3年間の情報漏洩事件からみるデータ保護対策の勘所 ~...
Post on 07-Jan-2017
1.245 views
TRANSCRIPT
Copyright © 2016, Oracle and/or its affiliates. All rights reserved. |
3 年間の情報漏洩事件からみるデータ保護対策の勘所~データセキュリティ、考え方とその仕組み~
日本オラクル株式会社クラウド・テクノロジー事業統括 Database & Exadata プロダクトマネジメント本部ビジネス推進部 担当シニアマネージャー大澤 清吾
Copyright © 2016 Oracle and/or its affiliates. All rights reserved. |
• 以下の事項は、弊社の一般的な製品の方向性に関する概要を説明するものです。また、情報提供を唯一の目的とするものであり、いかなる契約にも組み込むことはできません。以下の事項は、マテリアルやコード、機能を提供することをコミットメント(確約)するものではないため、購買決定を行う際の判断材料になさらないで下さい。オラクル製品に関して記載されている機能の開発、リリースおよび時期については、弊社の裁量により決定されます。
2
Oracle と Java は、 Oracle Corporation 及びその子会社、関連会社の米国及びその他の国における登録商標です。文中の社名、商品名等は各社の商標または登録商標である場合があります。
3
昨今のセキュリティトレンド
2014 年からの現在までの日本の情報漏洩件数 (*)
6560 万件
データベースから漏洩する割合
98%
データベースへのセキュリティ対策の実施状況
20% * 日本オラクル調べ
Copyright © 2016 Oracle and/or its affiliates. All rights reserved. |
出典: Verizon データ漏えい / 侵害調査報告書 2013出典: Forrster
3 年間に起きた情報漏洩事件
Copyright © 2016 Oracle and/or its affiliates. All rights reserved. |
大規模情報漏えい事例
5
年 企業・団体名 漏洩件数 最終的な漏洩の原因
攻撃手法 概要
2016国内大手企業 679 万件
DB アカウント
高度サイバー攻撃
サーバー内にデータファイルを作成し、奪取
Mate1.com 2700 万件OS アカウン
ト高度サイバー攻
撃OS コマンドを利用し、 DB データを奪
取。
2015Anthem 8,000 万件 DB アカウン
ト高度サイバー攻
撃DB 管理者のログイン情報を取得し奪取
国内政府機関 125 万件 OS アカウント
高度サイバー攻撃
感染 PC からファイルサーバーのデータを奪取
2014eBay 12,800 万件
DB アカウント
高度サイバー攻撃 従業員のログイン情報を取得し、奪取
国内大手企業 2,300 万件DB アカウン
ト 内部犯行委託先職員が DB 管理者権限を使用し奪
取
2012 Advocate Medical 403 万件 PC 物理盗難 ( 泥棒 ) 医療機関のシステム
2011 TRICARE 490 万件 バックアップ
物理盗難 (紛失 ) 政府機関のシステム
高度
サイ
バー
攻撃
/内部
犯行
物理
盗難
サイバー攻撃では、約 50%がユーザーアカウントを奪取して攻撃を行う。内部犯行も同様引用: Healthcare Info Security 「 Update: Top 5 Health Data Breaches」 ( 2015 年 2
月 5 日)引用: Reuters , Forbes, USA Today, IT Media, ITPro 等
Copyright © 2016 Oracle and/or its affiliates. All rights reserved. |
欧州連合( EU )研究所によるサイバー攻撃手法の分類と傾向 ① マルウェア
② ウエブベース攻撃
③ ウエブアプリ攻撃
④ ボットネット
⑤ DoS 攻撃
⑦ 内部不正
⑧ フィッシング
⑨ スパム
⑩ 攻撃キット
⑫ ID 盗難
⑭ ランサムウェア出所: ENISA Threat Landscape 2014, European Union Agency For Network And Information Security, JAN 2015出所: ENISA Threat Landscape 2015, European Union Agency For Network And Information Security, JAN 2016(原資料のトップ 15 項目から該当しない⑥物理被害等、⑪データ漏洩、⑬情報流出、及び⑮サイバーエスピオナージを除外して四つのカテゴリに整理した。)
6
① マルウェア
② ウエブベース攻撃
③ ウエブアプリ攻撃
④ ボットネット
⑤ DoS 攻撃
⑥ スパム
⑦ フィッシング
⑧ エクスプロイトキット
⑪ 内部不正
⑬ ID 盗難
⑮ ランサムウェア
2014 2015
2014 年度から急激に「マルウェア」、「ウェブベース」、「ウェブアプリ」の脅威が増加
「内部不正」は、 2014 年度に新たな脅威に認定され、 2015 年度も順位が上昇
「エクスプロイトキット」は、順位が低下
Copyright © 2016 Oracle and/or its affiliates. All rights reserved. |
欧州連合( EU )研究所によるサイバー攻撃手法の分類と傾向
① マルウェア
② ウエブベース攻撃
③ ウエブアプリ攻撃
④ ボットネット
⑤ DoS 攻撃
⑦ 内部不正
⑧ フィッシング
⑨ スパム
⑩ 攻撃キット
⑫ ID 盗難
⑭ ランサムウェア
①④⑭
②③⑧⑨⑩⑫
