ibm guardium webセミナー資料_2013年11月
TRANSCRIPT
データベース セキュリティー&監査ソリューション
IBM InfoSphere Guardiumのご紹介
2013年11月6日
日本アイ・ビー・エム株式会社
中山貴之
© 2013 IBM Corporation
中山貴之
ビッグデータの活用において取り組むべき課題ビッグデータの活用において取り組むべき課題ビッグデータの活用において取り組むべき課題ビッグデータの活用において取り組むべき課題
© 2013 IBM Corporation2
出典: IBM の委託による Forrester Consulting 実施のアンケート、2012年10月対象: 売り上げが10億ドルを超える銀行および北米および西ヨーロッパの金融企業207社
企業における情報漏えいの現状企業における情報漏えいの現状企業における情報漏えいの現状企業における情報漏えいの現状
© 2013 IBM Corporation3
出典:日本ネットワークセキュリティー協会 「2011年情報セキュリティインシデントに関する調査報告書 ~個人情報漏えい編~
大規模なインシデントでは、外部攻撃よりも内部に起因する原因の方が多い。
情報漏えいの情報漏えいの情報漏えいの情報漏えいの96%96%96%96%----98%98%98%98%はデータベースからはデータベースからはデータベースからはデータベースから
© 2013 IBM Corporation4
出典: ベライゾン ビジネス発行「2012年度データ漏洩/侵害調査報告書」より
事件の発生を自社で発見でき
企業の情報漏えいの対策は遅れている企業の情報漏えいの対策は遅れている企業の情報漏えいの対策は遅れている企業の情報漏えいの対策は遅れている
© 2013 IBM Corporation5
事件の発生を自社で発見できていない
出典:ベライゾン ビジネス発⾏「2012年度版 データ漏洩・侵害調査報告書」
ネットワークシステムの監視ネットワークシステムの監視ネットワークシステムの監視ネットワークシステムの監視IBMセキュリティスペシャリストによる、最新情報をもとにした監視
IBMIBMIBMIBMセキュリティーソリューション全体像セキュリティーソリューション全体像セキュリティーソリューション全体像セキュリティーソリューション全体像
アプリケーションアプリケーションアプリケーションアプリケーションサーバーサーバーサーバーサーバー
アプリケーションアプリケーションアプリケーションアプリケーションサーバーサーバーサーバーサーバー
DBサーバーサーバーサーバーサーバー
DBサーバーサーバーサーバーサーバー
WEBサーバーサーバーサーバーサーバーWEB
サーバーサーバーサーバーサーバー
攻撃者
インターネット修復
脆弱性の診断・排除脆弱性の診断・排除脆弱性の診断・排除脆弱性の診断・排除公開サーバーのセキュリティレベルを診断し、脆弱性を発見・対応策を提言
IBM クイックセキュリティ診断サービスクイックセキュリティ診断サービスクイックセキュリティ診断サービスクイックセキュリティ診断サービス
IBM Managed Security Services
© 2013 IBM Corporation6
DB監視・保護監視・保護監視・保護監視・保護DBへのアクセス制御、ログ管理、監査対応
IBM InfoSphere Guardium
ネットワークネットワークネットワークネットワークIPS不正アクセスやワームを検知しリアルタイムでブロッキング。サーバーへの不正侵入を阻止
IBM Security Network IPS
ビルドビルドビルドビルドサーバーサーバーサーバーサーバー
ビルドビルドビルドビルドサーバーサーバーサーバーサーバー
テストテストテストテストサーバーサーバーサーバーサーバー
テストテストテストテストサーバーサーバーサーバーサーバー
脆弱性静的検査ツール脆弱性静的検査ツール脆弱性静的検査ツール脆弱性静的検査ツールソースコードを解析し、脆弱性を開発段階から発見
IBM AppScan Source Edition
開発者開発者開発者開発者
脆弱性動的検査ツール脆弱性動的検査ツール脆弱性動的検査ツール脆弱性動的検査ツールアプリケーションに擬似的なハッキングを行い脆弱性をテスト段階で発見・レポート
IBM AppScan Standard Edition
