2017/9/6 db tech showcase 2017 Tokyo A23 「PostgreSQLとMySQLのセキュリティ関連機能の現状」のMySQLの資料です。後半はMySQL Enterprise Editionの参考資料となります。 #mysql #dbts2017 #A23

1. Copyright © 2016, Oracle and/or its affiliates. All rights reserved. |
MySQLのセキュリティ
関連機能の現状
OSSコンソーシアム DB部会
Ryusuke Kajiyama / 梶山隆輔
MySQL Sales Consulting Senior Manager, Asia Pacific & Japan

2. Copyright © 2016, Oracle and/or its affiliates. All rights reserved.
Safe Harbor Statement
以下の事項は、弊社の一般的な製品の方向性に関する概要を説明するものです。
また、情報提供を唯一の目的とするものであり、いかなる契約にも組み込むことはでき
ません。以下の事項は、マテリアルやコード、機能を提供することをコミットメントするも
のではない為、購買決定を行う際の判断材料になさらないで下さい。
オラクル製品に関して記載されている機能の開発、リリースおよび時期については、
弊社の裁量により決定されます。
2

3. Copyright © 2016, Oracle and/or its affiliates. All rights reserved.
MySQL 5.7 ： デフォルトで安全な状態 + 新機能
3
デフォルトで安全な状態
保護とコンプライアンスの強化
MySQL 5.7 をインストールすると、デフォルトで安全な
状態です。また、セキュリティ違反を防ぐための多くの
新機能も実装されています。
MySQL Enterprise Editionには、外部からの攻撃や情報
の悪用からMySQL Databaseを保護し、規制遵守するた
めの高度なセキュリティ強化機能が含まれます。
※監査ログ取得、外部認証、暗号化、
データベースファイアーウォール
MySQL 5.7
Secure by
Default
MySQL Enterprise Edition
Security Features

4. Copyright © 2016, Oracle and/or its affiliates. All rights reserved.
MySQL 5.6 以前
• 開発者向けのセットアップ
• セキュアにするために追加の作業
MySQL 5.7
• デフォルトでセキュアな設定
• 制限を緩和することも可能
4
インストール後の作業の違い
Copyright © 2015, Oracle and/or its affiliates. All rights reserved.
MySQL 5.6 and older MySQL 5.7
• A development setup
• Wide open
• Must take extra step(s) to secure
13
What You Get Post-MySQL Installation ?
• Obvious security problems fixed
• Open for authorized use
• Can take steps to relax restrictions

5. Copyright © 2016, Oracle and/or its affiliates. All rights reserved.
MySQL 5.7 – Secure by Default
• MySQLのrootユーザにランダムなパスワードを設定
– エラーログまたはコンソールにパスワードを出力
• パスワードポリシーの強制
• testデータベースの削除
• 無名ユーザの作成を割愛
• データインポート/エクスポートのディレクトリをsecure_file_privで指定
• インストールされたファイルのパーミッション付与を厳格に
5
ハイライト
2016-01-19 1 [Note] A temporary password is generated for root@localhost: vxfOkIkE>3tl

6. Copyright © 2016, Oracle and/or its affiliates. All rights reserved.
ファイルシステム
• 実行バイナリの所有者はroot
• データディレクトリの所有者は一般ユーザ
(例 mysql)
– 他のユーザがOS上でこのディレクトリにアクセスできないように設定すること
• ログディレクトリの所有者は一般ユーザ (例 mysql)
• 一般ユーザ(例 mysql)はログイン不可にしておく
• ソケットファイルにアクセス可能であること
(全てのユーザから参照可能に)
• secure_file_privを設定して、FILE権限をもつユーザーがファイルの
入出力に使えるディレクトリを制限しておく
6
Best
Practice

7. Copyright © 2016, Oracle and/or its affiliates. All rights reserved.
ファイルシステム
$ groupadd mysql
$ useradd -r -g mysql -s /bin/false mysql
$ chown -R root:mysql $MYSQL_HOME
$ chmod 750 $MYSQL_HOME
$ mkdir mysql-files
$ chmod 770 mysql-files
$ chown -R mysql:mysql $MYSQL_HOME/data $MYSQL_HOME/mysql-files
$ chmod 700 $MYSQL_HOME/data
7
NOTE: デフォルトのログ出力先は$MYSQL_HOME/data
secure_file_priv 設定先の例

8. Copyright © 2016, Oracle and/or its affiliates. All rights reserved.
ファイルシステム (secure_file_privの設定)
• LOAD_FILE() 関数および LOAD DATA および SELECT ... INTO OUTFILE文が
アクセス可能なディレクトリを、設定したディレクトリに限定
[設定手順]
1. 専用のディレクトリを作成
2. mysqlをディレクトリのオーナーに設定
3. my.cnfの[mysqld]セクションに“secure_file_priv "を追加
4. mysqlを再起動
8

