Oracle ディレクトリ オブジェクトの確認：SQLと手順

---

Oracle DIRECTORY オブジェクトの確認：SQLと手順 の詳細な説明

1. はじめに

Oracleデータベースは、データの格納と管理において強力な機能を提供します。その中でも、データベース外部のファイルシステム上のファイルにアクセスするための仕組みとして「DIRECTORYオブジェクト」があります。DIRECTORYオブジェクトは、OS上の特定の物理ディレクトリパスとデータベース内の論理的なオブジェクト名を関連付けることで、データベースから安全かつ効率的にファイル操作（読み取り、書き込み）を行うことを可能にします。

DIRECTORYオブジェクトは、データポンプ（expdp/impdp）、外部表（External Table）、BFILE LOB、UTL_FILEパッケージ、そして各種ログファイルやトレースファイルの出力先など、多くのOracle機能で利用されます。これらの機能を利用したり、あるいはこれらの機能に関連する問題をトラブルシューティングしたりする際には、DIRECTORYオブジェクトが正しく設定されているか、そのパスが正しいか、そして必要な権限が付与されているかを確認することが不可欠です。

この記事では、OracleデータベースにおけるDIRECTORYオブジェクトの確認方法に焦点を当て、SQLを使った確認方法、OS側の確認方法、そして確認結果の解釈や一般的なトラブルシューティングの手順を詳細に解説します。約5000語というボリュームで、初心者の方から経験者の方まで、DIRECTORYオブジェクトに関する理解を深め、実際の運用やトラブルシューティングに役立てていただけるような内容を目指します。

2. Oracle DIRECTORY オブジェクトの基本

2.1. DIRECTORYオブジェクトとは？

Oracle DIRECTORYオブジェクトは、データベースがアクセスできるファイルシステム上の特定のディレクトリ（フォルダ）を、データベース内の名前付きオブジェクトとして定義したものです。データベースは直接OS上のファイルパスを参照するのではなく、このDIRECTORYオブジェクト名を介して間接的にファイルにアクセスします。

例えば、OS上に /u01/app/oracle/data_files というディレクトリが存在するとします。データベース内でこのディレクトリを操作対象とする場合、以下のようなSQL文でDIRECTORYオブジェクトを作成します。

sql
CREATE DIRECTORY data_dir AS '/u01/app/oracle/data_files';

これにより、データベース内では DATA_DIR という名前で /u01/app/oracle/data_files という物理パスを参照できるようになります。

2.2. DIRECTORYオブジェクトの目的とメリット

DIRECTORYオブジェクトを使用することには、いくつかの重要な目的とメリットがあります。

• セキュリティ: データベースユーザーにOS上のファイルパスを直接知らせることなく、特定のディレクトリへのアクセスを許可または拒否できます。これにより、ファイルシステムの構造を隠蔽し、不要なファイルへのアクセスを防ぐことができます。
• 権限管理: DIRECTORYオブジェクトに対して、データベースの権限管理メカニズム（GRANT/REVOKE）を使用して、どのデータベースユーザーがそのディレクトリに対して読み取り（READ）権限や書き込み（WRITE）権限を持つかを細かく制御できます。これはOSレベルのファイルシステム権限とは別に、データベース内で独立して管理されます。
• メンテナンス性: OS上の物理パスが変更された場合でも、データベース側ではDIRECTORYオブジェクトの定義（パス）を変更するだけで済み、そのDIRECTORYオブジェクトを参照しているアプリケーションコードやスクリプトを変更する必要がありません。これは、パスのハードコーディングを防ぎ、メンテナンスコストを削減します。
• 移植性: スクリプトやアプリケーションがDIRECTORYオブジェクト名を使用していれば、データベース環境が別のサーバーやストレージに移行しても、DIRECTORYオブジェクトのパス定義を変更するだけで対応できます。

2.3. 一般的な用途

DIRECTORYオブジェクトは、以下のような様々なOracle機能で利用されます。

• データポンプ (Data Pump): expdp (エクスポート) および impdp (インポート) ユーティリティで、ダンプファイル、ログファイル、SQLファイルの出力先/入力元として指定されます。これはおそらくDIRECTORYオブジェクトの最も一般的な使用例です。
• 外部表 (External Tables): OS上のテキストファイルやバイナリファイルを、あたかもデータベース内の表であるかのように扱う機能です。外部表の定義で、対象ファイルが置かれているディレクトリをDIRECTORYオブジェクト名で指定します。
• UTL_FILEパッケージ: PL/SQLプログラムからOS上のファイルに対して、読み取り、書き込み、追記、クローズなどの操作を行うためのパッケージです。UTL_FILEの各プロシージャやファンクションでは、ファイルパスの代わりにDIRECTORYオブジェクト名を指定します。
• BFILE LOB: データベース外に格納された大きいバイナリファイル（画像、音声、動画など）を参照するためのLOBタイプです。BFILEロケータを作成する際に、ファイルが置かれているディレクトリをDIRECTORYオブジェクト名で指定します。
• アラートログファイルやトレースファイル: データベースの初期化パラメータ DIAGNOSTIC_DEST や USER_DUMP_DEST, CORE_DUMP_DEST などで指定される診断関連の出力先は、内部的にDIRECTORYオブジェクトにマッピングされる場合があります。

