Upload
oracle-fusion-middleware
View
1.986
Download
12
Embed Size (px)
DESCRIPTION
「重要な欠陥」と判断した理由として、内部統制報告書に記載された例(金融庁発表http://www.fsa.go.jp/news/21/syouken/20090707-6.html) システムの保守及び運用の管理を適正に行うため、「運用・保守管理規程」を定めて遵守することが義務づけられているが、コンピュータデータの保全手続において、当該規程の運用が不十分であったため、同データの一部が消失し、会計データの修復作業を行った。ただし、バックアップデータ復元作業のテスト実施が十分でなく、バックアップデータ消失のリスクを予見できなかった。
Citation preview
<Insert Picture Here>
内部統制、情報セキュリティにおけるID管理の着眼点特権ID管理
Copyright© 2011, Oracle. All rights reserved. 2
以下の事項は、弊社の一般的な製品の方向性に関する概要を説明するものです。また、情報提供を唯一の目的とするものであり、いかなる契約にも組み込むことはできません。以下の事項は、マテリアルやコード、機能を提供することをコミットメント(確約)するものではないため、購買決定を行う際の判断材料になさらないで下さい。オラクル製品に関して記載されている機能の開発、リリースおよび時期については、弊社の裁量により決定されます。
OracleとJavaは、Oracle Corporation 及びその子会社、関連会社の米国及びその他の国における登録商標です。文中の社名、商品名等は各社の商標または登録商標である場合があります。
Copyright© 2009, Oracle. All rights reserved. 3
内部統制報告制度初年度を終えて
• 内部統制報告書提出企業数 2,670(2009年6月30日現在)
• 内部統制報告書の「評価結果」の記載状況• ① 内部統制は有効である。 2,605社(97.6%)
• ② 重要な欠陥があり、内部統制は有効でない。56社(2.1%)
• ③ 内部統制の評価結果を表明できない。 9社(0.3%)
• 「重要な欠陥」と判断した理由として、内部統制報告書に記載された例(金融庁発表http://www.fsa.go.jp/news/21/syouken/20090707-6.html)
• システムの保守及び運用の管理を適正に行うため、「運用・保守管理規程」を定めて遵守することが義務づけられているが、コンピュータデータの保全手続において、当該規程の運用が不十分であったため、同データの一部が消失し、会計データの修復作業を行った。ただし、バックアップデータ復元作業のテスト実施が十分でなく、バックアップデータ消失のリスクを予見できなかった。
米国は16.3%
Copyright© 2009, Oracle. All rights reserved. 4
最も大きな課題の一つがセキュリティ管理
全体
社数 %
1. 文書化について 468 31.3
2. 人的資源の育成・確保 490 32.7
3. 業務プロセスにおける主要な統制上の手続 466 31.1
4. サンプリングについて 251 16.8
5. 財務報告プロセスにかかわる規程類の整備 345 23.0
6. IT統制におけるアクセス権限の設定等のセキュリティ管理 509 34.0
7. 特になかった 260 17.4
8. 有効性のテストや評価は行っていない 126 8.4
9. その他 72 4.8
回答社数 1497
(社)日本監査役協会 「第2回 財務報告に係る内部統制報告制度に関するインターネット・アンケート」調査結果[最終]http://www.kansa.or.jp/siryou/elibrary/el_011_090403.html
問14-1現在課題となっている点
Copyright© 2009, Oracle. All rights reserved. 5
特権IDとは?
