内部統制,情報セキュリティ における ID管理 の着眼点 - 特権ID管理 の重要性

2,183 views

Published on

「重要な欠陥」と判断した理由として、内部統制報告書に記載された例(金融庁発表http://www.fsa.go.jp/news/21/syouken/20090707-6.html)
システムの保守及び運用の管理を適正に行うため、「運用・保守管理規程」を定めて遵守することが義務づけられているが、コンピュータデータの保全手続において、当該規程の運用が不十分であったため、同データの一部が消失し、会計データの修復作業を行った。ただし、バックアップデータ復元作業のテスト実施が十分でなく、バックアップデータ消失のリスクを予見できなかった。

  • Be the first to comment

内部統制,情報セキュリティ における ID管理 の着眼点 - 特権ID管理 の重要性

  1. 1. <Insert Picture Here>内部統制、情報セキュリティにおけるID管理の着眼点特権ID管理
  2. 2. 以下の事項は、弊社の一般的な製品の方向性に関する概要を説明するものです。また、情報提供を唯一の目的とするものであり、いかなる契約にも組み込むことはできません。以下の事項は、マテリアルやコード、機能を提供することをコミットメント(確約)するものではないため、購買決定を行う際の判断材料になさらないで下さい。オラクル製品に関して記載されている機能の開発、リリースおよび時期については、弊社の裁量により決定されます。OracleとJavaは、Oracle Corporation 及びその子会社、関連会社の米国及びその他の国における登録商標です。文中の社名、商品名等は各社の商標または登録商標である場合があります。 Copyright© 2011, Oracle. All rights reserved. 2
  3. 3. 内部統制報告制度初年度を終えて• 内部統制報告書提出企業数 2,670(2009年6月30日現在)• 内部統制報告書の「評価結果」の記載状況 米国は16.3% • ① 内部統制は有効である。 2,605社(97.6%) • ② 重要な欠陥があり、内部統制は有効でない。56社(2.1%) • ③ 内部統制の評価結果を表明できない。 9社(0.3%)• 「重要な欠陥」と判断した理由として、内部統制報告書に 記載された例(金融庁発表http://www.fsa.go.jp/news/21/syouken/20090707-6.html) • システムの保守及び運用の管理を適正に行うため、「運用・保守管理規 程」を定めて遵守することが義務づけられているが、コンピュータデータの 保全手続において、当該規程の運用が不十分であったため、同データの 一部が消失し、会計データの修復作業を行った。ただし、バックアップデ ータ復元作業のテスト実施が十分でなく、バックアップデータ消失のリスク を予見できなかった。 Copyright© 2009, Oracle. All rights reserved. 3
  4. 4. 最も大きな課題の一つがセキュリティ管理問14-1 現在課題となっている点 全体 社数 %1. 文書化について 468 31.32. 人的資源の育成・確保 490 32.73. 業務プロセスにおける主要な統制上の手続 466 31.14. サンプリングについて 251 16.85. 財務報告プロセスにかかわる規程類の整備 345 23.06. IT統制におけるアクセス権限の設定等のセキュリティ管理 509 34.07. 特になかった 260 17.48. 有効性のテストや評価は行っていない 126 8.49. その他 72 4.8 回答社数 1497 (社)日本監査役協会 「第2回 財務報告に係る内部統制報告制度に関するインターネット・アンケート」調査結果[最終] http://www.kansa.or.jp/siryou/elibrary/el_011_090403.html Copyright© 2009, Oracle. All rights reserved. 4
  5. 5. 特権IDとは? 業務システムを 業務システム 構成するリソース• システム利用者ID ERP • システムを利用するためのID データ・ファイル メール • 各業務アプリケーションの利用ユーザー • 当該システム内で個人やトランザクションを システム グループウェア プログラム 識別するために利用される 利用者 ポータル etc• 特権ID サーバー • 開発者 • OS上のユーザーID • 業務システムに影響を及ぼす権限を 自社の システム開発 システム運用 持つ 情シス (協力会社) (協力会社) • 管理・運用者 • システム自体の起動・停止など、 最も強い権限を持つアカウント 特権IDでアクセスする作業者 • root, Administratorなど Copyright© 2009, Oracle. All rights reserved. 5
