データベース セキュリティー&監査ソリューション

IBM InfoSphere Guardiumのご紹介

2013年11月6日

日本アイ・ビー・エム株式会社

中山貴之

© 2013 IBM Corporation

中山貴之

ビッグデータの活用において取り組むべき課題ビッグデータの活用において取り組むべき課題ビッグデータの活用において取り組むべき課題ビッグデータの活用において取り組むべき課題

© 2013 IBM Corporation2

出典: IBM の委託による Forrester Consulting 実施のアンケート、2012年10月対象: 売り上げが10億ドルを超える銀行および北米および西ヨーロッパの金融企業207社

企業における情報漏えいの現状企業における情報漏えいの現状企業における情報漏えいの現状企業における情報漏えいの現状

© 2013 IBM Corporation3

出典：日本ネットワークセキュリティー協会 「2011年情報セキュリティインシデントに関する調査報告書 ～個人情報漏えい編～

大規模なインシデントでは、外部攻撃よりも内部に起因する原因の方が多い。

情報漏えいの情報漏えいの情報漏えいの情報漏えいの96%96%96%96%－－－－98%98%98%98%はデータベースからはデータベースからはデータベースからはデータベースから

© 2013 IBM Corporation4

出典： ベライゾン ビジネス発行「2012年度データ漏洩/侵害調査報告書」より

事件の発生を自社で発見でき

企業の情報漏えいの対策は遅れている企業の情報漏えいの対策は遅れている企業の情報漏えいの対策は遅れている企業の情報漏えいの対策は遅れている

© 2013 IBM Corporation5

事件の発生を自社で発見できていない

出典：ベライゾン ビジネス発⾏「2012年度版 データ漏洩・侵害調査報告書」

ネットワークシステムの監視ネットワークシステムの監視ネットワークシステムの監視ネットワークシステムの監視IBMセキュリティスペシャリストによる、最新情報をもとにした監視