9. Copyright © 2016, Oracle and/or its affiliates. All rights reserved.
データベース
• MySQLサーバは ‘root’ ユーザ以外で起動
– デフォルトでは‘root’ユーザでの起動不可
– ‘mysql’ユーザとして起動する場合： --user=mysql
– MySQLサーバの起動ユーザはOS上で必要以上の権限やファイルシステムの
アクセス許可を与えないこと
– ファイルシステム上のファイル操作にはFILE権限が必要
• デフォルトでは全ネットワークインターフェースを使用
– 特定のインターフェースを使用する場合： --bind-address
– TCP/IP経由でのアクセスを無効にする場合： --skip-networking
9

10. Copyright © 2016, Oracle and/or its affiliates. All rights reserved. 10
MySQLセキュリティ概要
Authentication
(認証)
Authorization
(認可)
Encryption
(暗号)
Firewall
(ファイアウォール)
MySQL Security
Auditing
(監査)

11. Copyright © 2016, Oracle and/or its affiliates. All rights reserved.
ブロック
監査
コンプライアンス
ログイン & SQL文実行監視
SSL/TLS
公開鍵
秘密鍵
デジタル署名
権限管理
管理者
DB & オブジェクト
プロキシユーザ
MySQL
Linux / LDAP
Windows AD
カスタム
11
MySQLセキュリティ概要
Authorization
(認可)
Authentication
(認証)
Firewall &
Auditing
(ファイア
ウォール
& 監査)
Encryption
(暗号)
Security

12. Copyright © 2016, Oracle and/or its affiliates. All rights reserved. 12
MySQLセキュリティ概要
Authentication
(認証)
Authorization
(認可)
Encryption
(暗号)
Firewall
(ファイアウォール)
MySQL Security
Auditing
(監査)

13. Copyright © 2016, Oracle and/or its affiliates. All rights reserved.
MySQLにおけるユーザ認証
• 管理者権限 (データベース全体に関する権限)
• データベース権限 (スキーマやデータに関する権限)
• セッション制限およびオブジェクト権限
• ユーザ権限に加えさらに粒度の細かい制御
– データベースの作成、変更および削除
– テーブルの作成、変更および削除
– インデックスの作成、変更および削除
– INSERT, SELECT, UPDATE, DELETE の各SQL文の実行
– ストアドプロシージャの作成、変更、削除、および実行時権限の設定
13

14. Copyright © 2016, Oracle and/or its affiliates. All rights reserved.
MySQLのユーザーアカウント
• ユーザー名と接続元ホスト名の組合わせで構成される
– 形式 ： "username"@"host"
• 接続ホスト元の指定
– ホスト名またはIPアドレス
– %をワイルドカードとして利用可能
– サブネットでの指定も可能
• 「任意のAPサーバーからのみ接続を
許可する」、といった設定が可能
14

15. Copyright © 2016, Oracle and/or its affiliates. All rights reserved.
mysql> SELECT user,host,authentication_string FROM mysql.user order by user,host;
+-----------+----------------+-------------------------------------------+
| user | host | authentication_string |
+-----------+----------------+-------------------------------------------+
| | 192.168.56.% | *3EC3410363EBC2A82BC2DFA856AEF1DFEA8A8D00 |
| apl | 192.168.56.102 | *3EC3410363EBC2A82BC2DFA856AEF1DFEA8A8D00 |
| mysql.sys | localhost | *THISISNOTAVALIDPASSWORDTHATCANBEUSEDHERE |
| root | localhost | *81F5E21E35407D884A6CD4A731AEBFB6AF209E1B |
+-----------+----------------+-------------------------------------------+
MySQLのユーザーアカウント管理テーブル
• MySQLデータベース内のuserテーブルにてユーザアカウントを管理
• 同一ユーザ名でも接続元ホストが異なる場合は別アカウントとできる
15
ユーザー名 アクセス元 Host / IP パスワード(ハッシュ後)

16. Copyright © 2016, Oracle and/or its affiliates. All rights reserved.
MySQL 認証方式オプション
• ビルトインの認証方式 (デフォルト)
– userテーブルにユーザアカウントとパスワードを格納
• その他にも目的に応じて複数の認証プラグインを使用可能
– SHA-256認証プラグイン
• パスワードの暗号化をより強度にし、クライアントとのパスワードの受け渡しも暗号化を強要
(SSL or RSA)
– mysql_no_login認証プラグイン(MySQL 5.7～)
• ログインできないユーザーを作成可能
• ビューやストアドプロシージャの実行ユーザーとして活用
– MySQL Enterprise Authentication、など
16
※詳細情報(マニュアル)
6.4.1 Authentication Plugins
https://dev.mysql.com/doc/refman/5.7/en/authentication-plugins.html
6.3.8 MySQL で使用可能な認証プラグイン
https://dev.mysql.com/doc/refman/5.6/ja/authentication-plugins-available.html