開発環境開発環境開発環境開発環境
公開公開公開公開
機密データへのアクセス経路機密データへのアクセス経路機密データへのアクセス経路機密データへのアクセス経路
分析担当者お客様 ルート1
Webからのアクセス
ルート3分析アプリからアクセス
DWH
機密データ
© 2013 IBM Corporation7
RDBMS
Webサーバ
業務担当者 DB管理者/開発者ルート2業務アプリからのアクセス
ルート4ローカルからのアクセス
外部攻撃、不正アクセスのケース外部攻撃、不正アクセスのケース外部攻撃、不正アクセスのケース外部攻撃、不正アクセスのケース (例)(例)(例)(例)
アクセスルート
対象者 ケース
1お客様
(ハッカー)
� ハッカーがWAFをすり抜け、SQLインジェクションでカタログオブジェクトへアクセスする
� SQLインジェクションでテーブルの検索を行う
2 業務担当者
� 経理担当であるにも関わらず、顧客の電話番号やメールアドレス情報にアクセスする
� コールセンター担当者が複数の顧客情報に一度にアクセス
© 2013 IBM Corporation8
� コールセンター担当者が複数の顧客情報に一度にアクセスする
3 分析担当者 � 業務時間外に、分析アプリ以外からシステムにアクセスして顧客情報の検索作業を行っている
4 IT部門
� システム保守用のIDで顧客のクレジットカード データに対して大量抽出を行っている
� 少量のデータ抽出を長期に複数回行っている
GuardiumGuardiumGuardiumGuardiumの三大機能:の三大機能:の三大機能:の三大機能: 記録、警告、集計・レポート記録、警告、集計・レポート記録、警告、集計・レポート記録、警告、集計・レポート
リアルタイムセキュリティー
© 2013 IBM Corporation9
100%アクセス監視
監査対応レポートテンプレート
GuardiumGuardiumGuardiumGuardiumの特長の特長の特長の特長
• 優れたレポーティング機能
• セキュア、独立したプラットフォーム– プロテクトされたアプライアンス– 職務権限の分離
• 専用サーバー +Software Agent or NWキャプチャリング– 最小限のインパクト(既存環境、データベースに負荷殆どなし)– アラート & ブロッキング
Oracle
MS SQL
© 2013 IBM Corporation10
• 優れたレポーティング機能– 70種類以上の標準
テンプレート– ドリルダウンによる詳細調査
専用サーバー専用サーバー専用サーバー専用サーバー• マルチプラットフォーム対応– 多数のDBMSやOSをサポート– 統合、一元管理
MS SQL
DB2
DB2 for Z
Informix
Sybase
My SQL
Postgres
Tedadata
Netezza
Cloudera
Big Insights
S/WAgent
取得可能データ項目取得可能データ項目取得可能データ項目取得可能データ項目
監査で必要なすべてのデータを適切な粒度でモニター、取得
クライアントクライアントクライアントクライアント IP
クライアントクライアントクライアントクライアント ホスト名ホスト名ホスト名ホスト名ドメインログインドメインログインドメインログインドメインログイン
サーバサーバサーバサーバ IP
サーバサーバサーバサーバ ポートポートポートポートサーバサーバサーバサーバ 名名名名
全全全全SQLコマンドコマンドコマンドコマンド項目項目項目項目オブジェクトオブジェクトオブジェクトオブジェクト
• これらの項目から自由にレポートを作成することが可能
11 © 2013 IBM Corporation11
ドメインログインドメインログインドメインログインドメインログインアプリユーザアプリユーザアプリユーザアプリユーザ ID
クライアントクライアントクライアントクライアント OS
MAC
TTL
Origin
ログイン失敗ログイン失敗ログイン失敗ログイン失敗
サーバサーバサーバサーバ 名名名名セッションセッションセッションセッションSQL パターンパターンパターンパターンネットワークプロトコルネットワークプロトコルネットワークプロトコルネットワークプロトコルサーバサーバサーバサーバ OS
タイムスタンプタイムスタンプタイムスタンプタイムスタンプアクセスプログラムアクセスプログラムアクセスプログラムアクセスプログラム
