なぜ「とりあえずロック」が危険なのか
データベース管理者として、セキュリティ対応で最も頻繁に行う操作の一つが ALTER USER ACCOUNT LOCK です。しかし、現場では「退職したから」「不審なアクセスがあったから」という理由で安易にロックをかけ、そのまま放置されるケースが散見されます。ロックは強力な防御手段ですが、単に「接続を遮断する」以上の影響をシステムに与えることを忘れてはなりません。
ロックが引き起こす「予期せぬ障害」の連鎖
私が過去に経験した事例では、バッチ処理専用のユーザーを不用意にロックしたことで、夜間のデータ連携プロセスが全滅したことがあります。そのユーザーはアプリケーションの接続プール用として設定されており、エラーログが大量に出力された結果、監視システムがアラートを連発し、深夜の緊急対応を余儀なくされました。
また、ロックされたユーザーが「所有するオブジェクト」の扱いにも注意が必要です。特定のスキーマを所有するユーザーをロックしても、そのユーザーが保持しているプロシージャやビューの実行権限までは即座に剥奪されません。「ロック=安全」と過信せず、権限の棚卸しとセットで管理することが、真のセキュリティ対策といえます。
実務で推奨される「ロック運用」のベストプラクティス
単にコマンドを叩くだけではなく、以下の手順をルーチン化することを強く推奨します。
1. 依存関係の事前調査:ロック対象のユーザーが、どのアプリケーションやスケジュールジョブと紐付いているか、データディクショナリを用いて確実に特定する。
2. 段階的な隔離:いきなりロックするのではなく、まずはパスワードを変更し、接続を拒否して数日間「ログ」を監視する。これにより、稼働中のプロセスが残っていないか最終確認を行います。
3. 期限付きの管理:ロックしたユーザーを放置せず、一定期間(例:3ヶ月)経過後にエクスポートを取得した上でユーザーごと削除する「ライフサイクル管理」を徹底する。
まとめ
ALTER USER ACCOUNT LOCK は、あくまで「一時的な避難」です。DBAにとってのゴールは、アカウントをロックし続けることではなく、不要なアカウントを適切に特定し、システムからきれいに削除することにあります。ロックしただけで安心せず、その先にある「削除」までのプロセスを設計することこそが、堅牢なデータベース運用への近道です。
コメント