17. Copyright © 2016, Oracle and/or its affiliates. All rights reserved.
MySQL Enterprise Authentication
• PAM（Pluggable Authentication Modules）
– 外部認証方式へのアクセス
– 標準のインタフェース（Unix, LDAP, Kerberosなど）
– プロキシ／非プロキシユーザー
• Windows
– ネイティブWindowsサービス（WAD）へのアクセス
– Windowsにログイン済みユーザを認証
• プラガブル認証API
17
外部認証のサポート
MySQLアプリケーションを既存のセキュリティ・インフラストラクチャ/SOPと統合

18. Copyright © 2016, Oracle and/or its affiliates. All rights reserved.
MySQLのセキュリティ強化策: パスワードポリシー
• 強力なパスワードポリシーの強制
• パスワードハッシュ
• パスワードの失効 & 変更の強制
• パスワード検証プラグイン
• 認証プラグイン
– 各コンポーネントからのパスワードポリシーを引き継ぎ
– LDAP, Windows Active Directory, など
• 使用していないアカウントを無効に
– アカウントのロック (MySQL 5.7)
18

19. Copyright © 2016, Oracle and/or its affiliates. All rights reserved.
パスワード
• MySQL 5.6までのパスワードの変更は
– SETコマンドでのパスワード変更はMySQL 5.7では非推奨（将来廃止予定）
– MySQL 5.7では下記
• 注: 4.1にてパスワードのハッシュ化方式変更
– 古いパスワードハッシュ化の利用が必要な場合は--old-passwordsオプション利用
– MySQL 5.7では古いパスワードハッシュ化は非サポート
19
mysql> SET PASSWORD [FOR user] = PASSWORD('some password’);
mysql> ALTER USER user IDENTIFIED BY 'some password';
もしくは
mysql> SET PASSWORD [FOR user] = 'some password’;

20. Copyright © 2016, Oracle and/or its affiliates. All rights reserved.
Account Management (Password Validation Plugin)
英数字の混在を強制する、文字数をN文字以上にする、特定のキーワードはパスワードに指定できなくする、といった対応が可能
20
インストール後の作業：パスワードポリシーのインストール
mysql> install plugin validate_password soname 'validate_password.so';
Since: MySQL 5.6.6～
mysql> SHOW VARIABLES LIKE 'validate_password%';
+--------------------------------------+--------+
| Variable_name | Value |
+--------------------------------------+--------+
| validate_password_check_user_name | OFF |
| validate_password_dictionary_file | |
| validate_password_length | 8 |
| validate_password_mixed_case_count | 1 |
| validate_password_number_count | 1 |
| validate_password_policy | MEDIUM |
| validate_password_special_char_count | 1 |
+--------------------------------------+--------+
mysql> ALTER USER 'root'@'localhost' IDENTIFIED BY 'root';
ERROR 1819 (HY000): Your password does not satisfy the current policy
requirements
例) 8文字以下、小文字のみ、数字未入力、
辞書に登録済みの文字はパスワードとして
は不適切な為、ERROR 1819で拒否される。

21. Copyright © 2016, Oracle and/or its affiliates. All rights reserved.
総当たり攻撃対策: Connection-Controlプラグイン (5.7.17+)
• 接続に失敗した回数が
閾値を超えた場合に、
認証処理の開始を遅延
– 利用にはプラグインの
インストールが必要
– ステータス変数
Connection_control_
delay_generated にて
遅延させた回数を確認可能
http://dev.mysql.com/doc/refman/5.7/en/connection-control-plugin-installation.html
21
ERROR 1045 (28000): Access denied for user 'scott'@'localhost' (using password: YES)
real 0m0.014s
ERROR 1045 (28000): Access denied for user 'scott'@'localhost' (using password: YES)
real 0m0.014s
ERROR 1045 (28000): Access denied for user 'scott'@'localhost' (using password: YES)
real 0m0.010s
ERROR 1045 (28000): Access denied for user 'scott'@'localhost' (using password: YES)
real 0m1.017s
ERROR 1045 (28000): Access denied for user 'scott'@'localhost' (using password: YES)
real 0m2.015s
ERROR 1045 (28000): Access denied for user 'scott'@'localhost' (using password: YES)
real 0m3.017s
ERROR 1045 (28000): Access denied for user 'scott'@'localhost' (using password: YES)

22. Copyright © 2016, Oracle and/or its affiliates. All rights reserved. 22
MySQLセキュリティ概要
Authentication
(認証)
Authorization
(認可)
Encryption
(暗号)
Firewall
(ファイアウォール)
MySQL Security
Auditing
(監査)

