20160927_守るべきは、大量の情報資産を管理するデータベース!...
TRANSCRIPT
自己紹介
■名前 森田 俊哉 / Toshiya Morita
■所属 株式会社インサイトテクノロジーコンサルティング事業部部長兼取締役
■主な仕事 データベースコンサルティングマネージメントプロダクトプリセールス
■過去の職歴 C言語プログラマー~C言語デバッガー開発UNIX管理者/Oracle DBAデータベースチューニング等々
Insight Technologyとは?
コンサルティングサービス ソフトウェア ハードウェア
システム設計~運用まで
データベース総合ソリューション
データベースの様々な課題を
解決する各種ソフトウェア
高性能・低コスト・高信頼性
データベース専用マシン
データベースに関連するナレッジと技術力を追求し、ソフトウェア、ハードウェア、サービスを最適に組み合わせてお客様に提供する会社です。
高速・低コスト・セキュア なデータベース環境を実現
データベースのセキュリティ保全ツール(自社開発)
マルチデータベースのリアルタイムレプリケーションツール
次世代型データウェアハウス向け 超高速データベース
Oracle Standard Edition向け DR構築ツール
データベースのパフォーマンス監視・分析ツール(自社開発)
侵害された資産のタイプで分類した場合のデータ漏洩・侵害事例の割合(大規模企業・組織)
5%
7%
5%
10%
5%
33%
33%
0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100%
一般従業員/エンドユーザー
コールセンターのスタッフ
ノートブック/ネットブック
メールサーバー
ファイルサーバー
ウェブ/アプリケーションサーバー
データベースサーバー
ベライゾン社「2012年度データ漏洩/侵害調査報告書」より
侵害された資産のタイプで分類した場合の企業・組織が持つ全データに対する漏洩したデータ数の割合(大規模企業・組織)
<1%
<1%
<1%
2%
<1%
82%
98%
0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100%
一般従業員/エンドユーザー
コールセンターのスタッフ
ノートブック/ネットブック
メールサーバー
ファイルサーバー
ウェブ/アプリケーションサーバー
データベースサーバー
ベライゾン社「2012年度データ漏洩/侵害調査報告書」より
8
近年の大規模漏洩事件
2011年 ゲーム関連会社漏洩事件7,700万件もの情報が流出外部からサーバーへの不正アクセス(データベースサーバー上からダウンロード)事件が発覚してから、犯人特定までに1週間
2014年 教育関連会社漏洩事件3,504万件もの情報が流出犯人は派遣会社社員(データベースからスマホへコピー)事件が発覚してから、犯人特定までに1週間
2015年 年金機構漏洩事件125万件もの情報が流出標的型メールによるファイルサーバーからの流出事件が発覚してから、状況確認までに2ヶ月以上
2016年 大手旅行代理店漏洩事件793万件もの情報が流出外部からサーバーへの不正アクセス(データベースサーバー上にCSV作成しダウンロード)事件が発覚してから、状況確認までに10日間
企業イメージの低下
多額の補償金
顧客数の激減
企業システム
データベースサーバ
データベースに対する脅威
9
機密情報医療・財務
クレジットカード個人情報
データベース内の機密情報は、破壊、改ざん、漏えいのリスクを抱えている
WAF(Webアプリケーションファイアウォール)
ファイアウォール IPS/IDS
通常業務アクセス 運用管理業務アクセス企業内部からの脅威
不正侵入アクセス
ウイルス 不正侵入SQLインジェクション外部からの脅威
脅威に対するデータベースセキュリティリスクと対策
通信の傍受・盗聴
データの持ち出し
d. 暗号化
なりすまし
パスワード盗難
a. アカウント管理
正当な権限を
使用した不正行為
c. ログ監査
業務権限を
超えた不正操作
b. アクセス制御
Total Software Revenue, Worldwide 2010-2011
Oracle
48.8%
IBM
20.2%
Microsoft
17.0%
SAP/Sybase
4.6%
Teradata
3.7%
Others
5.8%
Oracle IBM Microsoft SAP/Sybase Teradata Others
出典:Gartner 2011 Worldwide RDBMS Market Share Reports
DB-Engines Ranking
Oracle
26.8%
MySQL
25.5%
SQL Server
22.8%
PostgreSQL
6.0%
DB2
3.4% Others
15.5%
Oracle MySQL SQL Server PostgreSQL DB2 Others
出典:http://db-engines.com/en/ranking
データベースセキュリティリスクとその対策
Copyright © 2015 Insight Technology, Inc. All Rights Reserved.