2.4. DIRECTORYオブジェクト作成の前提条件

DIRECTORYオブジェクトを作成する前に、OS上で対象となる物理ディレクトリが存在している必要があります。さらに、Oracleデータベースを起動しているOSユーザー（通常は oracle ユーザーや、/etc/passwd で定義されているOracleソフトウェア所有者ユーザー）が、その物理ディレクトリに対して少なくとも読み取り権限、必要であれば書き込み権限を持っている必要があります。

Oracleデータベースは、このOSユーザーの権限で物理ファイルにアクセスします。したがって、データベース内でいくら特定のデータベースユーザーにDIRECTORYオブジェクトへのREAD/WRITE権限を与えても、OS上でOracle実行ユーザーがその物理パスへのアクセス権を持っていない限り、ファイル操作は成功しません。このOSレベルの権限設定は、ディレクトリ確認やトラブルシューティングにおいて最も見落とされがちなポイントの一つです。

3. DIRECTORYオブジェクトの作成と管理 (確認の前準備)

DIRECTORYオブジェクトの確認方法に進む前に、その作成と基本的な管理方法を理解しておくと、確認すべき項目や権限周りの問題が把握しやすくなります。

3.1. OS上での物理ディレクトリ作成

まず、Oracleデータベースサーバー上で、DIRECTORYオブジェクトとして登録したい物理ディレクトリを作成します。例として、Linux環境でデータポンプ用のディレクトリを作成する場合を考えます。

bash
-- root ユーザーまたは適切な権限を持つユーザーで実行
mkdir /u01/app/oracle/datapump
chown oracle:oinstall /u01/app/oracle/datapump
chmod 755 /u01/app/oracle/datapump

• mkdir: ディレクトリを作成します。
• chown oracle:oinstall: ディレクトリの所有者をOracleソフトウェア所有者ユーザー（例: oracle）、グループ（例: oinstall）に変更します。
• chmod 755: ディレクトリのパーミッションを設定します。所有者には読み取り(r)、書き込み(w)、実行(x)権限（7）、グループおよびその他ユーザーには読み取り(r)と実行(x)権限（5）を与えています。特にOracle実行ユーザーが読み書きできるよう、所有者には書き込み権限が必要です。グループやその他のユーザーに書き込み権限を与えないのはセキュリティ上の理由です。

Windows環境の場合、エクスプローラーでフォルダを作成し、そのフォルダのプロパティから「セキュリティ」タブでOracleサービスを実行しているユーザーアカウント（例: NT AUTHORITY\SYSTEM や特定のサービスアカウント）に適切なアクセス権限（読み取り、書き込み、変更）を与える必要があります。

3.2. CREATE DIRECTORY文

OS上に物理ディレクトリを作成し、Oracle実行ユーザーに適切な権限を設定したら、データベース内でDIRECTORYオブジェクトを作成します。必要なシステム権限は CREATE ANY DIRECTORY です。通常、DBAロールを持つユーザーはこの権限を持っています。

“`sql
— SYSTEM または DBA 権限を持つユーザーで接続
CONNECT system/manager AS SYSDBA;

— DIRECTORY オブジェクトの作成
CREATE DIRECTORY data_pump_dir AS ‘/u01/app/oracle/datapump’;

— 成功メッセージが表示される
— Directory created.
“`

CREATE DIRECTORY 文では、DIRECTORYオブジェクトの名前（ここでは DATA_PUMP_DIR）と、対応するOS上の物理パス（ここでは /u01/app/oracle/datapump）を指定します。DIRECTORYオブジェクトの名前は大文字・小文字を区別しません（デフォルトでは大文字で格納されます）。物理パスはOSの大文字・小文字の区別ルールに従います（Linux/Unixは区別あり、Windowsは区別なし）。

3.3. DIRECTORYオブジェクトへの権限付与

DIRECTORYオブジェクトを作成しただけでは、作成者（上記例ではSYSTEMユーザー）しかそのディレクトリ名を知っており、かつデフォルトでは権限を持っていません。他のデータベースユーザーがこのDIRECTORYオブジェクトを使用してファイル操作を行うには、明示的にREAD権限（読み取り）やWRITE権限（書き込み）を付与する必要があります。

必要なシステム権限は GRANT ANY DIRECTORY ですが、通常はDIRECTORYオブジェクトの作成者またはDBAが権限付与を行います。

“`sql
— 作成者または GRANT ANY DIRECTORY 権限を持つユーザーで接続
CONNECT system/manager; — または SYS AS SYSDBA

— ユーザー ‘SCOTT’ に DIRECTORY オブジェクト ‘DATA_PUMP_DIR’ への読み取り・書き込み権限を付与
GRANT READ, WRITE ON DIRECTORY data_pump_dir TO scott;

— 成功メッセージが表示される
— Grant succeeded.
“`

これにより、ユーザーSCOTTは、DATA_PUMP_DIRという名前を使用して/u01/app/oracle/datapumpディレクトリ内のファイルに対して読み書き操作を行えるようになります（もちろん、前述のOSレベルの権限も満たされている必要があります）。

権限を削除する場合は REVOKE 文を使用します。

“`sql
— ユーザー ‘SCOTT’ から DIRECTORY オブジェクト ‘DATA_PUMP_DIR’ への読み取り・書き込み権限を剥奪
REVOKE READ, WRITE ON DIRECTORY data_pump_dir FROM scott;

