Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.

20160927_守るべきは、大量の情報資産を管理するデータベース! ~ユーザ事例から見るデータベースのセキュリティ対策~ by 株式会社インサイトテクノロジー 森田俊哉

570 views

Published on

2016年になっても残念ながら情報漏洩事故は、後を絶ちません。また、大規模な漏洩は、例外なくデータベースからのものです。企業では、大量の情報資産を管理するデータベースからの情報漏洩・侵害が発生しないように努力するとともに漏洩・侵害を迅速に検出し、最小限に抑える必要があります。 本セッションでは、弊社が提供するマルチデータベースでのセキュリティ対策をご紹介するとともにお客様の事例を交えて実際のセキュリティ対策について説明致します。

Published in: Technology
  • Be the first to comment

20160927_守るべきは、大量の情報資産を管理するデータベース! ~ユーザ事例から見るデータベースのセキュリティ対策~ by 株式会社インサイトテクノロジー 森田俊哉

  1. 1. 守るべきは、大量の情報資産を管理するデータベース! ~ユーザ事例から見るデータベースのセキュリティ対策~ コンサルティング事業部 森田 俊哉
  2. 2. 自己紹介 ■名前 森田 俊哉 / Toshiya Morita ■所属 株式会社インサイトテクノロジー コンサルティング事業部部長兼取締役 ■主な仕事 データベースコンサルティングマネージメント プロダクトプリセールス ■過去の職歴 C言語プログラマー~C言語デバッガー開発 UNIX管理者/Oracle DBA データベースチューニング等々
  3. 3. Insight Technologyとは? コンサルティングサービス ソフトウェア ハードウェア システム設計~運用まで データベース総合ソリューション データベースの様々な課題を 解決する各種ソフトウェア 高性能・低コスト・高信頼性 データベース専用マシン データベースに関連するナレッジと技術力を追求し、ソフトウェア、 ハードウェア、サービスを最適に組み合わせてお客様に提供する会社です。 高速・低コスト・セキュア なデータベース環境を実現 データベースのセキュリティ保全ツール(自社開発) マルチデータベースのリアルタイムレプリケーションツール 次世代型データウェアハウス向け 超高速データベース Oracle Standard Edition向け DR構築ツール データベースのパフォーマンス監視・分析ツール(自社開発)
  4. 4. 情報漏洩事件の傾向
  5. 5. 侵害された資産のタイプで分類した場合の データ漏洩・侵害事例の割合(大規模企業・組織) 5% 7% 5% 10% 5% 33% 33% 0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100% 一般従業員/エンドユーザー コールセンターのスタッフ ノートブック/ネットブック メールサーバー ファイルサーバー ウェブ/アプリケーションサーバー データベースサーバー ベライゾン社「2012年度データ漏洩/侵害調査報告書」より
  6. 6. 侵害された資産のタイプで分類した場合の 企業・組織が持つ全データに対する漏洩したデータ数の割合(大規模企業・組織) <1% <1% <1% 2% <1% 82% 98% 0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100% 一般従業員/エンドユーザー コールセンターのスタッフ ノートブック/ネットブック メールサーバー ファイルサーバー ウェブ/アプリケーションサーバー データベースサーバー ベライゾン社「2012年度データ漏洩/侵害調査報告書」より
  7. 7. 近年の大規模漏洩事件 2011年 ゲーム関連会社漏洩事件 7,700万件もの情報が流出 外部からサーバーへの不正アクセス(データベースサーバー上からダウンロード) 事件が発覚してから、犯人特定までに1週間 2014年 教育関連会社漏洩事件 3,504万件もの情報が流出 犯人は派遣会社社員(データベースからスマホへコピー) 事件が発覚してから、犯人特定までに1週間 2015年 年金機構漏洩事件 125万件もの情報が流出 標的型メールによるファイルサーバーからの流出 事件が発覚してから、状況確認までに2ヶ月以上 2016年 大手旅行代理店漏洩事件 793万件もの情報が流出 外部からサーバーへの不正アクセス(データベースサーバー上にCSV作成しダウンロード) 事件が発覚してから、状況確認までに10日間 企業イメージの低下 多額の補償金 顧客数の激減
