Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.
データベース
セキュリティガイドライン
の要約と個人考察
株式会社ミッションアシスト
白石 雅義
■ 自己紹介
白石雅義
サーバ、ネットワーク
ミドルウェア少々
関西オープンフォーラム運営委員
その他諸々OSSな集まりへ
刹那的に参加したり
■ 自己紹介
データベースセキュリティガイドライン
→ご存知の方居ますか?
→もしくはタイトルを見て調べて
事前に見てきた人はいますか?
■ ガイドライン公開の経緯
さかのぼる事12年前
2005年4月全面施行の個人情報保護法
が契機となる
→「セキュリティ対策を強化している
ものの、情報の格納場所となる
データベースのセキュリティに関する
知識や技術を持つ専門家が少ない」
とい...
■ ガイドライン公開の経緯
さかのぼる事12年前
2005年4月全面施行の個人情報保護法
が契機となる
→「セキュリティ対策を強化している
ものの、情報の格納場所となる
データベースのセキュリティに関する
知識や技術を持つ専門家が少ない」
■ ガイドライン公開の経緯
と指摘されていた状況下があった中
2005年2月15日、データベースのセキュリ
ティ分野の高度なデータ保護・管理関する
“標準的技術や手法の確立や推進”を目
指す目的で「データベースセキュリティコン
ソーシアム」が発...
■ ガイドライン公開の経緯
翌年2006年11月8日
"データベースセキュリティコンソーシアム"が
「セキュリティ・ポリシーの策定や対策作業の際、
実施すべき具体的な内容を提示する
データベースのセキュリティ対策のためのガイドライ
ン」として"...
経済産業省「METI」のサイトにも資料が掲載
http://www.meti.go.jp/policy/netsecurit
y/secdoc/contents/seccontents_000198.
html
■ で、
今回は2.0版にて提示されている、実施す
べき具体的な内容についてのご紹介を行う
と共に、2009年以降に必要となっている、
差分とも言えるセキュリティ対策について、ガ
イドラインを読み合わせを行いながらつらつら
と自身の所感を述べて...
■ で、
気になった所があれば参加者間で
建設的な議論も良いな、と思いますの
で都度登壇を止めてのご意見も是非
お願いしたいです
■ 今ガイドラインの有効利用
1.社内規定への取り込み
→「原則、今に準ずるものとする」と社内規定に
盛り込む事で追加検討の策定に専念できる
※ ただし今ガイドラインについて、営利/非営利
を問わず引用元として明記する必要あり
※ 免責事項にあ...
■ガイドライン各章説明
第1章 はじめに → 目的やガイドラインについて
1.1 目的
1.2 本ガイドラインの前提
1.3 本ガイドラインに関する注意事項
1.4 本ガイドラインの改定にあたり
■ガイドライン各章説明
第2章 全体のセキュリティ対策における
DBセキュリティの位置付け
→ 全体構成のセキュリティの位置付けや意義
2.1 想定システムモデル
2.2 全体のセキュリティ対策の概要
2.3 DBセキュリティの位置付け、対象範...
■ガイドライン各章説明
第2章 全体のセキュリティ対策における
DBセキュリティの位置付け
2.4.1 脅威の定義
2.4.2 登場人物の定義
2.4.3 DBに関係する情報資産の定義
2.4.4 情報資産の重み付けの定義
2.4.5 手口の定...
■ガイドライン各章説明
第3章 基本方針の策定
→ ポリシー策定と人的対策
3.1 DBセキュリティポリシーの策定
3.1.1 重要情報の定義
3.1.2 リスク分析
3.1.3 アカウント管理ポリシー
3.1.4 ログの取得ポリシー
3.2 ...
■ガイドライン各章説明
第4章 DBセキュリティ対策
→ データベースに対策すべき提言
4.1 防御系のセキュリティ対策
4.1.1 初期設定
4.1.2 認証
4.1.3 アクセスコントロール
4.1.4 暗号化
4.1.5 外部媒体の利用制...
■ガイドライン各章説明
第4章 DBセキュリティ対策
4.2 検知、追跡系のDBセキュリティ対策
4.2.1 ログの管理
4.2.2 不正アクセス検知
4.2.3 ログの分析
■ 今ガイドラインの有効利用
2.現場レベルのセキュリティ対策項目の検討材料
→ 新規のセキュリティ対策を打ち立てる必要性
ある草案材料として
■追加考察
・継続的な検討と改善の必要性
・今大丈夫でもちょっと先は危ういという認識
・データ(Date)を置くベース(BASE)で、という認識
・最後は人であるという事
ご清聴ありがとうございました shiraishi@mnlt.net
shiraishi@missionassist.co.jp
Upcoming SlideShare
Loading in …5
×