出所: ENISA Threat Landscape 2015, European Union Agency For Network And Information Security, JAN 2016 (原資料のトップ 15 項目から 該当しない⑥物理被害等、⑪データ漏洩、⑬情報流出、及び⑮サイバーエスピオナージを除外して四つのカテゴリに整理した。)
⑦
マルウェア
高度サイバー攻撃
内部不正
サービス拒否( DoS )攻撃⑤
7
~ つづき 2015
Copyright © 2016 Oracle and/or its affiliates. All rights reserved. |
日本における 2013 年 10月から現在までの情報漏洩の傾向
※ 日本オラクル調べ (設定ミス、誤操作、紛失・置き忘れ、盗難を除く )
マルウェア
高度サイバー攻撃
内部不正
サービス拒否( DoS )攻撃
PC端末からの漏洩
Web/AP サーバーからの漏洩
DB/ ファイル等のサーバーからの漏洩
内部不正による漏洩
情報漏洩の分類 (*)
8
11%
48%18%
23%
PC Web サーバーサーバー 内部
Copyright © 2016 Oracle and/or its affiliates. All rights reserved. |
それぞれのリスクにおける代表的なユーザーとそのリスク
ユーザー種類
OS 管理者権限によるDB のファイルの持出
リスク
9
アプリケーションが管理する
全てのデータを参照・改竄
DB 管理者権限によりDB上の全データを参照・
改竄
OS 管理ユーザー
AP 用 DB 管理/共有ユーザー
Web/AP サーバーからの漏洩
DB/ ファイル等のサーバーからの漏洩
内部不正による漏洩 DB 管理ユーザー
分類
Copyright © 2016 Oracle and/or its affiliates. All rights reserved. |
DB サーバ
OS 管理ユーザーにおけるリスク
10
OSユーザー
(Admin)
DBユーザー
(APPSYS)
DBファイ
ル
DBファイ
ル
DBファイ
ルDB
ファイル
OS 管理者
サーバーからの漏洩
内部不正による漏洩
バックアップサーバDB
ファイル
Web/AP サーバーからの漏洩
DB ファイルが暗号化されていないと、全ての情報が持ち出されてしまうストレージ暗号化の場合は、 OS からは元のデータが見えてしまう本番データだけでなく、バックアップデータの暗号化も必要
Web/AP サーバー
悪意のある攻撃者
×××
Copyright © 2016 Oracle and/or its affiliates. All rights reserved. |
DB サーバ
OS 管理ユーザーにおけるリスクへの解決策~ DB レベルでの暗号化
11
OSユーザー
(Admin)
DBユーザー
(APPSYS)
DBファイ
ル
DBファイ
ル
DBファイ
ルOS 管理者
サーバーからの漏洩
内部不正による漏洩
バックアップサーバDB
ファイル
Web/AP サーバーからの漏洩
Web/AP サーバー
悪意のある攻撃者
アプリケーションの改修なく実装可能本番データだけでなく、バックアップデータも暗号化CPU 内でデータの暗号化 /復号処理を実行によりパフォーマンス劣化を防止
Copyright © 2016 Oracle and/or its affiliates. All rights reserved. |
DB 管理 /共有ユーザーにおけるリスク
12
OSユーザー
(Admin)
DBユーザー
(APPUSR)
Web/AP サーバー
DBファイ
ル
DBファイ
ル
DBファイ
ル
DB サーバ
OS 管理者
データベース
管理者
Web/AP サーバーからの漏洩
サーバーからの漏洩
内部不正による漏洩
バックアップサーバDB
ファイル
悪意のある攻撃者
データベース管理者権限を利用によるリスク多くのデータへのアクセス権限を持った AP 用共有ユーザーによるリスク利用者を特定した監査取得が不可
×××
16/10/25 APPUSR
16/10/26 APPUSR
接続権限データアクセス
権限
Copyright © 2016 Oracle and/or its affiliates. All rights reserved. |
DB サーバ
DB 管理 /共有ユーザーにおけるリスクへの解決策~ DB 管理者、一般ユーザのアクセス制御
13
OSユーザー
(Admin)
DBユーザー
(APPUSR)
Web/AP サーバー
DBファイ
ル
DBファイ
ル
DBファイ
ルOS 管理者
データベース
管理者
Web/AP サーバーからの漏洩
サーバーからの漏洩
内部不正による漏洩
バックアップサーバDB
ファイル
16/10/25 APPUSR Sato
16/10/26 APPUSR Ito
悪意のある攻撃者
データベース管理者を権限分掌し、機密情報へのアクセスを防止アプリケーションのユーザー名、権限を使用したデータセキュリティ対策利用者を特定、アクティビティを監査
接続権限権限情報
Copyright © 2016 Oracle and/or its affiliates. All rights reserved. |
代表的な特権ユーザーとそのリスクと対策
14
OS 管理ユーザー
DB 管理ユーザー
ユーザー種類 それに対する解決策
DB 管理者の権限分割、アクセス制御
一般ユーザの権限分割、
アクセス制御
OS 管理者権限によるDB のファイルの持出
DB 管理者権限によりDB上の全データを参照・
改竄アプリケーションが管理
する全てのデータを参照・改
竄
リスク
データ暗号化
不正アクセスが検知できず、
第 3 者からの指摘で発覚する
監査・監視
予防
的発見
的
各種ガイドラインにおけるデータ・セキュリティ対策の要件の記載
Copyright © 2016 Oracle and/or its affiliates. All rights reserved. |
各種ガイドラインにおけるデータ・セキュリティ対策の要件の記載~ 2014 年 12月以降から様々なガイドラインに掲載
16
名称 セキュリティ強化への取り組み 対象