オブジェクトオブジェクトオブジェクトオブジェクト命令命令命令命令DDL
DML
DCL
DB ユーザ名ユーザ名ユーザ名ユーザ名DB バージョンバージョンバージョンバージョンDB 種類種類種類種類DB プロトコルプロトコルプロトコルプロトコルOrigin
DB エラーエラーエラーエラーセレクト項目数セレクト項目数セレクト項目数セレクト項目数
GuardiumGuardiumGuardiumGuardiumの設定例の設定例の設定例の設定例
データベースのデータベースのデータベースのデータベースの
すべてのサーバーからすべてのサーバーからすべてのサーバーからすべてのサーバーから
設定例①設定例①設定例①設定例① クレジットカードデータの大量抽出クレジットカードデータの大量抽出クレジットカードデータの大量抽出クレジットカードデータの大量抽出
© 2012 IBM Corporation12
カード情報テーブルからカード情報テーブルからカード情報テーブルからカード情報テーブルから
アラートアラートアラートアラート
100レコード以上の抽出があればレコード以上の抽出があればレコード以上の抽出があればレコード以上の抽出があれば
設定例②設定例②設定例②設定例② 時間外でクレジットカードデータの抽出時間外でクレジットカードデータの抽出時間外でクレジットカードデータの抽出時間外でクレジットカードデータの抽出
コールセンター端末からコールセンター端末からコールセンター端末からコールセンター端末から
データベースにデータベースにデータベースにデータベースに
GuardiumGuardiumGuardiumGuardiumの設定例の設定例の設定例の設定例
© 2012 IBM Corporation13
コールセンターアプリでコールセンターアプリでコールセンターアプリでコールセンターアプリで
カード情報テーブルに対してカード情報テーブルに対してカード情報テーブルに対してカード情報テーブルに対して
アクセスがあればアラートアクセスがあればアラートアクセスがあればアラートアクセスがあればアラート
営業時間外に営業時間外に営業時間外に営業時間外に
カードシグニチャーや、列カードシグニチャーや、列カードシグニチャーや、列カードシグニチャーや、列など、柔軟な設定が可など、柔軟な設定が可など、柔軟な設定が可など、柔軟な設定が可能能能能
レポートテンプレートレポートテンプレートレポートテンプレートレポートテンプレート
• データベースアクティビティデータベースアクティビティデータベースアクティビティデータベースアクティビティ
– 1日あたりのDML実行数
– サーバタイプ別セッション
– センシティブオブジェクトに対するDMLコマンド実行
– クライアントIP別アクティビティ
– アクセスしたサーバ
• アクティビティの詳細アクティビティの詳細アクティビティの詳細アクティビティの詳細
– セッションリスト
• 例外例外例外例外
– SQLエラー
– ポリシー違反
– 例外モニタ
– ユーザログインの失敗
– 例外の数
– 退職したユーザのログイン失敗
• データベースアドミニストレーションデータベースアドミニストレーションデータベースアドミニストレーションデータベースアドミニストレーション
• ブラウザ上でレポートのカスタマイズが可能
• 特定条件を基準にレポート行の背景色を変更
14 © 2013 IBM Corporation
– セッションリスト
– クライアントアクティビティサマリ
– コマンドリスト
– アーカイブ候補
• 性能性能性能性能
– スループット
– 長期実行中クエリ
• データベースアドミニストレーションデータベースアドミニストレーションデータベースアドミニストレーションデータベースアドミニストレーション
– 管理ユーザのログイン
– 定義済みデータベースユーザのログイン
– BACKUPコマンド実行
– RESTOREコマンド実行
• スキーマの変更スキーマの変更スキーマの変更スキーマの変更
– DROPコマンド実行
– CREATEコマンド実行
– ALTERコマンド実行
– DDL分布 など
DBMSDBMSDBMSDBMS標準監査機能標準監査機能標準監査機能標準監査機能 vs Guardium vs Guardium vs Guardium vs Guardium 機能比較機能比較機能比較機能比較
