1. 疑われながら 仕事をするのか
情報漏洩対策セミナー
監視されようよ いっしょに
株式会社インサイトテクノロジー
溝上弘起
∼リアルタイムアクセス監視で情報漏洩を防ぐ∼

2. 監視されようよ いっしょに

3. 監視されようよ いっしょに
リアルタイムに

4. Why How What
監視されようよ いっしょに

5. Why How What
監視されようよ いっしょに

6. 日付 会社名 漏洩内容
2014年9月9日 株式会社ＮＴＴドコモ
法人のお客様に保守運用サービスを提供するためにお預かりしていた、１社１，０５３名分の社員
様の個人宅住所を含む管理情報（法人様名、業務用携帯電話番号、業務用携帯電話のご利用者名、
ご住所等）が流出した疑い
2014年9月9日 独立行政法人 交通安全環境研究所
過去に当研究所の講演会、フォーラム、およびシンポジウムに当研究所のホームページを通じて参
加登録いただいた方の入力情報が、8月15日から26日の12日間、インターネットにおいて検索・
閲覧可能になっていたことが判明
2014年8月29日 株式会社南日本放送
メール配信サービス「ふるぷりネット」の会員様情報の一部が、外部からの不正アクセスにより漏
えいする事案が発生。漏えいしたのは2012年10月31日まで使用していた古いデータベースにあっ
た2万828人の情報で、メールアドレス、郵便番号、電話番号、生年月日、パスワード。
2014年8月25日 株式会社タム・タム
平成 26 年5 月 3 日から同年6月20 日までの期間に、弊社 EC サイトをご利用いただいたお客様
のカード情報流出の事実が判明
2014年7月17日
独立行政法人
新エネルギー・産業技術総合開発機構
個人情報及び事業者の非公開情報の一部が、四国経済産業局を通じて漏えいする事案が発生
2014年7月9日 株式会社ベネッセコーポレーション
お客様情報約 760 万件が外部に漏えいしたことが確認。最大約 2,070 万件のお客様情報が漏えい
している可能性
2014年3月4日 ジブラルタ生命保険株式会社 旧エイアイジー・スター生命の保険契約に関するお客さま情報 18 名分の社外への漏えいが判明

7. 情報漏洩の98%のデータは
データベースサーバから
出典: Verizon データ漏洩/侵害調査報告書 2012

8. 顧客情報 アクセス権限を持つ人物 名簿業者
情報流出ルート
従業員情報
企業内

9. 疑われるのは DBAやSE

10. DBA 1,000人に聞きました
データベースセキュリティコンソーシアム調べ
http://www.db-security.org/report/dbsc_dba_ver1.0.pdf

11. DBAが関心を持っているリスク
A
B
C
D
E
F
G
H
I
0 150 300 450 600
アプリケーションの脆弱性を突いたSQLインジェクションによる情報漏えい
管理者あるいは悪意を持った内部者による不正操作
バックアップメディアの盗難・紛失
アプリケーションの脆弱性を突いたSQLインジェクションによる情報改ざん
DBMSの脆弱性や設定ミスを悪用した攻撃
DBアカウントに対するパスワード辞書攻撃による不正ログイン
DBMS関連ファイルの改ざんによる情報の改ざん、破壊
内部セグメントにおけるDB通信パケットの盗聴
DBMS内またはDBサーバに対するバックドアの作成
0 150 300 450 600人

12. 将来、データベースに格納されている情報を
こっそり売却するかも知れない。Q

13. 将来、データベースに格納されている情報を
こっそり売却するかも知れない。Q
65.5%
10.4%
13.4%
7.1%
3.6%
そう思う
ややそう思う
どちらとも言えない
あまりそう思わない
そう思わない

14. 疑われるのは DBAやSE

15. Why How What
監視されようよ いっしょに

16. DEMOreal-time data access monitoring

17. 顧客情報データベース アクセス権限を持つ人物 名簿業者
情報流出ルート

18. 顧客情報データベース アクセス権限を持つ人物 名簿業者
不正アクセスをリアルタイム検知
ICHIKAWA

19. 顧客情報データベース アクセス権限を持つ人物 名簿業者
不正アクセスをリアルタイム検知
select /* PISO_Seminar */ * from app.customer;

