More Related Content More from Insight Technology, Inc. (20) 20150225_情報漏えい対策セミナー_監視されようよ いっしょに ~リアルタイムアクセス監視で情報漏洩を防ぐ~ by 株式会社インサイトテクノロジー 溝上弘起6. 日付 会社名 漏洩内容
2014年9月9日 株式会社NTTドコモ
法人のお客様に保守運用サービスを提供するためにお預かりしていた、1社1,053名分の社員
様の個人宅住所を含む管理情報(法人様名、業務用携帯電話番号、業務用携帯電話のご利用者名、
ご住所等)が流出した疑い
2014年9月9日 独立行政法人 交通安全環境研究所
過去に当研究所の講演会、フォーラム、およびシンポジウムに当研究所のホームページを通じて参
加登録いただいた方の入力情報が、8月15日から26日の12日間、インターネットにおいて検索・
閲覧可能になっていたことが判明
2014年8月29日 株式会社南日本放送
メール配信サービス「ふるぷりネット」の会員様情報の一部が、外部からの不正アクセスにより漏
えいする事案が発生。漏えいしたのは2012年10月31日まで使用していた古いデータベースにあっ
た2万828人の情報で、メールアドレス、郵便番号、電話番号、生年月日、パスワード。
2014年8月25日 株式会社タム・タム
平成 26 年5 月 3 日から同年6月20 日までの期間に、弊社 EC サイトをご利用いただいたお客様
のカード情報流出の事実が判明
2014年7月17日
独立行政法人
新エネルギー・産業技術総合開発機構
個人情報及び事業者の非公開情報の一部が、四国経済産業局を通じて漏えいする事案が発生
2014年7月9日 株式会社ベネッセコーポレーション
お客様情報約 760 万件が外部に漏えいしたことが確認。最大約 2,070 万件のお客様情報が漏えい
している可能性
2014年3月4日 ジブラルタ生命保険株式会社 旧エイアイジー・スター生命の保険契約に関するお客さま情報 18 名分の社外への漏えいが判明
11. DBAが関心を持っているリスク
A
B
C
D
E
F
G
H
I
0 150 300 450 600
アプリケーションの脆弱性を突いたSQLインジェクションによる情報漏えい
管理者あるいは悪意を持った内部者による不正操作
バックアップメディアの盗難・紛失
アプリケーションの脆弱性を突いたSQLインジェクションによる情報改ざん
DBMSの脆弱性や設定ミスを悪用した攻撃
DBアカウントに対するパスワード辞書攻撃による不正ログイン
DBMS関連ファイルの改ざんによる情報の改ざん、破壊
内部セグメントにおけるDB通信パケットの盗聴
DBMS内またはDBサーバに対するバックドアの作成
0 150 300 450 600人
28. • ユーザからのアクセス: リスクなし
– アプリケーション上で個人IDを発行しアクセスが制御されている
• 悪意のあるアクセス: リスク中
– SQL Injectionやクロスサイトスクリプティングによる攻撃
• 特権IDの利用: リスク大
– メンテナンス作業などを実施する都合上、全てのデータに対してア
クセス権限を持っている
– マスタデータの更新作業時に意図しない変更などをしてしまう
– IDを共有しておりアクセス元の個人が特定できない
– クレジット情報などをPCにダウンロードして作業している
アプリケーションを介したデータアクセス 情報システム部門からのアクセス
DBAPUser DBA
30. 1. 特権IDの精査
2. ログモニタリング
- 業務で必要な権限を精査し、必要最低限の権限を与える
- プログラム、データの変更が可能なIDは都度貸出とする
- 情報システム部門保有ID以外に、システム導入時に設定
されたIDを精査し、利用を厳格に管理・制限する
- 特権ID及び高権限ID利用の前後で作業内容の確認を
行い、修正ミスや未承認の更新がないことを確認
- 特権IDの操作ログを取得し、定期的にレビューする
- 貸出期間外でのログインを検知・監視する
31. 1. 特権IDの精査
2. ログモニタリング
- 業務で必要な権限を精査し、必要最低限の権限を与える
- プログラム、データの変更が可能なIDは都度貸出とする
- 情報システム部門保有ID以外に、システム導入時に設定
されたIDを精査し、利用を厳格に管理・制限する