23. Copyright © 2016, Oracle and/or its affiliates. All rights reserved. 23
MySQL権限管理テーブル
tables_priv
• テーブルレベル権限
• テーブルおよび列
db
• データベースレベル権限
• データベース、テーブル、
オブジェクト
• ユーザ、ホスト
user
• ユーザアカウント
• グローバル権限
proxies_priv
• プロキシユーザ
• プロキシ権限
procs_priv
• ストアドプロシージャ
• ファンクション
• 各ストアドプログラム単位
columns_priv
• 特定の列

24. Copyright © 2016, Oracle and/or its affiliates. All rights reserved.
MySQL権限管理
• 権限の付与はGRANT文
• 権限の剥奪はREVOKE文
• 権限の付与/剥奪時は、"ON database.table"で対象オブジェクトを指定
– MySQLにはオブジェクトの所有者の概念は無く、権限が与えられている
オブジェクトにのみアクセスできる
• 権限変更が影響するタイミング
– テーブルとカラム ： データ参照/変更時
– データベース ： USE <dbname>実行時
– グローバル権限とパスワード ： 接続時
24

25. Copyright © 2016, Oracle and/or its affiliates. All rights reserved.
利用するリソースの制限
• MAX_QUERIES_PER_HOUR
– アカウントが1時間毎に発行できるクエリーの数
• MAX_UPDATES_PER_HOUR
– アカウントが1時間毎に発行できる更新の数
• MAX_CONNECTIONS_PER_HOUR
– アカウントが1時間毎にサーバーに接続できる回数
• MAX_USER_CONNECTIONS
– アカウントによるサーバーへの同時接続の数
25

26. Copyright © 2016, Oracle and/or its affiliates. All rights reserved.
ロール（権限をまとめて付与/剥奪）
• アクセス制御の改善
• ロール作成/削除、ロールへの権限付与
• ユーザー/ロールに対してロールの付与
• デフォルトロールを定義、
特定のホストのみロールを使用可能
• ROLES_GRAPHML()関数でロールを可視化
26
Directly
In directly
Set Role(s)
Default Role(s)
Set of
ACLS
Set of
ACLS
MySQL
8.0

27. Copyright © 2016, Oracle and/or its affiliates. All rights reserved. 27
MySQLセキュリティ概要
Authentication
(認証)
Authorization
(認可)
Encryption
(暗号)
Firewall
(ファイアウォール)
MySQL Security
Auditing
(監査)

28. Copyright © 2016, Oracle and/or its affiliates. All rights reserved.
• SSL/TLS 暗号化
– MySQLクライアント/サーバ間
– レプリケーション: マスター/スレーブ間
• データ暗号化
– AES 暗号/復号
– 透過的データ暗号化
• ファイルベース鍵管理
• MySQL Enterprise Encryption
– 非対称暗号/復号関数
– 公開鍵と秘密鍵の生成
– デジタル署名
• MySQL Enterprise TDE
– 透過的データ暗号化
– KMIP v1.2対応
• MySQL Enterprise Backup
– AES 暗号/復号
28
MySQLでの暗号

29. Copyright © 2016, Oracle and/or its affiliates. All rights reserved.
SSL/TLS
• 暗号化接続
– MySQLクライアント/サーバ間
– レプリケーション: マスター/スレーブ間
• MySQL 5.7はインストール時にSSL/TLSを利用できるように設定
– 商用版 : 証明書/キーがなければ起動時に必要となる証明書などを作成
– コミュニティ版 : 新ユーティリティ mysql_ssl_rsa_setup で作成
– SSL証明書/キーを自動検出
• MySQLでは接続ごとの暗号化が可能
– X509 標準準拠のIdentity Verification (アイデンティティの検証)
• 信頼できるCA (Certificate Authorities / 認証局) を利用可能
• CRL (Certificate Revocation List / 証明書失効リスト) サポート
29

30. Copyright © 2016, Oracle and/or its affiliates. All rights reserved.
MySQL Enterprise Encryption
• MySQLの暗号化ライブラリ
– AES256による対称鍵暗号
– 公開鍵 / 非対称鍵暗号
• キーの管理
– 公開鍵および秘密鍵の生成
– 鍵交換方式: RSA, DSA, DH
• 署名とデータの検証
– 電子署名、検証、妥当性確認のための暗号学的ハッシュ関数
• Oracle Key Vaultとの統合
30
非対称暗号関数: RSA, DSA, and DH 等の暗号化をサポート

31. Copyright © 2016, Oracle and/or its affiliates. All rights reserved.
MySQL TDE（Transparent Data Encryption）
• MySQLで認証されたユーザーだけがデータにアクセス可能
• OSユーザーからデータを保護
31
MySQL Database
暗号化された
表領域ファイル
暗号鍵
クラッカー、
悪意のあるユーザー
ファイルに直接アクセス
暗号化により、データを保護
NEW
5.7.12
~

