OCI Vaultについて＜シークレットについて＞

Transcript

1. © 2025 Database Technology Inc. All Rights Reserved. 株式会社データベーステクノロジ OCI

   Vaultについて【第3回】 ～シークレットの説明～ 2025年12月1日 (月) 下山 星夜

2. © 2025 Database Technology Inc. All Rights Reserved. 2 はじめに

   本書は、Oracle Cloud Infrastructure（以下「OCI」）内で使用可能なOCI Vaultについて、弊社の解釈による解説を付記して紹介するものです。 OCIの各サービスにおける最新情報については、オラクル社による公式情報 をご確認ください。 OCIコンソールの実際の画面は、本書と若干異なる可能性がございます。

3. © 2025 Database Technology Inc. All Rights Reserved. 3 第1回：OCI

   Vaultの概要説明 第2回：マスター暗号化キーの説明 第3回：シークレットの説明 第4回：応用的なVaultの説明、全体のまとめ ※OCI Vaultは、4回に分けて機能紹介を行います。本書は3回目です。 各回のタイトル

4. © 2025 Database Technology Inc. All Rights Reserved. 4 Index

   1. これまでの復習 2. シークレットについて 3. シークレットの利用 4. まとめ

5. © 2025 Database Technology Inc. All Rights Reserved. 5 本資料のみかた

   ⚫ 本資料では、「一般的な内容」と「OCI固有の内容」の2種類を取り扱いま す。 ⚫ 各スライド右上に、該当する内容として『一般』または『OCI固有』のラベ ルを表示しています。 ⚫ 以下のアイコンにより、各スライドがどちらかの内容を扱っているかを一 目で判断できます。 一般 OCI固有

6. © 2025 Database Technology Inc. All Rights Reserved. 6 1.

   これまでの復習 OCI Vault

7. © 2025 Database Technology Inc. All Rights Reserved. 7 1-1：OCI

   Vaultの要素 OCI固有 OCI Vault キー管理 （暗号化キー） シークレット管理 （パスワード、SSHキー、など） HSMキー ※1 ソフトウェアキー ※1 HSM（ハードウェアセキュリティモジュール）は、 暗号化キーを安全に格納するハードウェア 本資料で解説

8. © 2025 Database Technology Inc. All Rights Reserved. 8 OCI

   Vault 暗号化キー パスワード 1-2：OCI VaultのOCIサービスとの連携の例 Encryption Object Storage ユーザ 暗号化 接続 パスワード取得 本資料で解説 OCI固有 Oracle Base Database

9. © 2025 Database Technology Inc. All Rights Reserved. 9 1-3：マスター暗号化キーの暗号化アルゴリズムのまとめ

   AESキー RSAキー ECDSAキー • キー・バージョンのカウントは1で、キーの種類は対称キー • 暗号化・復号に利用 • デフォルトの暗号化アルゴリズム • コンソール画面、OCI CLIやAPIで利用可能 • キー・バージョンのカウントは2で、キーの種類は非対称キー • 暗号化・復号、署名・署名データ検証に利用 • コンソール画面では暗号化が利用不可、署名が利用可能 • OCI CLIやAPIで利用可能 • キー・バージョンのカウントは2で、キーの種類は非対称キー • 署名・署名データ検証に利用 • コンソール画面、OCI CLIやAPIで利用可能 OCI固有

10. © 2025 Database Technology Inc. All Rights Reserved. 10 2.

    シークレットについて OCI Vault

11. © 2025 Database Technology Inc. All Rights Reserved. 11 2-1：接続情報の取り扱いでの危険行為の例

    プログラム 認証情報をプログラム内に直接記載 例）sqlplus <ユーザー名>/<パスワード> ユーザ ユーザ パスワード 認証情報をメールやチャットツールなどで 気軽に共有 一般

12. © 2025 Database Technology Inc. All Rights Reserved. 12 2-2：シークレットの利点

    OCI固有 HSM （ハードウェアセキュリティモジュール） OCI Vault シークレット 証明書 パスワード 認証トークン SSHキー インフォスティーラー マルウェア 窃取 ユーザ 利用 いつ、だれが、どこから アクセスしたかを監視 リソースへの アクセスに用いる 機密情報

13. © 2025 Database Technology Inc. All Rights Reserved. 13 2-3：シークレットの生成方法の種類

    OCI固有 ① 自動シークレット生成 ② 手動シークレット生成 ユーザ 格納 OCI Vault パスワード パスワード 手動生成 格納 OCI Vault パスワード パスワード 自動生成 OCI Vault