個人情報保護(経済産業省 )
2004 年 10月 :経済産業分野のガイドライン策定2008 年 2月 : ガイドライン改定。暗号化の記載が追加。2014 年 12月 :ガイドライン改定。データベースへのアクセス制御、
管理者権限分割、パッチ管理が追加。
経済産業分野の事業者及び、業界団体
マイナンバー(個人情報委員
会 )
2013 年 5月 : 「行政手続における特定の個人を識別するための番号の利用等 に関する法律(番号法)」が成立2014 年 12月 : ガイドライン公開。技術的安全管理措置に特定個人情報への アクセス制御、暗号化、監査が記載
行政機関・地方公共団体及び、全事業者
サイバーセキュリティ
経営ガイドライン
(経済産業省 )
2015 年 12月:ガイドライン 公開。多層防御と重要データ(データベース、 ファイル)への高度な暗号化、アクセス制御、監査が記載
企業の経営者大企業・中小企業の IT システムを供給する企業と経営戦略
上 IT の利活用が不可欠な企業
政府機関等の情報セキュリティ対策のための統
一基準
2005 年 9月 政府機関の情報セキュリティ対策のための統一基準 公開2016 年 8月 平成 28 年度版公開。データベースの項目が新たに追加。 管理者権限分割、アクセス制御、監査、暗号化が記載
政府機関官公庁・独立行政法人等
New
Copyright © 2016 Oracle and/or its affiliates. All rights reserved. |
個人情報保護法のガイドライン改正によりシステムが対応すべき事項 [2014 年 12月 12 日改正 ] ( 以下、一部抜粋 )
17
改 正 前 改 正 後
個人データを格納した情報システムへの無権限アクセスからの保護(例えば、ファイアウォール、ルータ等の設定)
個人データを格納した情報システムへの無権限アクセスからの保護(例えば、ファイアウォール、ルータ等の設定) *個人データを格納するためのデータベースを構成要素に含む情報システムを構築する場合には、当該情報システム自体へのアクセス制御に加えて、情報システムの構成要素であるデータベースへのアクセス制御を別に実施し、それぞれにアクセス権限を設定することが望ましい。
オペレーティング・システム( OS )、アプリケーション等に対するセキュリティ対策用修正ソフトウェア(いわゆるセキュリティパッチ)の適用
端末及びサーバー等のオペレーティングシステム( OS )、ミドルウェア( DBMS 等)、アプリケーション等に対するセキュリティ対策用修正ソフトウェア(いわゆるセキュリティパッチ)の適用
*個人データを格納するためのデータベースを構成要素に含む情報システムを構築する場合には、当該情報システム自体へのアクセス制御に加えて、情報システムの構成要素であるデータベースへのアクセス制御を別に実施し、それぞれにアクセス権限を設定することが望ましい。
Copyright © 2016 Oracle and/or its affiliates. All rights reserved. |
サイバーセキュリティ経営ガイドラインによりシステムが対応すべき事項 [2015 年 12月 27 日公開 ] (以下、一部抜粋)
3 .2 サイバーセキュリティリスク管理の枠組み決定ー(3)サイバーセキュリティリスクの把握と実現するセキュリティレベルを踏まえた目標と計画の策定 ー [ 対策例 ]・・・・・・・・ 例えば、ソフトウェア更新の徹底、マルウェア対策ソフトの導入などによるマルウェア感染リスクの低減策を実施する。また、重要業務を行う端末、ネットワーク、情報システム又は情報サービス(クラウドサービスを含む)には、多層防御の導入や情報資産別のネットワークの分離を検討する
18
引用 : 経済産業省:「サイバーセキュリティ経営ガイドライン」
付録D 用語の定義 ー (10) 多層防御物理層、ネットワーク層からデータ層までの多層防御を導入することで、1つの機器やソフトウェアに依存する拠点防御対策や、単一の境界防御層(主としてネットワーク境界)に依存する対策の場合より、未知のマルウェアや新たな攻撃手法の登場により容易に突破されるリスクの軽減が期待される。 ・・・ <以下省略> ・・・付録B-2 多層防御措置の実施 ー 重要情報が保存されているサーバの保護 -
重要情報を保存しているサーバについては、ネットワークの分離(別セグメント化)や、ファイアウォール( FW )設置、重要データ(データベースおよびファイル)への高度な暗号化、アクセス制限、アクセスログ収集を行う。
Copyright © 2016 Oracle and/or its affiliates. All rights reserved. | 19
政府機関等の情報セキュリティ対策のための統一基準におけるデータベースが対応すべき事項 (新規追加 )
引用: NISC 政府機関等の情報セキュリティ対策のための統一基準 (案 ) [2016 年 8 月 31 日 公開 ]
(1)データベースの導入・運用時の対策(a)情報システムセキュリティ責任者は、データベースに対する内部不正を防止する ため、
管理者アカウントの適正な権限管理を行うこと。 (b) 情報システムセキュリティ責任者は、データベースに格納されているデータにアクセス
した利用者を特定できるよう、措置を講ずること。 (c) 情報システムセキュリティ責任者は、データベースに格納されているデータに対するアク
セス権を有する利用者によるデータの不正な操作を検知できるよう、対策 を講ずること。
(d)情報システムセキュリティ責任者は、データベース及びデータベースへアクセスする機器等の脆弱性を悪用した、データの不正な操作を防止するための対策を講ず ること。
(e)情報システムセキュリティ責任者は、データの窃取、電磁的記録媒体の盗難等による情報の漏えいを防止する必要がある場合は、適切に暗号化をすること。
第 7 部 情報システムの構成要素 - 7.2 電子メール・ウェブ等 7.2.4 データベース 遵守事項