[20171116 三木会] データベースセキュリティガイドラインの要約と個人考察 by 株式会社ミッションアシスト 白石 雅義 氏

220 views

Published on

[20171116 三木会] データベースセキュリティガイドラインの要約と個人考察 by 株式会社ミッションアシスト 白石 雅義 氏

Published in: Technology
  • Be the first to comment

  • Be the first to like this

[20171116 三木会] データベースセキュリティガイドラインの要約と個人考察 by 株式会社ミッションアシスト 白石 雅義 氏

  1. 1. データベース セキュリティガイドライン の要約と個人考察 株式会社ミッションアシスト 白石 雅義
  2. 2. ■ 自己紹介 白石雅義 サーバ、ネットワーク ミドルウェア少々 関西オープンフォーラム運営委員 その他諸々OSSな集まりへ 刹那的に参加したり
  3. 3. ■ 自己紹介 データベースセキュリティガイドライン →ご存知の方居ますか? →もしくはタイトルを見て調べて 事前に見てきた人はいますか?
  4. 4. ■ ガイドライン公開の経緯 さかのぼる事12年前 2005年4月全面施行の個人情報保護法 が契機となる →「セキュリティ対策を強化している ものの、情報の格納場所となる データベースのセキュリティに関する 知識や技術を持つ専門家が少ない」 という課題へのアプローチとして団体が発足
  5. 5. ■ ガイドライン公開の経緯 さかのぼる事12年前 2005年4月全面施行の個人情報保護法 が契機となる →「セキュリティ対策を強化している ものの、情報の格納場所となる データベースのセキュリティに関する 知識や技術を持つ専門家が少ない」
  6. 6. ■ ガイドライン公開の経緯 と指摘されていた状況下があった中 2005年2月15日、データベースのセキュリ ティ分野の高度なデータ保護・管理関する “標準的技術や手法の確立や推進”を目 指す目的で「データベースセキュリティコン ソーシアム」が発足されてます。
  7. 7. ■ ガイドライン公開の経緯 翌年2006年11月8日 "データベースセキュリティコンソーシアム"が 「セキュリティ・ポリシーの策定や対策作業の際、 実施すべき具体的な内容を提示する データベースのセキュリティ対策のためのガイドライ ン」として"データベースセキュリティガイドライン"を Webサイトで公開する運びとなった→2009年に 第2.0版が発表されています。
  8. 8. 経済産業省「METI」のサイトにも資料が掲載 http://www.meti.go.jp/policy/netsecurit y/secdoc/contents/seccontents_000198. html
  9. 9. ■ で、 今回は2.0版にて提示されている、実施す べき具体的な内容についてのご紹介を行う と共に、2009年以降に必要となっている、 差分とも言えるセキュリティ対策について、ガ イドラインを読み合わせを行いながらつらつら と自身の所感を述べていきたいと思います
  10. 10. ■ で、 気になった所があれば参加者間で 建設的な議論も良いな、と思いますの で都度登壇を止めてのご意見も是非 お願いしたいです
  11. 11. ■ 今ガイドラインの有効利用 1.社内規定への取り込み →「原則、今に準ずるものとする」と社内規定に 盛り込む事で追加検討の策定に専念できる ※ ただし今ガイドラインについて、営利/非営利 を問わず引用元として明記する必要あり ※ 免責事項にある「GL利用による損害発生 において責任を追わない」に対する理解も必要
  12. 12. ■ガイドライン各章説明 第1章 はじめに → 目的やガイドラインについて 1.1 目的 1.2 本ガイドラインの前提 1.3 本ガイドラインに関する注意事項 1.4 本ガイドラインの改定にあたり
  13. 13. ■ガイドライン各章説明 第2章 全体のセキュリティ対策における DBセキュリティの位置付け → 全体構成のセキュリティの位置付けや意義 2.1 想定システムモデル 2.2 全体のセキュリティ対策の概要 2.3 DBセキュリティの位置付け、対象範囲 2.4 DBセキュリティに関係する要素の定義
  14. 14. ■ガイドライン各章説明 第2章 全体のセキュリティ対策における DBセキュリティの位置付け 2.4.1 脅威の定義 2.4.2 登場人物の定義 2.4.3 DBに関係する情報資産の定義 2.4.4 情報資産の重み付けの定義 2.4.5 手口の定義 2.4.6 不正アクションの定義 2.4.7 脅威の一覧
  15. 15. ■ガイドライン各章説明 第3章 基本方針の策定 → ポリシー策定と人的対策 3.1 DBセキュリティポリシーの策定 3.1.1 重要情報の定義 3.1.2 リスク分析 3.1.3 アカウント管理ポリシー 3.1.4 ログの取得ポリシー 3.2 人的対策 3.2.1 啓発/規約
  16. 16. ■ガイドライン各章説明 第4章 DBセキュリティ対策 → データベースに対策すべき提言 4.1 防御系のセキュリティ対策 4.1.1 初期設定 4.1.2 認証 4.1.3 アクセスコントロール 4.1.4 暗号化 4.1.5 外部媒体の利用制御 4.1.6 その他
  17. 17. ■ガイドライン各章説明 第4章 DBセキュリティ対策 4.2 検知、追跡系のDBセキュリティ対策 4.2.1 ログの管理 4.2.2 不正アクセス検知 4.2.3 ログの分析
  18. 18. ■ 今ガイドラインの有効利用 2.現場レベルのセキュリティ対策項目の検討材料 → 新規のセキュリティ対策を打ち立てる必要性 ある草案材料として
  19. 19. ■追加考察 ・継続的な検討と改善の必要性 ・今大丈夫でもちょっと先は危ういという認識 ・データ(Date)を置くベース(BASE)で、という認識 ・最後は人であるという事
  20. 20. ご清聴ありがとうございました shiraishi@mnlt.net shiraishi@missionassist.co.jp

×