3年間の情報漏洩事件からみるデータ保護対策の勘所～...

Copyright © 2016, Oracle and/or its affiliates. All rights reserved. |

3 年間の情報漏洩事件からみるデータ保護対策の勘所～データセキュリティ、考え方とその仕組み～

日本オラクル株式会社クラウド・テクノロジー事業統括 Database ＆ Exadata プロダクトマネジメント本部ビジネス推進部担当シニアマネージャー大澤清吾

Copyright © 2016 Oracle and/or its affiliates. All rights reserved. |

• 以下の事項は、弊社の一般的な製品の方向性に関する概要を説明するものです。また、情報提供を唯一の目的とするものであり、いかなる契約にも組み込むことはできません。以下の事項は、マテリアルやコード、機能を提供することをコミットメント（確約）するものではないため、購買決定を行う際の判断材料になさらないで下さい。オラクル製品に関して記載されている機能の開発、リリースおよび時期については、弊社の裁量により決定されます。

2

Oracle と Java は、 Oracle Corporation 及びその子会社、関連会社の米国及びその他の国における登録商標です。文中の社名、商品名等は各社の商標または登録商標である場合があります。

3

昨今のセキュリティトレンド

2014 年からの現在までの日本の情報漏洩件数 (*)

6560 万件

データベースから漏洩する割合

98%

データベースへのセキュリティ対策の実施状況

20% * 日本オラクル調べ


出典： Verizon データ漏えい / 侵害調査報告書 2013出典： Forrster

3 年間に起きた情報漏洩事件


大規模情報漏えい事例

5

年企業・団体名漏洩件数最終的な漏洩の原因

攻撃手法概要

2016国内大手企業 679 万件

DB アカウント

高度サイバー攻撃

サーバー内にデータファイルを作成し、奪取

Mate1.com 2700 万件OS アカウン

ト高度サイバー攻

撃OS コマンドを利用し、 DB データを奪

取。

2015Anthem 8,000 万件 DB アカウン

ト高度サイバー攻

撃DB 管理者のログイン情報を取得し奪取

国内政府機関 125 万件 OS アカウント


感染 PC からファイルサーバーのデータを奪取

2014eBay 12,800 万件

DB アカウント

高度サイバー攻撃従業員のログイン情報を取得し、奪取

国内大手企業 2,300 万件DB アカウン

ト内部犯行委託先職員が DB 管理者権限を使用し奪

取

2012 Advocate Medical 403 万件 PC 物理盗難 ( 泥棒 ) 医療機関のシステム

2011 TRICARE 490 万件バックアップ

物理盗難 (紛失 ) 政府機関のシステム

高度

サイ

バー

攻撃

/内部

犯行　

物理

盗難

サイバー攻撃では、約 50％がユーザーアカウントを奪取して攻撃を行う。内部犯行も同様引用： Healthcare Info Security 「 Update: Top 5 Health Data Breaches」（ 2015 年 2

月 5 日）引用： Reuters , Forbes, USA Today, IT Media, ITPro 等


欧州連合（ EU ）研究所によるサイバー攻撃手法の分類と傾向 ① マルウェア

② ウエブベース攻撃

③ ウエブアプリ攻撃

④ ボットネット

⑤ DoS 攻撃

⑦ 内部不正

⑧ フィッシング

⑨ スパム

⑩ 攻撃キット

⑫ ID 盗難

⑭ ランサムウェア出所： ENISA Threat Landscape 2014, European Union Agency For Network And Information Security, JAN 2015出所： ENISA Threat Landscape 2015, European Union Agency For Network And Information Security, JAN 2016（原資料のトップ 15 項目から該当しない⑥物理被害等、⑪データ漏洩、⑬情報流出、及び⑮サイバーエスピオナージを除外して四つのカテゴリに整理した。）

6

① マルウェア




⑤ DoS 攻撃

⑥ スパム

⑦ フィッシング

⑧ エクスプロイトキット

⑪ 内部不正

⑬ ID 盗難

⑮ ランサムウェア

2014 2015

2014 年度から急激に「マルウェア」、「ウェブベース」、「ウェブアプリ」の脅威が増加

「内部不正」は、 2014 年度に新たな脅威に認定され、 2015 年度も順位が上昇

「エクスプロイトキット」は、順位が低下


欧州連合（ EU ）研究所によるサイバー攻撃手法の分類と傾向

① マルウェア




⑤ DoS 攻撃

⑦ 内部不正

⑧ フィッシング

⑨ スパム

⑩ 攻撃キット

⑫ ID 盗難

⑭ ランサムウェア

①④⑭

②③⑧⑨⑩⑫

出所： ENISA Threat Landscape 2015, European Union Agency For Network And Information Security, JAN 2016 （原資料のトップ 15 項目から　　　　該当しない⑥物理被害等、⑪データ漏洩、⑬情報流出、及び⑮サイバーエスピオナージを除外して四つのカテゴリに整理した。）