32. Copyright © 2016, Oracle and/or its affiliates. All rights reserved.
2段階の暗号鍵管理
• InnoDBテーブルを暗号化する時、表領域鍵は暗号化され、
表領域のヘッダーに格納される
• 暗号化されたデータにアクセスする時、
InnoDBは表領域鍵を復号するために、マスター暗号鍵を使用する
• マスター暗号鍵は、keyringファイルまたは鍵管理システムに格納される
32
マスター暗号鍵 と 表領域鍵

33. Copyright © 2016, Oracle and/or its affiliates. All rights reserved.
MySQL TDE 使用方法
• 事前設定(暗号化鍵をファイルシステムで管理する場合)
– early-plugin-load に keyring_file.so を指定
– keyring_file_data を任意のディレクトリに設定（暗号化鍵の配置先を指定）
• 事前設定(暗号化鍵をOracle Key Vaultなどで管理する場合)
= MySQL Enterprise TDE
– Oracle Key Vaultのインストール、設定
– early-plugin-load に keyring_okv.so を指定
– keyring_okv_conf_dir を設定（Oracle Key Vault関連ファイルの配置先を指定）
33

34. Copyright © 2016, Oracle and/or its affiliates. All rights reserved.
InnoDB Redo/Undo 暗号化
• AES 256 暗号化
• Redo/Undoログがディスクに書き出される時に暗号化される
• Redo/Undoログがディスクから読み込まれる時に複合される
• メモリ上ではRedo/Undoログデータは暗号化されていない
• InnoDB表領域暗号化と同様の2層暗号化鍵管理
–鍵のローテーションが高速、高パフォーマンス
• 簡単に使用可能
– システム変数 innodb_redo_log_encrypt、innodb_undo_log_encrypt で制御
35
MySQL
8.0

35. Copyright © 2016, Oracle and/or its affiliates. All rights reserved.
MySQL Enterprise TDE（Transparent Data Encryption）
• シンプルなデータ暗号化（AES256）
• OSのファイルシステム上、バックアップメディア上のデータを保護
• 鍵管理機能を含む（鍵の保護、ローテーション、など）
– Oracle Key Vaultと連携可能（KMIP v1.2に対応）
– 鍵管理は、セキュリティ対策上重要なポイント
– 2層暗号鍵アーキテクチャを採用（マスター暗号鍵、表領域鍵から構成）
• アプリケーションの変更不要
• 簡単な設定で導入可能
• 高パフォーマンス（オーバーヘッドが少ない）
36

36. Copyright © 2016, Oracle and/or its affiliates. All rights reserved. 37
MySQLセキュリティ概要
Authentication
(認証)
Authorization
(認可)
Encryption
(暗号)
Firewall
(ファイアウォール)
MySQL Security
Auditing
(監査)

37. Copyright © 2016, Oracle and/or its affiliates. All rights reserved.
MySQL Enterprise Firewall
• SQLインジェクション対策、リアルタイムで保護
– ホワイトリストモデル、実行されるクエリーを分析してホワイトリストと照合
• 学習してホワイトリストを自動作成
– ユーザー毎に、SQL実行パターンを記録して自動的にホワイトリストを作成
• 不審なアクセスを「検知」または「ブロック」
– ポリシーに違反するトランザクションを「検知」しログに記録
– ポリシーに違反するトランザクションを「検知」しログに記録しつつ、「ブロック」
• 透過的
– アプリケーションを変更する必要無し
38
NEW
5.6.24
~

38. Copyright © 2016, Oracle and/or its affiliates. All rights reserved.
MySQL Enterprise Firewall
• データを全件検索する
不審なアクセスのブロック例
39
select * from FW_DEMO where id = 3;
select * from FW_DEMO;
Block & Log✖
Allow & Log✔
White List

39. Copyright © 2016, Oracle and/or its affiliates. All rights reserved. 40

40. Copyright © 2016, Oracle and/or its affiliates. All rights reserved. 41
MySQLセキュリティ概要
Authentication
(認証)
Authorization
(認可)
Encryption
(暗号)
Firewall
(ファイアウォール)
MySQL Security
Auditing
(監査)

41. Copyright © 2016, Oracle and/or its affiliates. All rights reserved.
データベース監査
• セキュリティおよびコンプライアンスのための監査
–FIPS, HIPAA, PCI-DSS, SOX, DISA STIG, …
• MySQLのビルトインのログ:
–一般ログ、エラーログ
• MySQL Enterprise Audit
–ログオン、クエリーの情報を監査可能
–ポリシーを設定可能：フィルタリング、ログローテーション
–動的に設定を変更可能：Audit設定時にサーバの再起動が不要
–Oracle Audit Vault対応
42