• システム利用者ID• システムを利用するためのID
• 各業務アプリケーションの利用ユーザー
• 当該システム内で個人やトランザクションを識別するために利用される
• 特権ID
• 開発者
• OS上のユーザーID
• 業務システムに影響を及ぼす権限を持つ
• 管理・運用者
• システム自体の起動・停止など、最も強い権限を持つアカウント
• root, Administratorなど
データ・ファイル
プログラム
サーバー
グループウェア
ERP
ポータル
メール
etc
業務システム業務システムを構成するリソース
特権IDでアクセスする作業者
自社の情シス
システム運用(協力会社)
システム開発(協力会社)
システム
利用者
Copyright© 2009, Oracle. All rights reserved. 6
特権IDを管理する重要性
• 無制限アクセスが可能• プログラムの不正実行が可能
• あらゆるデータの参照(持ち出し)、変更(改ざん)が可能
• ログの改ざんも可能
• ID/権限の変更や、特権IDを自由作成可能
• 特権IDは共用されることが多い
• ログより個人の特定ができず、操作の追跡ができない
あらゆるリソースの操作が可能な特権IDには高いリスクが伴うが、そのリスクを軽減できれば効率よくセキュリティレベルをあげることが可能
過失による情報事故やシステム障害発生のリスク
故意による情報漏洩や改ざんなど情報事故のリスク
事故の原因究明と対策が困難
Copyright© 2009, Oracle. All rights reserved. 7
特権ID管理に関する課題をお持ちの企業
• 個人と特権ID(UNIX)の管理が徹底されていないことを、監査法人から指摘された• 一人ひとつの特権IDを付与することを決定するも、ID数、対象サーバー数が膨大で共有IDから個別IDへの移行に伴う運用管理工数の増大
• 対象ユーザー数: 約1,000人 対象サーバー本番系:約 200台 / 開発系:約 350台• サーバーの導入・撤廃、プロジェクトの発足・完了が頻発、手動管理に限界
某大手エネルギー企業
対象ユーザー 特権IDroot
どのユーザーが特権IDを使用したかわからない
対象ユーザー 各ユーザーID
対策
相当な作業負荷
su ...
Copyright© 2009, Oracle. All rights reserved. 8
• ID管理コストが年々増大していた• 監査ログがサーバー毎の個別管理になっていたため、追跡調査が困難• 不正・不要な特権IDの残存• 対象ユーザー数:約2,000人 対象サーバー数:約100台
某大手通信業
• ユーザーへのID割り当ておよびその履歴を適正に管理できていなかった• 対象ユーザー数:約200人 対象サーバー数:約70台• 認証・作業履歴の保存と保全ができていない• サーバーの導入・撤廃、プロジェクトの発足・完了が頻発、手動管理に限界• サーバー管理者による属人的な運用のため、不在時の緊急対応が不可能
某運送業
特権ID管理に関する課題をお持ちの企業
Copyright© 2009, Oracle. All rights reserved. 9
各社の対策
特権IDの課題
特権IDを共有で利用している
特権ID利用の申請ルールが徹底されていない
とりあえずroot権限を与えてしまう
IDの申請・作成・削除に人手を介し作業ミスが発生する
証跡不足により誰が・いつ・何をしたか特定できない
退職者のIDの削除漏れが多い
個人を特定できるIDを利用する
特権ID利用のルール化する
権限を必要最小限に制限する
特権IDをミスなく効率的に管理する
特権IDの不正利用がないことを証明する
IDの削除を適切なタイミングで実施する
利用者の「特定」
利用の「標準化」
権限の「限定」
管理の「自動化」
証跡の「保存・蓄積」
ID管理の「迅速化」
課題への対策
Copyright© 2009, Oracle. All rights reserved. 10
ソリューションとして必要な要素
課題への対策
利用者の「特定」
利用の「標準化」
権限の「限定」
管理の「自動化」
証跡の「保存・蓄積」
ID管理の「迅速化」
課題の解決策(ソリューション)
厳密なアクセス制御・利用者とIDを紐付ける仕組み・特権IDの利用者、範囲を制限・特権IDの権限そのものを制限
標準ワークフロー化・特権ユーザ申請/変更手続きの明確化・特権ユーザ利用時の職務分離
ID管理の統制・IDの管理に関するルールの徹底・ルールに基づいたID管理・棚卸などの不正IDチェックの徹底
証拠・証跡の管理・特権IDの全操作を記録、証跡を残す・適宜のモニタリング
ID管理
アクセス制御
ログ管理
Copyright© 2009, Oracle. All rights reserved. 11
Oracle Identity Manager
入社・異動・退職などの人事処理と連動した、ID管理の自動化を実現
退職者、不正IDを迅速に削除するセキュアな基盤を実現
入退出管理システム
顧客情報管理システム
売上管理システム
コンテンツ管理システム
OSアカウント管理
Oracle Identity Manager
属性・ルールに基づいたグループ化・ポリシー割当て
IDの自動配信と自動削除
配信対象システム
管理者・ID情報の管理・メンテナンス
ユーザ・パスワード変更・申請
ユーザー情報の取得
人事システム、またはコーポレートディレクトリ
監査ログ
12Copyright© 2009, Oracle. All rights reserved.
