oracle dba & developer days 2014 進化する脅威、増加する内部 … ·...
TRANSCRIPT
進化する脅威、増加する内部からの情報漏えいから効果的に守るセキュリティ対策とは
日本オラクル株式会社
製品戦略統括本部プロダクトマーケティング本部大澤清吾
製品戦略統括本部データベースエンジニアリング本部福田知彦
Copyright © 2014, Oracle and/or its affiliates. All rights reserved.
Oracle DBA & Developer Days 2014for your Skill
使える実践的なノウハウがここにある
#odddtky
Copyright © 2014 Oracle and/or its affiliates. All rights reserved. |
•以下の事項は、弊社の一般的な製品の方向性に関する概要を説明するものです。また、情報提供を唯一の目的とするものであり、いかなる契約にも組み込むことはできません。以下の事項は、マテリアルやコード、機能を提供することをコミットメント(確約)するものではないため、購買決定を行う際の判断材料になさらないで下さい。オラクル製品に関して記載されている機能の開発、リリースおよび時期については、弊社の裁量により決定されます。
3
OracleとJavaは、Oracle Corporation 及びその子会社、関連会社の米国及びその他の国における登録商標です。文中の社名、商品名等は各社の商標または登録商標である場合があります。
Copyright © 2014 Oracle and/or its affiliates. All rights reserved. | 4
脅威の変化~量的、質的に劇的に変化しているセキュリティ犯罪
Copyright © 2014, Oracle and/or its affiliates. All rights reserved. |
2001年~
2001年~
2005年~
2011年~
クライアントセキュリティ
ネットワークセキュリティ
ワーム型攻撃(Nimda, CodeRedなど)
ネットワーク型攻撃DoS等の不正アクセス攻撃
データベースセキュリティ
標的型攻撃/遠隔操作ウィルス
アプリケーションセキュリティ
アプリケーションの脆弱性を攻撃(SQLインジェクション攻撃等)
情報資産
90年代~ 内部犯行
Copyright © 2014 Oracle and/or its affiliates. All rights reserved. |
Oracle Public 5
インシデント件数の増加、増加する内部犯行
5Copyright © 2014, Oracle and/or its affiliates. All rights reserved. |
内部:21%(外部:58%)
内部:33%(外部:38%)
内部:24%(外部:53%)
内部:37%(外部:35%)
(2011)
インシデント数
損害金額
(2012)
出典: JPCERT/CC インシデント報告対応レポート[2014年1月1日~2014年3月31日]
出典:CERT 2011/ 2012 Cyber Security Watch Survey
内部犯行に加え、”標的型攻撃”による内部ネットワーク経由での情報窃盗も増加
Copyright © 2014 Oracle and/or its affiliates. All rights reserved. | 6
データの重要度は同じではない
GOLDBRONZE
SILVER
PLATINUM
機密性の高い情報売上情報,M&A, 特許情報, ソースコード…
社内秘ビジネスの取引情報,発注情報…
コンプライアンス対応PII, PCI,PHI, J-SOX…
機密ではない社内ポータル,組織情報,テスト・開発システム
Copyright © 2014 Oracle and/or its affiliates. All rights reserved. |
SECURITYPART OF OUR DNA
Immediate Focus On SECURE DATA
• 1977年からビジネス・スタート• 最初の顧客は CIA• 現在は、マーケットのリーダー• グローバルで1500名超の体制• 各国の軍用システムで多く採用
7
Copyright © 2014 Oracle and/or its affiliates. All rights reserved. |
世界の国家防衛と治安維持を支えるオラクルの確かな技術力
8
NATO 28ヶ国中24ヶ国オラクル製品を採用
EU各国国防機関オラクル製品を採用
世界トップ20国家機関オラクル製品を採用
全米50州政府オラクル製品を採用
全15米国中央省庁オラクル製品を採用
世界トップ20都市オラクル製品を採用
Copyright © 2014 Oracle and/or its affiliates. All rights reserved. |
セキュリティ対策の現状 - 入口・出口対策が中心 -
9
標的型攻撃により OSアカウ
ントを乗っ取られ、正当なユーザーになりすまして侵入
権限を持つユーザーによる
内部犯行
新たに見つかった未対策の脆弱性を突いた攻撃
セキュリティに関しては入口・出口対策が中心
残存しているIDを使用して不正アクセス
盗まれたIDを奪取して、本人になりすまして不正アクセス
• データベース自体が保護されていないため、侵入を許すとデータの盗難・改ざん・破壊が容易に行われてしまう
Copyright © 2014 Oracle and/or its affiliates. All rights reserved. | 10
リスクベース認証による、本人確認の強化
DBアクセス監査ログを取得し、アクセスを監視し違反の早期発見
権限分掌によりDB管理者と言え
どデータにアクセスできないようにし、社内犯行を防ぐ
データ暗号化により、標的型攻撃等により不正にOSアカウントを取得したユーザーからデータを保護
データアクセスに必要な鍵を適切に保管する
人事イベントと連動したID/権限情報の即時変更,削除
• 資産を守るためのセキュリティ対策
– 変化する脅威と変わらない資産
• バランスのとれたセキュリティ対策
– 特定のレイヤだけではなく、複数のレイヤで資産を防御
– 発見的統制と予防的統制のバランス
セキュリティ対策のあるべき姿 -多層防御 -
Copyright © 2014 Oracle and/or its affiliates. All rights reserved. | 11
Audit Vault and
Database Firewall (DB監査)
Oracle Database Vault
(DB権限分掌)
Transparent Data Encryption(暗号化)Data Redaction, Virtual Private DB(本番データの不可視化、伏字化)Data Masking and Subsetting(テスト・開発環境のデータ伏字化)
Access Management
(強固な認証)
Oracle Key Vault
(DB鍵管理)
セキュリティに関連するOracle製品
Identity Governance
(ID管理)
Copyright © 2014 Oracle and/or its affiliates. All rights reserved. |
情報保護における「入口」「出口」対策の限界