⑦

マルウェア


内部不正

サービス拒否（ DoS ）攻撃⑤

7

～つづき 2015


日本における 2013 年 10月から現在までの情報漏洩の傾向

※ 日本オラクル調べ (設定ミス、誤操作、紛失・置き忘れ、盗難を除く )

マルウェア


内部不正

サービス拒否（ DoS ）攻撃

PC端末からの漏洩

Web/AP サーバーからの漏洩

DB/ ファイル等のサーバーからの漏洩

内部不正による漏洩

情報漏洩の分類 (*)

8

11%

48%18%

23%

PC Web サーバーサーバー内部


それぞれのリスクにおける代表的なユーザーとそのリスク

ユーザー種類

OS 管理者権限によるDB のファイルの持出

リスク

9

アプリケーションが管理する

全てのデータを参照・改竄

DB 管理者権限によりDB上の全データを参照・

改竄

OS 管理ユーザー

AP 用 DB 管理/共有ユーザー


DB/ ファイル等のサーバーからの漏洩

内部不正による漏洩 DB 管理ユーザー

分類


DB サーバ

OS 管理ユーザーにおけるリスク

10

OSユーザー

(Admin)

DBユーザー

(APPSYS)

DBファイ

ル

DBファイ

ル

DBファイ

ルDB

ファイル

OS 管理者

サーバーからの漏洩


バックアップサーバDB

ファイル


DB ファイルが暗号化されていないと、全ての情報が持ち出されてしまうストレージ暗号化の場合は、 OS からは元のデータが見えてしまう本番データだけでなく、バックアップデータの暗号化も必要

Web/AP サーバー

悪意のある攻撃者

×××


DB サーバ

OS 管理ユーザーにおけるリスクへの解決策～ DB レベルでの暗号化

11

OSユーザー

(Admin)

DBユーザー

(APPSYS)

DBファイ

ル

DBファイ

ル

DBファイ

ルOS 管理者




ファイル


Web/AP サーバー


アプリケーションの改修なく実装可能本番データだけでなく、バックアップデータも暗号化CPU 内でデータの暗号化 /復号処理を実行によりパフォーマンス劣化を防止


DB 管理 /共有ユーザーにおけるリスク

12

OSユーザー

(Admin)

DBユーザー

(APPUSR)

Web/AP サーバー

DBファイ

ル

DBファイ

ル

DBファイ

ル

DB サーバ

OS 管理者

データベース

管理者





ファイル


データベース管理者権限を利用によるリスク多くのデータへのアクセス権限を持った AP 用共有ユーザーによるリスク利用者を特定した監査取得が不可

×××

16/10/25 APPUSR

16/10/26 APPUSR

接続権限データアクセス

権限


DB サーバ

DB 管理 /共有ユーザーにおけるリスクへの解決策～ DB 管理者、一般ユーザのアクセス制御

13

OSユーザー

(Admin)

DBユーザー

(APPUSR)

Web/AP サーバー

DBファイ

ル

DBファイ

ル

DBファイ

ルOS 管理者

データベース

管理者





ファイル

16/10/25 APPUSR Sato

16/10/26 APPUSR Ito


データベース管理者を権限分掌し、機密情報へのアクセスを防止アプリケーションのユーザー名、権限を使用したデータセキュリティ対策利用者を特定、アクティビティを監査

接続権限権限情報


代表的な特権ユーザーとそのリスクと対策

14


DB 管理ユーザー

ユーザー種類それに対する解決策

DB 管理者の権限分割、アクセス制御

一般ユーザの権限分割、

アクセス制御



改竄アプリケーションが管理

する全てのデータを参照・改

竄

リスク

データ暗号化

不正アクセスが検知できず、

第 3 者からの指摘で発覚する

監査・監視

予防

的発見

的

各種ガイドラインにおけるデータ・セキュリティ対策の要件の記載


各種ガイドラインにおけるデータ・セキュリティ対策の要件の記載～ 2014 年 12月以降から様々なガイドラインに掲載

16

名称セキュリティ強化への取り組み対象

個人情報保護(経済産業省 )

2004 年 10月 :経済産業分野のガイドライン策定2008 年 2月 : ガイドライン改定。暗号化の記載が追加。2014 年 12月 :ガイドライン改定。データベースへのアクセス制御、