— 成功メッセージが表示される
— Revoke succeeded.
“`

4. DIRECTORYオブジェクトの確認方法

ここからが本題です。作成済みのDIRECTORYオブジェクトや、特定のユーザーがアクセスできるDIRECTORYオブジェクト、そしてそれらに付与されている権限を確認する方法を詳細に見ていきます。確認の主な手段はSQLを使用した方法ですが、OS側の確認も不可欠です。

4.1. SQLを使用した確認

Oracleデータディクショナリビューを使用すると、データベース内のDIRECTORYオブジェクトに関する情報を取得できます。主に以下のビューが使用されます。

• ALL_DIRECTORIES: 現在接続しているユーザーがアクセス可能な全てのDIRECTORYオブジェクトに関する情報を表示します。
• DBA_DIRECTORIES: データベース内の全てのDIRECTORYオブジェクトに関する情報を表示します。このビューをクエリするには、SELECT ANY DICTIONARY システム権限または DBA ロールが必要です。
• USER_DIRECTORIES: 現在接続しているユーザーが作成した全てのDIRECTORYオブジェクトに関する情報を表示します。

これらのビューは、以下のカラムを持っています。

• OWNER: DIRECTORYオブジェクトを作成したユーザー（スキーマ）の名前。
• DIRECTORY_NAME: DIRECTORYオブジェクトの名前。
• DIRECTORY_PATH: DIRECTORYオブジェクトがマッピングされているOS上の物理パス。

4.1.1. ALL_DIRECTORIES ビューでの確認

ALL_DIRECTORIES ビューは、現在接続しているユーザーがREADまたはWRITE権限を持つDIRECTORYオブジェクト（自身が作成したものを含む）を表示します。これは、特定のユーザーがどのディレクトリにアクセスできるかを確認する際に最も一般的に使用されます。

手順:

1. DIRECTORYオブジェクトの情報を確認したいデータベースユーザーとして、SQL*PlusやSQL Developerなどのツールでデータベースに接続します。
2. 以下のSQL文を実行します。

sql
-- 接続ユーザーがアクセス可能な DIRECTORY オブジェクトを一覧表示
SELECT owner, directory_name, directory_path
FROM all_directories
ORDER BY owner, directory_name;

実行例:

“`sql
SQL> CONNECT scott/tiger;
Connected.

SQL> SELECT owner, directory_name, directory_path
2 FROM all_directories
3 ORDER BY owner, directory_name;

OWNER DIRECTORY_NAME DIRECTORY_PATH

---

ORACLE_OCM OCM_CONFIG_DIR /u01/app/oracle/product/19.0.0/dbhome_1/ocm/config
SYS DATA_PUMP_DIR /u01/app/oracle/datapump
SYS DP_DIR /u01/app/oracle/admin/orcl/dpdump
SYS LOG_FILE_DIR /u01/app/oracle/admin/orcl/log

4 rows selected.
“`

この例では、ユーザーSCOTTが自身のスキーマ（OWNERがSCOTT）に作成したDIRECTORYオブジェクトは表示されていませんが、ORACLE_OCMやSYSによって作成され、SCOTTユーザーに対してREADまたはWRITE権限が付与されているDIRECTORYオブジェクトが表示されています。

4.1.2. DBA_DIRECTORIES ビューでの確認

DBA_DIRECTORIES ビューは、データベースシステム内の全てのDIRECTORYオブジェクトに関する情報を表示します。このビューをクエリするには、通常DBAロールが必要です。これは、システム全体でどのようなDIRECTORYオブジェクトが定義されているかを確認する際に使用します。

手順:

1. DBA ロールや SELECT ANY DICTIONARY システム権限を持つユーザー（例: SYSTEM, SYS AS SYSDBA）としてデータベースに接続します。
2. 以下のSQL文を実行します。

sql
-- データベース全体の DIRECTORY オブジェクトを一覧表示
SELECT owner, directory_name, directory_path
FROM dba_directories
ORDER BY owner, directory_name;

実行例:

“`sql
SQL> CONNECT system/manager; — または SYS AS SYSDBA
Connected.

SQL> SELECT owner, directory_name, directory_path
2 FROM dba_directories
3 ORDER BY owner, directory_name;

OWNER DIRECTORY_NAME DIRECTORY_PATH

---

APEX_190200 APEX_190200_DOC /u01/app/oracle/product/19.0.0/dbhome_1/apex/apex/images
CTXSYS DR$TEMP /tmp
ORACLE_OCM OCM_CONFIG_DIR /u01/app/oracle/product/19.0.0/dbhome_1/ocm/config
SYS DATA_PUMP_DIR /u01/app/oracle/datapump
SYS DP_DIR /u01/app/oracle/admin/orcl/dpdump
SYS LOG_FILE_DIR /u01/app/oracle/admin/orcl/log
SYS ORACLE_BASE /u01/app/oracle
SYS ORACLE_HOME /u01/app/oracle/product/19.0.0/dbhome_1

8 rows selected.
“`

この例では、ALL_DIRECTORIESでは見えなかったシステム内部で使用されるDIRECTORYオブジェクト（DR$TEMP, ORACLE_BASE, ORACLE_HOMEなど）も含めて、データベース内の全てのDIRECTORYオブジェクトが表示されています。

4.1.3. USER_DIRECTORIES ビューでの確認

USER_DIRECTORIES ビューは、現在接続しているユーザー自身が CREATE DIRECTORY 文で作成したDIRECTORYオブジェクトのみを表示します。

手順:

1. DIRECTORYオブジェクトを作成したユーザーとしてデータベースに接続します。
2. 以下のSQL文を実行します。

sql
-- 接続ユーザーが作成した DIRECTORY オブジェクトを一覧表示
SELECT directory_name, directory_path
FROM user_directories
ORDER BY directory_name;

実行例 (ユーザー SCOTT が DATA_DIR を作成した場合を想定):

“`sql
— まず SCOTT ユーザーで DIRECTORY を作成
SQL> CONNECT scott/tiger;
Connected.