98% 情報はデータベースから盗まれる
84% 盗まれたID・権限が利用される
92% 第三者からの指摘で発覚
出展: Verizon DBIR 2012
12
Copyright © 2014 Oracle and/or its affiliates. All rights reserved. |
• 情報の暗号化
– データベースの暗号化
• OSが不正侵入された際への耐性強化
• 性能劣化は極僅か(過多なシステム投資を抑制)
– 鍵管理の高度化
• 職務分掌(権限の分散)
– データベース(DB)管理者の職務分掌
• Aさん:ユーザ管理 Bさん:権限管理Cさん:DB管理 Dさん:データ管理
– DB管理者の業務データ・アクセスを遮断
• DB不正侵入に対する耐性強化
13
• よりきめ細やかなアクセス制御
– アプリケーションユーザの認証強化
– ID管理の厳密化
– ユーザからのアクセス制御強化
• 行レベル、列レベルでのアクセス制御
• 情報の伏字化
• 包括的、厳格なシステムログ収集、異常操作の発見&警告
– DBへの問合せ内容、結果の一括収集・管理・分析
– WebアプリのユーザとDBユーザを紐付けし、個人ユーザーを特定した監査
– 全件検索など“通常ありえない操作”を監視
情報保護におけるポイント
Copyright © 2014 Oracle and/or its affiliates. All rights reserved. |
オラクルが提供するセキュリティソリューション
14
WEBアプリケーション
ユーザー
② Data Redaction機密データ伏字化 ③ Virtual Private DB
データアクセス制御
① TransparentData Encryptionデータ暗号化
⑤ Database VaultDB管理者職務分掌
OS & ストレージ ディレクトリデータベース カスタム
監査ログ & イベントログ
⑦ Audit Vault and Database Firewall不正SQL検知
レポート
アラート
⑦ Audit Vault and Database Firewall証跡管理
ポリシー
イベント
⑨ Access ManagementSSO&アクセス制御
⑧ Identity GovernanceIDライフサイクル管理
DB
④ Data Maskingand Subsettingデータマスキング
⑥ Key Vault鍵の集中管理
Copyright © 2014 Oracle and/or its affiliates. All rights reserved. |
情報保護においてオラクルがご提供する対応策製品・機能概要 ご紹介
15
Copyright © 2014 Oracle and/or its affiliates. All rights reserved. |
• 情報の暗号化
– データベースの暗号化
• OSが不正侵入された際への耐性強化
• 性能劣化は極僅か(過多なシステム投資を抑制)
– 鍵管理の高度化
• 職務分掌(権限の分散)
– データベース(DB)管理者の職務分掌
• Aさん:ユーザ管理 Bさん:権限管理Cさん:DB管理 Dさん:データ管理
– DB管理者の業務データ・アクセスを遮断
• DB不正侵入に対する耐性強化
16
• よりきめ細やかなアクセス制御
– アプリケーションユーザの認証強化
– ID管理の厳密化
– ユーザからのアクセス制御強化
• 行レベル、列レベルでのアクセス制御
• 情報の伏字化
• 包括的、厳格なシステムログ収集、異常操作の発見&警告
– DBへの問合せ内容、結果の一括収集・管理・分析
– WebアプリのユーザとDBユーザを紐付けし、個人ユーザーを特定した監査
– 全件検索など“通常ありえない操作”を監視
情報保護におけるポイント
Copyright © 2014 Oracle and/or its affiliates. All rights reserved. |
暗号化に求められる要件
17
脅威の分類 求められる対策
OSコマンドによるデータ窃取
物理ファイル盗難(DBファイル)
物理ファイル盗難(バックアップ)
通信パケット盗聴
暗号鍵の紛失
DBファイルの暗号化
DBファイル/ストレージの暗号化
バックアップデータの暗号化
ネットワークの暗号化
暗号鍵の厳密な管理
Transparent Data Encryption (TDE)
ネットワークの暗号化(※)
Key Vault
Oracle Security製品提供機能
※すべてのエディションで利用可能
Copyright © 2014 Oracle and/or its affiliates. All rights reserved. |
1. アプリケーションの改修なく実装可能
2. CPU内でデータの暗号化/復号化処理を実行
-パフォーマンス劣化を防止
18
データの暗号化:Transparent Data Encryption(TDE)
性能劣化を極小化した暗号化メカニズム
1% 3%
バッチ処理のオーバーヘッド
AES-NI:データ暗号化処理をさらに高速化する暗号化命令セット
Intel/SPARCプロセッサの暗号化アクセラレーションによるDB暗号化・復合化
Copyright © 2014 Oracle and/or its affiliates. All rights reserved. | 19
強固なセキュリティと高速な処理機能を実現
• PCI DSSに対応した課金決済プラットフォームをリニューアル
• 従来、データベース暗号化技術「Oracle Advanced Security」を導入済
• 今回のリニューアルではOracle ExadataとOracle Advanced Securityの組み合わせにより、
強固なセキュリティと高速な処理機能を併せもった、より高性能なプラットフォームを実現
データの暗号化: Transparent Data Encryption (TDE)
事例:ベリトランス様 PCIDSS対応の課金決済プラットフォームを構築
JCB、AMERICAN EXPRESS、
Discover、MasterCard、VISA
Copyright © 2014 Oracle and/or its affiliates. All rights reserved. | 20
Copyright © 2014 Oracle and/or its affiliates. All rights reserved. |
よくあるWEBアプリケーションの構成
21
表(ADDRBOOK) データベース管理者
Name Phone
羽田千裕 078-3187-5824
渥美政勝 026-4263-2109
稲葉香奈 045-9946-7180
小寺日和 074-9924-8815
アプリケーションサーバー
(電話帳アプリ)
アプリケーションユーザー
Name Phone
羽田千裕 078-3187-5824
渥美政勝 026-4263-2109
稲葉香奈 045-9946-7180
小寺日和 074-9924-8815
管理者ユーザーで接続 (SYS)
アプリケーションユーザーで接続(ADDRBOOK)
個人ユーザーで接続(USER01)
Copyright © 2014 Oracle and/or its affiliates. All rights reserved. |
OS権限を持ったシステム管理者に対する参照制限格納データの暗号化を行っていない場合
22
表(ADDRBOOK)
平文で見える!