Copyright © 2016 Oracle and/or its affiliates. All rights reserved. | 20
個人情報の保護に関する法律施行令の一部を改正する政令(案 ) 個人情報の保護に関する法律施行規則 (案 ) が公開 (2016 年 8月 2 日 )
本案では、個人情報を基に作ったデータを外部に提供する場合は氏名や誕生日、住所に加え、マイナンバーや旅券番号のような公的番号なども削除するよう企業に求める。個人情報を匿名化して活用するルールを明確にし、商品開発などに活用しやすくする。新基準では、これまで個人情報に該当するかどうかが曖昧だった情報を新たに個人情報に追加される。
引用 : http://www.nikkei.com/article/DGKKZO05542160S6A800C1EE8000/引用 : http://search.e-gov.go.jp/servlet/Public?CLASSNAME=PCMMSTDETAIL&id=240000022&Mode=0
個人識別符号及び要配慮個人情報の定義規定(案)で定義されている個人情報
個人識別符号として定義されるのは以下の通り。これらの情報を含むものを個人情報という• DNAや顔、虹彩、歩き方、指紋・掌紋などの生体情報
• マイナンバー、パスポート番号、基礎年金番号、運転免許証の番号など
• 個人情報保護委員会規則で定める文字、番号、記号その他の符号など ( 国民健康保険の被保険者証の記号、番号及び保険者番号、等 )
Copyright © 2016 Oracle and/or its affiliates. All rights reserved. |
各種ガイドラインへの対応のポイント~ データを識別しセキュアな管理を検討
21
BRONZE GOLDSILVER PLATINUM
セキュアな構成・監査
暗号化・マスキング
アクセス制御・検知
厳格なアクセス制御スキャンとパッチ
セキュアな構成監査の取得
データ暗号化・伏字化マスキング通信暗号化
DB 管理者権限分掌・アクセス制御
監査の一元管理・検知
不正な SQL からの防御ラベルベースのアクセス
制御鍵の一元管理
機密ではない社内ポータル , 組織情報…
社内秘ビジネスの取引情報 ,発注情報
コンプライアンス対応個人情報 (PII), クレジットカード (PCI) 、 J-SOX 関連、個人符号番号
機密性の高い情報売上情報 , M&A, ソースコード特許情報…
個人情報保護、マイナンバー、サイバーセキュリティ経営ガイドライン、政府統一基準では、 GOLD の対応が求められる
オラクルのセキュリティへの取組
Copyright © 2016 Oracle and/or its affiliates. All rights reserved. |
情報化社会における企業資産の位置づけデータの「利活用」 と「保護」の両立が重要
23
経営目標
モノ人材 お金
IT/ 情報資産
情報を利活用することが、
競争力の源泉(データ・マネージメ
ント)
情報保護は、事業リスク管理のため
重要(データ・セキュリ
ティ)オンプレミス / クラウドIT基盤
求められる要件
経営目標を実現するために必要な事
• コンプライアンス、法制度対応
• 脅威への対応• 新しいテクノ
ロジーへの対応
環境の変化
Copyright © 2016 Oracle and/or its affiliates. All rights reserved. | 24
CloudOn-Premises
DEVELOP AND DEPLOY ANYWHERE
同じ「アーキテクチャ」
同じ「オラクル製品」同じ「知識・ノウハ
ウ」共通のコンプライアンス対応同一セキュリティポリシー
情報化社会における企業資産の位置づけデータの「利活用」 と「保護」をハイブリットな環境で実現
Copyright © 2016 Oracle and/or its affiliates. All rights reserved. |
オラクルが提供するデータを中心とした「多層防御」の対策
• データ層とアプリ層、アクセス層の連携強化し、一気通貫のポリシーで運用を実現
• End-To-End なセキュリティ対策を実現– クライアントの情報をデータベースに伝播し、
クライアント情報を基に厳密なアクセス制御を実現
– アプリケーションの利用者を特定し、DB側からアクティビティを監査
• 既存アプリケーションの改修を極小化• 収集したログは、リアルタイムな検索と
高速なドリルダウンにより早期発見を実現
25
✔データ層: アクセス制御 / 監査・監視 暗号化
✔アプリ層: アクセス制御 / 監査・監視 / 認証
✔アクセス層: 認証 / 認可
✔ネットワーク層: FW / 暗号化 / IDS
✔物理層: 入退出管理 / 警備員 / 施錠
Copyright © 2016 Oracle and/or its affiliates. All rights reserved. | 26
ポリシーがアプリケーション毎にバラバラ暗号範囲の拡張時に、個別の対応で高コスト改竄、削除の脅威に対応できず、限定的SQLチューニングが出来ず、パフォーマンスが劣化
一元的なポリシーによるセキュリティ対策暗号範囲は DB側の設定のみで短期間・低コストの実装改竄、削除、参照のあらゆる脅威に対応パフォーマンスやデータ量への影響小
××
アプリケーションによるセキュリティ実装との比較アプリケーション側で実装 データベース側で実装
改竄 /削除 改竄 /削除
内部攻撃
内部攻撃
××
お客様でのデータベースセキュリティの取り組みについて
Copyright © 2016 Oracle and/or its affiliates. All rights reserved. |
• SBI トレードウィンテック 様•エディオン様• KDDIエボルバ 様 (*)•佐世保中央病院 様• セブン & アイ・ホールディング
ス 様• 統計センター 様• 日本精工 様•野村総合研究所 様