管理者権限分割、パッチ管理が追加。

経済産業分野の事業者及び、業界団体

マイナンバー(個人情報委員

会 )

2013 年 5月 : 「行政手続における特定の個人を識別するための番号の利用等に関する法律（番号法）」が成立2014 年 12月 : ガイドライン公開。技術的安全管理措置に特定個人情報へのアクセス制御、暗号化、監査が記載

行政機関・地方公共団体及び、全事業者

サイバーセキュリティ

経営ガイドライン

(経済産業省 )

2015 年 12月：ガイドライン公開。多層防御と重要データ（データベース、ファイル）への高度な暗号化、アクセス制御、監査が記載

企業の経営者大企業・中小企業の IT システムを供給する企業と経営戦略

上 IT の利活用が不可欠な企業

政府機関等の情報セキュリティ対策のための統

一基準

2005 年 9月　政府機関の情報セキュリティ対策のための統一基準公開2016 年 8月　平成 28 年度版公開。データベースの項目が新たに追加。管理者権限分割、アクセス制御、監査、暗号化が記載

政府機関官公庁・独立行政法人等

New


個人情報保護法のガイドライン改正によりシステムが対応すべき事項 [2014 年 12月 12 日改正 ] ( 以下、一部抜粋 )

17

改　正　前改　正　後

個人データを格納した情報システムへの無権限アクセスからの保護（例えば、ファイアウォール、ルータ等の設定）

個人データを格納した情報システムへの無権限アクセスからの保護（例えば、ファイアウォール、ルータ等の設定）＊個人データを格納するためのデータベースを構成要素に含む情報システムを構築する場合には、当該情報システム自体へのアクセス制御に加えて、情報システムの構成要素であるデータベースへのアクセス制御を別に実施し、それぞれにアクセス権限を設定することが望ましい。

オペレーティング・システム（ OS ）、アプリケーション等に対するセキュリティ対策用修正ソフトウェア（いわゆるセキュリティパッチ）の適用

端末及びサーバー等のオペレーティングシステム（ OS ）、ミドルウェア（ DBMS 等）、アプリケーション等に対するセキュリティ対策用修正ソフトウェア（いわゆるセキュリティパッチ）の適用

＊個人データを格納するためのデータベースを構成要素に含む情報システムを構築する場合には、当該情報システム自体へのアクセス制御に加えて、情報システムの構成要素であるデータベースへのアクセス制御を別に実施し、それぞれにアクセス権限を設定することが望ましい。


サイバーセキュリティ経営ガイドラインによりシステムが対応すべき事項 [2015 年 12月 27 日公開 ] （以下、一部抜粋）

３ .２サイバーセキュリティリスク管理の枠組み決定ー（３）サイバーセキュリティリスクの把握と実現するセキュリティレベルを踏まえた目標と計画の策定ー [ 対策例 ]・・・・・・・・例えば、ソフトウェア更新の徹底、マルウェア対策ソフトの導入などによるマルウェア感染リスクの低減策を実施する。また、重要業務を行う端末、ネットワーク、情報システム又は情報サービス（クラウドサービスを含む）には、多層防御の導入や情報資産別のネットワークの分離を検討する

18

引用 : 経済産業省：「サイバーセキュリティ経営ガイドライン」

付録Ｄ用語の定義ー (10) 多層防御物理層、ネットワーク層からデータ層までの多層防御を導入することで、１つの機器やソフトウェアに依存する拠点防御対策や、単一の境界防御層（主としてネットワーク境界）に依存する対策の場合より、未知のマルウェアや新たな攻撃手法の登場により容易に突破されるリスクの軽減が期待される。・・・ <以下省略> ・・・付録Ｂ－２多層防御措置の実施ー重要情報が保存されているサーバの保護－

重要情報を保存しているサーバについては、ネットワークの分離（別セグメント化）や、ファイアウォール（ FW ）設置、重要データ（データベースおよびファイル）への高度な暗号化、アクセス制限、アクセスログ収集を行う。

Copyright © 2016 Oracle and/or its affiliates. All rights reserved. | 19

政府機関等の情報セキュリティ対策のための統一基準におけるデータベースが対応すべき事項 (新規追加 )

引用： NISC 政府機関等の情報セキュリティ対策のための統一基準 (案 ) [2016 年 8 月 31 日公開 ]