IBMIBMIBMIBMセキュリティーソリューション全体像セキュリティーソリューション全体像セキュリティーソリューション全体像セキュリティーソリューション全体像

アプリケーションアプリケーションアプリケーションアプリケーションサーバーサーバーサーバーサーバー

アプリケーションアプリケーションアプリケーションアプリケーションサーバーサーバーサーバーサーバー

DBサーバーサーバーサーバーサーバー

DBサーバーサーバーサーバーサーバー

WEBサーバーサーバーサーバーサーバーWEB

サーバーサーバーサーバーサーバー

攻撃者

インターネット修復

脆弱性の診断・排除脆弱性の診断・排除脆弱性の診断・排除脆弱性の診断・排除公開サーバーのセキュリティレベルを診断し、脆弱性を発見・対応策を提言

IBM クイックセキュリティ診断サービスクイックセキュリティ診断サービスクイックセキュリティ診断サービスクイックセキュリティ診断サービス

IBM Managed Security Services

© 2013 IBM Corporation6

DB監視・保護監視・保護監視・保護監視・保護DBへのアクセス制御、ログ管理、監査対応

IBM InfoSphere Guardium

ネットワークネットワークネットワークネットワークIPS不正アクセスやワームを検知しリアルタイムでブロッキング。サーバーへの不正侵入を阻止

IBM Security Network IPS

ビルドビルドビルドビルドサーバーサーバーサーバーサーバー

ビルドビルドビルドビルドサーバーサーバーサーバーサーバー

テストテストテストテストサーバーサーバーサーバーサーバー

テストテストテストテストサーバーサーバーサーバーサーバー

脆弱性静的検査ツール脆弱性静的検査ツール脆弱性静的検査ツール脆弱性静的検査ツールソースコードを解析し、脆弱性を開発段階から発見

IBM AppScan Source Edition

開発者開発者開発者開発者

脆弱性動的検査ツール脆弱性動的検査ツール脆弱性動的検査ツール脆弱性動的検査ツールアプリケーションに擬似的なハッキングを行い脆弱性をテスト段階で発見・レポート

IBM AppScan Standard Edition

開発環境開発環境開発環境開発環境

公開公開公開公開

機密データへのアクセス経路機密データへのアクセス経路機密データへのアクセス経路機密データへのアクセス経路

分析担当者お客様 ルート1

Webからのアクセス

ルート3分析アプリからアクセス

DWH

機密データ

© 2013 IBM Corporation7

RDBMS

Webサーバ

業務担当者 DB管理者/開発者ルート2業務アプリからのアクセス

ルート4ローカルからのアクセス

外部攻撃、不正アクセスのケース外部攻撃、不正アクセスのケース外部攻撃、不正アクセスのケース外部攻撃、不正アクセスのケース （例）（例）（例）（例）

アクセスルート

対象者 ケース

１お客様

（ハッカー）

� ハッカーがWAFをすり抜け、SQLインジェクションでカタログオブジェクトへアクセスする

� SQLインジェクションでテーブルの検索を行う

２ 業務担当者

� 経理担当であるにも関わらず、顧客の電話番号やメールアドレス情報にアクセスする

� コールセンター担当者が複数の顧客情報に一度にアクセス

© 2013 IBM Corporation8

� コールセンター担当者が複数の顧客情報に一度にアクセスする

３ 分析担当者 � 業務時間外に、分析アプリ以外からシステムにアクセスして顧客情報の検索作業を行っている

４ IT部門

� システム保守用のIDで顧客のクレジットカード データに対して大量抽出を行っている

� 少量のデータ抽出を長期に複数回行っている

GuardiumGuardiumGuardiumGuardiumの三大機能：の三大機能：の三大機能：の三大機能： 記録、警告、集計・レポート記録、警告、集計・レポート記録、警告、集計・レポート記録、警告、集計・レポート

リアルタイムセキュリティー

© 2013 IBM Corporation9

100%アクセス監視

監査対応レポートテンプレート

GuardiumGuardiumGuardiumGuardiumの特長の特長の特長の特長

• 優れたレポーティング機能

• セキュア、独立したプラットフォーム– プロテクトされたアプライアンス– 職務権限の分離

• 専用サーバー +Software Agent or NWキャプチャリング– 最小限のインパクト（既存環境、データベースに負荷殆どなし）– アラート & ブロッキング

Oracle

MS SQL

© 2013 IBM Corporation10

• 優れたレポーティング機能– 70種類以上の標準

テンプレート– ドリルダウンによる詳細調査

専用サーバー専用サーバー専用サーバー専用サーバー• マルチプラットフォーム対応– 多数のDBMSやOSをサポート– 統合、一元管理

MS SQL

DB2

DB2 for Z

Informix

Sybase

My SQL

Postgres

Tedadata

Netezza

Cloudera

Big Insights

S/WAgent

取得可能データ項目取得可能データ項目取得可能データ項目取得可能データ項目

監査で必要なすべてのデータを適切な粒度でモニター、取得

クライアントクライアントクライアントクライアント IP

クライアントクライアントクライアントクライアント ホスト名ホスト名ホスト名ホスト名ドメインログインドメインログインドメインログインドメインログイン

サーバサーバサーバサーバ IP

サーバサーバサーバサーバ ポートポートポートポートサーバサーバサーバサーバ 名名名名

全全全全SQLコマンドコマンドコマンドコマンド項目項目項目項目オブジェクトオブジェクトオブジェクトオブジェクト

• これらの項目から自由にレポートを作成することが可能

11 © 2013 IBM Corporation11

ドメインログインドメインログインドメインログインドメインログインアプリユーザアプリユーザアプリユーザアプリユーザ ID

クライアントクライアントクライアントクライアント OS

MAC

TTL

Origin

ログイン失敗ログイン失敗ログイン失敗ログイン失敗

サーバサーバサーバサーバ 名名名名セッションセッションセッションセッションSQL パターンパターンパターンパターンネットワークプロトコルネットワークプロトコルネットワークプロトコルネットワークプロトコルサーバサーバサーバサーバ OS

タイムスタンプタイムスタンプタイムスタンプタイムスタンプアクセスプログラムアクセスプログラムアクセスプログラムアクセスプログラム

オブジェクトオブジェクトオブジェクトオブジェクト命令命令命令命令DDL

DML

DCL

DB ユーザ名ユーザ名ユーザ名ユーザ名DB バージョンバージョンバージョンバージョンDB 種類種類種類種類DB プロトコルプロトコルプロトコルプロトコルOrigin