リスク 対策 設計 運用マルチ
DB
aなりすまし
パスワード盗難アカウント管理
・利用者職務の分離・利用者・用途ごとの作成・定期的な変更管理
✔ ✔
b業務権限を
超えた不正操作アクセス制御
・データベースに対するアクセス制御・テーブルに対するアクセス制御・テーブルの列に対するアクセス制御
✔ ✔
c正当な権限を
使用した不正行為ログ監査
4W(who/when/where/what)1H(how many)を記録し、素早く追跡出来る仕組み
✔ ✔ ✔
d通信の傍受・盗聴
データの持ち出し暗号化
重要なデータ(個人情報・カード情報)に対する暗号化 ✔ ✔ ✔
セキュリティ運用導入へのハードル
運用中のシステムに大量の個人情報・機密情報が存在している監査実施が必要だが…暗号化したい・・・
Copyright © 2016 Insight Technology, Inc. All Rights Reserved.
監査は必要だが何を監査すれば良いかわからない…監査するとパフォーマンスが心配…監査データのバックアップ、メンテナンスが必要で運用負荷が高い
暗号化はしてみたいが暗号化ロジックの手法・実装方法が難しいパフォーマンスが心配
導入実績 566社 4,112ライセンス
業種別導入比率
2016年3月実績 (自社調べ)
主な導入企業名(敬称略、順不同)• 株式会社NTTぷらら• NECエンペデッドプロダクツ株式会社• 東邦ガス情報システム株式会社• ガンホー・オンライン・エンターテイメント株式会社• 株式会社リクルートテクノロジーズ• 東芝テック株式会社• 株式会社ピーチ・ジョン
PISO導入実績(2004年10月~)
Copyright © 2016 Insight Technology, Inc. All Rights Reserved.
データベース・セキュリティ対策
19
アカウント管理ID/Password
ログ監査
暗号化
情報漏洩、改ざんをモニタリング・通知
・特権ユーザへ機密情報を閲覧させない・持ち出しからの防御
必須対策
アクセス制御権限所有者/特権ユーザ
必須対策
DBサーバAPサーバUser DBA
ログ管理・暗号化管理サーバ
PISO/PISOEOの基本構成
PISO Manager
PISO Agent
対応データベース
Oracle
SQLServer
PostgreSQL
MySQL
PISO/PISOEOで出来ること
1. アクセスログの記録
4. 監査レポート生成
DBサーバAPサーバUser DBA
PISO Agent
PISO Manager
2. アクセスログの検索
時間帯
オブジェクトセキュリティレベル
ユーザ データ件数
3. 不正アクセスリアルタイム警告
携帯電話PCメール
統合運用管理ツール
5. 暗号化(PISOEO)
ログ管理・暗号化管理サーバ
PISO/PISOEO導入による効果
各種法規制への対応 セキュリティ監査や内部統制への対応施策として
運用者の作業証跡 PISOを使用して記録に残すことで、積極的に自らの作業証明をする
セキュリティ意識の向上、抑止力発生 セキュリティツールを導入していることでの意識向上 暗号化による抑止力 モニタリング機能による抑止力
運用コスト削減 監査ログ運用を実装する工数を、PISOによる監査運用で削減可能 短期間で監査ログ運用の開始が可能 監査ログ運用を自動化(スケジュール化)して、短時間かつスムーズに
Copyright © 2016 Insight Technology, Inc. All Rights Reserved.