• バンダイ 様• プロトコーポレーション 様 (*)• ベリトランス 様• マツダ 様•三菱アルミニウム 様•楽天証券 様•良品計画 様
28
オラクルデータベースセキュリティ製品をご利用頂いているお客様~ Press Release 等から抜粋 (五十音順 )
* オラクルデータベースインサイダー にて掲載
Copyright © 2016 Oracle and/or its affiliates. All rights reserved. | 29
お客様でのデータベースセキュリティの取り組みについて
•経営目標や事業目標を達成するための基盤刷新時でのセキュリティ強化
• マイナンバーや個人情報などの機密情報を集約して管理
• セキュリティ強化による運用性の低下への改善
Copyright © 2016 Oracle and/or its affiliates. All rights reserved. | 30
お客様でのデータベースセキュリティの取り組みについて
•経営目標や事業目標を達成するための基盤刷新時でのセキュリティ強化
• マイナンバーや個人情報などの機密情報を集約して管理
• セキュリティ強化による運用性の低下への改善
Copyright © 2016 Oracle and/or its affiliates. All rights reserved. | 31
顧客事例:バンダイ様EC サイト“プレミアムバンダイ ”を Oracle Exadata で刷新し、会員の個人情報を高度なセキュリティで保護、グローバル展開も見据えた処理性能向上を実現
DB サーバ性能、個人情報保護強化の課題をOracle Exadata とデータベースセキュリティ製
品で解決大幅な性能向上- バッチ処理:
• 21分→ 2分 39秒(会員情報洗い替え処理)• 57 分 38 秒→ 8 分 29 秒(会員受注集計処理)
- 平均処理性能• 10倍以上に向上 (45.4[TPS]→488[TPS])
個人情報保護強化- Oracle Advanced Security によるデータの暗号化- Oracle Database Vault による管理者によるアクセス
を厳密にコントロールを実現- Oracle Audit Vault and Database Firewall で監査・監視
し、 Oracle Data Masking and Subsetting でテスト環境を保護
Copyright © 2016 Oracle and/or its affiliates. All rights reserved. | 32
お客様でのデータベースセキュリティの取り組みについて
•経営目標や事業目標を達成するための基盤刷新時でのセキュリティ強化
• マイナンバーや個人情報などの機密情報を集約して管理
• セキュリティ強化による運用性の低下への改善
Copyright © 2016 Oracle and/or its affiliates. All rights reserved. | 33
マイナンバーや個人情報などの機密情報を集約して管理する例
マイナンバー、個人情報保護対応システム(保管・利用・廃棄)
アクセス制御
暗号化
監査・不正アクセス検知
マイナンバー 運転免許証番号 ID
12345 1234567 999
45678 3456789 888
78901 2468135 777
人事システム 経理システム本社 子会社
人事システム 経理システムID 氏名
999 山田太郎
888 番号太郎
777 閣内番子
既存システム
ID 氏名999 山田太郎888 番号太郎777 閣内番子
必要な情報のコピーだけを行う
DB セキュリティ対策を実施
Copyright © 2016 Oracle and/or its affiliates. All rights reserved. |
マイナンバー管理のアクセス制御、暗号化、監査・監視をインフラ側で担保し開発を効率化、業界ガイドライン準拠の安心・安全なサービスを短期間で提供
顧客事例: SBI トレードウィンテック 様
DB セキュリティ製品群を活用し、アプリケーション開発に影響与えず、安全管理措置の要件を担保 オラクル製品群はセキュリティ要件を最
も効率的に満たし、他社製品と比較して約3分の 1 の費用で同じ要件を実現
「 Oracle Advanced Security」により、画像ファイルも含むマイナンバー関連情報をすべて暗号化
「 Oracle Database Vault」により、 DB 管理者など特権ユーザーのアクセス制御 / 権限管理を実現
「 Oracle Audit Vault and Database Firewall」により、特定個人情報へのアクセスの監査・監視や定期的なログ解析を実現
34
Copyright © 2016 Oracle and/or its affiliates. All rights reserved. |
顧客事例:楽天証券 様
35
将来的にはマイナンバーだけでなく顧客のあらゆる重要情報を保管・管理することも見据え、自社で独自の高セキュリティな顧客情報管理システムを構築
– Oracle Advanced Security (暗号化 )
– Oracle Database Vault (特権管理 )– Oracle Audit Vault and Database
Firewall ( 取得・監視・保全 )
Copyright © 2016 Oracle and/or its affiliates. All rights reserved. | 36
お客様でのデータベースセキュリティの取り組みについて
•経営目標や事業目標を達成するための基盤刷新時でのセキュリティ強化
• マイナンバーや個人情報などの機密情報を集約して管理
• セキュリティ強化による運用性の低下への改善
Copyright © 2016 Oracle and/or its affiliates. All rights reserved. | 37
サイバー・セキュリティに対するオラクルのソリューション~ データを中心とした「多層防御」のメリット
低セキュリティ対策レベル