(1)データベースの導入・運用時の対策(a)情報システムセキュリティ責任者は、データベースに対する内部不正を防止するため、

管理者アカウントの適正な権限管理を行うこと。 (b) 情報システムセキュリティ責任者は、データベースに格納されているデータにアクセス

した利用者を特定できるよう、措置を講ずること。 (c) 情報システムセキュリティ責任者は、データベースに格納されているデータに対するアク

セス権を有する利用者によるデータの不正な操作を検知できるよう、対策を講ずること。

(d)情報システムセキュリティ責任者は、データベース及びデータベースへアクセスする機器等の脆弱性を悪用した、データの不正な操作を防止するための対策を講ずること。

(e)情報システムセキュリティ責任者は、データの窃取、電磁的記録媒体の盗難等による情報の漏えいを防止する必要がある場合は、適切に暗号化をすること。

第 7 部情報システムの構成要素 - 7.2 電子メール・ウェブ等 7.2.4 データベース遵守事項


個人情報の保護に関する法律施行令の一部を改正する政令(案 ) 個人情報の保護に関する法律施行規則 (案 ) が公開 (2016 年 8月 2 日 )

本案では、個人情報を基に作ったデータを外部に提供する場合は氏名や誕生日、住所に加え、マイナンバーや旅券番号のような公的番号なども削除するよう企業に求める。個人情報を匿名化して活用するルールを明確にし、商品開発などに活用しやすくする。新基準では、これまで個人情報に該当するかどうかが曖昧だった情報を新たに個人情報に追加される。

引用 : http://www.nikkei.com/article/DGKKZO05542160S6A800C1EE8000/引用 : http://search.e-gov.go.jp/servlet/Public?CLASSNAME=PCMMSTDETAIL&id=240000022&Mode=0

個人識別符号及び要配慮個人情報の定義規定（案）で定義されている個人情報

個人識別符号として定義されるのは以下の通り。これらの情報を含むものを個人情報という• ＤＮＡや顔、虹彩、歩き方、指紋・掌紋などの生体情報

• マイナンバー、パスポート番号、基礎年金番号、運転免許証の番号など

• 個人情報保護委員会規則で定める文字、番号、記号その他の符号など ( 国民健康保険の被保険者証の記号、番号及び保険者番号、等 )


各種ガイドラインへの対応のポイント～データを識別しセキュアな管理を検討

21

BRONZE GOLDSILVER PLATINUM

セキュアな構成・監査

暗号化・マスキング

アクセス制御・検知

厳格なアクセス制御スキャンとパッチ

セキュアな構成監査の取得

データ暗号化・伏字化マスキング通信暗号化

DB 管理者権限分掌・アクセス制御

監査の一元管理・検知

不正な SQL からの防御ラベルベースのアクセス

制御鍵の一元管理

機密ではない社内ポータル , 組織情報…

社内秘ビジネスの取引情報 ,発注情報

コンプライアンス対応個人情報 (PII), クレジットカード (PCI) 、 J-SOX 関連、個人符号番号

機密性の高い情報売上情報 , M&A, ソースコード特許情報…

個人情報保護、マイナンバー、サイバーセキュリティ経営ガイドライン、政府統一基準では、 GOLD の対応が求められる

オラクルのセキュリティへの取組


情報化社会における企業資産の位置づけデータの「利活用」と「保護」の両立が重要

23

経営目標

モノ人材お金

IT/ 情報資産

情報を利活用することが、

競争力の源泉（データ・マネージメ

ント）

情報保護は、事業リスク管理のため

重要（データ・セキュリ

ティ）オンプレミス / クラウドIT基盤

求められる要件

経営目標を実現するために必要な事

• コンプライアンス、法制度対応

• 脅威への対応• 新しいテクノ

ロジーへの対応

環境の変化


CloudOn-Premises

DEVELOP AND DEPLOY ANYWHERE

同じ「アーキテクチャ」

同じ「オラクル製品」同じ「知識・ノウハ

ウ」共通のコンプライアンス対応同一セキュリティポリシー

情報化社会における企業資産の位置づけデータの「利活用」と「保護」をハイブリットな環境で実現


オラクルが提供するデータを中心とした「多層防御」の対策

• データ層とアプリ層、アクセス層の連携強化し、一気通貫のポリシーで運用を実現

• End-To-End なセキュリティ対策を実現– クライアントの情報をデータベースに伝播し、

クライアント情報を基に厳密なアクセス制御を実現

– アプリケーションの利用者を特定し、DB側からアクティビティを監査

• 既存アプリケーションの改修を極小化• 収集したログは、リアルタイムな検索と

高速なドリルダウンにより早期発見を実現

25

✔データ層：アクセス制御 / 監査・監視暗号化

✔アプリ層：アクセス制御 / 監査・監視 / 認証

✔アクセス層：認証 / 認可

✔ネットワーク層： FW / 暗号化 / IDS

✔物理層：入退出管理 / 警備員 / 施錠


ポリシーがアプリケーション毎にバラバラ暗号範囲の拡張時に、個別の対応で高コスト改竄、削除の脅威に対応できず、限定的SQLチューニングが出来ず、パフォーマンスが劣化

