以下の手順はセキュリティ国際評価基準に準拠した構成と同等のセキュリティレベルでTeradata Databaseシステムを設定および操作する方法について説明しています。
Teradata Databaseシステムが稼動している場合は、システム実装中に必要なステップの一部をすでに実行している可能性があります。
- システムのセキュリティ ポリシーを確立します。
Teradata Databaseセキュリティ ポリシーの開発を参照してください。
- システムに対する物理的なセキュリティ制御を確立します。 物理アクセスの制御を参照してください。
- Teradata Databaseサーバーに対して、オペレーティング システムとネットワークのセキュリティ制御を構築します。
- Teradataが提供する導入マニュアルに従って、システムのハードウェアとソフトウェアを導入します。 該当するハードウェア、ソフトウェア、オペレーティング システムのバージョンに対応するマニュアルを使用してください。
- Teradata Databaseソフトウェア リリース媒体に添付されているDIPACCスクリプトを実行して、アクセス ロギングを許可します。 DBC.AccLogRuleマクロの設定を参照してください。 このスクリプトはDBCシステム ユーザーにAccLogRuleマクロを作成し、アクセス ロギングを有効にすることができます。この手順の後半で指示があるまでは、tparesetコマンドを実行しないでください。
- DBC.SysSecDefaultsテーブルに定義されているパスワード制御パラメータを推奨されるデフォルト値に変更します。
UPDATE DBC.SysSecDefaults SET /* password must be at least 8 characters in length */ PasswordMinChar = 8, /* password cannot exceed 30 characters */ PasswordMaxChar = 30, /* digits required in a password */ PasswordDigits = 'r', /* alpha, special characters required in a password */ PasswordSpecChar = 'r', /* user name will be locked after 3 failed logons */ MaxLogonAttempts = 3, /* user name will remain locked for 5 minutes */ LockedUserExpire = 5, /* passwords will expire in 90 days */ ExpirePassword = 90, /* a password cannot be reused for 270 days */ PasswordReuse = 270 /* dictionary words cannot be used in a password */ PasswordRestrictWords = 'Y' WHERE PrimeIndex = 1;
パスワード制御についても参照してください。
- DBC、SYSTEMFE、およびSYSADMINのユーザー名に対して、(MODIFY USERを使用して)デフォルトのPASSWORDパラメータを変更し、セキュリティ ポリシーごとに新しいパスワードを保護します。例えば、DBCユーザーを変更するには、次のように行ないます。
以下の例は、DBCユーザーを変更する場合に使用可能なSQLを示したものです。
MODIFY USER DBC AS PASSWORD = xxx;
- セキュリティ管理者の業務を遂行するためにSECADMINに必要な権限を与えます。これらの権限を持つ必要があるのはセキュリティ管理者(およびDBCユーザー)だけです。
GRANT USER ON SECADMIN TO SECADMIN /* maintain users */ ; GRANT ROLE TO SECADMIN /* maintain roles */ ; GRANT PROFILE TO SECADMIN /* maintain profiles */ ; GRANT SELECT ON DBC TO SECADMIN /* select on dictionary tables */ ; GRANT UPDATE ON DBC.SysSecDefaults TO SECADMIN /* password characteristics */ ; GRANT EXECUTE ON DBC.LogonRule TO SECADMIN /* logon rules */ ; GRANT EXECUTE ON DBC.AccLogRule TO SECADMIN /* access logging */ ; GRANT DELETE ON DBC.AccLogTbl TO SECADMIN /* delete audit entries */ ; GRANT DELETE ON DBC.DeleteAccessLog TO SECADMIN /* delete audit entries */ ; GRANT DELETE ON DBC.EventLog TO SECADMIN /* delete event log */ ;
これらはセキュリティ管理者がセキュリティ国際評価基準の要件を満たすために必要な最小限の権限ですが、セキュリティ ポリシーで必要とされる場合は、追加の権限を付与できます。 - tparesetコマンドを使用してシステムを再起動し、アクセス ロギングと変更済みのパスワード制御を有効にします。詳細は、<Teradata Vantage™ - データベース ユーティリティ、B035-1102>を参照してください。
- セキュリティ管理者がアクセスするマクロなど、セキュリティ管理者マクロへのすべてのユーザー アクセス試行のロギングを開始して、システム セキュリティ対策を盗み見たり危険にさらす可能性のある試行をチェックします。
BEGIN LOGGING WITH TEXT ON EACH ALL ON MACRO DBC.LogonRule, MACRO DBC.AccLogRule;
- サイトのセキュリティ ポリシーで必要な追加のセキュリティ ロギングがあれば確立します。データベース アクセスのモニターを参照してください。
- セキュリティ ポリシーで必要なログオン ルールを作成します。
- サイトのセキュリティ ポリシーに従って分析とレポートのプロセスを実装し、アクセス ログの出力を調べます。データベース アクセス試行の調査を参照してください。