高
低高
運用
・利便
性
オラクルが貢献させて頂くポイント
物理セキュリティ、 NW 対策を中心としたセキュリティ対策
物理セキュリティ、 NW 対策に加え、データ層からアクセス層の連携強化した多層防御で対策実施
Copyright © 2016 Oracle and/or its affiliates. All rights reserved. | 38
セキュリティ強化による運用性の低下への改善
業務データシステム系データ
データセンター 保守ルーム
DB 管理者
SI 事業者( DB 管理者)
DB 管理者が全権限を保持し、性善説で運用している
必須とされるアクセス制御設計ポイントアクセス制限下における柔軟な
リモートアクセスの実現
基幹 DB へ物理セキュリティで守られた保守ルームからしかアクセスできない
DB障害時は、作業申請に加えて保守ルームへの入室申請、現地への駆けつけが必要となり、障害対応を開始するまで時間がかかってしまう
即時対応には常駐が必要となってしまう
執務室
SI 事業者( DB 管理者)
Copyright © 2016 Oracle and/or its affiliates. All rights reserved. | 39
セキュリティ強化による運用性の低下への改善
業務データシステム系データ
データセンター 保守ルーム
DB 管理者SI 事業者( AP 保守)
DB 管理者が全権限を保持し、性善説で運用している
必須とされるアクセス制御設計ポイントアクセス制限下のもとによる柔軟な
リモートアクセスの実現
執務室
申請手続きを簡略化して、リモート作業を実施可能
障害対応を迅速に実施でき、復旧時間を短縮可能
リモート作業用に、既存の保守ルームと同じくらいの物理セキュリティを施した設備を用意する必要がなくなった
SI 事業者( DB 管理者)
セキュリティ管理者
オラクルが提供するサービスのご紹介
Copyright © 2016 Oracle and/or its affiliates. All rights reserved. |
Oracle Database セキュリティ・リスク・アセスメントスクリプトとヒアリングを元にリスクを可視化し、推奨する対策と優先対策事項をご提案
1対象システムを選定し、スクリプトとヒアリングで、現在の状況を確認
2発見したリスクをリストし、可視化
3リスクの大きさと対策実施のコストから実施優先順位をご提案
4 優先対策事項のご提案
1 2
3
現在の状況をスクリプトとヒアリングで確認
• ロールや特権の設定状況 • 暗号化、アクセス制御状況• DB の初期パラメータの設定• アカウントの設定・運用状況• 監査の設定状況• ネットワーク構成スクリプト
ヒアリング
4対策実施の優先順位のご提案 優先対策事項のご提案と推奨対策実施による効果の可視化
発見したリスクの一覧
41
Copyright © 2016 Oracle and/or its affiliates. All rights reserved. | 42
パートナー様との取り組み五十音順
Copyright © 2016 Oracle and/or its affiliates. All rights reserved. | 43
NEC様
Copyright © 2016 Oracle and/or its affiliates. All rights reserved. | 44
NTT データ先端技術様
Copyright © 2016 Oracle and/or its affiliates. All rights reserved. | 45
富士通北陸システムズ様
サイバー・セキュリティに対するオラクルのソリューション
Copyright © 2016 Oracle and/or its affiliates. All rights reserved. |
代表的な特権ユーザーとそのリスクと対策
47
OS 管理ユーザー
DB 管理ユーザー
ユーザー種類 それに対する解決策
DB 管理者の権限分割、アクセス制御
一般ユーザの権限分割、
アクセス制御
OS 管理者権限によるDB のファイルの持出
DB 管理者権限によりDB上の全データを参照・
改竄アプリケーションが管理
する全てのデータを参照・改
竄
リスク
データ暗号化
不正アクセスが検知できず、
第 3 者からの指摘で発覚する
監査・監視
予防
的発見
的
Copyright © 2016 Oracle and/or its affiliates. All rights reserved. |
サイバー・セキュリティに対するオラクルのソリューション
48
Web/AP サーバーへの攻撃
サーバーへの攻撃
内部不正による漏洩
Web サーバ
攻撃者
DB 管理者
DB サーバAP サーバ
3. 一般ユーザの権限分割、アクセス制御 (Virtual Private Database/ Real Application Security)
4. 監査・監視( 標準監査機能 /Audit Vault and Database Firewall)
AP が管理する全データを参照・改竄
2. DB 管理者の権限分割、アクセス制御 (Database Vault)
DB 管理者による全データ参照・改竄
1. データの暗号化(Advanced Security)
OS 管理者によるDB ファイル持出
管理・運用端末
不正アクセスの早期発見出来ず被害拡大
開発環境
ご参考資料:サイバー・セキュリティに対するオラクルのソリューション
Copyright © 2016 Oracle and/or its affiliates. All rights reserved. |
1. データの暗号化 : Oracle Advanced Security Transparent Data Encryption ( TDE )
データベースの暗号化 – アプリケーションからは透過的
Xeon 5570IPP 無し
Xeon 5570IPP 有り
AES-NI無し AES-NI有り
10倍のスループット