一元的なポリシーによるセキュリティ対策暗号範囲は DB側の設定のみで短期間・低コストの実装改竄、削除、参照のあらゆる脅威に対応パフォーマンスやデータ量への影響小

××

アプリケーションによるセキュリティ実装との比較アプリケーション側で実装データベース側で実装

改竄 /削除改竄 /削除

内部攻撃

内部攻撃

××

お客様でのデータベースセキュリティの取り組みについて


• SBI トレードウィンテック様•エディオン様• KDDIエボルバ様 (*)•佐世保中央病院様• セブン & アイ・ホールディング

ス様• 統計センター様• 日本精工様•野村総合研究所様

• バンダイ様• プロトコーポレーション様 (*)• ベリトランス様• マツダ様•三菱アルミニウム様•楽天証券様•良品計画様

28

オラクルデータベースセキュリティ製品をご利用頂いているお客様～ Press Release 等から抜粋 (五十音順 )

* オラクルデータベースインサイダーにて掲載



•経営目標や事業目標を達成するための基盤刷新時でのセキュリティ強化

• マイナンバーや個人情報などの機密情報を集約して管理

• セキュリティ強化による運用性の低下への改善


顧客事例：バンダイ様EC サイト“プレミアムバンダイ ”を Oracle Exadata で刷新し、会員の個人情報を高度なセキュリティで保護、グローバル展開も見据えた処理性能向上を実現

DB サーバ性能、個人情報保護強化の課題をOracle Exadata とデータベースセキュリティ製

品で解決大幅な性能向上- バッチ処理：

• 21分→ 2分 39秒（会員情報洗い替え処理）• 57 分 38 秒→ 8 分 29 秒（会員受注集計処理）

- 平均処理性能• 10倍以上に向上 (45.4[TPS]→488[TPS])

個人情報保護強化- Oracle Advanced Security によるデータの暗号化- Oracle Database Vault による管理者によるアクセス

を厳密にコントロールを実現- Oracle Audit Vault and Database Firewall で監査・監視

し、 Oracle Data Masking and Subsetting でテスト環境を保護


マイナンバーや個人情報などの機密情報を集約して管理する例

マイナンバー、個人情報保護対応システム（保管・利用・廃棄）

アクセス制御

暗号化

監査・不正アクセス検知

マイナンバー運転免許証番号 ID

12345 1234567 999

45678 3456789 888

78901 2468135 777

人事システム経理システム本社子会社

人事システム経理システムID 氏名

999 山田太郎

888 番号太郎

777 閣内番子

既存システム

ID 氏名999 山田太郎888 番号太郎777 閣内番子

必要な情報のコピーだけを行う

DB セキュリティ対策を実施


マイナンバー管理のアクセス制御、暗号化、監査・監視をインフラ側で担保し開発を効率化、業界ガイドライン準拠の安心・安全なサービスを短期間で提供

顧客事例： SBI トレードウィンテック　様

DB セキュリティ製品群を活用し、アプリケーション開発に影響与えず、安全管理措置の要件を担保オラクル製品群はセキュリティ要件を最

も効率的に満たし、他社製品と比較して約3分の 1 の費用で同じ要件を実現

「 Oracle Advanced Security」により、画像ファイルも含むマイナンバー関連情報をすべて暗号化

「 Oracle Database Vault」により、 DB 管理者など特権ユーザーのアクセス制御 / 権限管理を実現

「 Oracle Audit Vault and Database Firewall」により、特定個人情報へのアクセスの監査・監視や定期的なログ解析を実現

34


顧客事例：楽天証券　様

35

将来的にはマイナンバーだけでなく顧客のあらゆる重要情報を保管・管理することも見据え、自社で独自の高セキュリティな顧客情報管理システムを構築

– Oracle Advanced Security (暗号化 )

– Oracle Database Vault (特権管理 )– Oracle Audit Vault and Database

Firewall ( 取得・監視・保全 )