データファイル
データベース管理者
Name Phone
羽田千裕 078-3187-5824
渥美政勝 026-4263-2109
稲葉香奈 045-9946-7180
小寺日和 074-9924-8815
アプリケーションサーバー
(電話帳アプリ)
アプリケーションユーザー
Name Phone
羽田千裕 078-3187-5824
渥美政勝 026-4263-2109
稲葉香奈 045-9946-7180
小寺日和 074-9924-8815
管理者ユーザーで接続 (SYS)
アプリケーションユーザーで接続(ADDRBOOK)
個人ユーザーで接続(USER01)
Copyright © 2014 Oracle and/or its affiliates. All rights reserved. |
OS権限を持ったシステム管理者に対する参照制限格納データの暗号化を実施
23
表(ADDRBOOK)
暗号化され見えない!
データベース管理者(セキュリティ管理者)
Transparent Data Encryption
データベース管理者
Name Phone
羽田千裕 078-3187-5824
渥美政勝 026-4263-2109
稲葉香奈 045-9946-7180
小寺日和 074-9924-8815
アプリケーションサーバー
(電話帳アプリ)
アプリケーションユーザー
Name Phone
羽田千裕 078-3187-5824
渥美政勝 026-4263-2109
稲葉香奈 045-9946-7180
小寺日和 074-9924-8815
管理者ユーザーで接続 (SYS)
アプリケーションユーザーで接続(ADDRBOOK)
データファイル
個人ユーザーで接続(USER01)
Copyright © 2014 Oracle and/or its affiliates. All rights reserved. |
暗号鍵の管理 : Key Vault
鍵管理の課題
管理
• 暗号鍵とウォレットの急増
• 許可された暗号鍵の共有
• 暗号鍵の有効期限、保管期限、回復
• 鍵の保護と鍵を保存するファイル
規制
• 鍵と暗号化されたデータの物理的な分離
• 暗号鍵の定期的な更新
• 鍵の監視と監査
• 鍵と暗号化データの長期間に渡る保持
24
Copyright © 2014 Oracle and/or its affiliates. All rights reserved. |
暗号鍵の管理 : Key Vault
暗号鍵の一元管理を実現
• 公開鍵、秘密鍵、Oracle Wallets、Javaキーストア他の集中管理
• Oracle製品への最適化(データベース、ミドルウェア、OS)
• 業界標準であるOASIS KMIPプロトコルのサポート
25
Copyright © 2014 Oracle and/or its affiliates. All rights reserved. |
暗号鍵の管理 : Key Vault
Oracle Key Vaultアーキテクチャ概要
26
スタンバイ
管理コンソール, アラート, レポート
バックアップ
= 資格情報
= Oracle Wallet
= パスワード= Javaキーストア
= 公開鍵証明書
データベース
サーバー
ミドルウェア
Copyright © 2014 Oracle and/or its affiliates. All rights reserved. |
• 情報の暗号化
– データベースの暗号化
• OSが不正侵入された際への耐性強化
• 性能劣化は極僅か(過多なシステム投資を抑制)
– 鍵管理の高度化
• 職務分掌(権限の分散)
– データベース(DB)管理者の職務分掌
• Aさん:ユーザ管理 Bさん:権限管理Cさん:DB管理 Dさん:データ管理
– DB管理者の業務データ・アクセスを遮断
• DB不正侵入に対する耐性強化
27
• よりきめ細やかなアクセス制御
– アプリケーションユーザの認証強化
– ID管理の厳密化
– ユーザからのアクセス制御強化
• 行レベル、列レベルでのアクセス制御
• 情報の伏字化
• 包括的、厳格なシステムログ収集、異常操作の発見&警告
– DBへの問合せ内容、結果の一括収集・管理・分析
– WebアプリのユーザとDBユーザを紐付けし、個人ユーザーを特定した監査
– 全件検索など“通常ありえない操作”を監視
情報保護におけるポイント
Copyright © 2014 Oracle and/or its affiliates. All rights reserved. |
データベースのアクセス制御に求められる要件
28
脅威の分類 求められる対策
なりすまし
残存している退職者IDや共有IDを悪用
一般ユーザによる過大な可視性による不正取得
管理者権限の悪用
操作ミス
ユーザ認証の強化
人事イベントと連動したID管理と共有IDの厳密管理
端末、ユーザ毎にデータアクセス範囲を限定
データベース管理者の職務分掌
実施可能なコマンドを制御
Database Vault
Oracle Security製品提供機能
Identity Governance
Access Management
Data Redaction,Virtual Private Database
Copyright © 2014 Oracle and/or its affiliates. All rights reserved. |
アプリケーションユーザの認証強化: Access Management
ユーザの認証とアクセス制御に対応し、ポリシー管理・監視を集約
• マルチ・デバイス対応 | PCからモバイル(スマートフォン、タブレット端末)まで
• 様々な認証強化機能 | ワンタイム・パスワード(OTP)から、証明書、リスクベース認証まで
• 業界標準プロトコル対応 | HTTP、RESTから、SAML、OpenID、OAuthまで
29
シングル・サインオンなりすまし対策モバイル対応ソーシャル、クラウド連携
少人数のセキュリティ担当
Copyright © 2014 Oracle and/or its affiliates. All rights reserved. |
アプリケーションユーザの認証強化: Access Management
ユーザの認証とアクセス制御に対応し、ポリシー管理・監視を集約
30
なりすまし検知・リスクベース認証
ログインID認証データ
ロケーション 行為の妥当性
Time-Based One Time Password (TOTP) ソリューションを利用した認証
1. 保護されたURLにアクセス
2. ログイン画面にユーザ名とパスワード入力
3. ワンタイムパスワード入力
4. ログイン成功
Google Authenticator
マルチデバイス
Copyright © 2014 Oracle and/or its affiliates. All rights reserved. |
ID管理の厳密化: Identity Governance
特権 / 共有アカウントの利用を厳格化