42. Copyright © 2016, Oracle and/or its affiliates. All rights reserved.
MySQL Enterprise Audit
• ログオン、クエリーの情報を監査可能
• ユーザがポリシーを設定可能：フィルタリング、ログローテーション
• 動的に設定を変更可能：Audit設定時にサーバの再起動が不要
• Oracleの仕様に合わせXMLベースの監査ログを出力
（Oracle Audit Vaultとの互換性（ログフォーマット））
• サイズに基づいた監査ログファイルの自動ローテーション
• MySQL 5.5のAudit APIを使って実装 / MySQL 5.5.28 以上で使用可能
43
ポリシーベースの監査機能を提供
コンプライアンス対応等で監査が必要なアプリケーションでもMySQLを利用可能

43. Copyright © 2016, Oracle and/or its affiliates. All rights reserved. 44
ポリシーベースの監査機能を提供
MySQL Enterprise Audit
2. User Joe connects and runs a query
1. DBA enables Audit plugin
3. Joe’s connection & query logged
WHO
WHERE
WHEN
WHAT
管理者
Joe （ユーザー）

44. Copyright © 2016, Oracle and/or its affiliates. All rights reserved.
Rules can be Specific related to Tables
{ "filter":{
"class": {
"name": "table_access",
"event": {
"name": [ "delete", "insert", "update" ],
"log": {
"and": [ { "field": { "name": "table_database.str",
"value": "bank_database" } },
{ "field": { "name": "table_name.str",
"value": "accounts" }}]}}}}}
All deletions, insertions, updates on bank_database.accounts

45. Copyright © 2016, Oracle and/or its affiliates. All rights reserved. 46

46. Copyright © 2016, Oracle and/or its affiliates. All rights reserved. 47
MySQLのセキュリティ強化策
ユーザ管理
• 余分なアカウントの削除
• 最低限の権限付与
• ユーザと権限の監査
設定
• ファイアウォール
• 監査とログ
• ネットワークアクセスの制限
• 変更点の監視
インストール
• mysql_secure_installation
• MySQLを常に最新版に
• MySQL Installer for Windows
• Yum/Apt レポジトリ
バックアップ
• バックアップの監視
• バックアップの暗号化
暗号化
• SSL/TLS通信
• データ暗号化 (AES, RSA)
• 透過的暗号化
パスワード
• 強力なパスワードポリシー
• ハッシュ、失効
• パスワード検証プラグイン

47. Copyright © 2016, Oracle and/or its affiliates. All rights reserved.
• ネットワーク
– 暗号化 (SSL/TLS)
– 総当たり攻撃対策
• Connection-Controlプラグイン
• 認証認可
– ACLベース
• グローバル/スキーマ/テーブル/列
– パスワード検証プラグイン
• 複雑さ指定
• ユーザ名検証
– ロールベースアクセス制御 (8.0+)
• データ暗号化
– 暗号化アルゴリズム (AES265)
– TDE/透過的データ暗号化
• ファイルベース鍵管理
• その他
– リソース制限
• アカウント別の同時接続数
• アカウント別の一時間あたり最大接続数
48
MySQL Community Editionのセキュリティ機能

48. Copyright © 2016, Oracle and/or its affiliates. All rights reserved.
サードバーティ製品
• 監査
– インサイトテクノロジー PISO
• SQLインジェクション対策
– Imperva
SecureSphere Database Firewall
MySQL Enterprise Edition
• 認証認可
– 外部認証: Enterprise Authentication
• 監査
– 監査プラグイン: Enterprise Audit
• データ暗号化
– 非対称暗号:
Enterprise Encryption
– TDE/透過的データ暗号化:
Enterprise Transparent Data Encryption
49
MySQLのセキュリティ関連機能

49. Copyright © 2016, Oracle and/or its affiliates. All rights reserved.
MySQL Enterprise Edition
50

50. Copyright © 2016, Oracle and/or its affiliates. All rights reserved. 51
MySQL Enterprise Edition
MySQL導入の最適化
ROIの最適化をサポート
ユーザビリティ・顧客満足の向上
ビジネス・クリティカルな環境において、最高レベルの
MySQLスケーラビリティ、セキュリティ、信頼性、
アップタイムを実現し、ビジネス・クリティカルな
環境においてリスクとコストを削減を実現
Improve
Performance
& Scalability
Enhance Agility &
Productivity
Reduce TCO
Mitigate Risks
Get
Immediate
Help if/when
Needed
Increase
Customer
Satisfaction

51. Copyright © 2016, Oracle and/or its affiliates. All rights reserved. 52
MySQL Enterprise Edition のサービスカテゴリー
管理ツール拡張機能 サポート
• 拡張性
• 高可用性
• 統合認証
• 監査
• 暗号化
• ファイヤーウオール
• 透過的データ暗号化
• 監視
• バックアップ
• 開発
• 管理
• マイグレーション
• 技術サポート
• コンサルティングサポート
• オラクル製品との
動作保証