21. 顧客情報データベース アクセス権限を持つ人物 名簿業者
不正アクセスをリアルタイム検知

22. 顧客情報データベース アクセス権限を持つ人物 名簿業者
不正アクセスをリアルタイム検知

23. 顧客情報データベース アクセス権限を持つ人物 名簿業者
不正アクセスをリアルタイム検知して、情報漏洩を防ぐ

24. 内部犯行による情報漏洩をどうやって防ぐ？

25. 1. 課題
2. 解決方法

26. 1. 課題

27. 1. 課題 情報システム部門のエンジニアは
業務上、高権限のID(特権ID)が必要なため
重要情報にアクセス可能
=

28. • ユーザからのアクセス： リスクなし
– アプリケーション上で個人IDを発行しアクセスが制御されている
• 悪意のあるアクセス： リスク中
– SQL Injectionやクロスサイトスクリプティングによる攻撃
• 特権IDの利用： リスク大
– メンテナンス作業などを実施する都合上、全てのデータに対してア
クセス権限を持っている
– マスタデータの更新作業時に意図しない変更などをしてしまう
– IDを共有しておりアクセス元の個人が特定できない
– クレジット情報などをPCにダウンロードして作業している
アプリケーションを介したデータアクセス 情報システム部門からのアクセス
DBAPUser DBA

29. 2. 解決方法 特権IDをどのように管理するか？=

30. 1. 特権IDの精査
2. ログモニタリング
- 業務で必要な権限を精査し、必要最低限の権限を与える
- プログラム、データの変更が可能なIDは都度貸出とする
- 情報システム部門保有ID以外に、システム導入時に設定
されたIDを精査し、利用を厳格に管理・制限する
- 特権ID及び高権限ID利用の前後で作業内容の確認を
行い、修正ミスや未承認の更新がないことを確認
- 特権IDの操作ログを取得し、定期的にレビューする
- 貸出期間外でのログインを検知・監視する

31. 1. 特権IDの精査
2. ログモニタリング
- 業務で必要な権限を精査し、必要最低限の権限を与える
- プログラム、データの変更が可能なIDは都度貸出とする
- 情報システム部門保有ID以外に、システム導入時に設定
されたIDを精査し、利用を厳格に管理・制限する
- 特権ID及び高権限ID利用の前後で作業内容の確認を
行い、修正ミスや未承認の更新がないことを確認
- 特権IDの操作ログを取得し、定期的にレビューする
- 貸出期間外でのログインを検知・監視する

32. データベースの操作履歴・アクセス履歴を
ログとして取得していますか?Q

33. Q
9.1%
26.9%
27.2%
36.8% はい
「一部だけ」はい
いいえ
わからない
データベースの操作履歴・アクセス履歴を
ログとして取得していますか?

34. ログ取得/ログ監査 だけでは不十分

35. リアルタイムに監視する仕組みが…
内部不正アクセスを抑制し 情報漏洩を防ぐ
監視されようよ いっしょに

36. Why How What
監視されようよ いっしょに

37. データベースセキュリティ製品

38. データベースセキュリティ製品のトレンド
Database
Auditing
Database
Activity
Monitoring

40. Database Activity Monitoring とは
1. 管理者のアクティビティおよび、"SELECT" トランザクションを含む、すべてのデータベースアクティビティ
の監視、監査ができること。ツールは、DML, DDL, DCL, TCLのすべてのSQLトランザクションを記録できる
こと。
2. 上記アクティビティをセキュアに監視対象データベースの外部に記録できること
3. 複数のデータベースシステムのアクティビティを集めることができる。ツールは、Oracle, SQL Serverなど
の複数のデータベースをサポートし、異なるデータベースのSQLの差異を標準化することができる
4.データベース管理者と職務の分掌ができる。監査には、データベース管理者のアクティビティを監視すること
が含まれるため、ツールはデータベース管理者がアクセスでき、設定変更やログの改変ができてはならない。
5.ポリシー違反のアクセスに対してアラートをあげられること。ツールは、アクティビティを記録するだけでは
不十分であり、ルールベースでのリアルタイムの監視機能を提供する必要がある。(例えば、「データベース管
理者がクレジットカード情報に対して5件以上のSELECTクエリを発行した場合にリアルタイムでアラートを
あげる」といった機能を提供する必要がある)