SQL> GRANT CREATE ANY DIRECTORY TO scott; — テストのため権限付与 (通常は DBA が作成)
Grant succeeded.

SQL> CREATE DIRECTORY my_data_dir AS ‘/u01/app/oracle/scott_data’;
Directory created.

SQL> SELECT directory_name, directory_path
2 FROM user_directories
3 ORDER BY directory_name;

DIRECTORY_NAME DIRECTORY_PATH

---

MY_DATA_DIR /u01/app/oracle/scott_data

1 row selected.
“`

このビューは、自身がどのDIRECTORYオブジェクトを管理しているかを確認するのに便利です。

4.1.4. 特定のDIRECTORYオブジェクトの確認

特定の名前のDIRECTORYオブジェクトや、特定の物理パスを持つDIRECTORYオブジェクトを確認したい場合は、上記のビューにWHERE句を追加して絞り込みます。

“`sql
— 名前で検索 (大文字・小文字は区別しない)
SELECT owner, directory_name, directory_path
FROM all_directories
WHERE directory_name = ‘DATA_PUMP_DIR’;

— パスで検索 (OSの大文字・小文字区別に注意)
SELECT owner, directory_name, directory_path
FROM dba_directories
WHERE directory_path = ‘/u01/app/oracle/datapump’;
“`

4.1.5. DIRECTORYオブジェクトへの権限確認

どのデータベースユーザーやロールが特定のDIRECTORYオブジェクトに対してREAD/WRITE権限を持っているかを確認することは、ファイル操作関連の権限問題をトラブルシューティングする上で非常に重要です。

DIRECTORYオブジェクトへの権限は、データディクショナリビューである ALL_TAB_PRIVS、DBA_TAB_PRIVS、ROLE_TAB_PRIVS を使用して確認できます。これは、OracleがDIRECTORYオブジェクトを内部的に特定のシステム表と同様に扱っているためです。権限を確認する際は、TABLE_NAME カラムにDIRECTORYオブジェクト名を指定します。

手順:

1. 権限を確認するのに十分な権限を持つユーザー（通常はDBAロールを持つユーザー）でデータベースに接続します。
2. 以下のSQL文を実行します。ここでは DBA_TAB_PRIVS を使用して、特定のDIRECTORYオブジェクトに対する全ての権限付与情報を確認します。

sql
-- 特定の DIRECTORY オブジェクトに対する権限を一覧表示
SELECT grantee, privilege, grantor, owner, table_name
FROM dba_tab_privs
WHERE table_name = 'DATA_PUMP_DIR' -- 確認したい DIRECTORY オブジェクト名 (大文字)
ORDER BY grantee, privilege;

DBA_TAB_PRIVS の主要なカラム:

• GRANTEE: 権限が付与されているユーザーまたはロールの名前。
• PRIVILEGE: 付与されている権限の種類（DIRECTORYオブジェクトの場合は READ または WRITE）。
• GRANTOR: 権限を付与したユーザーの名前。
• OWNER: DIRECTORYオブジェクトを作成したユーザーの名前。
• TABLE_NAME: DIRECTORYオブジェクトの名前。

実行例:

“`sql
SQL> CONNECT system/manager;
Connected.

SQL> SELECT grantee, privilege, grantor, owner, table_name
2 FROM dba_tab_privs
3 WHERE table_name = ‘DATA_PUMP_DIR’
4 ORDER BY grantee, privilege;

GRANTEE PRIVILEGE GRANTOR OWNER TABLE_NAME

---

PUBLIC READ SYS SYS DATA_PUMP_DIR
SCOTT READ SYS SYS DATA_PUMP_DIR
SCOTT WRITE SYS SYS DATA_PUMP_DIR

3 rows selected.
“`

この例では、DATA_PUMP_DIRに対して、PUBLIC（全てのユーザー）にはREAD権限、SCOTTユーザーにはREADとWRITEの両方の権限が付与されていることがわかります。

特定のユーザーがどのようなDIRECTORYオブジェクトに対してどのような権限を持っているかを確認する場合は、ALL_TAB_PRIVS ビューや DBA_TAB_PRIVS ビューを GRANTEE カラムでフィルタリングします。

“`sql
— ユーザー SCOTT が権限を持つ全てのオブジェクト (DIRECTORY を含む) の権限
SELECT owner, table_name, privilege, grantor
FROM dba_tab_privs — または ALL_TAB_PRIVS (接続ユーザーが見えるもの)
WHERE grantee = ‘SCOTT’
AND table_name IN (SELECT directory_name FROM dba_directories) — DIRECTORY オブジェクトに絞る
ORDER BY owner, table_name, privilege;