暗号化Xeon 5570
IPP 無しXeon 5570
IPP 有り
AES-NI無し AES-NI有り
8倍のスループット
復号
1. アプリケーションの改修なく実装可能
2. CPU 内でデータの暗号化 /復号処理を実行 (*) => パフォーマンス劣化を防止
3. 既存の表領域をそのまま暗号化する新機能を提供 (11gR2,12cR1 で利用可 )
暗号化処
理量
(MB/秒
)高
低
AES-NI の使用有無による暗号化処理データ量 (MB/秒 ) の比較* Intel Xeon 5600番代以降、 SPARC M6 以降 の CPU で対応
50
Copyright © 2016 Oracle and/or its affiliates. All rights reserved. |
2. データベースのアクセス制御 ( 職務分掌 ) : Oracle Database Vault
重要情報保護のために必要なシステム管理者の職務分掌
DBルールセット
機密情報取扱事務実施者
一般利用者
セキュリティ管理者
サーバ管理者
機密・個人情報
業務データ
DB運用管理情報
ユーザ・アカウント
時刻 = 8:00 ~19:00曜日 = 月~金
IP アドレス =xxxxx
必要に応じてルールを適用し、時間帯や IP アドレスでアクセスを制限する
それ以外
それ以外
それ以外
それ以外
すべて
DB 管理者
DB 管理者であっても、管理業務に必要ないデータへのアクセスを禁止する
DB 管理者またはその成りすましによる不正閲覧・改竄、監査証跡削除を抑止し、情報漏洩リスクを最小化します。 Database Vault はアプリケーションからは透過的であり、アプリーケーションの改修は必須ではありません。
51
Copyright © 2016 Oracle and/or its affiliates. All rights reserved. |
3. 一般ユーザの権限分割、アクセス制御 : Oracle Real Application Security
アプリケーション管理ユーザーにおけるリスクと解決策
52
AP 用共有ユーザー (APPUSR)接続権限 データアクセス
権限AP 用共有ユーザー乗っ取りによる漏洩
人事アプリビジネス・ロジックセキュリティ・ポリシーユーザー
顧客管理アプリビジネス・ロジックセキュリティ・ポリシーユーザー
直接接続による漏洩
ビジネス・ロジック
AP 用共有ユーザー (APPUSR)接続権限
これまでのセキュリティ対策 End to End のセキュリティ対策
AP 管理ユーザーが全てのデータを参照・改ざん可能アプリケーションを経由しないアクセスへの対応不可利用者を特定した監査取得が不可
AP 管理ユーザーでもデータへのアクセス不可アプリケーションのユーザー名、権限を使用したデータセキュリティ対策利用者を特定した監査取得が可能
2/10 APPUSR監査証跡
2/10 APPUSR Sato監査証跡
顧客管理アプリ
人事アプリビジネス・ロジック
セキュリティ・ポリシー
データアクセス権限
ユーザー
接続権限のみのためデータアクセス不可
×××
直接接続も保護
AP 管理ユーザー( アドホッククエリ等 )
(共用可 )AP 管理ユーザー( アドホッククエリ等 )
Copyright © 2016 Oracle and/or its affiliates. All rights reserved. |
4. 監査・監視:標準監査機能 , Oracle Audit Vault and Database Firewall
網羅的なログ取得と取得したログの集約・一元管理
• 一般ユーザに対する監査 → 標準監査
• 対象をより詳細に絞った監査→ ファイングレイン監査
• DBA の行動監査 → DBA監査
• 統合的な新しい監査 (12c~) → Unified Auditing
監査ログ レポート
アラート
ポリシー
各 DB が取得したログを集約・一元管理
Oracle Audit Vault and Database Firewall
オラクルデータベースが提供する監査機能
ファイングレイン監査 Oracle Audit Vault and Database Firewall・特定の行・列・レコード単位で監査条件を絞り込み、
定義した操作 (参照、更新、削除、追加 ) でログ取得・実行した SQL 文も記録される →漏洩範囲の特定に使える・利用者を特定した監査取得が可能
・オラクルほか他社のデータベース製品および OS などのログを 一括収集、管理・収集したログをレポート・アラートし、不正な操作の早期検知・暗号化、特権管理により証跡を改竄、削除されないよう保全 53
Copyright © 2016 Oracle and/or its affiliates. All rights reserved. |
データベースを中心にセキュリティ対策を実装することのメリット
保護するデータの種類、対象システム数
コスト コスト
アプリケーション側での実装 データベース側の実装
アプリの改修
アプリの改修
H/W増強
アプリの改修
アプリの改修
データベースに
実装
H/W増強
保護するデータの種類、対象システム数
保護すべきデータ
個人情報 マイナンバー個人符号番号 制御情報
対象追加対象追加
対象追加
将来的には大きなコストメリット
今後保護するべきデータはますます増加する事が予想される。データベース側で実装する事で、最小限の変更箇所で対応する事が出来るため、将来のセキュリティ要件の追加時に迅速かつ低コストで行える
個人情報 マイナンバー個人符号番号 制御情報
54
Copyright © 2016 Oracle and/or its affiliates. All rights reserved. | 55
データベースセキュリティ対策の関連情報• これだけは押さえたい !
データベースセキュリティ ( マイナビ )第 1回:データベース管理者、信じていいの ?
性善説の運用を考える (1)第 2回:データベース管理者、信じていいの ?