41. Database Activity Monitoring とは
1. 管理者のアクティビティおよび、"SELECT" トランザクションを含む、すべてのデータベースアクティビティ
の監視、監査ができること。ツールは、DML, DDL, DCL, TCLのすべてのSQLトランザクションを記録できる
こと。
2. 上記アクティビティをセキュアに監視対象データベースの外部に記録できること
3. 複数のデータベースシステムのアクティビティを集めることができる。ツールは、Oracle, SQL Serverなど
の複数のデータベースをサポートし、異なるデータベースのSQLの差異を標準化することができる
4.データベース管理者と職務の分掌ができる。監査には、データベース管理者のアクティビティを監視すること
が含まれるため、ツールはデータベース管理者がアクセスでき、設定変更やログの改変ができてはならない。
5.ポリシー違反のアクセスに対してアラートをあげられること。ツールは、アクティビティを記録するだけでは
不十分であり、ルールベースでのリアルタイムの監視機能を提供する必要がある。(例えば、「データベース管
理者がクレジットカード情報に対して5件以上のSELECTクエリを発行した場合にリアルタイムでアラートを
あげる」といった機能を提供する必要がある)
PISOが満たす要件は・・・?

42. Database Activity Monitoring とは
1. 管理者のアクティビティおよび、"SELECT" トランザクションを含む、すべてのデータベースアクティビティ
の監視、監査ができること。ツールは、DML, DDL, DCL, TCLのすべてのSQLトランザクションを記録できる
こと。
2. 上記アクティビティをセキュアに監視対象データベースの外部に記録できること
3. 複数のデータベースシステムのアクティビティを集めることができる。ツールは、Oracle, SQL Serverなど
の複数のデータベースをサポートし、異なるデータベースのSQLの差異を標準化することができる
4.データベース管理者と職務の分掌ができる。監査には、データベース管理者のアクティビティを監視すること
が含まれるため、ツールはデータベース管理者がアクセスでき、設定変更やログの改変ができてはならない。
5.ポリシー違反のアクセスに対してアラートをあげられること。ツールは、アクティビティを記録するだけでは
不十分であり、ルールベースでのリアルタイムの監視機能を提供する必要がある。(例えば、「データベース管
理者がクレジットカード情報に対して5件以上のSELECTクエリを発行した場合にリアルタイムでアラートを
あげる」といった機能を提供する必要がある)
PISOが満たす要件は・・・?

43. Database Activity Monitoring

44. 3,200+ installed
Oracle, SQL Server, Symfoware

45. PISO
Guardium
Chakra
Imperva
SSDB監査
その他
2013年度 データベース監査系ツール出荷金額別シェア
出展: 情報セキュリティソリューション市場の現状と将来展望2012 ミック経済研究所
-メガバンクM社
-大手生命保険会社H社
-証券会社R社
-株式会社マネーパートナーズ
-大手キャリアN社
-株式会社NTTぷらら
-株式会社ケイ・オプティコム
-大手製造メーカーP社
-大手製造メーカーT社
-東芝テック株式会社
-NECパーソナルコンピューター株式会社
-郵便事業会社J社
-省庁B
-大手ガス会社O社
-東邦ガス情報システム株式会社
-大手旅客会社J社
-テレビ放送会社N社
-大手飲料メーカS社
-大手流通会社K社
-大手流通会社S社
-株式会社リクルート
-白銅株式会社
-株式会社ピーチ・ジョン
PISO 導入企業 7年連続国内シェア NO.1
金融
通信
公共
その他
製造

46. DBAPUser DBA
PISO Agent
1. ログ取得
2. ログ検索 3. 警告
PISO 基本機能
ログ管理サーバ

47. 特徴

48. 常識を Technology で解決する

49. 常識を Technology で解決する

51. ベネッセの内部関係者による情報漏えい事件があってからあちらこちらで「緊急セミナー」が
開催されるようになった。思い起こせば、個人情報保護法の施行前後でマスコミによる情報漏え
い事件報道が相次ぎ、個人情報の保護の気運が高まった。それ以来のビッグウェーブが来ている
ようだ。情報性キュリティ関連銘柄の株価は軒並み上昇している。
ご存じの通り、ベネッセ事件では、業務委託されていたSEが事件を起こしたとして、業務委託
の是非やIT業界の下請け構造に対する批判などが行われている。
一方で、これを機にUSB接続機器のセキュリティに対する見直しも活性化しはじめた。「単な
る外部記憶媒体の制御では不足！」「デバイスとして無効化をしなければならない！」などとい
う意見が声高に叫ばれるようになったのだ。
連日の報道や緊急セミナーの影響で、経営者たちも「ウチは大丈夫なのか？」と不安を募らせ
ているところも少なくない。これを受け、内部情報漏えい対策を行わなければ、という機運が瞬
間風速的に高まり、緊急セミナーが開かれ、私のような者が招聘されて講演をする…。
連載 S&J三輪信雄のCTOニューズレター
ログ取得・分析 という抑止力―ベネッセ事件に寄せて
三輪 信雄 [著] 2014年09月08日 (http://enterprisezine.jp/iti/detail/6133)