14. © 2025 Database Technology Inc. All Rights Reserved. 14 2-4：シークレットの生成方法の比較

    OCI固有 シークレットの ローテーションが簡単 シークレットコンテンツ を自分で決められる シークレットコンテンツ を自分で決められない 自動 シークレット 生成 手動 シークレット 生成 シークレットの ローテーションが難解

15. © 2025 Database Technology Inc. All Rights Reserved. 15 2-5：自動シークレット生成のシークレットコンテンツ

    生成タイプ 生成コンテキスト シークレット生成変数 パスフレーズ シークレットのデフォルト・パスワード （最大文字長：32） %GENERATED_PASSPHRASE% Dbaasのデフォルト・パスワード （最大文字長：30） SSHキー RSA_2048 %GENERATED_PUBLIC_KEY% %GENERATED_ PRIVATE_KEY% RSA_3072 RSA_4096 バイト BYTES_512 %GENERATED_BYTES% BYTES_1024 OCI固有

16. © 2025 Database Technology Inc. All Rights Reserved. 16 2-6：シークレットのローテーションの必要性

    以下のようなタイミングで、シークレットをローテーションする • セキュリティインシデント（パスワード流出など）が発生した時 • 問題が無くても、手動や自動でシークレットの更新を行う時 流出 OCI Vault シークレットの ローテーション インターネット OCI固有 パスワード Ver.1 パスワード Ver.2

17. © 2025 Database Technology Inc. All Rights Reserved. 17 2-7：シークレットのローテーション

    手動ローテーションも可能 以下の間隔で、自動ローテーション可能 ・１か月 ・３か月 ・６か月 ・１２か月 OCI固有 以下のシステムを対象に、ローテーション可能 ・Autonomous Database ・OCI Functions

18. © 2025 Database Technology Inc. All Rights Reserved. 18 OCI

    Vault ADMINユーザの パスワード Ver.1 2-8：Autonomous Databaseに対する シークレットのローテーション時の挙動 OCI固有 Oracle Autonomous Database ADMINユーザの パスワード Ver.2 挙動 • シークレット（ADMINユーザのパスワード）がローテーションされる • 実際に、Autonomous DatabaseのADMINユーザのパスワードも更新される ADMINユーザの パスワード更新 および

19. © 2025 Database Technology Inc. All Rights Reserved. 19 OCI

    Vault ADMINユーザの パスワード Ver.1 2-9：OCI Functionsに対する シークレットのローテーション時の挙動の例 OCI固有 ADMINユーザの パスワード Ver.2 挙動 • シークレット（様々な種類に対応可能）がローテーションされる • OCI Functionsの動作により、実際に、ターゲットシステムの認証情報も更新される ※なんのシステムをターゲットにするかは、OCI Functionsのスクリプト次第 IAMの認証 トークン更新 IAM および OCI Functions 更新 IAMの認証 トークンを更新 するスクリプト

20. © 2025 Database Technology Inc. All Rights Reserved. 20 Tips：ADMIN以外のDBユーザーのパスワードをローテーションする場合

    OCI固有 事前構築済みファンクションを利用することで、 ADMIN以外のDBユーザのパスワードをローテーション可能 （ファンクションの詳細は、弊社Speaker Deck資料『OCI Functionsについて』を参照）

21. © 2025 Database Technology Inc. All Rights Reserved. 21 2-10：シークレットのローテーションの注意点

    OCI固有 注意点 • シークレットが、自身をローテーションする権限が必要 • シークレットが、ターゲットシステムを更新する権限が必要 • ターゲットシステムが稼働中である必要がある • 自動シークレット生成である必要がある ※手動シークレット生成ではローテーション時にエラー発生

22. © 2025 Database Technology Inc. All Rights Reserved. 22 2-11：シークレット・バージョンについて

    OCI固有 シークレット・バージョンの作成が可能 古いシークレット・バージョンを 現行にプロモート（現在使用） することが可能 シークレット・バージョンの作成では、 ターゲットシステムの更新まではされない

23. © 2025 Database Technology Inc. All Rights Reserved. 23 Tips：シークレット・バージョンとステータス

    OCI固有 パスワード Ver.2 パスワード Ver.1 パスワード Ver.3 非推奨 前回使用 現在使用 Ver.1を現行にプロモート パスワード Ver.2 パスワード Ver.1 パスワード Ver.3 非推奨 前回使用 現在使用 前回使用より前のシークレット・バージョンは非推奨となり、 非推奨のシークレット・バージョンのみ削除をスケジュール出来る

24. © 2025 Database Technology Inc. All Rights Reserved. 24 2-12：シークレットをローテーションする方法の種類

    OCI固有 ① ローテーション ② シークレット・バージョン作成 ＋ユーザ側でターゲットシステムを更新 • 自動シークレット生成 • 自動でターゲットシステムも更新される • シークレットコンテンツを自分で決められない • 手動シークレット生成 • ユーザ側でターゲットシステムを更新 • シークレットコンテンツを自分で決められる

25. © 2025 Database Technology Inc. All Rights Reserved. 25 2-13：手動シークレット生成で

    シークレット・バージョンの作成 OCI固有 手動シークレット生成では、 シークレットコンテンツを自分で決められる シークレットコンテンツは、アクセスするリソースに応じて記載 例）パスワード、SSHキー、証明書、認証トークン、etc.