• 豊富なコネクタ | OS、DB、LDAPから業務パッケージまで豊富な接続テンプレートを提供
• 変更反映の自動化 | 入退社等の人事イベントと連携したリアルタイムなID登録・改廃を実施
• 権限違反の検出 | 属性単位の変更まで把握でき、不正な権限登録・改ざんを検出
31
サービス
基盤
人事データ会社・組織の違い(本社、グループ会社、JV・関係会社)
役割の違い(マネジメント、ユーザ、運用)
雇用契約の違い(正社員、派遣・契約社員)
プロファイル管理
パスワード管理
権限管理
システム連携
マスタ連携
違反検出
レポート
特権ユーザ管理
Copyright © 2014 Oracle and/or its affiliates. All rights reserved. |
ID管理の厳密化: Identity Governance (Privileged Account Manager)
特権 / 共有アカウントの利用を厳格化
• 集中管理 |データベース、OS、LDAPの共有アカウントのパスワード払い出し、OSセッション貸し出し
• 利用者・操作の特定 |共有アカウント利用履歴、セッション貸し出し時に発行したコマンド履歴の取得
• 申請の厳格化 |申請・承認フローによる管理
32
特権・共有アカウントで対象OSにSSH接続
セッション貸し出し
ユーザー OS
個人アカウントでPrivileged Account ManagerにSSH接続
実行したコマンド履歴管理も可能
パスワード貸し出し
Copyright © 2014 Oracle and/or its affiliates. All rights reserved. |
データベース・アクセス制御機能 対応製品一覧
33
一般 特権 表単位 行単位 列単位 参照 更新 DDL 返し値
Virtual PrivateDatabase ○ - - ○ ○ ○ ○ - Null
Data Redaction ○ - - - ○ ○ - -固定値/ランダム
/一部伏字/正規表現
Database Vault ○ ○ ○ - - ○ ○ ○ エラー
誰がアクセス どこにアクセス どんな操作 どんな応答
Copyright © 2014 Oracle and/or its affiliates. All rights reserved. |
行レベル、列レベルでのアクセス制御: Virtual Private database
属性情報に応じたポリシーを設定し、行レベルでアクセス制御
• データベース・ユーザが不正に別のユーザのデータを参照・操作する可能性を排除
• ユーザごとに異なるアクセス制御ポリシーを適用
• アプリケーション・ロジックのVIEWと、アクセス制御ポリシーを分離
SELECT * FROM orderWHERE customer = 'CLARK';
CLARKが問い合わせた場合
SELECT * FROM orderWHERE customer = 'SCOTT';
SCOTTが問い合わせた場合
SELECT * FROM order;
CLARK 300 06/03/17
SCOTT 20 05/09/11
SCOTT 450 05/11/07
CUSTOMER QTY CREDIT_CARD
CLARK 125 06/02/04
SCOTT 310 06/01/26
CLARK 90 05/12/15
ORDER表
ユーザーの属性情報に応じて、SQLが内部的に書き換える
34
Copyright © 2014 Oracle and/or its affiliates. All rights reserved. |
データの伏字化、列レベルでのアクセス制御: Data Redaction
機密情報に対する閲覧制御の集中管理
• 集中管理 |データベース内でリアルタイムにデータを伏字化。複数のアプリケーションへ反映。
• 透過的 |既存アプリケーションの変更不要。
• 厳密 | ユーザー、クライアント情報(IPアドレス、言語、他)、時間を組み合わせポリシー設定。
クレジットカード番号
4451-2172-9841-43685106-8395-2095-59387830-0032-0294-1827
クレジットカード番号
4451-2172-9841-4368
XXXX-XXXX-XXXX-4368
契約部門
コールセンタ
35
Copyright © 2014 Oracle and/or its affiliates. All rights reserved. | 36
Copyright © 2014 Oracle and/or its affiliates. All rights reserved. |
アプリケーションユーザーの認証強固な多要素認証など様々な認証メソッドでのシングルサインオン
37
表(ADDRBOOK)アプリケーションサーバー
(電話帳アプリ)
アプリケーションユーザー
Name Phone
羽田千裕 078-3187-5824
渥美政勝 026-4263-2109
稲葉香奈 045-9946-7180
小寺日和 074-9924-8815
アプリケーションユーザーで接続(ADDRBOOK)
個人ユーザーで接続(USER01)
Access Management
ワンタイムパスワード(OTP)は、Oracle Mobile AuthenticatorやGoogle Authenticatorなどのモバイルアプリからオフラインでも取得可能
Oracle Mobile Authenticator
ユーザー名/パスワードによる認証後に、さらにワンタイムパスワード(OTP)による多段認証(多要素認証)を製品機能で実現可能
1段目(パスワード) 2段目(OTP)
Copyright © 2014 Oracle and/or its affiliates. All rights reserved. |
(参考)アプリケーションユーザー名をデータベースサーバーに通知WebLogic Serverの「接続時にクライアントIDを通知」機能
38
表(ADDRBOOK)アプリケーションサーバー
(電話帳アプリ)
アプリケーションユーザー
Name Phone
羽田千裕 078-3187-5824
渥美政勝 026-4263-2109
稲葉香奈 045-9946-7180
小寺日和 074-9924-8815
アプリケーションユーザーで接続(ADDRBOOK)
個人ユーザーで接続(USER01)
通常はデータベースへの接続には、個人ユーザー名は利用されないため、データベースは実際のエンドユーザーが誰だがわからないが、WebLogicの「接続時にクライアントIDを通知」機能を利用することで個人ユーザー名をデータベースに伝播し、アクセス制御や監査に利用可能
個人ユーザーで接続(USER01)
Access Management
Copyright © 2014 Oracle and/or its affiliates. All rights reserved. |
(参考)アプリケーションユーザー名をデータベースサーバーに通知設定例と標準監査証跡への出力例