- 特権ID及び高権限ID利用の前後で作業内容の確認を
行い、修正ミスや未承認の更新がないことを確認
- 特権IDの操作ログを取得し、定期的にレビューする
- 貸出期間外でのログインを検知・監視する
40. Database Activity Monitoring とは
1. 管理者のアクティビティおよび、"SELECT" トランザクションを含む、すべてのデータベースアクティビティ
の監視、監査ができること。ツールは、DML, DDL, DCL, TCLのすべてのSQLトランザクションを記録できる
こと。
2. 上記アクティビティをセキュアに監視対象データベースの外部に記録できること
3. 複数のデータベースシステムのアクティビティを集めることができる。ツールは、Oracle, SQL Serverなど
の複数のデータベースをサポートし、異なるデータベースのSQLの差異を標準化することができる
4.データベース管理者と職務の分掌ができる。監査には、データベース管理者のアクティビティを監視すること
が含まれるため、ツールはデータベース管理者がアクセスでき、設定変更やログの改変ができてはならない。
5.ポリシー違反のアクセスに対してアラートをあげられること。ツールは、アクティビティを記録するだけでは
不十分であり、ルールベースでのリアルタイムの監視機能を提供する必要がある。(例えば、「データベース管
理者がクレジットカード情報に対して5件以上のSELECTクエリを発行した場合にリアルタイムでアラートを
あげる」といった機能を提供する必要がある)
41. Database Activity Monitoring とは
1. 管理者のアクティビティおよび、"SELECT" トランザクションを含む、すべてのデータベースアクティビティ
の監視、監査ができること。ツールは、DML, DDL, DCL, TCLのすべてのSQLトランザクションを記録できる
こと。
2. 上記アクティビティをセキュアに監視対象データベースの外部に記録できること
3. 複数のデータベースシステムのアクティビティを集めることができる。ツールは、Oracle, SQL Serverなど
の複数のデータベースをサポートし、異なるデータベースのSQLの差異を標準化することができる
4.データベース管理者と職務の分掌ができる。監査には、データベース管理者のアクティビティを監視すること
が含まれるため、ツールはデータベース管理者がアクセスでき、設定変更やログの改変ができてはならない。
5.ポリシー違反のアクセスに対してアラートをあげられること。ツールは、アクティビティを記録するだけでは
不十分であり、ルールベースでのリアルタイムの監視機能を提供する必要がある。(例えば、「データベース管
理者がクレジットカード情報に対して5件以上のSELECTクエリを発行した場合にリアルタイムでアラートを
あげる」といった機能を提供する必要がある)
PISOが満たす要件は・・・?
42. Database Activity Monitoring とは
1. 管理者のアクティビティおよび、"SELECT" トランザクションを含む、すべてのデータベースアクティビティ
の監視、監査ができること。ツールは、DML, DDL, DCL, TCLのすべてのSQLトランザクションを記録できる
こと。
2. 上記アクティビティをセキュアに監視対象データベースの外部に記録できること
3. 複数のデータベースシステムのアクティビティを集めることができる。ツールは、Oracle, SQL Serverなど
の複数のデータベースをサポートし、異なるデータベースのSQLの差異を標準化することができる
4.データベース管理者と職務の分掌ができる。監査には、データベース管理者のアクティビティを監視すること
が含まれるため、ツールはデータベース管理者がアクセスでき、設定変更やログの改変ができてはならない。
5.ポリシー違反のアクセスに対してアラートをあげられること。ツールは、アクティビティを記録するだけでは
不十分であり、ルールベースでのリアルタイムの監視機能を提供する必要がある。(例えば、「データベース管
理者がクレジットカード情報に対して5件以上のSELECTクエリを発行した場合にリアルタイムでアラートを
あげる」といった機能を提供する必要がある)
PISOが満たす要件は・・・?