26. © 2025 Database Technology Inc. All Rights Reserved. 26 2-14：自動シークレット生成で

    シークレット・バージョンの作成 OCI固有 自動シークレット生成では、 シークレットコンテンツを自分で決められない

27. © 2025 Database Technology Inc. All Rights Reserved. 27 2-15：シークレットとシークレット・バージョンの削除

    シークレットもシークレット・バージョンも、 削除は最短でも1日後にスケジュール（即時は不可） OCI固有

28. © 2025 Database Technology Inc. All Rights Reserved. 28 2-16：シークレットの使用フローの例

    OCI固有 Oracle Base Database アプリケーション ①シークレットOCIDから パスワードをリクエスト HSM OCI Vault パスワード ②パスワード取得 ③パスワードを使ってDBに接続し、クエリ実行 ④クエリ結果

29. © 2025 Database Technology Inc. All Rights Reserved. 29 3.

    シークレットの利用 OCI Vault

30. © 2025 Database Technology Inc. All Rights Reserved. 30 3-1：シークレット利用前の準備の例

    ⚫ 各リソースがシークレットを利用するために、動的グループが必要 ⚫ ALL {resource.type=‘fnfunc’, resource.compartment.id = ‘<コンパートメント>’} ⚫ ALL {resource.type=‘autonomousdatabase’, resource.compartment.id = ‘<コンパートメ ント>’} ⚫ etc. ⚫ 動的グループがシークレットを利用するために、IAMポリシーが必要 ⚫ allow dynamic-group <動的グループ> to use secrets in <テナンシ/コンパートメント> 動的グループとIAMポリシーを作成 OCI固有

31. © 2025 Database Technology Inc. All Rights Reserved. 31 3-2：シークレットの作成

    シークレットを暗号化するために、 暗号化キー（AESアルゴリズム）を選択 シークレットの生成タイプを選択 OCI固有

32. © 2025 Database Technology Inc. All Rights Reserved. 32 3-3：

    OCIリソースのシークレット利用の例 （データベース接続で、ユーザーのパスワード利用の場合）1 シークレット形式は、パスワード OCI固有

33. © 2025 Database Technology Inc. All Rights Reserved. 33 シークレット形式は、SSOウォレット

    OCI固有 3-4： OCIリソースのシークレット利用の例 （データベース接続で、SSL接続のウォレット利用の場合）1

34. © 2025 Database Technology Inc. All Rights Reserved. 34 シークレット形式は、PKCS#12ウォレット

    OCI固有 3-5： OCIリソースのシークレット利用の例 （データベース接続で、SSL接続のウォレット利用の場合）2

35. © 2025 Database Technology Inc. All Rights Reserved. 35 シークレット形式は、JKSキー・ストア

    OCI固有 3-6： OCIリソースのシークレット利用の例 （データベース接続で、SSL接続のウォレット利用の場合）3

36. © 2025 Database Technology Inc. All Rights Reserved. 36 4.

    まとめ

37. © 2025 Database Technology Inc. All Rights Reserved. 37 4-1：シークレットのまとめ

    OCI固有 OCI Vault 証明書 Ver.1 パスワード Ver.1 認証トークン Ver.1 SSHキー Ver.1 無料で利用可能 利用目的に合わせて、 シークレットの形式を決定 シークレット・バージョン作成 ＋ ターゲットシステム更新 ローテーション 証明書 Ver.2 パスワード Ver.2 認証トークン Ver.2 SSHキー Ver.2

38. © 2025 Database Technology Inc. All Rights Reserved. 38 お問い合わせ

    OCIに関するお困りごとは，ぜひ弊社までご相談ください。 お電話でのお問い合わせ 075-231-6131 受付時間：平日 10:00～17:00 メールでのお問い合わせ [email protected] ※お手数ですが、御社名、ご氏名、 お問い合わせ内容を本文中にご記載ください。 https://www.db-tec.com/ 弊社ホームページからも、お問い合わせを承っております。 Oracleは、オラクルおよびその関連会社の登録商標です。その他の社名、商品名等は各社の商標または登録商標である場合があります。