— 上記のクエリは、DIRECTORY オブジェクト名をフィルタリングするためにサブクエリを使用していますが、
— よりシンプルに、DIRECTORY オブジェクト名は大文字である傾向があることを利用したり、
— ALL_DIRECTORIES/DBA_DIRECTORIES ビューの情報と結合したりすることも考えられます。
— ただし、DBA_TAB_PRIVS の TABLE_NAME が DIRECTORY オブジェクト名そのものであることを利用するのが最も正確です。
“`

ロールに付与された権限を確認する場合は、ROLE_TAB_PRIVS ビューを使用します。

sql
-- ロール DBA に付与された全てのオブジェクト (DIRECTORY を含む) の権限
SELECT owner, table_name, privilege, grantor
FROM role_tab_privs
WHERE role = 'DBA'
AND table_name IN (SELECT directory_name FROM dba_directories);

接続しているユーザーが属するロールに付与された権限は、間接的に有効になります。ユーザーがどのロールを持っているかは DBA_ROLE_PRIVS や USER_ROLE_PRIVS で確認できます。

まとめ: SQLでの確認手順

1. 確認したい情報（全てのディレクトリ、アクセス可能なディレクトリ、特定のユーザーの権限など）に応じて、適切な権限を持つユーザーで接続します。
2. DBA_DIRECTORIES, ALL_DIRECTORIES, USER_DIRECTORIES のいずれかのビューを選択し、必要に応じてWHERE句で絞り込み、SELECT文を実行してDIRECTORYオブジェクトのリストと物理パスを取得します。
3. 特定のユーザーやロールへの権限を確認する場合は、DBA_TAB_PRIVS, ALL_TAB_PRIVS, ROLE_TAB_PRIVS ビューを選択し、WHERE table_name = 'DIRECTORY_NAME' や WHERE grantee = 'USER_OR_ROLE_NAME' といった条件を指定してSELECT文を実行します。

4.2. OSを使用した確認

SQLでDIRECTORYオブジェクトの論理的な情報（名前、マッピングされている物理パス）やデータベース内の権限設定を確認できたら、次にOS側の状況を確認します。これは、ファイル操作が失敗する原因の多くがOSレベルの問題にあるため、非常に重要です。

確認すべきこと:

1. DIRECTORY_PATHで指定された物理ディレクトリがOS上に存在するか？
2. Oracleデータベースを起動しているOSユーザーが、その物理ディレクトリに対して適切なOSレベルのファイルシステム権限（読み取り、書き込み、実行）を持っているか？

手順:

1. SQLで確認した DIRECTORY_PATH の値（例: /u01/app/oracle/datapump）をメモします。
2. Oracleデータベースサーバーに、Oracleソフトウェア所有者OSユーザー（例: oracle）としてログインします。

3. メモした物理パスが存在するか確認します。

   • Linux/Unixの場合:
     bash
ls -ld /u01/app/oracle/datapump
ls -ld コマンドは、ディレクトリ自体の情報（パーミッション、リンク数、所有者、グループ、サイズ、最終更新日時、名前）を表示します。
     確認ポイント:

     • パスが存在するか (ls: cannot access ...: No such file or directory のようなエラーが出ないこと)。
     • 表示されるパーミッション（例: drwxr-xr-x）。最初のdはディレクトリを示します。以降の9文字がパーミッションです。
     • 表示される所有者とグループ（例: oracle oinstall）。Oracle実行ユーザーと一致しているか？
     • Oracle実行ユーザー（例: oracle）がこのディレクトリへのアクセス権を持っているか？ 上記例 drwxr-xr-x の場合、所有者oracleは読み書き実行(rwx)が可能、グループoinstallは読み実行(rx)のみ、その他ユーザーは読み実行(rx)のみです。データポンプのエクスポートでファイルを書き込むには、Oracle実行ユーザーに書き込み権限 (w) が必要です。外部表でファイルを読み込むには、読み取り権限 (r) が必要です。

   • Windowsの場合:
     batch
dir C:\path\to\your\directory
     またはエクスプローラーで該当フォルダを開いて存在を確認します。
     確認ポイント:

     • フォルダが存在するか？
     • フォルダを右クリックし、「プロパティ」を開きます。「セキュリティ」タブで、Oracleサービスを実行しているユーザーアカウント（SYSTEM、LocalSystem、または指定されたユーザー）に対して「読み取り」「書き込み」「変更」などの適切な権限が付与されているか確認します。

4. さらに、Oracle実行ユーザーがそのディレクトリに実際にアクセスできるか、簡単なテストを行うと確実です。

   • Linux/Unixの場合:
     bash
# Oracle 実行ユーザー (例: oracle) にスイッチ
su - oracle
# 対象ディレクトリに移動できるか試す
cd /u01/app/oracle/datapump
# ファイルを作成できるか試す (書き込み権限のテスト)
touch test_write.txt
# ファイルを読み込めるか試す (読み取り権限のテスト)
cat test_write.txt
# ファイルを削除する
rm test_write.txt
# 移動元のディレクトリに戻るか、ログアウトする
exit
     これらのコマンドがエラーなく実行できるかを確認します。Permission deniedなどのエラーが出た場合は、OSレベルの権限設定が不十分です。