DB エラーエラーエラーエラーセレクト項目数セレクト項目数セレクト項目数セレクト項目数

GuardiumGuardiumGuardiumGuardiumの設定例の設定例の設定例の設定例

データベースのデータベースのデータベースのデータベースの

すべてのサーバーからすべてのサーバーからすべてのサーバーからすべてのサーバーから

設定例①設定例①設定例①設定例① クレジットカードデータの大量抽出クレジットカードデータの大量抽出クレジットカードデータの大量抽出クレジットカードデータの大量抽出

© 2012 IBM Corporation12

カード情報テーブルからカード情報テーブルからカード情報テーブルからカード情報テーブルから

アラートアラートアラートアラート

100レコード以上の抽出があればレコード以上の抽出があればレコード以上の抽出があればレコード以上の抽出があれば

設定例②設定例②設定例②設定例② 時間外でクレジットカードデータの抽出時間外でクレジットカードデータの抽出時間外でクレジットカードデータの抽出時間外でクレジットカードデータの抽出

コールセンター端末からコールセンター端末からコールセンター端末からコールセンター端末から

データベースにデータベースにデータベースにデータベースに

GuardiumGuardiumGuardiumGuardiumの設定例の設定例の設定例の設定例

© 2012 IBM Corporation13

コールセンターアプリでコールセンターアプリでコールセンターアプリでコールセンターアプリで

カード情報テーブルに対してカード情報テーブルに対してカード情報テーブルに対してカード情報テーブルに対して

アクセスがあればアラートアクセスがあればアラートアクセスがあればアラートアクセスがあればアラート

営業時間外に営業時間外に営業時間外に営業時間外に

カードシグニチャーや、列カードシグニチャーや、列カードシグニチャーや、列カードシグニチャーや、列など、柔軟な設定が可など、柔軟な設定が可など、柔軟な設定が可など、柔軟な設定が可能能能能

レポートテンプレートレポートテンプレートレポートテンプレートレポートテンプレート

• データベースアクティビティデータベースアクティビティデータベースアクティビティデータベースアクティビティ

– 1日あたりのDML実行数

– サーバタイプ別セッション

– センシティブオブジェクトに対するDMLコマンド実行

– クライアントIP別アクティビティ

– アクセスしたサーバ

• アクティビティの詳細アクティビティの詳細アクティビティの詳細アクティビティの詳細

– セッションリスト

• 例外例外例外例外

– SQLエラー

– ポリシー違反

– 例外モニタ

– ユーザログインの失敗

– 例外の数

– 退職したユーザのログイン失敗

• データベースアドミニストレーションデータベースアドミニストレーションデータベースアドミニストレーションデータベースアドミニストレーション

• ブラウザ上でレポートのカスタマイズが可能

• 特定条件を基準にレポート行の背景色を変更

14 © 2013 IBM Corporation

– セッションリスト

– クライアントアクティビティサマリ

– コマンドリスト

– アーカイブ候補

• 性能性能性能性能

– スループット

– 長期実行中クエリ

• データベースアドミニストレーションデータベースアドミニストレーションデータベースアドミニストレーションデータベースアドミニストレーション

– 管理ユーザのログイン

– 定義済みデータベースユーザのログイン

– BACKUPコマンド実行

– RESTOREコマンド実行

• スキーマの変更スキーマの変更スキーマの変更スキーマの変更

– DROPコマンド実行

– CREATEコマンド実行

– ALTERコマンド実行

– DDL分布 など

DBMSDBMSDBMSDBMS標準監査機能標準監査機能標準監査機能標準監査機能 vs Guardium vs Guardium vs Guardium vs Guardium 機能比較機能比較機能比較機能比較