52. Copyright © 2016, Oracle and/or its affiliates. All rights reserved.
MySQL Enterprise Editionによるデータ保護
MySQL Enterprise Backup
MySQL Enterprise Authentication
MySQL Enterprise Encryption & TDE
MySQL Enterprise Firewall
MySQL Enterprise Audit

53. Copyright © 2016, Oracle and/or its affiliates. All rights reserved.
MySQL Enterprise Support
• 最大のMySQLのエンジニアリングおよびサポート組織
• MySQL開発チームによるサポート
• 29言語で世界クラスのサポートを提供
• メンテナンス・リリース、バグ修正、パッチ、アップデートの提供
• 24時間x365日サポート
• 無制限サポート・インシデント
• MySQL コンサルティング・サポート
56
Get immediate help for any MySQL
issue, plus expert advice
～リモートDBAとして、是非ご活用ください！！～

54. Copyright © 2016, Oracle and/or its affiliates. All rights reserved.
MySQL Supportの特徴
• 「パフォーマンス・チューニング」や「SQLチューニング」まで
通常サポートの範囲内
– コンサルティングサポートが含まれており、「クエリ・レビュー」、「パフォーマンス・
チューニング」、「レプリケーション・レビュー」、「パーティショニング・レビュー」などに
対応可能
– 詳細はこちらを参照下さい
http://www-jp.mysql.com/support/consultative.html
• ソースコードレベルでサポート可能
– ほとんどのサポートエンジニアがソースを読めるため、対応が早い開発エンジニアと
サポートエンジニアも密に連携している
57

55. Copyright © 2016, Oracle and/or its affiliates. All rights reserved.
MySQL Supportの特徴
• 物理サーバー単位課金
– CPU数、コア数に依存しない価格体系
– 4CPUまで（コア数は制限無し）同一料金、5CPU以上の価格は営業問合せ
• オラクルのライフタイムサポート
– 詳細はこちらを参照下さい
http://www.oracle.com/jp/support/lifetime-support/index.html
http://www-jp.mysql.com/support/
58

56. Copyright © 2016, Oracle and/or its affiliates. All rights reserved.
参考情報
59

57. Copyright © 2016, Oracle and/or its affiliates. All rights reserved.
Oracle MySQLクラウドサービス
60
The World’s Most Popular Open Source Database in the Oracle Cloud
Oracle MySQL Cloud Service は
迅速、安全かつコスト効率良く
MySQLをデプロイする事が可能

58. Copyright © 2016, Oracle and/or its affiliates. All rights reserved.
詳細情報 @ cloud.oracle.com/mysql
Sign up today for a free trial @
https://cloud.oracle.com/mysql
61

59. Copyright © 2016, Oracle and/or its affiliates. All rights reserved.
MySQLの最新情報配信
• MySQLホームページ
http://www-jp.mysql.com/
• MySQL イベント
http://www-jp.mysql.com/news-and-events/events/
• MySQLニュースレター（月刊）※マイプロファイル内からMySQLを選択ください
http://www.oracle.com/jp/syndication/subscribe/index.html
• MySQL Twitter
@mysql_jp
• OTN セミナー オンデマンド コンテンツ
http://www-jp.mysql.com/news-and-events/generate-article.php?id=1709
62

60. Copyright © 2016, Oracle and/or its affiliates. All rights reserved.
日本MySQLユーザー会(MyNA)
• 主な活動： メーリングリストでの情報交換やイベント開催
• MySQLに興味がある方であればどなたでも入会(メーリングリスト参加)可能
– 会費無し、退会も自由
• URL： http://www.mysql.gr.jp/
63

61. Copyright © 2016, Oracle and/or its affiliates. All rights reserved.
MySQLのドキュメント
• MySQL Developer Zone(http://dev.mysql.com/)にドキュメント類が公開されている
• 以下のドキュメントは2015年6月に日本語版が公開された
– MySQL 5.6 リファレンスマニュアル (含むMySQL Cluster 7.3-7.4マニュアル)
http://dev.mysql.com/doc/refman/5.6/ja/index.html
– MySQL Enterprise Monitor 3.0.18 マニュアル
http://dev.mysql.com/doc/mysql-monitor/3.0/ja/index.html
– MySQL Enterprise Backup ユーザーズガイド (バージョン 3.11.1)
http://dev.mysql.com/doc/mysql-enterprise-backup/3.11/ja/index.html
• 上記日本語版公開以降に英語版ドキュメントのみ修正されている内容も
あるため、ドキュメント参照時は英語版ドキュメントも合わせてご参照下さい
(URLの”ja”部分を”en”に変更すると、英語版ドキュメントが表示可能)
64