   • Windowsの場合:
     Oracleサービスを実行しているユーザーとしてログインするのは難しい場合が多いですが、そのユーザーの権限でコマンドプロンプトなどを実行する方法がないか確認するか、またはネットワーク共有パスの場合は、そのユーザーがネットワークリソースにアクセスできるかを確認します。最も簡単な確認は、Oracle実行ユーザーの権限で動作するSQL（UTL_FILEなど）で実際にファイルを読み書きするテストを行うことです。

OSレベルの確認の重要性:

OracleデータベースのDIRECTORYオブジェクト権限は、データベースユーザーに対して付与される論理的な権限です。しかし、実際のファイル操作は、Oracleデータベースプロセスを起動しているOSユーザーの権限で行われます。このため、データベース内でWRITE権限を持っていても、OS上でOracle実行ユーザーが書き込み権限を持っていなければ、ファイルへの書き込みは失敗します。逆に、データベース内でREAD権限を持っていても、OS上でOracle実行ユーザーが読み取り権限を持っていなければ、ファイルからの読み込みは失敗します。OSレベルの権限は、OracleデータベースのDIRECTORYオブジェクト権限よりも優先されます（より厳格な方の制限に従う）。

4.3. Oracleユーティリティを使用した確認

SQL*PlusやSQL Developerだけでなく、Oracle Enterprise Manager (OEM) や SQLcl など、他のOracle管理ツールでも同様のSQL文を実行してDIRECTORYオブジェクトを確認できます。

• Oracle Enterprise Manager (OEM): OEMのGUIインターフェースからも、DIRECTORYオブジェクトのリストや詳細情報を確認できる場合があります。通常、「スキーマ」または「ストレージ」関連のセクションにDIRECTORYオブジェクト管理の項目があります。OEMを使用している場合は、GUIで直感的に情報を確認することも可能です。
• SQL Developer: SQL*Plusと同様に、SQL Developerのワークシートで上記のSQL文を実行できます。また、ナビゲータツリーで「その他のユーザー」->「[スキーマ名]」->「ディレクトリ」を展開すると、そのスキーマが作成したディレクトリや、権限を持つディレクトリ（ALL_DIRECTORIES相当）をGUIで一覧表示できる場合があります。DIRECTORY名を右クリックして「詳細」などを選択すると、パスや権限などの情報も確認できます。

5. 確認結果の解釈とトラブルシューティング

確認したDIRECTORYオブジェクトの情報が期待通りでない場合や、DIRECTORYオブジェクトに関連するファイル操作でエラーが発生した場合の解釈とトラブルシューティングについて説明します。

5.1. DIRECTORYオブジェクトがSQLで表示されない場合

• 症状: ALL_DIRECTORIES や DBA_DIRECTORIES ビューをクエリしても、目的のDIRECTORYオブジェクトが表示されない。
• 原因と対策:
  • ディレクトリが存在しない: CREATE DIRECTORY 文が実行されていない可能性があります。DBA_DIRECTORIES ビューで全てのディレクトリを確認し、存在しない場合は作成する必要があります。
  • 接続ユーザーに権限がない (ALL_DIRECTORIESの場合): 接続ユーザーが目的のDIRECTORYオブジェクトに対してREADまたはWRITE権限を持っていない可能性があります。DBA_TAB_PRIVS ビューを使って、他のユーザーやロールに権限が付与されているか確認します。付与されていない場合は GRANT 文で権限を付与します。
  • 接続ユーザーが作成者でない、かつ権限がない (USER_DIRECTORIESの場合): USER_DIRECTORIES は自身が作成したものしか表示しません。他のユーザーが作成したディレクトリを確認するには ALL_DIRECTORIES や DBA_DIRECTORIES を使用します。
  • 接続ユーザーにSELECT ANY DICTIONARY権限がない (DBA_DIRECTORIESの場合): DBA_DIRECTORIES をクエリするには特別な権限が必要です。DBA権限を持つユーザーで接続し直すか、該当ユーザーに権限を付与してもらう必要があります。

5.2. DIRECTORY_PATH が正しくない場合

• 症状: DBA_DIRECTORIES などで確認した物理パスが、想定しているパスと異なる。
• 原因と対策:
  • CREATE DIRECTORY 時のパス指定ミス: DIRECTORYオブジェクト作成時に誤ったパスを指定した可能性があります。正しいパスで CREATE OR REPLACE DIRECTORY 文を実行して定義を更新するか、古いDIRECTORYオブジェクトを DROP DIRECTORY で削除し、正しいパスで再作成します。
  • OS上のパスが変更された: データベースの定義を変更することなく、OS側で物理ディレクトリの場所を移動または名称変更した可能性があります。この場合、データベース側の DIRECTORY_PATH は古いままなので、SQLで確認したパスは存在しないか、意図しない場所を指しています。OS上でパスを元に戻すか、データベース側で CREATE OR REPLACE DIRECTORY 文を実行して新しいパスに定義を更新する必要があります。

5.3. ファイル操作時のORAエラーが発生する場合

DIRECTORYオブジェクトを使用してファイル操作（UTL_FILE, データポンプ, 外部表など）を実行した際に発生する一般的なエラーコードとその原因、確認すべき点です。