  6. 6. 特権IDを管理する重要性• 無制限アクセスが可能 • プログラムの不正実行が可能 • あらゆるデータの参照(持ち出し)、変更(改ざん)が可能 • ログの改ざんも可能 • ID/権限の変更や、特権IDを自由作成可能 故意による情報漏洩や改ざんなど情報事故のリスク 過失による情報事故やシステム障害発生のリスク• 特権IDは共用されることが多い • ログより個人の特定ができず、操作の追跡ができない 事故の原因究明と対策が困難 あらゆるリソースの操作が可能な特権IDには高いリスクが伴うが、 そのリスクを軽減できれば効率よくセキュリティレベルをあげることが可能 Copyright© 2009, Oracle. All rights reserved. 6
  7. 7. 特権ID管理に関する課題をお持ちの企業 某大手エネルギー企業• 個人と特権ID(UNIX)の管理が徹底されていないことを、監査法人から指摘された• 一人ひとつの特権IDを付与することを決定するも、ID数、対象サーバー数が膨大で 共有IDから個別IDへの移行に伴う運用管理工数の増大• 対象ユーザー数: 約1,000人 対象サーバー本番系:約 200台 / 開発系:約 350台• サーバーの導入・撤廃、プロジェクトの発足・完了が頻発、手動管理に限界 どのユーザーが 対象ユーザー 各ユーザーID対象ユーザー 特権IDを使用したか 特権ID root わからない su ... 対策 相当な作業負荷 Copyright© 2009, Oracle. All rights reserved. 7
  8. 8. 特権ID管理に関する課題をお持ちの企業某大手通信業• ID管理コストが年々増大していた• 監査ログがサーバー毎の個別管理になっていたため、追跡調査が困難• 不正・不要な特権IDの残存• 対象ユーザー数:約2,000人 対象サーバー数:約100台某運送業• ユーザーへのID割り当ておよびその履歴を適正に管理できていなかった• 対象ユーザー数:約200人 対象サーバー数:約70台• 認証・作業履歴の保存と保全ができていない• サーバーの導入・撤廃、プロジェクトの発足・完了が頻発、手動管理に限界• サーバー管理者による属人的な運用のため、不在時の緊急対応が不可能 Copyright© 2009, Oracle. All rights reserved. 8
  9. 9. 各社の対策 特権IDの課題 課題への対策 個人を特定できるIDを利用する 特権IDを共有で利用している 利用者の「特定」 特権ID利用の申請ルールが 特権ID利用のルール化する 徹底されていない 利用の「標準化」 とりあえずroot権限を 権限を必要最小限に制限する 与えてしまう 権限の「限定」IDの申請・作成・削除に人手を介し 特権IDをミスなく効率的に管理する 作業ミスが発生する 管理の「自動化」証跡不足により誰が・いつ・何をしたか 特権IDの不正利用がないことを証明する 特定できない 証跡の「保存・蓄積」 IDの削除を適切なタイミングで実施する 退職者のIDの削除漏れが多い ID管理の「迅速化」 Copyright© 2009, Oracle. All rights reserved. 9
  10. 10. ソリューションとして必要な要素 課題への対策 課題の解決策(ソリューション) 厳密なアクセス制御利用者の「特定」 ・利用者とIDを紐付ける仕組み ・特権IDの利用者、範囲を制限 アクセス制御 ・特権IDの権限そのものを制限利用の「標準化」 標準ワークフロー化 ・特権ユーザ申請/変更手続きの明確化権限の「限定」 ・特権ユーザ利用時の職務分離 ID管理 ID管理の統制管理の「自動化」 ・IDの管理に関するルールの徹底 ・ルールに基づいたID管理 ・棚卸などの不正IDチェックの徹底証跡の「保存・蓄積」 ログ管理 証拠・証跡の管理 ・特権IDの全操作を記録、証跡を残すID管理の「迅速化」 ・適宜のモニタリング Copyright© 2009, Oracle. All rights reserved. 10