ID作成・情報変更・削除の自動化
ユーザー属性に基づいたルールによる配信ポリシーの適用
配信ポリシー①
配信ポリシー②
配信ポリシー
自動配信自動削除
配信ポリシーによるID作成・削除
Oracle Identity Manager
対象システム
配信属性
配信権限
ルール③
ルール②
ルール①ユーザー情報取得
人事イベントと連携し、ユーザー情報の変更に伴うシステムIDの作成・権限変更・削除の自動化を実現
Copyright© 2009, Oracle. All rights reserved. 13
研究開発部門サーバ配送管理アプリケーション
経費精算アプリケーション
発注アプリケーション
開発部門サーバ在庫管理アプリケーション
入館証管理
AさんのID作成処理
Oracle Identity
Manager
ID情報のライフサイクル①(IDの作成・配信)
ログ
レポート出力
解析
AさんのIDと権限を作成
Copyright© 2009, Oracle. All rights reserved. 14
研究開発部門サーバ
経費精算アプリケーション
発注アプリケーション
開発部門サーバ在庫管理アプリケーション
Oracle Identity
Manager
AさんのID
削除処理
ID情報のライフサイクル②(IDの削除)
IDと権限の削除
ログ
レポート出力
解析
入館証管理
配送管理アプリケーション
Copyright© 2009, Oracle. All rights reserved. 15
不正ID操作の検知
UserA
UserB
UserC
UserD
配信済みID一覧
UserID : UserA
Last Name : User
First Name : A
Email : [email protected]
UserAの配信情報
直接ID追加
UserA
UserB
Test01
UserC
UserD
ターゲットシステム
UserID : UserA
Last Name : User
First Name : A
Email : [email protected]
直接属性変更スケジューリングされた不正ID操作検知
不正に作成されたID(test01)の検出
不正に変更された属性情報(Email) の検知
システム側での不正ID作成や不正ID属性操作の定期的検知を実現
Oracle Identity Manager
Copyright© 2009, Oracle. All rights reserved. 1616
Oracle Identity Manager
Oracle Identity Manager ~情報収集の自動化と豊富なレポーティング機能
不正ID情報ユーザー情報履歴
データベース
ID配信履歴 ワークフロー履歴
監査に必要なIDに関する情報をデータベースに保持
ユーザー・プロファイル履歴
ユーザー・リソース・アクセス履歴
リソース・アクセス・リスト履歴
削除済ユーザー
・・・・・・・・
・・・・・・・・・
操作情報や履歴情報を確認するための約40種類のレポートを標準装備
情報蓄積
レポート
IDに関する操作の証跡・証拠の自動収集とレポーティングを実現
Copyright© 2009, Oracle. All rights reserved. 1717
Oracle Identity Manager ~棚卸作業の自動化によるID管理の効率化
棚卸依頼作成から、レポート作成までをシステムが継続的に実施
Oracle IdentityManager
棚卸の設定定期的な依頼
棚卸実施
棚卸進捗確認
棚卸レポート作成
各システムのID棚卸を一箇所に集中させ、自動化・プロセス化を実現
Copyright© 2009, Oracle. All rights reserved.