• ORA-29283: ファイル操作が無効です。

  • 原因:
    • 指定されたDIRECTORYオブジェクトが存在しない。
    • 指定されたファイル名が無効（無効な文字を含む、パス区切り文字が含まれているなど）。
    • 開こうとしたファイルが存在しない（特に読み取り時）。
    • 書き込み時に、ディレクトリにファイルを作成できない。
  • 確認と対策:
    • SQLでDIRECTORYオブジェクトが正しく定義されているか、名前が間違っていないか確認します（ALL_DIRECTORIES, DBA_DIRECTORIES）。
    • UTL_FILEなどで指定したファイル名が有効か確認します。ファイル名にサブディレクトリパスを含めることはできません（例: 'subdir/my_file.txt' は無効。サブディレクトリもDIRECTORYオブジェクトとして登録する必要があります）。
    • OS上で指定された物理パスにファイルが存在するか確認します。
    • OS上でOracle実行ユーザーが、当該ディレクトリへの書き込み権限を持っているか確認します。

• ORA-29280: 指定されたディレクトリまたはファイルにアクセスできません。

  • 原因:
    • DIRECTORYオブジェクトにマッピングされているOS上の物理ディレクトリが存在しない。
    • Oracleデータベースを起動しているOSユーザーが、当該物理ディレクトリに対して適切なOSレベルのファイルシステム権限（読み取り、書き込み）を持っていない。
    • SELinuxやAppArmorなどのセキュリティポリシーがOracleプロセスによる当該パスへのアクセスを制限している。
    • ネットワークファイルシステム (NFSなど) を使用している場合、マウントの問題や、Oracle実行ユーザーの権限マッピングの問題。
  • 確認と対策:
    • SQLでDIRECTORYオブジェクトの物理パスを確認します（DBA_DIRECTORIES）。
    • OS上でその物理パスが正確に存在するか確認します（ls -ld や dir）。パスの大文字・小文字、スペルミスなどに注意します。
    • OS上でOracle実行ユーザー（oracleユーザーなど）が、当該物理ディレクトリに対して必要な権限（READ/WRITE）を持っているか確認します（ls -ld のパーミッション確認や、su - oracle でのテスト）。
    • SELinuxやAppArmorが有効になっている環境では、監査ログを確認し、Oracleプロセスによるアクセスが拒否されていないか確認します。必要に応じてポリシーを調整します。
    • NFSを使用している場合は、サーバー側とクライアント側（Oracle DBサーバー）の両方でエクスポート/マウント設定と権限（UID/GIDマッピングなど）が正しいか確認します。
    • Oracleインスタンスの診断トレースファイル（アラートログなど）に、ファイルアクセスに関するより詳細なエラー情報が出力されていないか確認します。

• ORA-01031: 権限が不足しています。

  • 原因:
    • 接続しているデータベースユーザーが、操作対象のDIRECTORYオブジェクトに対するREADまたはWRITE権限を持っていない。
  • 確認と対策:
    • SQLで、接続ユーザーやそのユーザーが属するロールに対して、目的のDIRECTORYオブジェクトへのREADまたはWRITE権限がGRANTされているか確認します（DBA_TAB_PRIVS, ALL_TAB_PRIVS）。
    • 権限が付与されていない場合は、権限を持つユーザー（例: DBA）にGRANT文の実行を依頼します。
    • 権限がロール経由で付与されている場合、そのロールが有効になっているか確認します。ユーザーのデフォルトロールに設定されているか、SET ROLEコマンドで有効にされているかなどを確認します。

これらのエラーが発生した場合、まずはSQLでDIRECTORYオブジェクトの存在とパス、そしてデータベース内の権限を確認し、次にOS上で物理パスの存在とOracle実行ユーザーのOS権限を確認するという順序で調査を進めるのが効率的です。

5.4. 他の機能との関連からの確認

DIRECTORYオブジェクトは単独で使われることは少なく、多くの場合、データポンプ、外部表、UTL_FILEなどの機能と連携して使用されます。これらの機能の設定情報から、どのDIRECTORYオブジェクトが使用されているかを確認することも、トラブルシューティングの糸口になります。

• データポンプ:
  DBA_DATAPUMP_JOBS ビューをクエリすると、現在実行中または停止しているデータポンプジョブの詳細を確認できます。このビューには DIRECTORY カラムがあり、ジョブが使用しているDIRECTORYオブジェクト名が表示されます。
  sql
SELECT owner_name, job_name, operation, job_mode, state, directory, attach_id
FROM dba_datapump_jobs
WHERE job_name = 'MY_EXPORT_JOB'; -- 確認したいジョブ名
• 外部表:
  DBA_EXTERNAL_TABLES ビューをクエリすると、定義されている外部表とその設定を確認できます。DEFAULT_DIRECTORY カラムに使用されているDIRECTORYオブジェクト名が表示されます。
  sql
SELECT owner, table_name, type, default_directory
FROM dba_external_tables
WHERE table_name = 'MY_EXTERNAL_TABLE'; -- 確認したい外部表名
  外部表の定義内で個別のファイルやログファイル、バッドファイルのディレクトリが指定されている場合もあります。それらも確認が必要です。
• UTL_FILE:
  UTL_FILEを使用するPL/SQLコードをレビューし、UTL_FILE.FOPENなどのプロシージャ呼び出しでどのDIRECTORYオブジェクト名が引数として渡されているかを確認します。