サイバー・セキュリティに対するオラクルのソリューション～データを中心とした「多層防御」のメリット

低セキュリティ対策レベル

高

低高

運用

・利便

性

オラクルが貢献させて頂くポイント

物理セキュリティ、 NW 対策を中心としたセキュリティ対策

物理セキュリティ、 NW 対策に加え、データ層からアクセス層の連携強化した多層防御で対策実施


セキュリティ強化による運用性の低下への改善

業務データシステム系データ

データセンター保守ルーム

DB 管理者

SI 事業者（ DB 管理者）

DB 管理者が全権限を保持し、性善説で運用している

必須とされるアクセス制御設計ポイントアクセス制限下における柔軟な

リモートアクセスの実現

基幹 DB へ物理セキュリティで守られた保守ルームからしかアクセスできない

DB障害時は、作業申請に加えて保守ルームへの入室申請、現地への駆けつけが必要となり、障害対応を開始するまで時間がかかってしまう

即時対応には常駐が必要となってしまう

執務室



セキュリティ強化による運用性の低下への改善

業務データシステム系データ

データセンター保守ルーム

DB 管理者SI 事業者（ AP 保守）

DB 管理者が全権限を保持し、性善説で運用している

必須とされるアクセス制御設計ポイントアクセス制限下のもとによる柔軟な

リモートアクセスの実現

執務室

申請手続きを簡略化して、リモート作業を実施可能

障害対応を迅速に実施でき、復旧時間を短縮可能

リモート作業用に、既存の保守ルームと同じくらいの物理セキュリティを施した設備を用意する必要がなくなった


セキュリティ管理者

オラクルが提供するサービスのご紹介


Oracle Database セキュリティ・リスク・アセスメントスクリプトとヒアリングを元にリスクを可視化し、推奨する対策と優先対策事項をご提案

1対象システムを選定し、スクリプトとヒアリングで、現在の状況を確認

2発見したリスクをリストし、可視化

3リスクの大きさと対策実施のコストから実施優先順位をご提案

4 優先対策事項のご提案

1 2

3

現在の状況をスクリプトとヒアリングで確認

• ロールや特権の設定状況 • 暗号化、アクセス制御状況• DB の初期パラメータの設定• アカウントの設定・運用状況• 監査の設定状況• ネットワーク構成スクリプト

ヒアリング

4対策実施の優先順位のご提案優先対策事項のご提案と推奨対策実施による効果の可視化

発見したリスクの一覧

41


パートナー様との取り組み五十音順


NEC様


NTT データ先端技術様


富士通北陸システムズ様

サイバー・セキュリティに対するオラクルのソリューション


代表的な特権ユーザーとそのリスクと対策

47


DB 管理ユーザー

ユーザー種類それに対する解決策

DB 管理者の権限分割、アクセス制御

一般ユーザの権限分割、

アクセス制御



改竄アプリケーションが管理

する全てのデータを参照・改

竄

リスク

データ暗号化

不正アクセスが検知できず、

第 3 者からの指摘で発覚する

監査・監視

予防

的発見

的


サイバー・セキュリティに対するオラクルのソリューション

48

Web/AP サーバーへの攻撃

サーバーへの攻撃


Web サーバ

攻撃者

DB 管理者

DB サーバAP サーバ

3. 一般ユーザの権限分割、アクセス制御　 (Virtual Private Database/ Real Application Security)

4. 監査・監視( 標準監査機能 /Audit Vault and Database Firewall)

AP が管理する全データを参照・改竄

2. DB 管理者の権限分割、アクセス制御 (Database Vault)

DB 管理者による全データ参照・改竄

1. データの暗号化(Advanced Security)

OS 管理者によるDB ファイル持出

管理・運用端末

不正アクセスの早期発見出来ず被害拡大

開発環境

ご参考資料：サイバー・セキュリティに対するオラクルのソリューション


1. データの暗号化： Oracle Advanced Security Transparent Data Encryption （ TDE ）

データベースの暗号化 – アプリケーションからは透過的

Xeon 5570IPP 無し

Xeon 5570IPP 有り

AES-NI無し AES-NI有り

10倍のスループット

暗号化Xeon 5570

IPP 無しXeon 5570

IPP 有り

AES-NI無し AES-NI有り

8倍のスループット

復号

1. アプリケーションの改修なく実装可能

2. CPU 内でデータの暗号化 /復号処理を実行 (*)　 => パフォーマンス劣化を防止

3. 既存の表領域をそのまま暗号化する新機能を提供 (11gR2,12cR1 で利用可 )

暗号化処

理量

(MB/秒

)高

低

AES-NI の使用有無による暗号化処理データ量 (MB/秒 ) の比較* Intel Xeon 5600番代以降、 SPARC M6 以降の CPU で対応

50


2. データベースのアクセス制御 ( 職務分掌 ) : Oracle Database Vault

重要情報保護のために必要なシステム管理者の職務分掌

DBルールセット

機密情報取扱事務実施者

一般利用者

セキュリティ管理者

サーバ管理者

機密・個人情報

業務データ

DB運用管理情報

ユーザ・アカウント

時刻 = 8:00 ～19:00曜日 = 月～金

IP アドレス =xxxxx

必要に応じてルールを適用し、時間帯や IP アドレスでアクセスを制限する

それ以外

それ以外

それ以外

それ以外

すべて

DB 管理者

DB 管理者であっても、管理業務に必要ないデータへのアクセスを禁止する

DB 管理者またはその成りすましによる不正閲覧・改竄、監査証跡削除を抑止し、情報漏洩リスクを最小化します。 Database Vault はアプリケーションからは透過的であり、アプリーケーションの改修は必須ではありません。

