Embed Size (px)
Citation preview
守るべきは、大量の情報資産を管理するデータベース!
~ユーザ事例から見るデータベースのセキュリティ対策~
コンサルティング事業部森田 俊哉
自己紹介
■名前 森田 俊哉 / Toshiya Morita
■所属 株式会社インサイトテクノロジーコンサルティング事業部部長兼取締役
■主な仕事 データベースコンサルティングマネージメントプロダクトプリセールス
■過去の職歴 C言語プログラマー~C言語デバッガー開発UNIX管理者/Oracle DBAデータベースチューニング等々
Insight Technologyとは?
コンサルティングサービス ソフトウェア ハードウェア
システム設計~運用まで
データベース総合ソリューション
データベースの様々な課題を
解決する各種ソフトウェア
高性能・低コスト・高信頼性
データベース専用マシン
データベースに関連するナレッジと技術力を追求し、ソフトウェア、ハードウェア、サービスを最適に組み合わせてお客様に提供する会社です。
高速・低コスト・セキュア なデータベース環境を実現
データベースのセキュリティ保全ツール(自社開発)
マルチデータベースのリアルタイムレプリケーションツール
次世代型データウェアハウス向け 超高速データベース
Oracle Standard Edition向け DR構築ツール
データベースのパフォーマンス監視・分析ツール(自社開発)
情報漏洩事件の傾向
侵害された資産のタイプで分類した場合のデータ漏洩・侵害事例の割合(大規模企業・組織)
5%
7%
5%
10%
5%
33%
33%
0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100%
一般従業員/エンドユーザー
コールセンターのスタッフ
ノートブック/ネットブック
メールサーバー
ファイルサーバー
ウェブ/アプリケーションサーバー
データベースサーバー
ベライゾン社「2012年度データ漏洩/侵害調査報告書」より
侵害された資産のタイプで分類した場合の企業・組織が持つ全データに対する漏洩したデータ数の割合(大規模企業・組織)
<1%
<1%
<1%
2%
<1%
82%
98%
0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100%
一般従業員/エンドユーザー
コールセンターのスタッフ
ノートブック/ネットブック
メールサーバー
ファイルサーバー
ウェブ/アプリケーションサーバー
データベースサーバー
ベライゾン社「2012年度データ漏洩/侵害調査報告書」より
8
近年の大規模漏洩事件
2011年 ゲーム関連会社漏洩事件7,700万件もの情報が流出外部からサーバーへの不正アクセス(データベースサーバー上からダウンロード)事件が発覚してから、犯人特定までに1週間
2014年 教育関連会社漏洩事件3,504万件もの情報が流出犯人は派遣会社社員(データベースからスマホへコピー)事件が発覚してから、犯人特定までに1週間
2015年 年金機構漏洩事件125万件もの情報が流出標的型メールによるファイルサーバーからの流出事件が発覚してから、状況確認までに2ヶ月以上
2016年 大手旅行代理店漏洩事件793万件もの情報が流出外部からサーバーへの不正アクセス(データベースサーバー上にCSV作成しダウンロード)事件が発覚してから、状況確認までに10日間
企業イメージの低下
多額の補償金
顧客数の激減
企業システム
データベースサーバ
データベースに対する脅威
9
機密情報医療・財務
クレジットカード個人情報
データベース内の機密情報は、破壊、改ざん、漏えいのリスクを抱えている
WAF(Webアプリケーションファイアウォール)
ファイアウォール IPS/IDS
通常業務アクセス 運用管理業務アクセス企業内部からの脅威
不正侵入アクセス
ウイルス 不正侵入SQLインジェクション外部からの脅威
脅威に対するデータベースセキュリティリスクと対策
通信の傍受・盗聴
データの持ち出し
d. 暗号化
なりすまし
パスワード盗難
a. アカウント管理
正当な権限を
使用した不正行為
c. ログ監査
業務権限を
超えた不正操作
b. アクセス制御
BigData Hadoop
急速に増え続けているデータベースソフトウェアの選択肢
RDBMS
Total Software Revenue, Worldwide 2010-2011
Oracle
48.8%
IBM
20.2%
Microsoft
17.0%
SAP/Sybase
4.6%
Teradata
3.7%
Others
5.8%
Oracle IBM Microsoft SAP/Sybase Teradata Others
出典:Gartner 2011 Worldwide RDBMS Market Share Reports
DB-Engines Ranking
Oracle
26.8%
MySQL
25.5%
SQL Server
22.8%
PostgreSQL
6.0%
DB2
3.4% Others
15.5%
Oracle MySQL SQL Server PostgreSQL DB2 Others
出典:http://db-engines.com/en/ranking
マルチデータベースでもセキュリティ対策は、必須!
OSS(MySQL/PostgreSQL)などもOracle/SQL Serverと同様に!
Copyright © 2012 Insight Technology, Inc. All Rights Reserved. 14
データベースセキュリティ
データベースセキュリティリスクとその対策
Copyright © 2015 Insight Technology, Inc. All Rights Reserved.