6. ベストプラクティスと考慮事項

DIRECTORYオブジェクトを適切に管理し、問題を回避するためのベストプラクティスといくつかの考慮事項を説明します。

• 命名規則: DIRECTORYオブジェクト名は、その用途がわかるように命名することをお勧めします（例: DATA_PUMP_DIR, EXT_TABLE_DATA, APP_LOGS). スキーマ名や用途を接頭辞として含めるのも良い方法です。
• OSレベルのセキュリティ: DIRECTORYオブジェクトがマッピングする物理ディレクトリは、OS上で適切に保護する必要があります。不要なユーザーやグループがそのディレクトリにアクセスできないように、OSのファイルシステム権限を最小限に設定します。特に書き込み権限は、Oracle実行ユーザーにのみ与えるのが基本です。
• Oracle実行ユーザーのOS権限: Oracleデータベースプロセスを実行するOSユーザー（通常 oracle）には、必要最小限のOS権限のみを与えるべきです。DIRECTORYオブジェクトが参照するパスへの読み書き権限は必要ですが、それ以外の不要なシステム領域へのアクセス権は制限することで、セキュリティリスクを低減できます。
• 複数のインスタンス: 同じサーバー上で複数のOracleデータベースインスタンスが稼働している場合、複数のインスタンスで同じ物理ディレクトリを共有する際は注意が必要です。特にデータポンプなどでファイルを上書きしたり削除したりする可能性がある場合は、インスタンスごとにサブディレクトリを分けるなど、命名規則や運用ルールを定めることが重要です。
• ASM (Automatic Storage Management): ASMを使用している環境では、ASMディスクグループ自体をDIRECTORYオブジェクトのパスに直接指定することはできません。ASMディスクグループ内にディレクトリ（ASMディレクトリ）を作成し、そのASMディレクトリパスをDIRECTORYオブジェクトにマッピングします。ASMディレクトリの管理は ASMCMD コマンドやSQLで行います。
• PDB (Pluggable Database) 環境: Oracle 12c以降のマルチテナント環境では、DIRECTORYオブジェクトはPDBレベルのオブジェクトです。CDB (Container Database) に接続して DBA_DIRECTORIES を見ても、各PDBで作成されたDIRECTORYオブジェクトは直接表示されません。各PDBに接続してDBA_DIRECTORIES または ALL_DIRECTORIES をクエリする必要があります。CDB直下ではDIRECTORYオブジェクトを作成できません。ただし、CDB$ROOTで作成されたディレクトリ（例: ORACLE_HOME, ORACLE_BASEなど）は、PDBからも参照可能です。
• クラウド環境: Oracle Cloud Infrastructure (OCI), AWS, Azureなどのクラウド環境でOracleデータベースを使用する場合、DIRECTORYオブジェクトは通常、基盤となるComputeインスタンスにアタッチされたブロックストレージやファイルストレージサービス上のパスを指します。OCI File Storage Service (FSS) や AWS EFS などをNFSマウントして使用する場合、NFSに関する考慮事項（マウント、権限マッピングなど）が適用されます。また、クラウド固有のサービス（OCI Object Storageなど）へのデータ転送には、DIRECTORYオブジェクトを経由するデータポンプや外部表がよく利用されます。この場合、DIRECTORYオブジェクトはComputeインスタンス上のステージング領域を指すことが多いですが、クラウドプロバイダによってはオブジェクトストレージを直接マッピングする機能が提供されている場合もあります（例: OCIのCloud Object Storage連携ディレクトリ）。

7. まとめ

Oracle DIRECTORYオブジェクトは、データベース外部のファイルシステムへのアクセスを安全かつ柔軟に行うための重要なメカニズムです。データポンプや外部表、UTL_FILEなど、多くのOracle機能で利用されています。

DIRECTORYオブジェクトが正しく設定されているか、そして必要な権限が適切に付与されているかを確認することは、これらの機能を利用したり、関連する問題をトラブルシューティングしたりする上で不可欠です。

この記事では、DIRECTORYオブジェクトの確認方法について、以下の点を詳細に解説しました。

• SQLを使用した確認：ALL_DIRECTORIES, DBA_DIRECTORIES, USER_DIRECTORIES ビューを使用したディレクトリ名と物理パスの取得方法。
• SQLを使用した権限確認：DBA_TAB_PRIVS などのビューを使用した、ユーザーやロールへのREAD/WRITE権限の確認方法。
• OSを使用した確認：ls -ld や dir コマンドによる物理パスの存在確認と、Oracle実行OSユーザーのファイルシステム権限の確認。OSレベルの権限が重要であることを強調しました。
• 確認結果の解釈とトラブルシューティング：一般的なORAエラーコード（ORA-29283, ORA-29280, ORA-01031）の原因と、SQLおよびOS側で確認すべきポイントを解説しました。
• ベストプラクティスと考慮事項：命名規則、OSセキュリティ、PDB環境、クラウド環境における注意点などを説明しました。

DIRECTORYオブジェクトに関連する問題の多くは、データベース内の権限設定とOS上の物理パスおよびOracle実行ユーザーのOS権限という、この2つの側面を適切に確認することで解決できます。この記事で提供された情報と手順が、Oracleデータベースの運用やトラブルシューティングの一助となれば幸いです。

DIRECTORYオブジェクトを正確に把握し、適切に管理することで、データベースとファイルシステム間の連携をスムーズに行い、より信頼性の高いシステム運用を実現できるでしょう。

---