51


3. 一般ユーザの権限分割、アクセス制御 : Oracle Real Application Security

アプリケーション管理ユーザーにおけるリスクと解決策

52

AP 用共有ユーザー (APPUSR)接続権限データアクセス

権限AP 用共有ユーザー乗っ取りによる漏洩

人事アプリビジネス・ロジックセキュリティ・ポリシーユーザー

顧客管理アプリビジネス・ロジックセキュリティ・ポリシーユーザー

直接接続による漏洩

ビジネス・ロジック

AP 用共有ユーザー (APPUSR)接続権限

これまでのセキュリティ対策 End to End のセキュリティ対策

AP 管理ユーザーが全てのデータを参照・改ざん可能アプリケーションを経由しないアクセスへの対応不可利用者を特定した監査取得が不可

AP 管理ユーザーでもデータへのアクセス不可アプリケーションのユーザー名、権限を使用したデータセキュリティ対策利用者を特定した監査取得が可能

2/10 APPUSR監査証跡

2/10 APPUSR Sato監査証跡

顧客管理アプリ

人事アプリビジネス・ロジック

セキュリティ・ポリシー

データアクセス権限

ユーザー

接続権限のみのためデータアクセス不可

×××

直接接続も保護

AP 管理ユーザー( アドホッククエリ等 )

(共用可 )AP 管理ユーザー( アドホッククエリ等 )


4. 監査・監視：標準監査機能 , Oracle Audit Vault and Database Firewall

網羅的なログ取得と取得したログの集約・一元管理

• 一般ユーザに対する監査　　　→ 標準監査

• 対象をより詳細に絞った監査→ ファイングレイン監査

• DBA の行動監査 → DBA監査

• 統合的な新しい監査 (12c~) → Unified Auditing

監査ログレポート

アラート

ポリシー

各 DB が取得したログを集約・一元管理

Oracle Audit Vault and Database Firewall

オラクルデータベースが提供する監査機能

ファイングレイン監査 Oracle Audit Vault and Database Firewall・特定の行・列・レコード単位で監査条件を絞り込み、

定義した操作 (参照、更新、削除、追加 ) でログ取得・実行した SQL 文も記録される →漏洩範囲の特定に使える・利用者を特定した監査取得が可能

・オラクルほか他社のデータベース製品および OS などのログを一括収集、管理・収集したログをレポート・アラートし、不正な操作の早期検知・暗号化、特権管理により証跡を改竄、削除されないよう保全 53


データベースを中心にセキュリティ対策を実装することのメリット

保護するデータの種類、対象システム数

コストコスト

アプリケーション側での実装データベース側の実装

アプリの改修

アプリの改修

H/W増強

アプリの改修

アプリの改修

データベースに

実装

H/W増強

保護するデータの種類、対象システム数

保護すべきデータ

個人情報マイナンバー個人符号番号制御情報

対象追加対象追加

対象追加

将来的には大きなコストメリット

今後保護するべきデータはますます増加する事が予想される。データベース側で実装する事で、最小限の変更箇所で対応する事が出来るため、将来のセキュリティ要件の追加時に迅速かつ低コストで行える

個人情報マイナンバー個人符号番号制御情報

54


データベースセキュリティ対策の関連情報• これだけは押さえたい !

データベースセキュリティ ( マイナビ )第 1回：データベース管理者、信じていいの ?

性善説の運用を考える (1)第 2回：データベース管理者、信じていいの ?