性善説の運用を考える (2)第 3回:物理セキュリティとデータアクセスで
安全性と可用性を両立第 4回:考慮不足だと危険 ? データベース
監査の設計を考える (前編 )第 5回:考慮不足だと危険 ? データベース
監査の設計を考える (後編 )
URL: https://blogs.oracle.com/oracle4engineer/URL: http://news.mynavi.jp/series/db_security/001/
• データベースインサイダー:セキュリティ対策 セミナーレポート、顧客事例等多数紹介
• オラクルエンジニア通信:オラクルのデータベース・セキュリティ全体像最新セキュリティトレンドコンプライアンスソリューション全体像各製品詳細
URL: http://www.oracle.co.jp/dbi
Copyright © 2016 Oracle and/or its affiliates. All rights reserved. |
オラクルが提供するセキュリティソリューション
ユーザー
① Transparent Data Encryption
データ暗号化
③ Virtual Private DB
データアクセス制御
④ Data Masking and Subsetting
データマスキング
⑤ Database VaultDB 管理者 職務分掌
OS & ストレージ ディレクトリデータベース カスタム
監査ログ & イベントログ
⑦ Audit Vault and Database Firewall不正 SQL検知
レポート
アラート
⑦ Audit Vault and Database Firewall証跡管理
ポリシー
イベント
⑨ Access Management
SSO &アクセス制御
DB
⑩Database Lifecycle Management Pack機密情報の検出とコンプライアンス管理
⑥ Key Vault鍵の集中管理
⑪ WebCenter Content文書管理
⑦ Identity Governance
ID ライフサイクル管理
② Data Redaction機密データ伏字化
56
Copyright © 2016 Oracle and/or its affiliates. All rights reserved. |
ご参考 : オラクルが提供するセキュリティ・ソリューション機能概要
機能名
①Transparent
Data Encryption
②Data
Redaction
③Virtual Private
Database
④Data
Masking and
Subsetting
⑤Database
Vault
⑥Key Vault
⑦Audit Vault
and Database Firewall
⑧Identity
Governance
⑨Access
Management
⑩Database Lifecycle
Management Pack
⑪WebCenter
Content
脅威
データファイル、バックアップデータの奪取
正規利用者の業務を逸脱した不適切アクセス
正規利用者の業務を逸脱した不適切アクセス
開発・テスト環境データの奪取
DB 管理者によるデータ奪取
暗号鍵の紛失
内部不正の追跡、影響範囲の調査不可能
共有特権ユーザID を使用した不正アクセス
Web システムに対する不正アクセス
セキュリティ設定漏れを突いた不正アクセス
営業秘密文書の不正取得と外部漏洩
機能概要
既存のアプリケーションに変更なく、透過的に本番、バックアップデータを暗号化
特定の表への参照範囲を列レベルで制限。
この機能は、データベース内で実施されるため、アプリケーション側からは透過的に利用可能。
特定の表への行・列レベルでのより厳密なアクセス制御を実現
開発・テスト環境の実データのマスキング(伏字化)
ステージ環境を用意することなくExport 時にマスキングデータを生成
DB 管理者の業務データアクセスを制御。
特定の DB設定やパスワード変更、業務データの閲覧等を制限する
公開鍵、秘密鍵、 Oracle Wallets 、 Java キーストア他の集中管理
Oracle 製品 ( データベース、ミドルウェア、 OS) の鍵を一元管理
DB 、 OS などのログをもれなく取得。
定常的なレポートと不正なアクセスを検知。
証跡を改ざん・削除されないようログを保全
人事情報と連動した ID/ 権限の作成・変更・削除の自動実施
DB や OS 等の特権 ID に対して申請ベースでワンタイムパスワードの発行し、利用者を限定し、コマンド操作を取得
Web アプリケーションの認証一元化と部署・役職に応じたアクセス制御の実現
多段要素認証によるなりすましを防止
企業の全管理対象データベースに対してセキュリテイ未対策の機密情報、個人情報を検出
企業、業界標準のコンプライアンスフレームワークやベストプラクティスルールを利用し違反を検出し問題解決
文書を一元管理し、企業のセキュリティポリシーに対応したアクセス権限を強制適用
文書のダウンロードや更新などの各種操作をログとして蓄積。
使途
本番データ、バックアップファイルに含まれる情報を保護
参照時における列レベルでの伏字化
参照、更新時における行・列レベルでのアクセス制御
テスト、開発環境の情報を保護
データベース管理者の職務分掌
業務データにアクセスさせない
暗号化した本番、バックアップデータの暗号鍵を管理、保全
DB 、 OS など、網羅的な監査証跡の取得、管理
個人 ID 管理の厳格化
OS, DB などの共有特権 ID 管理、監査の厳格化
Web アプリケーションの認証とより厳密なアクセス制御
セキュリティ対策が不十分な機密情報を検出し可視化
コンプライアンス基準への対策証明
営業機密となる文書の一元管理と保護
57
Copyright © 2016 Oracle and/or its affiliates. All rights reserved. | 58
Oracle Digital は、オラクル製品の導入をご検討いただく際の総合窓口。電話とインターネットによるダイレクトなコニュニケーションで、どんなお問い合わせにもすばやく対応します。
もちろん、無償。どんなことでも、ご相談ください。
Copyright © 2016, Oracle and/or its affiliates. All rights reserved. | 59
Copyright © 2016, Oracle and/or its affiliates. All rights reserved. | 60