39
「接続時にクライアントIDを通知」の設定例(データソースの設定)
↓監査証跡にアプリケーションユーザー名だけでなく、個人ユーザー名が出力されている例
←
Copyright © 2014 Oracle and/or its affiliates. All rights reserved. |
USER01で接続
行レベルのアクセス制御ユーザーの属性で参照できる行を制御
40
表(ADDRBOOK)アプリケーションサーバー
(電話帳アプリ)user01
Name Phone
羽田千裕 078-3187-5824
稲葉香奈 045-9946-7180
Name Phone
渥美政勝 026-4263-2109
小寺日和 074-9924-8815
アプリケーションユーザー
user02
データベース管理者(セキュリティ管理者)
Virtual Private Database
user label
user01 10
user02 20
ユーザー属性
アプリケーションから通知されたクライアントID情報をもとに、別途定義したユーザーの属性情報と、アクセス対象表のデータを比較して、アプリケーションユーザーごとに参照できるデータ(行)を制限するためのアクセス制御ポリシーをデータベース側に設定。今回はユーザーごとに参照できるデータをlabelという属性で保持し、この属性情報とADDRBOOK表のlabel列を比較して行レベルのアクセス制御を設定
label
10
20
10
20
アプリケーションユーザーで接続(ADDRBOOK)
Copyright © 2014 Oracle and/or its affiliates. All rights reserved. |
ユーザーのアクセス権限の変更すべてのアプリケーションのID、アクセス権限情報を一元管理、プロビジョニング
41
USER01で接続
表(ADDRBOOK)アプリケーションサーバー
(電話帳アプリ)user01
Name Phone
羽田千裕 078-3187-5824
稲葉香奈 045-9946-7180
アプリケーションユーザー
user02
Identity Governance(Identity Manager)
シングルサインオンのユーザーIDとアクセス制御ポリシーのためのユーザー属性情報を一元管理。設定はWEB画面から可能。多段ワークフローによるアカウント申請や、対象システムのアカウントの棚卸し、コンプライアンスのためのアカウント情報監査レポート出力も可能。
label
10
20
10
20
user label
user01 10
user02 10
user02 20
ユーザー属性
Name Phone
羽田千裕 078-3187-5824
渥美政勝 026-4263-2109
稲葉香奈 045-9946-7180
小寺日和 074-9924-8815
プロビジョニングVirtual Private Database
アプリケーションユーザーで接続(ADDRBOOK)
user labeluser02 10
Copyright © 2014 Oracle and/or its affiliates. All rights reserved. |
列レベルのアクセス制御行データの属性で参照できる列を制御
42
USER01で接続
表(ADDRBOOK)アプリケーションサーバー
(電話帳アプリ)user01
Name Phone
null 078-3187-5824
稲葉香奈 045-9946-7180
アプリケーションユーザー
user02
Name Phone
null 078-3187-5824
渥美政勝 026-4263-2109
稲葉香奈 045-9946-7180
小寺日和 074-9924-8815
flag
T
null
null
null
各行の属性情報をもとに、特定の属性の行の指定した列の参照を制限するためのアクセス制御ポリシーをデータベース側に設定。今回はflag列にTと格納されている行のName列は参照されないような列レベルのアクセス制御を設定。たとえば著名人や重要な行の特定の列は参照させないようなアクセス制御を実現。
Virtual Private Database
データベース管理者(セキュリティ管理者)
アプリケーションユーザーで接続(ADDRBOOK)
Copyright © 2014 Oracle and/or its affiliates. All rights reserved. |
機密データの一部伏字化データの一部だけを伏字化
43
USER01で接続
表(ADDRBOOK)アプリケーションサーバー
(電話帳アプリ)user01
Name Phone
null xxx-xxxx-5824
稲葉香奈 xxx-xxxx-7180
アプリケーションユーザー
user02
Name Phone
null xxx-xxxx-5824
渥美政勝 xxx-xxxx-2109
稲葉香奈 xxx-xxxx-7180
小寺日和 xxx-xxxx-8815
Data Redaction
データベース管理者(セキュリティ管理者)
列レベルのアクセス制御では、アクセスか許可されていない列のデータ全体が参照できなくなる(nullが戻る)が、列のデータの一部だけを伏字化することも可能。たとえばカード番号の下4けたは本人確認のために利用するがカード番号全体は安全のために参照できないようにすることが可能。
アプリケーションユーザーで接続(ADDRBOOK)
Copyright © 2014 Oracle and/or its affiliates. All rights reserved. |
データの伏字化 : Data Masking and Subsetting
機密情報の伏字化、抽出(開発環境、検証環境)
NAME SALARY
AGUILAR 35676.24
CHANDRA 76546.89
010010110010101001001001001001001001010010110010101001001001001001001001010010110010101001001001001001001001
• 集中管理 |データベース内でデータを抽出・伏字化。複数のデータベースへ反映可能。
• 透過的 |既存アプリケーションの変更不要。
• 容易 | 各種クレジットカードの伏字化定義のテンプレートをご用意。
抽出 伏字化
NAME SALARY
AGUILAR 50135.56
BENSON 35789.89
CHANDRA 60765.23
DONNER 103456.82
本番環境 開発・検証環境
44
Copyright © 2014 Oracle and/or its affiliates. All rights reserved. |
• 情報の暗号化
– データベースの暗号化
• OSが不正侵入された際への耐性強化
• 性能劣化は極僅か(過多なシステム投資を抑制)
– 鍵管理の高度化
• 職務分掌(権限の分散)
– データベース(DB)管理者の職務分掌
• Aさん:ユーザ管理 Bさん:権限管理Cさん:DB管理 Dさん:データ管理