(某金融機関による検証結果を抜粋)(某金融機関による検証結果を抜粋)(某金融機関による検証結果を抜粋)(某金融機関による検証結果を抜粋)
© 2013 IBM Corporation15
製品競争力製品競争力製品競争力製品競争力 ~第三者評価~第三者評価~第三者評価~第三者評価
• Forrester社:グローバルで最も優れたDB監査・セキュリティー製品と評価
• ITR社 :国内出荷金額でNo.1と評価
© 2013 IBM Corporation17
お客様導入状況お客様導入状況お客様導入状況お客様導入状況 ((((2013201320132013年抜粋)年抜粋)年抜粋)年抜粋)
業種 検討動機 競合製品 対象システム 利用機能
サービス 顧客情報漏えい対策 Oracle Webサービスポリシーアラート
銀行 金融庁監査 Oracle、PISO 顧客管理ポリシーレポート
ポリシー
© 2013 IBM Corporation18
官公庁 顧客情報漏えい対策 Oracle、Imperva 顧客管理ポリシーレポート
公益監査対応、顧客情報漏えい対策
PISO、Oracle 顧客管理 他ポリシー、アラート、レポート
小売 顧客情報漏えい対策Oracle、PISO,Imperva
オンラインショップポリシー、アラート、レポート
保険監査対応、顧客情報漏えい対策
IPLocks、Oracle 顧客管理ポリシーアラート
事例:事例:事例:事例: 国内国内国内国内AAAA社社社社
Guardium
S/W Guardium
H/W
データセンタデータセンタデータセンタデータセンタ 1111
データセンタデータセンタデータセンタデータセンタ 2222 Guardium
導入イメージ図導入イメージ図導入イメージ図導入イメージ図
目的: 金融庁監査の指摘を受け、効率的なDBログ取得と管理の実現JSOX監査「DBユーザーがログイン後、どんなSQLを発行し、ログアウトしたか」迄の一連行動の客観記録の保管、監視の実現
環境: 3ヶ所のデータセンター、60台(30システム)のDBサーバー
– DBMS: Oracle、SQL Server、Sybase、MySQL、Postgre
– OS : Unix、Windows、Linux
当時の課題
– DBMS毎にログフォーマットが異なっている
– 60台のDBサーバー毎にログ取得する工数が膨大となる
© 2013 IBM Corporation19
© 2013 IBM Corporation
Guardium
S/W Guardium
H/W
Guardium
S/W Guardium
H/W
データセンタデータセンタデータセンタデータセンタ 2222
データセンタデータセンタデータセンタデータセンタ 3333
Guardium
中央監視中央監視中央監視中央監視H/W– 60台のDBサーバー毎にログ取得する工数が膨大となる
– これらのログを取りまとめる仕組みが無い
– DBMSのログ機能はシステムに対するパフォーマンス負荷が大きい
Guardiumを採用した理由
– 異なるDBMSのログを標準的に取得が可能
– 複数のDBサーバーのログを一元的に取得が、管理が可能
– 監査ポリシーの配信、レポート生成の自動化が可能
– 既存のシステムに最小限の負荷で実装が可能
– 国内外の金融機関での豊富な実績
事例:事例:事例:事例: 国内国内国内国内BBBB社社社社
目的: 頻発するサーバー攻撃に対する機密情報の保護、リアルタイム アクセス監視環境: 2つのオンライン システム (35台のDBサーバー)
– DBMS: Oracle、DB2
当時の課題– 最も機密情報を多く保有するDBサーバーに対してアクセス監視が出来ていない– 不正アクセスをリアルタイムに検知する仕組みが出来ていない– 短期間にセキュリティーを実装する必要がある
Guardiumを採⽤した理由– Oracle、DB2に対して、同じ仕組みでアクセス監視が可能
© 2013 IBM Corporation20
– Oracle、DB2に対して、同じ仕組みでアクセス監視が可能– ポリシー違反検知時にリアルタイムでアラート発⾏が可能– 細かい粒度でポリシー設定か可能– 3ヶ月という短期間で実装が可能
WEBサーバー
WEBサーバー
アプリサーバーアプリ
サーバーDB
サーバーDB
サーバー攻撃者インターネット
Guardiumアプライアンス•DBアクセス監視•リアルタイムアラート