定期的なパスワード変更が義務付けられていますか?
システム毎にパスワードのポリシーは異なりますか?
Notes や VB などのクラサバ型アプリケーションがありますか?
(情報システム部の方) パスワードリセットを手作業で実施していますか?
パスワードを覚えられないので何か(紙など)にメモしていませんか?
( 〃 ) 異動者及び退職者のシステム権限は即日更新していますか?
パスワードを忘れてリセットを依頼したことがありますか?
ご自身のチェックをしてみましょう
32
Copyright© 2009, Oracle. All rights reserved.
パスワードに関する課題
パスワードが覚えきれない
誕生日や社員番号をパスワードにしている。
定期的なパスワード変更が面倒
パスワードリセットの対応が増えた
付箋紙やメモにID・パスワードを書いている
有効期限切れで
パスワードロックがかかってしまった。
情シにパスワードリセットをお願いしてしまった。
監査でパスワード定期変更について指摘を受けた
34
Copyright© 2009, Oracle. All rights reserved.
パスワードに関する課題を放置すると起こりうるリスク
パスワードが覚えきれない
誕生日や社員番号をパスワードにしている。
定期的なパスワード変更が面倒
パスワードリセットの対応が増えた
付箋紙やメモにID・パスワードを書いている
有効期限切れで
パスワードロックがかかってしまった。
情シにパスワードリセットをお願いしてしまった。
監査でパスワード定期変更について指摘を受けた
システム利用ができないことによる生産性の低下する。
ユーザの利便性が悪化し、業務効率が低下する。
パスワードリセット対応など、運用管理者の負荷が増える。
不正使用、なりすまし、情報漏洩の危険性がある。
35
21Copyright© 2009, Oracle. All rights reserved. 21Copyright© 2009, Oracle. All rights reserved.
アクセス制御
ID管理ソリューション全体像
`
利用者の属性に応じたアクセス制御(認可)
シングルサインオン対象Webシステム
IDの配信変更
アクセス・認証管理
管理者
グループウェア
文書管理
統合ディレクトリ
許可
拒否
IDの作成から更新、廃棄までを適切に管理
人事システム
IDライフサイクル管理
売上管理システム
ポータル各アプリケーションの認証を一元管理
シングル・サインオン
なりすまし、フィッシング対策
特権ID対策 パスワード忘れ対策
Copyright© 2009, Oracle. All rights reserved.
Windows 認証でホストPCへサイン・オン
クラサバ型システム
ホストアプリケーション(OS390, AS400)
Java アプリケーション
ポータル、企業内システムetc
アプリケーションのID/パスワード入力を代行
各種アプリケーションへ自動ログイン
あらゆるアプリケーションへのシングルサイン・オンを実現
シングルサイン・オン対象システムの改修が不要
36
Oracle Enterprise Single Sign-On Suite (ESSO)
Copyright© 2009, Oracle. All rights reserved.
Oracle ESSOのシングルサインオンの仕組み
ユーザが各アプリケーションを起動すると、ESSO Logon Managerはアプリケーションのログオン画面を自動的に検知し、さらに自動的にID/Password入力、サブミットします。
これにより、ユーザのアプリケーションへのログオン操作は一切発生しなくなります。
ESSOLogon
Manager
ID/password自動入力、submit
ID/password自動入力、submit
ID/password自動入力、submit
Windowsアプリケーションログオン画面
Webシステムログオン画面
Host/mainflameログオン画面
38
Copyright© 2009, Oracle. All rights reserved.