– DB管理者の業務データ・アクセスを遮断
• DB不正侵入に対する耐性強化
45
• よりきめ細やかなアクセス制御
– アプリケーションユーザの認証強化
– ID管理の厳密化
– ユーザからのアクセス制御強化
• 行レベル、列レベルでのアクセス制御
• 情報の伏字化
• 包括的、厳格なシステムログ収集、異常操作の発見&警告
– DBへの問合せ内容、結果の一括収集・管理・分析
– WebアプリのユーザとDBユーザを紐付けし、個人ユーザーを特定した監査
– 全件検索など“通常ありえない操作”を監視
情報保護におけるポイント
Copyright © 2014 Oracle and/or its affiliates. All rights reserved. |
データベース・アクセス制御機能 対応製品一覧
46
一般 特権 表単位 行単位 列単位 参照 更新 DDL 返し値
Virtual PrivateDatabase ○ - - ○ ○ ○ ○ - Null
Data Redaction ○ - - - ○ ○ - -固定値/ランダム
/一部伏字/正規表現
Database Vault ○ ○ ○ - - ○ ○ ○ エラー
誰がアクセス どこにアクセス どんな操作 どんな応答
Copyright © 2014 Oracle and/or its affiliates. All rights reserved. |
顧客システム担当
47
職務分掌されていない場合
顧客情報
人事情報
運用管理
人事システム担当
データベース管理者
Copyright © 2014 Oracle and/or its affiliates. All rights reserved. | 48
セキュリティエリア(物理対策)を実施後
顧客情報
人事情報
運用管理
顧客システム担当
人事システム担当
データベース管理者
セキュリティエリア一般エリア
顧客システム担当
人事システム担当
データベース管理者
物理対策を実施しても、データベース管理者は重要データにアクセス可能
Copyright © 2014 Oracle and/or its affiliates. All rights reserved. | 49
システム的に職務分掌の対策を実施後
顧客情報
人事情報
運用管理
顧客システム担当
人事システム担当
データベース管理者
セキュリティエリア一般エリア
顧客システム担当
人事システム担当
データベース管理者
物理セキュリティとシステム的な職務分掌の組み合わせが重要
Copyright © 2014 Oracle and/or its affiliates. All rights reserved. |
職務分掌(権限の分散): Database Vault
重要情報保護のために必要なシステム管理者の職務分掌
アプリケーション
select * from finance.customers
• 職務分掌 |特権ユーザ(SYS, DBA権限)であっても情報にはアクセスさせない
• 透過的 |既存アプリケーションの変更不要, 12c Multitenant Architecture対応
• 厳密 | ユーザー、クライアント情報(IPアドレス、言語、他)、時間を組み合わせポリシー設定
管理者(特権ユーザ)
人事情報
顧客情報
財務情報
50
Copyright © 2014 Oracle and/or its affiliates. All rights reserved. |
職務分掌(権限の分散): Database Vault
DBA管理者の権限を分掌~今までの Oracle Database ~
DBAに管理権限が集中~ Oracle Database Vault ~
複数の管理者が管理権限を分割
データベースの起動/停止など※実データへのアクセスは不可!
ユーザーの作成/削除※実データへのアクセスは不可!
ユーザー・データの管理、アクセス権の設定
データベースの起動/停止、全ユーザー・データの操作や、セキュリティ設定の変更等あらゆる操作が実行可能
データベース管理
セキュリティ・ポリシー管理
アプリケーション・データの管理
データベース管理
ユーザー・アカウント管理
アプリケーション・データの管理
ユーザー・アカウント管理
セキュリティの設定/監視※実データへのアクセスは不可!
セキュリティ・ポリシー管理
アカウント管理者
セキュリティ管理者
アプリケーション管理者
データベース管理者
データベース管理者
DBAの特権を制御
管理権限を分割し、SYS/SYSTEMへの権限集中によるリスクを回避
データベース管理者による不正なデータ操作や情報漏えいのリスク
51
Copyright © 2014 Oracle and/or its affiliates. All rights reserved. |
職務分掌(権限の分散): Database Vault
厳密な権限&ルールの設定により不正アクセスを遮断
ルール1(アクセス元)
IP Address: 192.168.1.XXX
APP Name: JDBC
アプリケーション用ルール
ルール1(アクセス元)
IP Address: 192.168.1.201
DB User: ADMIN01
ルール2 (時間)
09:00~19:00
開発者用ルール
select * from crm.customer
09:00~19:00の間
開発者
顧客領域
表- Customer- Order索引プロシージャ
アプリケーションユーザー
管理者
顧客領域:
認可
顧客領域:
認可
顧客領域:
非認可
select * from crm.customer
select * from crm.customer
19:00~9:00の間
select * from crm.customer
52
Copyright © 2014 Oracle and/or its affiliates. All rights reserved. | 53
Copyright © 2014 Oracle and/or its affiliates. All rights reserved. |
データベース管理者に対するアクセス制御厳密な職務分掌
54
表(ADDRBOOK)
セキュリティ管理者(≠ データベース管理者)
データベース管理者
Name Phone
羽田千裕 078-3187-5824
渥美政勝 026-4263-2109
稲葉香奈 045-9946-7180
小寺日和 074-9924-8815
管理者ユーザーで接続 (SYS)
Database Vault
USER01で接続
アプリケーションサーバー
(電話帳アプリ)user01
Name Phone
null xxx-xxxx-5824
稲葉香奈 xxx-xxxx-7180
アプリケーションユーザー
user02
Name Phone
null xxx-xxxx-5824
渥美政勝 xxx-xxxx-2109
稲葉香奈 xxx-xxxx-7180
小寺日和 xxx-xxxx-8815
見えない!
