付録B データベースの機密保護

特定の利用者に権限を与えることによって、データベースの機密を保護します。機密保護機能には以下の2つがあります。

• データベースアクセスに対する機密保護

• コマンドや各種ファイルに対する機密保護

データベースに接続した利用者が、どのような表にアクセスできるか、どのような操作を行うことができるかは、GRANT文およびREVOKE文によって制御します。

データベースに対して接続できる利用者の定義方法には、以下の2種類があります。

• Symfoware Serverで利用者を管理する方法

• OSで管理する方法

Symfoware Serverで利用者を管理する方法とOSで管理する方法の切替えは、SET SYSTEM PARAMETER文のUSER_CONTROLで行います。

Symfoware Serverで利用者を管理する方法

Symfoware Serverに利用者を登録して、データベースへのアクセスなどの操作を制限する方法です。

Symfoware Serverに利用者を登録することにより、以下のような機密保護機能を利用することができます。

• OSにログオンできないが、Symfoware Serverへ接続できる(データベース専用利用者)

• OSにログオンでき、Symfoware Serverへの接続もできる

• 利用者ごとにデフォルトとなるロールを設定して、機密保護運用を効率的に行うことができる

利用者の登録は、SET SYSTEM PARAMETER文、CREATE USER文およびALTER USER文を用いて行います。

OSで管理する方法

OSにログオンできる利用者のみ、データベースへのアクセスなどの操作を許す方法です。そのため、OSにログオン名を登録するだけで、データベースがアクセス可能となります。OSで管理する方法の場合は、CREATE USER文で利用者を登録する必要はありません。

OSの機能を利用して、Symfoware Serverのコマンドの実行権や各種ファイルに対する権限のチェックを行います。対象となる利用者は、OSの利用者です。

利用者の認証は、OSの認証機能を利用します。ファイルへのアクセス権やコマンドの実行権は、OSのファイルのアクセス権モードの変更機能を利用します。