Oracle ESSOのパスワード変更同期機能
Logon ManagerはSSO対象アプリケーションが既に持っているパスワードの定期変更との連動させ、新パスワードの自動生成、送信を行うことが可能です。
ユーザはアプリケーションが要求する定期的なパスワード変更要求もESSOに委託させることができるので、ユーザ自身のパスワード変更操作を一切する必要がありません。
シングルサインオン対象システム③新パスワードをパスワード変更
画面に自動的に入力し、自動的に送信
ユーザ
②パスワード変更画面を自動検出。予め定義されたポリシーに従い新パスワードとして、ランダムパスワードを生成
①シングルサインオン対象システムがパスワード変更画面を提示(システムの定期パスワード変更要求)
パスワード変更画面
④新パスワードは保存され、以降対象システムには新パスワードで自動ログオンします。
新パスワード
Logon Manager
39
Copyright© 2009, Oracle. All rights reserved.
Oracle ESSO設定情報の集中配布機能
社内にSSO対象のシステムが増えたとき等、リポジトリにアップロードを行うことで全クライアントへ新しい設定情報を自動的に配布することが可能です。
Logon Manager
Logon Manager
Logon Manager
ESSOリポジトリ(Active Directory,
Oracle Internet Directory等)
AdministrativeConsole
アプリーションテンプレート
※リポジトリはESSOの管理性を高めるためのものであり、必頇ではありません。アプリケーションテンプレートをファイルとして直接クライアントに渡すこともできます。
アップロード
自動取得
自動取得
自動取得
管理者
ユーザ
ユーザ
ユーザ
40
Copyright© 2009, Oracle. All rights reserved.
無償のアセスメントサービスをご提供しています
お使いのアプリケーションが、ESSO によってシングルサインが可能であることを短時間で検証いたします
ご用意頂くもの 事前お打合せ ご報告検証作業
検証レポートのご提示
今後の進め方をご相談
検証用 PC への ESSO 導入
ログオン画面の識別検証
※対象アプリケーションへの設定作業はございません
対象アプリケーションの情報ヒアリング
検証対象アプリケーションが利用できる検証用 PC
検証用の ID(ユーザー名)、パスワード
半日~二日間の検証期間で実施致します
TEL 0120-155-096 (フリーダイヤル)受付時間 月~金 9:00-12:00 / 13:00-18:00(祝日及び年末年始休業日を除きます)http://www.oracle.com/lang/jp/direct/index.html
あなたにいちばん近いオラクル
46
Copyright© 2011, Oracle. All rights reserved. 27
http://www.oracle.co.jp/inq_pl/INQUIRY/quest?rid=28
Oracle Direct 検索
あなたにいちばん近いオラクル
Oracle Directまずはお問合せください
Web問い合わせフォーム フリーダイヤル
専用お問い合わせフォームにてご相談内容を承ります。
※フォームの入力には、Oracle Direct Seminar申込時と同じログインが必要となります。
※こちらから詳細確認のお電話を差し上げる場合がありますので、ご登録されている連絡先が最新のものになっているか、ご確認下さい。
0120-155-096
※月曜~金曜 9:00~12:00、13:00~18:00
(祝日および年末年始除く)
システムの検討・構築から運用まで、ITプロジェクト全般の相談窓口としてご支援いたします。
システム構成やライセンス/購入方法などお気軽にお問い合わせ下さい。
Copyright© 2011, Oracle. All rights reserved.28
OTN×ダイセミ でスキルアップ!!
※OTN掲示版は、基本的にOracleユーザー有志からの回答となるため100%回答があるとは限りません。
ただ、過去の履歴を見ると、質問の大多数に関してなんらかの回答が書き込まれております。
Oracle Technology Network(OTN)を御活用下さい。
・一般的な技術問題解決方法などを知りたい!
・セミナ資料など技術コンテンツがほしい!