  8. 8. 企業システム データベースサーバ データベースに対する脅威 9 機密情報 医療・財務 クレジットカード 個人情報 データベース内の機密情報は、破壊、改ざん、漏えいのリスクを抱えている WAF (Webアプリケーションファイアウォール) ファイアウォール IPS/IDS 通常業務アクセス 運用管理業務アクセス 企業内部からの脅威 不正侵入アクセス ウイルス 不正侵入SQLインジェクション外部からの脅威 脅威に対するデータベースセキュリティ リスクと対策 通信の傍受・盗聴 データの持ち出し d. 暗号化 なりすまし パスワード盗難 a. アカウント管理 正当な権限を 使用した不正行為 c. ログ監査 業務権限を 超えた不正操作 b. アクセス制御
  9. 9. BigData Hadoop 急速に増え続けている データベースソフトウェアの選択肢 RDBMS
  10. 10. Total Software Revenue, Worldwide 2010-2011 Oracle 48.8% IBM 20.2% Microsoft 17.0% SAP/Sybase 4.6% Teradata 3.7% Others 5.8% Oracle IBM Microsoft SAP/Sybase Teradata Others 出典:Gartner 2011 Worldwide RDBMS Market Share Reports
  11. 11. DB-Engines Ranking Oracle 26.8% MySQL 25.5% SQL Server 22.8% PostgreSQL 6.0% DB2 3.4% Others 15.5% Oracle MySQL SQL Server PostgreSQL DB2 Others 出典:http://db-engines.com/en/ranking
  12. 12. マルチデータベースでもセキュリティ対策は、必須! OSS(MySQL/PostgreSQL)などもOracle/SQL Serverと同様に!
  13. 13. Copyright © 2012 Insight Technology, Inc. All Rights Reserved. 14 データベースセキュリティ
  14. 14. データベースセキュリティリスクとその対策 Copyright © 2015 Insight Technology, Inc. All Rights Reserved. リスク 対策 設計 運用 マルチ DB a なりすまし パスワード盗難 アカウント管理 ・利用者職務の分離 ・利用者・用途ごとの作成 ・定期的な変更管理 ✔ ✔ b 業務権限を 超えた不正操作 アクセス制御 ・データベースに対するアクセス制御 ・テーブルに対するアクセス制御 ・テーブルの列に対するアクセス制御 ✔ ✔ c 正当な権限を 使用した不正行為 ログ監査 4W(who/when/where/what) 1H(how many) を記録し、素早く追跡出来る仕組み ✔ ✔ ✔ d 通信の傍受・盗聴 データの持ち出し 暗号化 重要なデータ(個人情報・カード情報) に対する暗号化 ✔ ✔ ✔
  15. 15. Copyright © 2012 Insight Technology, Inc. All Rights Reserved. 16 データベースセキュリティツールのご紹介
  16. 16. セキュリティ運用導入へのハードル  運用中のシステムに大量の個人情報・機密情報が存在している 監査実施が必要だが… 暗号化したい・・・ Copyright © 2016 Insight Technology, Inc. All Rights Reserved.  監査は必要だが 何を監査すれば良いかわからない… 監査するとパフォーマンスが心配… 監査データのバックアップ、メンテナンスが必要で運用負荷が高い  暗号化はしてみたいが 暗号化ロジックの手法・実装方法が難しい パフォーマンスが心配
  17. 17. 導入実績 566社 4,112ライセンス 業種別導入比率 2016年3月実績 (自社調べ) 主な導入企業名(敬称略、順不同) • 株式会社NTTぷらら • NECエンペデッドプロダクツ株式会社 • 東邦ガス情報システム株式会社 • ガンホー・オンライン・エンターテイメント株式会社 • 株式会社リクルートテクノロジーズ • 東芝テック株式会社 • 株式会社ピーチ・ジョン PISO導入実績(2004年10月~) Copyright © 2016 Insight Technology, Inc. All Rights Reserved.