提案モデル: J-SOX IT全般統制対応
Copyright © 2011 Insight Technology, Inc. All Rights Reserved. 25
開発者・管理者不正侵入者
SQL
【不正アクセス監視】- 禁止アドレス- 禁止時間帯- 禁止オブジェクト- 禁止プログラム- 権限エラー- 大量データアクセスなど統制ルール違反を監視→通知
2.モニタリング運用
データアクセス履歴監査担当
セキュリティ担当原因調査
リアルタイム通知
事例1:東芝テック株式会社様
26
目的:日本版SOX法対策(新日本監査法人)
対象システム: 会計、生産管理、資材購買、人事管理等、9システム
(Oracle E-Business Suite)
ポイント:共有IDの監査、監査レポートの活用
東芝テック
生産本部 情報システム部 応用システム開発担当
グループ長:戸城篤人様
東芝テック株式会社
http://www.toshibatec.co.jp/index.html.ja
資本金:399億円
売上高:266,537百万円(平成20年3月期)
従業員数3,622人
事業内容
-リテールソリューション事業
-ドキュメントシステム事業
-オートID・プリンタ事業
特権ユーザAPPの共有問題
Copyright © 2012 Insight Technology, Inc. All Rights Reserved. 27
EBSユーザー
APサーバー DBサーバー
SQL SQL
運用・開発者
APPS(特権ユーザ)
DB特権ユーザを共有=統制できない
誰がどんな作業をしたか
確認できない プログラム本番登録権限は職務上必要な者のみに限定
課題:開発者と運用者の職務分離→人員不足により実現できない
解決策:システム責任者が本番環境のアクセスをPISOからモニタリング
DBMSアクセスユーザーID管理(特権ユーザ管理)
課題:特権ユーザIDは個人別に発行し、パスワードを定期的に変更
→稼動中のシステムへの変更不可能
解決策:システム責任者が作業内容、不正アクセスをPISOからモニタリング
発見的統制による解決(アクセスログ監査)
28
EBSユーザー
APサーバー
DBサーバー
SQL
SQL運用・開発者
APPS_MNT(特権ユーザ)
DB特権ユーザを分離=アクセスログで統制
個人毎に作業端末(IP)を固定
→PISOから行為特定し、監査レポート作成
ID管理により解消
(IDM製品)
APPS(特権ユーザ)
レポートサンプル
Copyright © 2012 Insight Technology, Inc. All Rights Reserved. 29
未許可アクセスレポート(ZEROレポート)運用規定外の経路でアクセスが無い事を監査できます。
事例2:株式会社ピーチ・ジョン様
Copyright © 2012 Insight Technology, Inc. All Rights Reserved. 30
目的:日本版SOX法対策対象システム:統合CRMシステム(顧客/受注情報システム)-Oracle10g Enterprise Edition-SQL処理量:1,000万以上 / 日-同時接続数:400~450セッション(ピーク時)
Web:http://www.peachjohn.co.jp/
事業内容:
インナーウェア、アウターウェア、コスメ、雑貨などの
企画および販売
「元気・ハッピィ・SEXY」をコンセプトとした、
ランジェリー、アウター、コスメなど幅広い製品
を、カタログ通信販売、Webオンラインショップ
での販売、直営店での販売
2008年1月、株式交換によりワコールホール
ディングスの100%子会社に。
アクセスログ記録要件
Copyright © 2012 Insight Technology, Inc. All Rights Reserved. 31
SQL文の記録
データベースへの負荷を考慮した記録と監視
個人情報を大量検索したアクセスを記録・監視
特定アプリケーションからのアクセスを記録・監視
特定ユーザからのアクセスを記録・監視
特定時間帯のアクセスを記録・監視
検討対象製品 PISO Oracle標準監査機能を利用する製品 ログをネットワークキャプチャする製品
対策案と採用のポイント
Copyright © 2012 Insight Technology, Inc. All Rights Reserved. 32
対策案1- Oracle標準監査機能を利用する製品- ログをネットワークキャプチャする製品
結果- パフォーマンス劣化(CPU使用率30%上昇)し、本番環境に導入できない。- ローカルアクセスログが取得できず十分な特権ユーザ監視が出来ない。
対策案1・不採用
対策案2・採用
• 対策案2
– パフォーマンスを劣化させないツールの導入
– SQL文の取得、ローカルアクセスログを含む特権ユーザ管理の実現
• 結果
– メモリ情報からのログ収集により負荷軽減
– 必要なログ管理とパフォーマンス維持を実現
PISO導入効果
Copyright © 2012 Insight Technology, Inc. All Rights Reserved. 33
情報セキュリティ観点の運用効果
委託先に対しての抑止効果の向上
個人情報に対する不用意なアクセスの減少
不正アクセスポリシー(大量データのアクセスや、特権ユーザ)
をつくり、ログ容量の負荷を軽減しながらログ管理を実現
J-SOX/内部統制観点の運用効果
親会社と監査法人との定例時に特権ユーザのアクセスログレポートを提示し、不正が無いことを証明
特権ユーザのみのログを管理することにより運用工数を削減
データベース・セキュリティ対策まとめ
34
アカウント管理ID/Password
アクセス制御
ログ監査(情報漏洩・改ざんをモニタリング・通知)
暗号化(特権ユーザへの閲覧防止持ち出しからの防御)
必須対策
必須対策
http://www.db-tech-showcase.com/data-analytics-showcase