一般的技術問題解決にはOTN掲示版の
「ミドルウェア」をご活用ください
http://forums.oracle.com/forums/main.jspa?categoryID=484
過去のセミナ資料、動画コンテンツはOTNの
「OTNセミナー オンデマンド コンテンツ」へ
http://www.oracle.com/technetwork/jp/testcontent/index-086873-ja.html
※ダイセミ事務局にダイセミ資料を請求頂いても、お受けできない可能性がございますので予めご了承ください。
ダイセミ資料はOTNコンテンツ オン デマンドか、セミナ実施時間内にダウンロード頂くようお願い致します。
Copyright© 2011, Oracle. All rights reserved.29
OTNセミナー オンデマンド コンテンツダイセミで実施された技術コンテンツを動画で配信中!!
ダイセミのライブ感はそのままに、お好きな時間で受講頂けます。
※掲載のコンテンツ内容は予告なく変更になる可能性があります。
期間限定での配信コンテンツも含まれております。お早めにダウンロード頂くことをお勧めいたします。
OTN オンデマンド
最新情報つぶやき中
OracleMiddle_jp・人気コンテンツは?
・お勧め情報
・公開予告 など
Copyright© 2011, Oracle. All rights reserved.30
Oracle エンジニアのための技術情報サイト
オラクルエンジニア通信http://blogs.oracle.com/oracle4engineer/
• 技術資料• ダイセミの過去資料や製品ホワイトペーパー、スキルアップ資料などを多様な方法で検索できます
• キーワード検索、レベル別、カテゴリ別、製品・機能別
• コラム
• オラクル製品に関する技術コラムを毎週お届けします
• 決してニッチではなく、誰もが明日から使える技術の「あ、そうだったんだ!」をお届けします こんな資料が人気です
6か月ぶりに資料ダウンロードランキングの首位が交代!新王者はOracle Database構築資料でした。
データベースの性能管理手法について、Statspack派もEnterprise Manager派も目からウロコの技術特集公開中
オラクルエンジニア通信
最新情報つぶやき中
oracletechnetjp
Copyright© 2011, Oracle. All rights reserved. 31
■パフォーマンス診断サービス•Webシステム ボトルネック診断サービス
•データベースパフォーマンス診断サービス
オラクル社のエンジニアが 直接ご支援しますお気軽にご活用ください!
オラクル 無償支援 検索
NEW■システム構成診断サービス•Oracle Database構成相談サービス
•サーバー統合支援サービス
•仮想化アセスメントサービス
•メインフレーム資産活用相談サービス
•BI EEアセスメントサービス
•簡易業務診断サービス
■バージョンアップ支援サービス•Oracle Databaseバージョンアップ支援サービス
•Weblogic Serverバージョンアップ支援サービス
•Oracle Developer/2000(Froms/Reports)Webアップグレード相談サービス
■移行支援サービス•SQL Serverからの移行支援サービス
•DB2からの移行支援サービス
•Sybaseからの移行支援サービス
•MySQLからの移行支援サービス
•Postgre SQLからの移行支援サービス
•Accessからの移行支援サービス
•Oracle Application ServerからWeblogicへ移行支援サービス
ITプロジェクト全般に渡る無償支援サービス
Oracle Direct Conciergeサービス
NEW
NEW
Copyright© 2011, Oracle. All rights reserved. 32
インストールすることなく、すぐに体験いただけます
製品無償評価サービス
http://www.oracle.com/jp/direct/services/didemo-195748-ja.html
Web問い合わせフォーム「ダイデモ」をキーワードに検索することで申し込みホームページにアクセスできます
提供シナリオ一例
・データベースチューニング
・アプリケーション性能・負荷検証
・無停止アップグレード
・Webシステム障害解析
1日5組限定!
※サービスご提供には事前予約が必要です
• サービスご提供までの流れ1. お問合せフォームより「製品評価サービス希望」と必要事項を明記し送信下さい
2. 弊社より接続方法手順書およびハンズオン手順書を送付致します
3. 当日は、弊社サーバー環境でインターネット越しに製品を体感頂けます
Copyright© 2011, Oracle. All rights reserved.
Copyright© 2011, Oracle. All rights reserved. 34