  18. 18. データベース・セキュリティ対策 アカウント管理 ID/Password ログ監査 暗号化 情報漏洩、改ざんを モニタリング・通知 ・特権ユーザへ機密情報を閲覧させない ・持ち出しからの防御 必須対策 アクセス制御 権限所有者/特権ユーザ 必須対策
  19. 19. DBサーバAPサーバUser DBA ログ管理・ 暗号化管理サーバ PISO/PISOEOの基本構成 PISO Manager PISO Agent 対応データベース Oracle SQLServer PostgreSQL MySQL
  20. 20. PISO/PISOEOで出来ること 1. アクセスログの記録 4. 監査レポート生成 DBサーバAPサーバUser DBA PISO Agent PISO Manager 2. アクセスログの検索 時間帯 オブジェクトセキュリティレベル ユーザ データ件数 3. 不正アクセスリアルタイム警告 携帯電話 PCメール 統合運用管理ツール 5. 暗号化(PISOEO) ログ管理・ 暗号化管理サーバ
  21. 21. PISO/PISOEO導入による効果  各種法規制への対応  セキュリティ監査や内部統制への対応施策として  運用者の作業証跡  PISOを使用して記録に残すことで、積極的に自らの作業証明をする  セキュリティ意識の向上、抑止力発生  セキュリティツールを導入していることでの意識向上  暗号化による抑止力  モニタリング機能による抑止力  運用コスト削減  監査ログ運用を実装する工数を、PISOによる監査運用で削減可能  短期間で監査ログ運用の開始が可能  監査ログ運用を自動化(スケジュール化)して、短時間かつスムーズに Copyright © 2016 Insight Technology, Inc. All Rights Reserved.
  22. 22. Copyright © 2012 Insight Technology, Inc. All Rights Reserved. 23 PISO活用事例
  23. 23. 提案モデル: J-SOX IT全般統制対応 24 作業申請書 開発者・管理者 監査担当 セキュリティ担当 SQL 作業申請書 申請と一致した アクセスを証明 データアクセス履歴 1. 監査レポート運用
  24. 24. 提案モデル: J-SOX IT全般統制対応 Copyright © 2011 Insight Technology, Inc. All Rights Reserved. 25 開発者・管理者 不正侵入者 SQL 【不正アクセス監視】 - 禁止アドレス - 禁止時間帯 - 禁止オブジェクト - 禁止プログラム - 権限エラー - 大量データアクセス など統制ルール違反を監視→通知 2.モニタリング運用 データアクセス履歴 監査担当 セキュリティ担当 原因調査 リアルタイム通知
  25. 25. 事例1:東芝テック株式会社様 26 目的:日本版SOX法対策(新日本監査法人) 対象システム: 会計、生産管理、資材購買、人事管理等、9システム (Oracle E-Business Suite) ポイント:共有IDの監査、監査レポートの活用 東芝テック 生産本部 情報システム部 応用システム開発担当 グループ長:戸城篤人様 東芝テック株式会社 http://www.toshibatec.co.jp/index.html.ja 資本金:399億円 売上高:266,537百万円(平成20年3月期) 従業員数3,622人 事業内容 -リテールソリューション事業 -ドキュメントシステム事業 -オートID・プリンタ事業
  26. 26. 特権ユーザAPPの共有問題 Copyright © 2012 Insight Technology, Inc. All Rights Reserved. 27 EBSユーザー APサーバー DBサーバー SQL SQL 運用・開発者 APPS (特権ユーザ) DB特権ユーザを共有=統制できない 誰がどんな作業をしたか 確認できない  プログラム本番登録権限は職務上必要な者のみに限定 課題:開発者と運用者の職務分離→人員不足により実現できない 解決策:システム責任者が本番環境のアクセスをPISOからモニタリング  DBMSアクセスユーザーID管理(特権ユーザ管理) 課題:特権ユーザIDは個人別に発行し、パスワードを定期的に変更 →稼動中のシステムへの変更不可能 解決策:システム責任者が作業内容、不正アクセスをPISOからモニタリング