  11. 11. Oracle Identity Manager 入社・異動・退職などの人事処理と連動した、ID管理の自動化を実現 退職者、不正IDを迅速に削除するセキュアな基盤を実現 コンテンツ管理 顧客情報管理 システム システム人事システム、またはコーポレートディレクトリ 売上管理 IDの自動配信と システム ユーザー情報の取得 自動削除 ・ID情報の管理管理者 ・メンテナンス OSアカウント管理 属性・ルールに基づいた グループ化・ポリシー割当て ・パスワード変更 入退出管理 監査ログユーザ ・申請 システム Oracle Identity Manager 配信対象システム Copyright© 2009, Oracle. All rights reserved. 11
  12. 12. ID作成・情報変更・削除の自動化 人事イベントと連携し、ユーザー情報の変更に伴う システムIDの作成・権限変更・削除の自動化を実現 Oracle Identity Manager 配信ポリシー 配信ポリシー①ユーザー情報取得 ルール① 対象システム 自動配信 配信属性 ルール② 自動削除 配信権限 ルール③ 配信ポリシー② ユーザー属性に基づいたルール 配信ポリシーによる による配信ポリシーの適用 ID作成・削除 Copyright© 2009, Oracle. All rights reserved. 12
  13. 13. ID情報のライフサイクル①(IDの作成・配信) 研究開発部門サーバ 配送管理アプリケーション AさんのID作成処理 Oracle Identity Manager 経費精算アプリケーション AさんのIDと権限を作成 ログ 発注アプリケーションレポート出力解析 入館証管理 在庫管理アプリケーション 開発部門サーバ Copyright© 2009, Oracle. All rights reserved. 13
  14. 14. ID情報のライフサイクル②(IDの削除) AさんのID 研究開発部門サーバ 配送管理アプリケーション 削除処理 Oracle Identity Manager 経費精算アプリケーション IDと権限の削除 ログ 発注アプリケーションレポート出力解析 入館証管理 開発部門サーバ 在庫管理アプリケーション Copyright© 2009, Oracle. All rights reserved. 14
  15. 15. 不正ID操作の検知 システム側での不正ID作成や不正ID属性操作の定期的検知を実現Oracle Identity Manager UserA配信済みID一覧 UserB 直接ID追加 UserA Test01 UserB UserC UserC UserD UserD 不正に作成されたID(test01)の検出 ターゲットシステム UserAの配信情報 UserID : UserA UserID : UserA Last Name : User Last Name : User First Name : A First Name : A Email : A@test.com Email : X@test.com 不正に変更された属性情報(Email) の検知 スケジューリングされた不正ID操作検知 直接属性変更 Copyright© 2009, Oracle. All rights reserved. 15
  16. 16. Oracle Identity Manager~ 情報収集の自動化と豊富なレポーティング機能 Oracle Identity Manager レポート ユーザー・プロファイル履歴 ID配信履歴 ワークフロー履歴 ユーザー・リソース・アクセス履歴ユーザー情報履歴 不正ID情報 リソース・アクセス・リスト履歴 情報蓄積 削除済ユーザー ・・・・・・・・ データベース ・・・・・・・・・ 監査に必要なIDに関する情報を 操作情報や履歴情報を確認するための データベースに保持 約40種類のレポートを標準装備 IDに関する操作の証跡・証拠の自動収集とレポーティングを実現 Copyright© 2009, Oracle. All rights reserved. 16
  17. 17. Oracle Identity Manager~ 棚卸作業の自動化によるID管理の効率化 棚卸実施棚卸の設定 Oracle Identity定期的な依頼 Manager 棚卸進捗確認 棚卸レポート作成 棚卸依頼作成から、レポート作成までを システムが継続的に実施 各システムのID棚卸を一箇所に集中させ、自動化・プロセス化を実現 Copyright© 2009, Oracle. All rights reserved. 17
  18. 18. ご自身のチェックをしてみましょう定期的なパスワード変更が義務付けられていますか?システム毎にパスワードのポリシーは異なりますか?Notes や VB などのクラサバ型アプリケーションがありますか?パスワードを覚えられないので何か(紙など)にメモしていませんか?パスワードを忘れてリセットを依頼したことがありますか?(情報システム部の方) パスワードリセットを手作業で実施していますか?( 〃 ) 異動者及び退職者のシステム権限は即日更新していますか? Copyright© 2009, Oracle. All rights reserved. 32