52. ベネッセのセキュリティ対策は平均以上
さて、ベネッセ事件と同様の事件を想定して再発防止を検討するのであれば、ベネッセ事
件の際に行われていたセキュリティ対策は「最低ライン」となるだろう。
ベネッセ事件後、私は、かなりの数のメディア取材を受けてきた。そのたびに、「セキュ
リティ対策は十分ではないものの、一定程度のレベルにはあったと思われる。むしろそのレ
ベルにはない企業がとても多く、再発が予想される。」とコメントしては、記者たちにがっ
かりされてきたものだ。たぶん、取材側としては、「セキュリティ対策に重大な欠陥があっ
た」というコメントを期待していたのだ。
たとえば、数ヶ月前のSQL文を含むログなどについては、調査ができた。また、すり抜け
られたもののUSB外部記憶媒体の制限などの基本的な対策はとられていた。最近、大企業の
システム部門と意見交換する機会があったが、「あそこはそれなりだったよね」と話すくら
い、ベネッセのセキュリティは「そこそこ」できていたほうなのだ。
連載 S&J三輪信雄のCTOニューズレター
ログ取得・分析 という抑止力―ベネッセ事件に寄せて
三輪 信雄 [著] 2014年09月08日 (http://enterprisezine.jp/iti/detail/6133)

53. これまでにセキュリティ専門家が提唱している対策は、だいたい、以下の通りである。
・アクセス権減の細分化
・業務委託先の管理の強化
・外部記憶媒体の制限の強化
・ログの収集と監査
これらは理論的に正しい。正しいのだが、実際にやってみるとなると、そうは簡単にいか
ない。特にログの収集は大変な課題だ。実際に、DBへのアクセスのSQL文
をすべて収集、というだけでも実装できない組織が多いだろう。というのも、秒間数千∼数
万のログを安定して収集し続けるシステムは、数億円に上ることもあるからだ。
連載 S&J三輪信雄のCTOニューズレター
ログ取得・分析 という抑止力―ベネッセ事件に寄せて
三輪 信雄 [著] 2014年09月08日 (http://enterprisezine.jp/iti/detail/6133)
PISOなら300万円∼の投資
で、秒間数千∼数万のログを
安定して収集可能。
1

54. 「見つかると思っていなかった」を今後に生かす
金融機関においては、当たり前と思われている対策であっても、それ以外の企業では当た
り前ではない。システムが大規模になるにつれて、パフォーマンスと安定性を確保するために
は、「ログの取得」は後回しにされることが多い。なぜなら、ログを取得すると
システムが重くなったり、不安定になったり、ディスク
容量を圧迫するからだ。
パフォーマンスやログのディスク容量は深刻な問題だ。ログを収集す
るための処理は、ディスクアクセスを伴うので敬遠される。ディスク容量は、たいていの場
合、もともとのDBよりも大きくなる。たとえば、１行のログが200バイトとして、1秒間に
5000件のアクセスがあるとすると、１日では約80GBになり、検索のためのインデックス等
を考慮すると200GB程度になる。１ヶ月では約6TBにもなり、１年では約140Tにもなる。
これだけでも数千万円以上のシステム投資が伴うことがわかるだろう。
連載 S&J三輪信雄のCTOニューズレター
ログ取得・分析 という抑止力―ベネッセ事件に寄せて
三輪 信雄 [著] 2014年09月08日 (http://enterprisezine.jp/iti/detail/6133)
PISOなら・・・
性能面への問題を考慮する必
要がなく、ディスク容量も圧迫
しない。
PISOなら・・・
同じSQLは重複排除される。
200バイトのSQLが100万回実
行されても、蓄積ログは200バ
イトのまま。
2
3