  27. 27. 発見的統制による解決(アクセスログ監査) 28 EBSユーザー APサーバー DBサーバー SQL SQL 運用・開発者 APPS_MNT (特権ユーザ) DB特権ユーザを分離=アクセスログで統制 個人毎に作業端末(IP)を固定 →PISOから行為特定し、監査レポート作成 ID管理により解消 (IDM製品) APPS (特権ユーザ)
  28. 28. レポートサンプル Copyright © 2012 Insight Technology, Inc. All Rights Reserved. 29 未許可アクセスレポート(ZEROレポート) 運用規定外の経路でアクセスが無い事を監査できます。
  29. 29. 事例2:株式会社ピーチ・ジョン様 Copyright © 2012 Insight Technology, Inc. All Rights Reserved. 30 目的:日本版SOX法対策 対象システム:統合CRMシステム(顧客/受注情報システム) -Oracle10g Enterprise Edition -SQL処理量:1,000万以上 / 日 -同時接続数:400~450セッション(ピーク時) Web:http://www.peachjohn.co.jp/ 事業内容: インナーウェア、アウターウェア、コスメ、雑貨などの 企画および販売 「元気・ハッピィ・SEXY」をコンセプトとした、 ランジェリー、アウター、コスメなど幅広い製品 を、カタログ通信販売、Webオンラインショップ での販売、直営店での販売 2008年1月、株式交換によりワコールホール ディングスの100%子会社に。
  30. 30. アクセスログ記録要件 Copyright © 2012 Insight Technology, Inc. All Rights Reserved. 31  SQL文の記録 データベースへの負荷を考慮した記録と監視  個人情報を大量検索したアクセスを記録・監視  特定アプリケーションからのアクセスを記録・監視  特定ユーザからのアクセスを記録・監視  特定時間帯のアクセスを記録・監視  検討対象製品  PISO  Oracle標準監査機能を利用する製品  ログをネットワークキャプチャする製品
  31. 31. 対策案と採用のポイント Copyright © 2012 Insight Technology, Inc. All Rights Reserved. 32  対策案1 - Oracle標準監査機能を利用する製品 - ログをネットワークキャプチャする製品  結果 - パフォーマンス劣化(CPU使用率30%上昇)し、本番環境に導入できない。 - ローカルアクセスログが取得できず十分な特権ユーザ監視が出来ない。 対策案1・不採用 対策案2・採用 • 対策案2 – パフォーマンスを劣化させないツールの導入 – SQL文の取得、ローカルアクセスログを含む特権ユーザ管理の実現 • 結果 – メモリ情報からのログ収集により負荷軽減 – 必要なログ管理とパフォーマンス維持を実現
  32. 32. PISO導入効果 Copyright © 2012 Insight Technology, Inc. All Rights Reserved. 33  情報セキュリティ観点の運用効果  委託先に対しての抑止効果の向上  個人情報に対する不用意なアクセスの減少  不正アクセスポリシー(大量データのアクセスや、特権ユーザ) をつくり、ログ容量の負荷を軽減しながらログ管理を実現  J-SOX/内部統制観点の運用効果  親会社と監査法人との定例時に特権ユーザのアクセスログレポートを 提示し、不正が無いことを証明  特権ユーザのみのログを管理することにより運用工数を削減
  33. 33. データベース・セキュリティ対策まとめ アカウント管理 ID/Password アクセス制御 ログ監査 (情報漏洩・改ざんを モニタリング・通知) 暗号化 (特権ユーザへの閲覧防止 持ち出しからの防御) 必須対策 必須対策
  34. 34. 守るべきは、大量の情報資産を管理するデータベース! ~適切なソリューション(ツール)との 組み合わせでセキュリティを確保!~
  35. 35. http://www.db-tech-showcase.com/data-analytics-showcase
  36. 36. 記載されている会社名、サービス名、製品名は、株式会社インサイトテクノロジーおよび各社の商標または登録商標です。 Copyright 2016 Insight Technology, Inc. All Rights Reserved.

×