  19. 19. パスワードに関する課題 パスワードが 有効期限切れで 覚えきれない パスワードロック がかかってしまっ た。付箋紙やメモにID・パスワードを書いている 監査でパスワード 定期変更について定期的なパ 指摘を受けたスワード変更が面倒情シにパスワード パスワードリセリセットをお願いし ットの対応が増てしまった。 えた 誕生日や社員番 号をパスワードに している。 Copyright© 2009, Oracle. All rights reserved. 34
  20. 20. パスワードに関する課題を放置すると起こりうるリスク パスワードが 有効期限切れで 覚えきれない パスワードロック 不正使用、なりすまし、情報漏洩の危険性がある。 がかかってしまっ た。付箋紙やメモにID・パスワードを書いている ユーザの利便性が悪化し、業務効率が低下する。 監査でパスワード 定期変更について定期的なパ 指摘を受けたスワード変更が面倒 パスワードリセット対応など、運用管理者の負荷が増える。情シにパスワード パスワードリセリセットをお願いし ットの対応が増てしまった。 えた システム利用ができないことによる生産性の低下する。 誕生日や社員番 号をパスワードに している。 Copyright© 2009, Oracle. All rights reserved. 35
  21. 21. ID管理ソリューション全体像 IDライフサイクル管理 統合ディレクトリ アクセス制御管理者 シングルサインオン 対象Webシステム 売上管理システム IDの配信変更 アクセス・認証管理 シングル・サインオン 拒否 グループウェア 許可 なりすまし、 フィッシング対策人事システム ` 文書管理IDの作成から更新、廃棄 各アプリケーション 利用者の属性に応じた ポータル までを適切に管理 の認証を一元管理 アクセス制御(認可)特権ID対策 パスワード忘れ対策 Copyright© 2009, Oracle. All rights reserved. 21
  22. 22. Oracle Enterprise Single Sign-On Suite (ESSO) クラサバ型システム ホストアプリケーション (OS390, AS400) Java アプリケーション ポータル、企業内システム etcWindows 認証でホストPCへ アプリケーションの 各種アプリケーションへ サイン・オン ID/パスワード入力を代行 自動ログイン あらゆるアプリケーションへのシングルサイン・オンを実現 シングルサイン・オン対象システムの改修が不要 Copyright© 2009, Oracle. All rights reserved. 36
  23. 23. Oracle ESSOのシングルサインオンの仕組み Webシステム ログオン画面 Windowsアプリケーション Host/mainflame ログオン画面 ログオン画面 ID/password ID/password 自動入力、submit 自動入力、submit ID/password ESSO 自動入力、submit Logon Managerユーザが各アプリケーションを起動すると、ESSO Logon Managerはアプリケーションの ログオン画面を自動的に検知し、さらに自動的にID/Password入力、サブミットします。これにより、ユーザのアプリケーションへのログオン操作は一切発生しなくなります。 Copyright© 2009, Oracle. All rights reserved. 38
  24. 24. Oracle ESSOのパスワード変更同期機能①シングルサインオン対象システムが ②パスワード変更画面を自動検出。予め定義された パスワード変更画面を提示 ポリシーに従い新パスワードとして、 (システムの定期パスワード変更要求) ランダムパスワードを生成 Logon パスワード変更画面 Manager 新パスワード ユーザ シングルサインオン③新パスワードをパスワード変更 ④新パスワードは保存され、以降対象 対象システム 画面に自動的に入力し、自動 システムには新パスワードで自動ロ 的に送信 グオンします。Logon ManagerはSSO対象アプリケーションが既に持っているパスワードの 定期変更との連動させ、新パスワードの自動生成、送信を行うことが可能です。ユーザはアプリケーションが要求する定期的なパスワード変更要求も ESSOに委託させることができるので、ユーザ自身のパスワード変更操作を一切する 必要がありません。 Copyright© 2009, Oracle. All rights reserved. 39
