SAP SQL Anywhere 17 – パスワード保護の強化
SQL Anywhere 17 では、セキュリティをより強化するためにパスワードの管理や、様々なツール、ユーティリティからのアクセスに関連する変更が複数実装されました。
それらの変更について、以下に簡単に説明します。
システムテーブルのパスワードハッシュへのダイレクトアクセス
データベースセキュリティのベストプラクティスとして、データベース内のパスワードハッシュ値へのアクセスには2種の異なるアクター — 管理者(SELECT ANY TABLE 権限を持つユーザー)とセキュリティオフィサー(ACCESS USER PASSWORD 管理権限を持つユーザー)— が必要です。
version 17 では、データベース内に格納されるパスワードの保護を強化するため、サーバーは、クエリー内のパスワードのハッシュは返さなくなりました。下のビューでは、パスワードが含まれるカラムは、どのユーザーのものも「***」 に置き換えられています。
- SYSUSER
- SYSUSERPERM
- SYSUSERAUTH
- SYSEXTERNLOGIN
- SYSLDAPSERVER
- SYSSYNC2
また、下のシンクロナイゼーションが関連するビューは、ISYSSYNC テーブルではなく、SYSSYNC2 ビューから選択します。その結果「‘***」で置き換えられる機密的なカラムが存在します。
- SYSSYNCS
- SYSSYNCUSERS
- SYSSYNCPUBLICATIONDEFAULTS
- SYSSYNCSUBSCRIPTIONS
- SYSSYNCPROFILE
version 17 では、データベース内に格納されている実際のパスワードハッシュとパスワード値へのアクセスには、2つの権限が必要になります。SELECT ANY TABLE 権限と新しい ACCESS USER PASSWORD 権限です。「ACCESS USER PASSWORD」権限は、パスワードハッシュを含むビュー(下のリスト参照)へのアクセスを一人のユーザーに対して許可し、データベースの比較、アンロード、抽出などのパスワードへのアクセスを含むオペレーションの実行を許可します。
機密的な情報やパスワードをレポートする下のビューへアクセスするには、SELECT ANY TABLE にともなう ACCESS USER PASSWORD の権限が必要です。
- SYSSYNC
- SYSSYNCPROFILE
- SYSUSERPASSWORD
- SYSLDAPSERVERPASSWORD
- SYSEXTERNUSERPASSWORD
これらの変更の結果、ユーザーのコピー/ペースト オプション、外部ログイン、LDAP サーバーとシンクロナイゼーションの定義オプションなどと同様にに、Sybase Central のスキーマ diff utility に動作変更があることに気づかれるかもしれません。
続きはこちら:SAP SQL Anywhere 17 – パスワード保護の強化
SAPのSAP SQL Anywhere製品ページはこちら