今までアプリケーションから(一般ユーザーから)のアクセスに対するアクセス制御方法を紹介したが、これらの設定はデータベース管理者がおこなうため、これらのアクセス制御は設定者であるデータベース管理者はバイパス可能。厳密な職務分掌を設定すると、データベース管理、セキュリティ管理、アカウント管理、アプリケーションデータの管理を別のユーザーに分割できるので、たとえデータベース管理者といえど、アプリケーションデータを絶対に参照できない設定が可能
レルム(保護領域)
アプリケーションユーザーで接続(ADDRBOOK)
Copyright © 2014 Oracle and/or its affiliates. All rights reserved. |
• 情報の暗号化
– データベースの暗号化
• OSが不正侵入された際への耐性強化
• 性能劣化は極僅か(過多なシステム投資を抑制)
– 鍵管理の高度化
• 職務分掌(権限の分散)
– データベース(DB)管理者の職務分掌
• Aさん:ユーザ管理 Bさん:権限管理Cさん:DB管理 Dさん:データ管理
– DB管理者の業務データ・アクセスを遮断
• DB不正侵入に対する耐性強化
55
• よりきめ細やかなアクセス制御
– アプリケーションユーザの認証強化
– ID管理の厳密化
– ユーザからのアクセス制御強化
• 行レベル、列レベルでのアクセス制御
• 情報の伏字化
• 包括的、厳格なシステムログ収集、異常操作の発見&警告
– DBへの問合せ内容、結果の一括収集・管理・分析
– WebアプリのユーザとDBユーザを紐付けし、個人ユーザーを特定した監査
– 全件検索など“通常ありえない操作”を監視
情報保護におけるポイント
Copyright © 2014 Oracle and/or its affiliates. All rights reserved. |
ログ取得・監査に求められる要件
56
課題 求められる対策
ログの取得漏れ
ログの改ざん、削除
不正アクセスを早期発見できない
個人の操作を特定できない
監査データの漏れない収集
ログの改ざんや破壊から保護
定期的なログ分析、レポート作成、アラート機能
アプリユーザとDBユーザを紐付けし、個人を特定した監査
Oracle Security製品提供機能
Audit Vault and Database Firewall
WebLogic Server「接続時にクライアントIDを通知」機能
Copyright © 2014 Oracle and/or its affiliates. All rights reserved. |
包括的、厳格なシステムログの収集と異常操作の発見&警告:Audit Vault and Database Firewall
システムログを集約し一元管理と不正アクセスの早期検知
Audit Vault Server
Block
Log
Allow
Alert
Substitute
Database Firewall
Fire
wal
l Ev
ents
Custom Server
OS, Directory & Custom Audit Log
Agent
OracleMySQLSYBASEIBMMicrosoft
レポート
アラート
ポリシー
WindowsLinuxSolaris
57
Copyright © 2014 Oracle and/or its affiliates. All rights reserved. |
包括的、厳格なシステムログの収集と異常操作の発見&警告:Audit Vault and Database Firewall
ログの一元管理・保全
Audit Vault Server
ユーザー
アプリケーションBlock
LogAllow
AlertSubstitute
Database Firewall Server
Fire
wal
l のログ
OS, ディレクトリ独自ログの監査ログ
レンジ&リスト・パーティショニング
OLTP表圧縮
Database Vault による特権管理
暗号化
Oracle Database Enterprise Edition 11gR2
SSLによる暗号化通信
取得したログはAudit Vault Serverにセキュアに転送され、効率的に保全ソフトウェアアプライアンスのため、Audit Vault Serverの構成は設定済
WindowsLinuxSolaris
OracleMySQLSYBASEIBMMicrosoft
58
Copyright © 2014 Oracle and/or its affiliates. All rights reserved. |
Application DatabaseDatabase Firewall
管理者
Alerts
Audit Vault Server
条件:イベント時間IPアドレス, ホスト名エラーコードユーザ名SQLコマンドなど
包括的、厳格なシステムログの収集と異常操作の発見&警告:Audit Vault and Database Firewall
事前定義された条件に基いて即座に通知
59
Copyright © 2014 Oracle and/or its affiliates. All rights reserved. |
Databaseアプリケーションサーバー
包括的、厳格なシステムログの収集と異常操作の発見&警告:Audit Vault and Database Firewall
アプリユーザとDBユーザを紐付けし、個人を特定した監査
60
Webアプリケーションにおける個人認証(Application User ID = user01) Database接続
・ DB接続ユーザ名 = ADDRBOOK・ DBセッション変数 = “user01”
アプリケーションユーザー
Copyright © 2014 Oracle and/or its affiliates. All rights reserved. | 61
Copyright © 2014 Oracle and/or its affiliates. All rights reserved. |
監査証跡の管理保全と有効活用(アラート、レポート)
62
表(ADDRBOOK)
USER01で接続
アプリケーションサーバー
(電話帳アプリ)user01
Name Phone
null xxx-xxxx-5824
稲葉香奈 xxx-xxxx-7180
アプリケーションユーザー
アプリケーションユーザーで接続(ADDRBOOK)
監査証跡レポート
アラート
転送
Audit Vault
通常データベースサーバーに保存される監査証跡を保全のために別のサーバーにほぼリアルタイムで転送。怪しい監査証跡があった場合にはリアルタイムのアラートが可能。また、PCI-DSSなどのコンプライアンス要件を満たすための監査レポートの定期的に自動生成も可能
Copyright © 2014 Oracle and/or its affiliates. All rights reserved. | 63
包括的、厳格なシステムログの収集と異常操作の発見&警告:Audit Vault and Database Firewall
事例:T-Mobile様オラクルと他DBに格納した顧客データを保護
脅威をモニタリング
• 3500万人以上の加入者の機密情報を保護
• SQLインジェクションを含む、データベースの脅威をモニタリング
• 内部関係者、外部からの脅威を防御
• 数時間で提供
• 侵害されたアカウントを保護
Copyright © 2014 Oracle and/or its affiliates. All rights reserved. | 64