リスク 対策 設計 運用マルチ
DB
aなりすまし
パスワード盗難アカウント管理
・利用者職務の分離・利用者・用途ごとの作成・定期的な変更管理
✔ ✔
b業務権限を
超えた不正操作アクセス制御
・データベースに対するアクセス制御・テーブルに対するアクセス制御・テーブルの列に対するアクセス制御
✔ ✔
c正当な権限を
使用した不正行為ログ監査
4W(who/when/where/what)1H(how many)を記録し、素早く追跡出来る仕組み
✔ ✔ ✔
d通信の傍受・盗聴
データの持ち出し暗号化
重要なデータ(個人情報・カード情報)に対する暗号化 ✔ ✔ ✔
Copyright © 2012 Insight Technology, Inc. All Rights Reserved. 16
データベースセキュリティツールのご紹介
セキュリティ運用導入へのハードル
運用中のシステムに大量の個人情報・機密情報が存在している監査実施が必要だが…暗号化したい・・・
Copyright © 2016 Insight Technology, Inc. All Rights Reserved.
監査は必要だが何を監査すれば良いかわからない…監査するとパフォーマンスが心配…監査データのバックアップ、メンテナンスが必要で運用負荷が高い
暗号化はしてみたいが暗号化ロジックの手法・実装方法が難しいパフォーマンスが心配
導入実績 566社 4,112ライセンス
業種別導入比率
2016年3月実績 (自社調べ)
主な導入企業名(敬称略、順不同)• 株式会社NTTぷらら• NECエンペデッドプロダクツ株式会社• 東邦ガス情報システム株式会社• ガンホー・オンライン・エンターテイメント株式会社• 株式会社リクルートテクノロジーズ• 東芝テック株式会社• 株式会社ピーチ・ジョン
PISO導入実績(2004年10月~)
Copyright © 2016 Insight Technology, Inc. All Rights Reserved.
データベース・セキュリティ対策
19
アカウント管理ID/Password
ログ監査
暗号化
情報漏洩、改ざんをモニタリング・通知
・特権ユーザへ機密情報を閲覧させない・持ち出しからの防御
必須対策
アクセス制御権限所有者/特権ユーザ
必須対策
DBサーバAPサーバUser DBA
ログ管理・暗号化管理サーバ
PISO/PISOEOの基本構成
PISO Manager
PISO Agent
対応データベース
Oracle
SQLServer
PostgreSQL
MySQL
PISO/PISOEOで出来ること
1. アクセスログの記録
4. 監査レポート生成
DBサーバAPサーバUser DBA
PISO Agent
PISO Manager
2. アクセスログの検索
時間帯
オブジェクトセキュリティレベル
ユーザ データ件数
3. 不正アクセスリアルタイム警告
携帯電話PCメール
統合運用管理ツール
5. 暗号化(PISOEO)
ログ管理・暗号化管理サーバ
PISO/PISOEO導入による効果
各種法規制への対応 セキュリティ監査や内部統制への対応施策として
運用者の作業証跡 PISOを使用して記録に残すことで、積極的に自らの作業証明をする
セキュリティ意識の向上、抑止力発生 セキュリティツールを導入していることでの意識向上 暗号化による抑止力 モニタリング機能による抑止力
運用コスト削減 監査ログ運用を実装する工数を、PISOによる監査運用で削減可能 短期間で監査ログ運用の開始が可能 監査ログ運用を自動化(スケジュール化)して、短時間かつスムーズに
Copyright © 2016 Insight Technology, Inc. All Rights Reserved.
Copyright © 2012 Insight Technology, Inc. All Rights Reserved. 23
PISO活用事例
提案モデル: J-SOX IT全般統制対応
24
作業申請書
開発者・管理者 監査担当セキュリティ担当
SQL
作業申請書
申請と一致した
アクセスを証明データアクセス履歴
1. 監査レポート運用
提案モデル: J-SOX IT全般統制対応
Copyright © 2011 Insight Technology, Inc. All Rights Reserved. 25
開発者・管理者不正侵入者
SQL
【不正アクセス監視】- 禁止アドレス- 禁止時間帯- 禁止オブジェクト- 禁止プログラム- 権限エラー- 大量データアクセスなど統制ルール違反を監視→通知
2.モニタリング運用
データアクセス履歴監査担当
セキュリティ担当原因調査
リアルタイム通知
事例1:東芝テック株式会社様
26
目的:日本版SOX法対策(新日本監査法人)
対象システム: 会計、生産管理、資材購買、人事管理等、9システム
(Oracle E-Business Suite)
ポイント:共有IDの監査、監査レポートの活用
東芝テック
生産本部 情報システム部 応用システム開発担当
グループ長:戸城篤人様
東芝テック株式会社
http://www.toshibatec.co.jp/index.html.ja
資本金:399億円
売上高:266,537百万円(平成20年3月期)
従業員数3,622人
事業内容
-リテールソリューション事業
-ドキュメントシステム事業
-オートID・プリンタ事業
特権ユーザAPPの共有問題
Copyright © 2012 Insight Technology, Inc. All Rights Reserved. 27
EBSユーザー
APサーバー DBサーバー
SQL SQL
運用・開発者
APPS(特権ユーザ)
DB特権ユーザを共有=統制できない
