
POLICY
重要なデータ・オブジェクトで挿入の失敗を監査します。
EXECUTE_AND_OTHER_PRIVLEGES_NAME
POLICY
ディレクトリ・オブジェクトに対するEXECUTE権限とREAD/WRITE権限
EXECUTE_AND_OTHER_PRIVLEGES_DESC
POLICY
同じディレクトリ・オブジェクトに対するEXECUTE権限とREAD/WRITE権限が1人のユーザーに付与されないようにします
EXECUTE_AND_OTHER_PRIVLEGES_IMPACT
POLICY
特定のディレクトリ・オブジェクトについてEXECUTEとREAD/WRITE権限を両方提供すると、知識のあるユーザーによって悪意的に利用される可能性があります。
EXECUTE_AND_OTHER_PRIVLEGES_RECOMM
POLICY
特定のディレクトリ・オブジェクトに対するEXECUTE権限とREAD/WRITE権限は、同じユーザーには付与しないようにすることをお薦めします。
PUBLIC_EXECUTE_PRIV_DIROBJ_NAME
POLICY
PUBLIC向けディレクトリ・オブジェクトに対するEXECUTE権限
PUBLIC_EXECUTE_PRIV_DIROBJ_DESC
POLICY
ディレクトリ・オブジェクトに対するEXECUTE権限がPUBLICに付与されないようにします。
PUBLIC_EXECUTE_PRIV_DIROBJ_IMPACT
POLICY
ディレクトリ・オブジェクトに対するEXECUTE権限がPUBLICに付与されていると、知識のあるユーザーによって悪意的に利用される可能性があります。
PUBLIC_EXECUTE_PRIV_DIROBJ_RECOMM
POLICY
ディレクトリ・オブジェクトに対するEXECUTE権限は、PUBLICには付与しないようにすることをお薦めします。