62. Copyright © 2016, Oracle and/or its affiliates. All rights reserved.
MySQLのドキュメント
• MySQL Documentation: MySQL Reference Manuals
http://dev.mysql.com/doc/
• MySQL Documentation: MySQL Workbench
http://dev.mysql.com/doc/index-gui.html
• MySQL Documentation: MySQL Utilities/MySQL Fabric
http://dev.mysql.com/doc/index-utils-fabric.html
• MySQL Documentation: Connectors and APIs
http://dev.mysql.com/doc/index-connectors.html
65

63. Copyright © 2016, Oracle and/or its affiliates. All rights reserved.
MySQLのドキュメント
• MySQL Documentation: Other MySQL Documentation
http://dev.mysql.com/doc/index-other.html
⇒”world database”などのサンプルデータベースもダウンロード可能
• MySQL Documentation: MySQL Enterprise Products
http://dev.mysql.com/doc/index-enterprise.html
⇒商用版製品に関するドキュメント
66

64. Copyright © 2016, Oracle and/or its affiliates. All rights reserved. 67
30日間トライアル
MySQL Enterprise Edition & Cluster CGEの試使用
• Oracle Software Delivery Cloud
http://edelivery.oracle.com/
• 製品パックを選択：
"Product" にMySQLと入力し、
OSを選択し"Continue"
• 製品マニュアル
http://dev.mysql.com/doc/index-
enterprise.html

65. Copyright © 2016, Oracle and/or its affiliates. All rights reserved. 68
オラクルユニバーシティ MySQL 研修
コース名 日数
価格
(税込)
開催日程
MySQL for Beginners 4 220,320 お問い合わせください
MySQL データベース管理 I 3 165,240
2016/09/07 - 09, 2016/10/05 - 07
2016/11/14 - 16, 2016/12/05 - 07
MySQL データベース管理 II 2 110,160
2016/08/29 - 30, 2016/09/15 - 16,
2016/10/24 - 25, 2016/11/21 - 22
MySQL High Availability 3 231,336 お問い合わせください
※ MySQL データーベース管理I/IIはMySQL5.5対応、MySQL 入門は MySQL 5.0/5.1対応です。
※ コース開催予定は2016年08月現在のものです。開催日程の最新情報はOracle University ホームページ ( http://www.oracle.com/jp/education/ )
にてご確認ください。
※ 価格(税込み)は2016年08月現在の価格です。Oracle PartnerNetwork 会員様は、パートナー割引価格で受講いただけます。

66. Copyright © 2016, Oracle and/or its affiliates. All rights reserved.
管理者向け MySQL 5.6 対応認定資格
• Oracle Certified Professional, MySQL 5.6 Database Administrator
– Oracle Certified Professional, MySQL 5.6 Database Administrator 資格は、パーティショニング、お
よびレプリケーションにおける機能強化やパフォーマンス監視と診断のPERFORMANCE_SCHEMA
の使用などMySQL 5.6の新機能を含むMySQLデータベースのインストール、複製、チューニング、
およびセキュリティ設定など幅広い管理スキルを証明します。
• 認定試験:
– MySQL 5.6 Database Administrator (1Z0-883)
• 本試験に合格することで、資格取得できます
• 日本語試験、英語試験共に受験可能
69

67. Copyright © 2016, Oracle and/or its affiliates. All rights reserved.
開発者向け MySQL 5.6 対応認定資格
• Oracle Certified Professional, MySQL 5.6 Developer
– Oracle Certified Professional, MySQL 5.6 Database Administrator 資格は、MySQL データ・タイプや
SQLシンタックス、テーブルやスキーマなどの各種オブジェクト、ストアド・プロシージャ、ビュー、
結合など、MySQL データベースを使用したアプリケーション開発に必要なスキルを証明します。
• 認定試験:
– MySQL 5.6 Developer (1Z0-882)
• 本試験に合格することで、資格取得できます
• 日本語試験、英語試験共に受験可能
70

68. Copyright © 2016, Oracle and/or its affiliates. All rights reserved.
管理者向け MySQL 5.6 認定資格取得パス
新規取得もアップグレードも一試験で
学習(研修受講) 受験 資格取得
MySQL データベース管理 I
３日間
MySQL データベース管理 II
２日間
必須
推奨
1Z0-883:
MySQL 5.6
Database Administrator
Oracle Certified Professional,
MySQL 5.6 Database Administrator
これから
資格取得を
目指す方
OCP MySQL
5 DBA
資格取得者
* MySQL データベース管理 I/II コース
では、MySQL 5.6 新機能概要を補足資
料として配布します
71

69. Copyright © 2016, Oracle and/or its affiliates. All rights reserved. 72