  25. 25. Oracle ESSO設定情報の集中配布機能 Logon Manager アプリーションテンプレート Administrative 自動取得 Console ユーザ Logon Manager アップロード 自動取得 管理者 ユーザ ESSOリポジトリ (Active Directory, Oracle Internet Directory等) Logon 自動取得 ※リポジトリはESSOの管理性を高めるため Manager のものであり、必頇ではありません。アプリケ ーションテンプレートをファイルとして直接ク ユーザ ライアントに渡すこともできます。 社内にSSO対象のシステムが増えたとき等、リポジトリにアップロードを行うことで 全クライアントへ新しい設定情報を自動的に配布することが可能です。 Copyright© 2009, Oracle. All rights reserved. 40
  26. 26. 無償のアセスメントサービスをご提供しています お使いのアプリケーションが、ESSO によってシングルサインが可能であることを短時間で検証いたします 検証対象アプリケーションが  検証用 PC への ESSO 導入 利用できる検証用 PC  対象アプリケーションの  検証レポートのご提示  ログオン画面の識別検証 検証用のID(ユーザー名)、 情報ヒアリング  今後の進め方をご相談 ※対象アプリケーションへの パスワード 設定作業はございません ご用意頂くもの 事前お打合せ 検証作業 ご報告 半日~二日間の検証期間で実施致します あなたにいちばん近いオラクル TEL 0120-155-096 (フリーダイヤル) 受付時間 月~金 9:00-12:00 / 13:00-18:00(祝日及び年末年始休業日を除きます) http://www.oracle.com/lang/jp/direct/index.html Copyright© 2009, Oracle. All rights reserved. 46
  27. 27. あなたにいちばん近いオラクル Oracle Direct まずはお問合せください Oracle Direct 検索 システムの検討・構築から運用まで、ITプロジェクト全般の相談窓口としてご支援いたします。 システム構成やライセンス/購入方法などお気軽にお問い合わせ下さい。 Web問い合わせフォーム フリーダイヤル 専用お問い合わせフォームにてご相談内容を承ります。http://www.oracle.co.jp/inq_pl/INQUIRY/quest?rid=28 0120-155-096 ※フォームの入力には、Oracle Direct Seminar申込時と同じ ※月曜~金曜 9:00~12:00、13:00~18:00 ログインが必要となります。 ※こちらから詳細確認のお電話を差し上げる場合がありますので、ご登録さ れている連絡先が最新のものになっているか、ご確認下さい。 (祝日および年末年始除く) Copyright© 2011, Oracle. All rights reserved. 27
  28. 28. OTN×ダイセミ でスキルアップ!! ・一般的な技術問題解決方法などを知りたい! ・セミナ資料など技術コンテンツがほしい! Oracle Technology Network(OTN)を御活用下さい。 http://forums.oracle.com/forums/main.jspa?categoryID=484 一般的技術問題解決にはOTN掲示版の 「ミドルウェア」をご活用ください※OTN掲示版は、基本的にOracleユーザー有志からの回答となるため100%回答があるとは限りません。 ただ、過去の履歴を見ると、質問の大多数に関してなんらかの回答が書き込まれております。 http://www.oracle.com/technetwork/jp/testcontent/index-086873-ja.html 過去のセミナ資料、動画コンテンツはOTNの 「OTNセミナー オンデマンド コンテンツ」へ※ダイセミ事務局にダイセミ資料を請求頂いても、お受けできない可能性がございますので予めご了承ください。 ダイセミ資料はOTNコンテンツ オン デマンドか、セミナ実施時間内にダウンロード頂くようお願い致します。 28 Copyright© 2011, Oracle. All rights reserved.