（某金融機関による検証結果を抜粋）（某金融機関による検証結果を抜粋）（某金融機関による検証結果を抜粋）（某金融機関による検証結果を抜粋）

© 2013 IBM Corporation15

某銀行によるツール評価某銀行によるツール評価某銀行によるツール評価某銀行によるツール評価

© 2013 IBM Corporation16

製品競争力製品競争力製品競争力製品競争力 ～第三者評価～第三者評価～第三者評価～第三者評価

• Forrester社：グローバルで最も優れたDB監査・セキュリティー製品と評価

• ITR社 ：国内出荷金額でNo.1と評価

© 2013 IBM Corporation17

お客様導入状況お客様導入状況お客様導入状況お客様導入状況 （（（（2013201320132013年抜粋）年抜粋）年抜粋）年抜粋）

業種 検討動機 競合製品 対象システム 利用機能

サービス 顧客情報漏えい対策 Oracle Webサービスポリシーアラート

銀行 金融庁監査 Oracle、PISO 顧客管理ポリシーレポート

ポリシー

© 2013 IBM Corporation18

官公庁 顧客情報漏えい対策 Oracle、Imperva 顧客管理ポリシーレポート

公益監査対応、顧客情報漏えい対策

PISO、Oracle 顧客管理 他ポリシー、アラート、レポート

小売 顧客情報漏えい対策Oracle、PISO,Imperva

オンラインショップポリシー、アラート、レポート

保険監査対応、顧客情報漏えい対策

IPLocks、Oracle 顧客管理ポリシーアラート

事例：事例：事例：事例： 国内国内国内国内AAAA社社社社

Guardium

S/W Guardium

H/W

データセンタデータセンタデータセンタデータセンタ 1111

データセンタデータセンタデータセンタデータセンタ 2222 Guardium

導入イメージ図導入イメージ図導入イメージ図導入イメージ図

目的: 金融庁監査の指摘を受け、効率的なDBログ取得と管理の実現JSOX監査「DBユーザーがログイン後、どんなSQLを発行し、ログアウトしたか」迄の一連行動の客観記録の保管、監視の実現

環境: 3ヶ所のデータセンター、60台（30システム）のDBサーバー

– DBMS： Oracle、SQL Server、Sybase、MySQL、Postgre

– OS ： Unix、Windows、Linux

当時の課題

– DBMS毎にログフォーマットが異なっている

– 60台のDBサーバー毎にログ取得する工数が膨大となる

© 2013 IBM Corporation19

© 2013 IBM Corporation

Guardium

S/W Guardium

H/W

Guardium

S/W Guardium

H/W

データセンタデータセンタデータセンタデータセンタ 2222

データセンタデータセンタデータセンタデータセンタ 3333

Guardium

中央監視中央監視中央監視中央監視H/W– 60台のDBサーバー毎にログ取得する工数が膨大となる

– これらのログを取りまとめる仕組みが無い

– DBMSのログ機能はシステムに対するパフォーマンス負荷が大きい

Guardiumを採用した理由

– 異なるDBMSのログを標準的に取得が可能

– 複数のDBサーバーのログを一元的に取得が、管理が可能

– 監査ポリシーの配信、レポート生成の自動化が可能

– 既存のシステムに最小限の負荷で実装が可能

– 国内外の金融機関での豊富な実績

事例：事例：事例：事例： 国内国内国内国内BBBB社社社社

目的: 頻発するサーバー攻撃に対する機密情報の保護、リアルタイム アクセス監視環境: 2つのオンライン システム （35台のDBサーバー）

– DBMS： Oracle、DB2

当時の課題– 最も機密情報を多く保有するDBサーバーに対してアクセス監視が出来ていない– 不正アクセスをリアルタイムに検知する仕組みが出来ていない– 短期間にセキュリティーを実装する必要がある

Guardiumを採⽤した理由– Oracle、DB2に対して、同じ仕組みでアクセス監視が可能

© 2013 IBM Corporation20

– Oracle、DB2に対して、同じ仕組みでアクセス監視が可能– ポリシー違反検知時にリアルタイムでアラート発⾏が可能– 細かい粒度でポリシー設定か可能– 3ヶ月という短期間で実装が可能

WEBサーバー

WEBサーバー

アプリサーバーアプリ

サーバーDB

サーバーDB

サーバー攻撃者インターネット

Guardiumアプライアンス•DBアクセス監視•リアルタイムアラート