誰がどんな作業をしたか
確認できない プログラム本番登録権限は職務上必要な者のみに限定
課題:開発者と運用者の職務分離→人員不足により実現できない
解決策:システム責任者が本番環境のアクセスをPISOからモニタリング
DBMSアクセスユーザーID管理(特権ユーザ管理)
課題:特権ユーザIDは個人別に発行し、パスワードを定期的に変更
→稼動中のシステムへの変更不可能
解決策:システム責任者が作業内容、不正アクセスをPISOからモニタリング
発見的統制による解決(アクセスログ監査)
28
EBSユーザー
APサーバー
DBサーバー
SQL
SQL運用・開発者
APPS_MNT(特権ユーザ)
DB特権ユーザを分離=アクセスログで統制
個人毎に作業端末(IP)を固定
→PISOから行為特定し、監査レポート作成
ID管理により解消
(IDM製品)
APPS(特権ユーザ)
レポートサンプル
Copyright © 2012 Insight Technology, Inc. All Rights Reserved. 29
未許可アクセスレポート(ZEROレポート)運用規定外の経路でアクセスが無い事を監査できます。
事例2:株式会社ピーチ・ジョン様
Copyright © 2012 Insight Technology, Inc. All Rights Reserved. 30
目的:日本版SOX法対策対象システム:統合CRMシステム(顧客/受注情報システム)-Oracle10g Enterprise Edition-SQL処理量:1,000万以上 / 日-同時接続数:400~450セッション(ピーク時)
Web:http://www.peachjohn.co.jp/
事業内容:
インナーウェア、アウターウェア、コスメ、雑貨などの
企画および販売
「元気・ハッピィ・SEXY」をコンセプトとした、
ランジェリー、アウター、コスメなど幅広い製品
を、カタログ通信販売、Webオンラインショップ
での販売、直営店での販売
2008年1月、株式交換によりワコールホール
ディングスの100%子会社に。
アクセスログ記録要件
Copyright © 2012 Insight Technology, Inc. All Rights Reserved. 31
SQL文の記録
データベースへの負荷を考慮した記録と監視
個人情報を大量検索したアクセスを記録・監視
特定アプリケーションからのアクセスを記録・監視
特定ユーザからのアクセスを記録・監視
特定時間帯のアクセスを記録・監視
検討対象製品 PISO Oracle標準監査機能を利用する製品 ログをネットワークキャプチャする製品
対策案と採用のポイント
Copyright © 2012 Insight Technology, Inc. All Rights Reserved. 32
対策案1- Oracle標準監査機能を利用する製品- ログをネットワークキャプチャする製品
結果- パフォーマンス劣化(CPU使用率30%上昇)し、本番環境に導入できない。- ローカルアクセスログが取得できず十分な特権ユーザ監視が出来ない。
対策案1・不採用
対策案2・採用
• 対策案2
– パフォーマンスを劣化させないツールの導入
– SQL文の取得、ローカルアクセスログを含む特権ユーザ管理の実現
• 結果
– メモリ情報からのログ収集により負荷軽減
– 必要なログ管理とパフォーマンス維持を実現
PISO導入効果
Copyright © 2012 Insight Technology, Inc. All Rights Reserved. 33
情報セキュリティ観点の運用効果
委託先に対しての抑止効果の向上
個人情報に対する不用意なアクセスの減少
不正アクセスポリシー(大量データのアクセスや、特権ユーザ)
をつくり、ログ容量の負荷を軽減しながらログ管理を実現
J-SOX/内部統制観点の運用効果
親会社と監査法人との定例時に特権ユーザのアクセスログレポートを提示し、不正が無いことを証明
特権ユーザのみのログを管理することにより運用工数を削減
データベース・セキュリティ対策まとめ
34
アカウント管理ID/Password
アクセス制御
ログ監査(情報漏洩・改ざんをモニタリング・通知)
暗号化(特権ユーザへの閲覧防止持ち出しからの防御)
必須対策
必須対策
守るべきは、大量の情報資産を管理するデータベース!
~適切なソリューション(ツール)との組み合わせでセキュリティを確保!~
http://www.db-tech-showcase.com/data-analytics-showcase
記載されている会社名、サービス名、製品名は、株式会社インサイトテクノロジーおよび各社の商標または登録商標です。
Copyright 2016 Insight Technology, Inc. All Rights Reserved.
![[Lab [Lab 4 444]]]] データベースデータベースの物理 …7 2.3 データベース作成 インスタンスは既に作成されている、db2inst1インスタンスを使用するため、データベース](https://img.pdfslide.net/doc/110x75/5f4a59df5242f57aad38e959/lab-lab-4-444-ffffffffcc-7-23-ffffoe.jpg)
![[20171129 db tech salon] GPUデータベースが変えるGIS分析のこれから by 株式会社インサイトテクノロジー GISスペシャリスト 井内 一史](https://img.pdfslide.net/doc/110x75/5a64788f7f8b9a46568b45bb/20171129-db-tech-salon-gpugis.jpg)