  29. 29. OTNセミナー オンデマンド コンテンツ ダイセミで実施された技術コンテンツを動画で配信中!! ダイセミのライブ感はそのままに、お好きな時間で受講頂けます。 最新情報つぶやき中 OracleMiddle_jp ・人気コンテンツは? ・お勧め情報 ・公開予告 など OTN オンデマンド※掲載のコンテンツ内容は予告なく変更になる可能性があります。期間限定での配信コンテンツも含まれております。お早めにダウンロード頂くことをお勧めいたします。 29 Copyright© 2011, Oracle. All rights reserved.
  30. 30. Oracle エンジニアのための技術情報サイト オラクルエンジニア通信 最新情報つぶやき中 http://blogs.oracle.com/oracle4engineer/ oracletechnetjp• 技術資料 • ダイセミの過去資料や製品ホワイト ペーパー、スキルアップ資料などを 多様な方法で検索できます • キーワード検索、レベル別、カテゴ リ別、製品・機能別• コラム • オラクル製品に関する技術コラムを 毎週お届けします • 決してニッチではなく、誰もが明日 から使える技術の「あ、そうだったん だ!」をお届けします こんな資料が人気です  6か月ぶりに資料ダウンロードランキングの首位が交代! 新王者はOracle Database構築資料でした。  データベースの性能管理手法について、Statspack派も Enterprise Manager派も目からウロコの技術特集公開中 オラクルエンジニア通信 30 Copyright© 2011, Oracle. All rights reserved.
  31. 31. ITプロジェクト全般に渡る無償支援サービス Oracle Direct Conciergeサービス■パフォーマンス診断サービス ■システム構成診断サービス•Webシステム ボトルネック診断サービス NEW •Oracle Database構成相談サービス•データベースパフォーマンス 診断サービス •サーバー統合支援サービス •仮想化アセスメントサービス■移行支援サービス •メインフレーム資産活用相談サービス•SQL Serverからの移行支援サービス •BI EEアセスメントサービス•DB2からの移行支援サービス •簡易業務診断サービス•Sybaseからの移行支援サービス•MySQLからの移行支援サービス ■バージョンアップ支援サービス•Postgre SQLからの移行支援サービス •Oracle Databaseバージョンアップ支援サービス•Accessからの移行支援サービス •Weblogic Serverバージョンアップ支援サービス NEW•Oracle Application ServerからWeblogicへ •Oracle Developer/2000(Froms/Reports)移行支援サービス Webアップグレード相談サービス NEW オラクル社のエンジニアが 直接ご支援します お気軽にご活用ください! オラクル 無償支援 検索 Copyright© 2011, Oracle. All rights reserved. 31
  32. 32. 1日5組限定! 製品無償評価サービス 提供シナリオ一例 ・データベースチューニング ・無停止アップグレード ・アプリケーション性能・負荷検証 ・Webシステム障害解析インストールすることなく、すぐに体験いただけます• サービスご提供までの流れ 1. お問合せフォームより「製品評価サービス希望」と必要事項を明記し送信下さい 2. 弊社より接続方法手順書およびハンズオン手順書を送付致します 3. 当日は、弊社サーバー環境でインターネット越しに製品を体感頂けます ※サービスご提供には事前予約が必要です Web問い合わせフォーム「ダイデモ」をキーワードに検索することで申し込みホームページにアクセスできます http://www.oracle.com/jp/direct/services/didemo-195748-ja.html Copyright© 2011, Oracle. All rights reserved. 32
  33. 33. Copyright© 2011, Oracle. All rights reserved.
  34. 34. Copyright© 2011, Oracle. All rights reserved. 34

×