55. このように、ログを収集して監査しましょう、と涼しげに話すことは簡単だが、実際やって
みるのはすごく大変なのである。収集するだけでも大きなシステム投資なのに、その監査には
さらにコストが上乗せされる。さらにやっかいなことに、そのログ監査をできる人員の確保が
極めて困難なのである。
内部犯行を監査するのだから、内部監査部門が行うべき？ しかし、内部監査部門は、書類
の監査は出来るものの、ログという膨大なデータベースの監査を行うという技術的なスキルが
不足しているだろう。特に内部犯行においては、「今犯罪が行わ
れた」というイベントが発生しにくい。通常のアクセスであるの
か、犯行であるのか、について明確に判断することは難しいだろう。あからさまに SELECT *
FROM のようなSQL文ならまだしも、パターンマッチングでの用意な抽出は難しい。
ベネッセ事件においての最大のキーワードは「見つかると思っていなかった」だと思う。借
金がある事情がある場合、１回の犯行だけでなく繰り返す傾向にあることは歴史が物語るとこ
ろだ。見つかる、と思っていればその犯行は防げる、あるいは極小化できる可能性が高い。
連載 S&J三輪信雄のCTOニューズレター
ログ取得・分析 という抑止力―ベネッセ事件に寄せて
三輪 信雄 [著] 2014年09月08日 (http://enterprisezine.jp/iti/detail/6133)
PISOなら・・・
SQLの処理件数が取得できる
ため、情報漏洩の危険性の高
いアクセスは簡単に、SQLの
実行中に検知できる。
4

56. つまり、抑止力の発揮、は大きな防止策になるのだ。抑止力を発
揮するためには、常に監視されているという雰囲気をかもし出すことが重要だ。「監視して
います」という張り紙だけでなく、ちょっとした操作を行った際に「不正操作監視センター」
から問い合わせの連絡がある、ということが日常的になることで「悪いことをすれば見つか
る」という雰囲気をかもし出すことが出来るようになるのだ。
そのためにも、ログの取得と分析は欠かせないのである。確かに、少し前までは膨大なロ
グの収集には、高額なシステムが必要であった。しかし、今ではビッグデータ解析の技術の進
歩により、OSSを活用した全文検索を含む膨大なログの高速な収集が可能になってきている
（手前味 ですが、S＆Jでも、OSSをベースに膨大なログの収集システム(SOC Engine)を開
発して提供しています）。
今後、ログ収集の機運の急速な高まりとともに、以前「統合ログ」と呼ばれていたものが
進化し、安価で高速なログ収集/検索システムが次々に登場してくるだろう。その次に課題に
なるのは、監視を行う要員の確保や体制の構築となる。いま流行りのCSIRTである。次回は、
CSIRTについて書いてみたい。
連載 S&J三輪信雄のCTOニューズレター
ログ取得・分析 という抑止力―ベネッセ事件に寄せて
三輪 信雄 [著] 2014年09月08日 (http://enterprisezine.jp/iti/detail/6133)
PISOのお客様にもそうおっ
しゃっていただいています⭐️
5

57. 常識を Technology で解決する

58. Direct Memory Access Technology
データベース性能に影響なく、大量にSQL情報を取得する
DBサーバ
ログ管理サーバ

59. Deduplicate SQL text
SQLを学習し、同じSQLを1レコードで管
理することで、蓄積ログ量を最小化する
Auto log maintenance
n日前のデータは自動でオフライン化、ファ
イル圧縮
蓄積ログ量
時間

60. Deduplicate SQL text
SQLを学習し、同じSQLを1レコードで管
理することで、蓄積ログ量を最小化する
Auto log maintenance
n日前のデータは自動でオフライン化、ファ
イル圧縮
蓄積ログ量
時間
他社製品の場合

61. Deduplicate SQL text
SQLを学習し、同じSQLを1レコードで管
理することで、蓄積ログ量を最小化する
Auto log maintenance
n日前のデータは自動でオフライン化、ファ
イル圧縮
蓄積ログ量
時間
他社製品の場合
PISOの場合

62. で監視されようよ いっしょに

63. さいごに もうひとつ

64. 2015 spring

65. カラムベースでのデータ暗号化とアクセスコントロール
重要データが格納されているカラムを暗号化 特権ユーザアクセスからデータを保護する

66. DEMO

67. 2015 spring