性善説の運用を考える (2)第 3回：物理セキュリティとデータアクセスで

安全性と可用性を両立第 4回：考慮不足だと危険 ? データベース

監査の設計を考える (前編 )第 5回：考慮不足だと危険 ? データベース

監査の設計を考える (後編 )

URL: https://blogs.oracle.com/oracle4engineer/URL: http://news.mynavi.jp/series/db_security/001/

• データベースインサイダー：セキュリティ対策セミナーレポート、顧客事例等多数紹介

• オラクルエンジニア通信：オラクルのデータベース・セキュリティ全体像最新セキュリティトレンドコンプライアンスソリューション全体像各製品詳細

URL: http://www.oracle.co.jp/dbi


オラクルが提供するセキュリティソリューション

ユーザー

① Transparent Data Encryption

データ暗号化

③ Virtual Private DB

データアクセス制御

④ Data Masking and Subsetting

データマスキング

⑤ Database VaultDB 管理者職務分掌

OS & ストレージディレクトリデータベースカスタム

監査ログ & イベントログ

⑦ Audit Vault and Database Firewall不正 SQL検知

レポート

アラート

⑦ Audit Vault and Database Firewall証跡管理

ポリシー

イベント

⑨ Access Management

SSO ＆アクセス制御

DB

⑩Database Lifecycle Management Pack機密情報の検出とコンプライアンス管理

⑥ Key Vault鍵の集中管理

⑪ WebCenter Content文書管理

⑦ Identity Governance

ID ライフサイクル管理

② Data Redaction機密データ伏字化

56


ご参考 : オラクルが提供するセキュリティ・ソリューション機能概要

機能名

①Transparent

Data Encryption

②Data

Redaction

③Virtual Private

Database

④Data

Masking and

Subsetting

⑤Database

Vault

⑥Key Vault

⑦Audit Vault

and Database Firewall

⑧Identity

Governance

⑨Access

Management

⑩Database Lifecycle

Management Pack

⑪WebCenter

Content

脅威

データファイル、バックアップデータの奪取

正規利用者の業務を逸脱した不適切アクセス

正規利用者の業務を逸脱した不適切アクセス

開発・テスト環境データの奪取

DB 管理者によるデータ奪取

暗号鍵の紛失

内部不正の追跡、影響範囲の調査不可能

共有特権ユーザID を使用した不正アクセス

Web システムに対する不正アクセス

セキュリティ設定漏れを突いた不正アクセス

営業秘密文書の不正取得と外部漏洩

機能概要

既存のアプリケーションに変更なく、透過的に本番、バックアップデータを暗号化

特定の表への参照範囲を列レベルで制限。

この機能は、データベース内で実施されるため、アプリケーション側からは透過的に利用可能。

特定の表への行・列レベルでのより厳密なアクセス制御を実現

開発・テスト環境の実データのマスキング（伏字化）

ステージ環境を用意することなくExport 時にマスキングデータを生成

DB 管理者の業務データアクセスを制御。

特定の DB設定やパスワード変更、業務データの閲覧等を制限する

公開鍵、秘密鍵、 Oracle Wallets 、 Java キーストア他の集中管理

Oracle 製品 ( データベース、ミドルウェア、 OS) の鍵を一元管理

DB 、 OS などのログをもれなく取得。

定常的なレポートと不正なアクセスを検知。

証跡を改ざん・削除されないようログを保全

人事情報と連動した ID/ 権限の作成・変更・削除の自動実施

DB や OS 等の特権 ID に対して申請ベースでワンタイムパスワードの発行し、利用者を限定し、コマンド操作を取得

Web アプリケーションの認証一元化と部署・役職に応じたアクセス制御の実現

多段要素認証によるなりすましを防止

企業の全管理対象データベースに対してセキュリテイ未対策の機密情報、個人情報を検出

企業、業界標準のコンプライアンスフレームワークやベストプラクティスルールを利用し違反を検出し問題解決

文書を一元管理し、企業のセキュリティポリシーに対応したアクセス権限を強制適用

文書のダウンロードや更新などの各種操作をログとして蓄積。

使途

本番データ、バックアップファイルに含まれる情報を保護

参照時における列レベルでの伏字化

参照、更新時における行・列レベルでのアクセス制御

テスト、開発環境の情報を保護

データベース管理者の職務分掌

業務データにアクセスさせない

暗号化した本番、バックアップデータの暗号鍵を管理、保全

DB 、 OS など、網羅的な監査証跡の取得、管理

個人 ID 管理の厳格化

OS, DB などの共有特権 ID 管理、監査の厳格化

Web アプリケーションの認証とより厳密なアクセス制御

セキュリティ対策が不十分な機密情報を検出し可視化

コンプライアンス基準への対策証明

営業機密となる文書の一元管理と保護

57


Oracle Digital は、オラクル製品の導入をご検討いただく際の総合窓口。電話とインターネットによるダイレクトなコニュニケーションで、どんなお問い合わせにもすばやく対応します。

もちろん、無償。どんなことでも、ご相談ください。

http://www.oracle.com/jp/contact-us/index.html

3年間の情報漏洩事件からみるデータ保護対策の勘所 ～...

Technology

3年間の情報漏洩事件からみるデータ保護対策の勘所～...