情報保護におけるポイント~データを識別しセキュアな管理を実現~
セキュアな設定と監査
セキュアなデータ保護
セキュアなアクセス
ブロッキングと厳密なアクセス制御
BRONZE GOLDSILVER PLATINUM
•セキュリティ設定の実施と定期的なパッチ適用•監査ログの一括収集・管理
•データの暗号化•データの伏字化•通信の暗号化•より強固な認証
•不正なSQLからの防御•ラベルベースでの行レベルアクセス制御•データベース管理者の
職務・権限の分散•鍵と証明書の一元管理
Copyright © 2014 Oracle and/or its affiliates. All rights reserved. |
オラクルが提供するセキュリティソリューション
65
WEBアプリケーション
ユーザー
② Data Redaction機密データ伏字化 ③ Virtual Private DB
データアクセス制御
① TransparentData Encryptionデータ暗号化
⑤ Database VaultDB管理者職務分掌
OS & ストレージ ディレクトリデータベース カスタム
監査ログ & イベントログ
⑦ Audit Vault and Database Firewall不正SQL検知
レポート
アラート
⑦ Audit Vault and Database Firewall証跡管理
ポリシー
イベント
⑨ Access ManagementSSO&アクセス制御
⑧ Identity GovernanceIDライフサイクル管理
DB
④ Data Maskingand Subsettingデータマスキング
⑥ Key Vault鍵の集中管理
Copyright © 2014 Oracle and/or its affiliates. All rights reserved. |
ご参考:オラクルがご提供するセキュリティ・ソリューション機能概要
機能名①
Transparent Data Encryption
②Data Redaction
③Virtual Private
Database
④Data Masking and
Subsetting
⑤Database Vault
⑥Key Vault
⑦Audit Vault and
Database Firewall
⑧Identity
Governance
⑨Access
Management
脅威データファイル、バックアップデータの奪取
正規利用者の
業務を逸脱した不適切アクセス
正規利用者の業務を逸脱した不適切アクセス
開発・テスト環境データの奪取
DB管理者によるデータ奪取
暗号鍵の紛失内部不正の
追跡、影響範囲の調査不可能
共有特権ユーザIDを使用した不正アクセス
Webシステムに対する不正アクセス
機能概要
既存のアプリケーションに変更なく、透過的に本番、バックアップデータを暗号化
特定の表への参照範囲を列レベルで制限。
この機能は、データベース内で実施されるため、アプリケーション側からは透過的に利用可能。
特定の表への行・列レベルでのより厳密なアクセス制御を実現
開発・テスト環境の実データのマスキング(伏字化)
ステージ環境を用意することなくExport時にマスキングデータを生成
DB管理者の業務
データアクセスを制御。
特定のDB設定やパ
スワード変更、業務データの閲覧等を制限する
公開鍵、秘密鍵、Oracle Wallets、Javaキーストア他の集中管理
Oracle製品 (データ
ベース、ミドルウェア、OS)の鍵を一元管理
DB、OSなどのログをもれなく取得。
定常的なレポートと不正なアクセスを検知。
証跡を改ざん・削除されないようログを保全
人事情報と連動したID/権限の作成・
変更・削除の自動実施
DBやOSなどの特権
アカウントに対して申請ベースでワンタイムパスワードの発行し、利用者を限定。コマンド履歴を取得し操作を取得
Webアプリケーショ
ンの認証一元化と部署・役職に応じたアクセス制御の実現
多段要素認証によるなりすましを防止
使途本番データ、バックアップファイルに含まれる情報を保護
参照時における列レベルでの伏字化
参照、更新時における行・列レベルでのアクセス制御
テスト、開発環境の情報を保護
データベース管理者の職務分掌
業務データにアクセスさせない
暗号化した本番、バックアップデータの暗号鍵を管理、保全
DB、OSなど、
網羅的な監査証跡の取得、管理
個人ID管理の厳格化
OS, DBなどの共有特権ID管理、監査の厳格化
Webアプリケーションの認証と
より厳密なアクセス制御
66
Copyright © 2014 Oracle and/or its affiliates. All rights reserved. |
Oracle Database 12cおすすめ研修コース
67
Oracle Database 12c: セキュリティ
概要このコースでは、認証、権限とロールの管理に加えて、Oracle Label Security、データベース暗号化、およびOracle Data Reductionなどを使用した機密データの保護する方法を説明します。また統合監査やファイングレイン監査を構成する方法について説明します。講義と演習を通じてデータベースへのアクセスを保護し
機密性を高める方法を習得できます。
学習項目
セキュリティ要件について
セキュリティ・ソリューションの選択
基本的なデータベース・セキュリティ
ネットワーク・サービスの保護
ユーザーのBasic認証と厳密認証の使用
グローバル・ユーザー認証の使用
プロキシ認証の使用
権限とロールの使用
権限分析の使用 (12c新機能)
アプリケーション・コンテキストの使用
仮想プライベート・データベースの実装
Oracle Label Security の使用
データ・リダクション (12c新機能)
データ・マスキングの使用
透過的機密データ保護の使用 (12c新機能)
暗号化の概念とソリューション
DBMS_CRYPTO パッケージを使用した暗号化
透過的データ暗号化の使用
データベース・ストーレジのセキュリティ
統合監査の使用 (12c新機能)
ファイングレイン監査の使用
コース日数 5 日間 【トレーニングキャンパス赤坂】 2015/1/19-23
Oracle Database 12c: Database Vault
概要このコースでは、Oracle Database Vaultを有効化し、レルム、ルール·セット、コマンド·ルール、セキュア・アプリケーション・ロールを用いてデータベース・インスタンスのセキュリティを管理する方法を説明します。また、レポートや監視を使用してセキュリティ違反行為をチェックする方法について説明します。講義と演習と
通じてOracle Database Vault が提供する強力なセキュリティ統制のための機能の活用方法を習得できます。
学習項目
Database Vaultの概要
Database Vaultの構成
権限の分析 (12c 新機能)
レルムの構成
ルール・セットの定義
コマンド・ルールの構成
ルール・セットの拡張
セキュア・アプリケーション・ロールの構成
Database Vaultレポートによる監査
ベスト・プラクティスの実装
コース日数 2 日間 【トレーニングキャンパス赤坂】 2014/12/18-19
詳細は Oracle University Webサイトにてご確認ください。
Copyright © 2014 Oracle and/or its affiliates. All rights reserved. | 68
Copyright © 2014 Oracle and/or its affiliates. All rights reserved. |