SlideShare a Scribd company logo

Database Security for PCI DSS

Download as PPTX, PDF
Ohyama Masanori
Ohyama Masanori

2017/1/27 NTT Tech Conference https://ntt-developers.github.io/ntt-tech-conference-01/

Software
1 of 32
Copyright©2017 NTT Corp. All Rights Reserved. Database Security for PCIDSS - NTT Database Summit - 大山真実(@ooyamams1987) – NTT OSSセンター
1Copyright©2017 NTT Corp. All Rights Reserved. セキュリティって必要?  必要です! Q: 将来、データベースを壊して業務を妨害することがあるかも知れない。(図 3-21) Q: 将来、データベースに格納されている情報をこっそり改ざんするかも知れない。(図 3-22) そう思う 2.9% ややそう思う 6.5% どちらとも いえない 15.5% あまりそう 思わない 9.6% そう思わない 65.5% そう思う 2.4% ややそう思う 7.4% 約1割のDB管理者がDBを破壊するかもしれない!? 引用元:DBSC 「DBA 1,000 人に聞きました」アンケート調査報告書 http://www.db-security.org/report/dbsc_dba_ver1.0.pdf
2Copyright©2017 NTT Corp. All Rights Reserved. セキュリティって必要?  必要です! IPA 「組織における内部不正対策」 http://www.ipa.go.jp/files/000047237.pdf
3Copyright©2017 NTT Corp. All Rights Reserved. セキュリティは投資!  必要です! METI IPA「サイバーセキュリティ経営ガイドライン Ver 1.0」 http://www.meti.go.jp/press/2015/12/20151228002/20151228002-2.pdf 抜粋: • セキュリティ対策に対して経営者が十分なリーダーシップを発揮していない。 • セキュリティ投資へのリターンが見えにくい性質のものであるため、 経営者がリーダーシップを取らなければ、積極的に話が上がりにくい
4Copyright©2017 NTT Corp. All Rights Reserved. セキュリティを考える上で大事なこと  必要です! 「スター・ウォーズ:帝国のサイバーセキュリティ問題」 https://blog.kaspersky.co.jp/star-wars-cybersecurity-problems/13511/ 引用: このデス・スター破壊のエピソードを、セ キュリティの観点から詳しく見ていきま しょう。 ~ 省略 ~ また、最終兵器の設計図がそっくりそのま ま漏洩して敵の手に渡ったことも、陥落の 真の要因ではありません。もちろん大失態 ではありますが。要は「情報が知られなけ れば安全」という法則は成り立たない、の です。 「完璧なセキュリティ対策」は存在しない。 多層防御の考え方が大事!
5Copyright©2017 NTT Corp. All Rights Reserved. 免責事項  本発表は PCI DSS を参考にデータベースのセキュリティに ついて考えることを目的にしています。  本資料の記載通りに対策を施しても、PCI DSS の要件を満たすか どうかは保証できません。実際に PCI DSS の審査を 受ける時は、最寄りの QSA にご相談ください。 http://www.intellilink.co.jp/security/services/consulting/09.html 1日研修もあるよ!
6Copyright©2017 NTT Corp. All Rights Reserved. PCI DSS とは?  クレジットカード業界のセキュリティ基準です。 Payment Card Industry Data Security Standardの頭文字をとったも ので、国際カードブランド5社 American Express Discover JCB MasterCard VISA が共同で設立したPCI SSC(Payment Card Industry Security Standards Council)によって運用、管理されています。  クレジットカードを扱わないシステムであったとしても、セキュリティ について考える時は、この PCI DSS を参考にすることができる。 http://www.jcdsc.org/pci_dss.php より
7Copyright©2017 NTT Corp. All Rights Reserved. PCI DSS の用語  カード会員データ (保存可) プライマリアカウント番号(PAN) (読み取り不可、暗号化) カード会員名 サービスコード 有効期限  機密認証データ (保存不可) 磁気ストライプデータなど  代替コントロール  QSA=Qualified Security Assessors • 審査機関(QSAC) • 審査人(QSAP)
8Copyright©2017 NTT Corp. All Rights Reserved. クレジットカードの不正使用 期間 偽造カード 番号盗用 その他 合計 H.26 19.5 66.7 27.7 113.9 H.27 23.0 71.4 25.6 120.0 H.28(1-9月) 22.7 67.2 16.9 106.8 0 50 100 150 H.26 H.27 H.28(1-9月) その他 番号盗用 偽造カード (億円) (億円) 日本クレジット協会 クレジットカード不正 使用被害額の発生状況 http://www.j- credit.or.jp/informati on/statistics/downloa d/toukei_03_g_1612 28.pdf 毎年100億円 を超える被害額
9Copyright©2017 NTT Corp. All Rights Reserved. PCI DSS の要件 PCI DSS の12要件 安全なネットワークの構築・維持 要件1:カード会員データを保護するためにファイアウォールを導入し、最適な設定を維持すること 要件2:システム・パスワードと他のセキュリティ・パラメータにベンダー提供のデフォルトを使用しないこと カード会員データの保護 要件3: 保存されたカード会員データを安全に保護すること 要件4: オープンなパブリック・ネットワーク経由で転送されるカード名義人データを暗号化する 脆弱性を管理するプログラムの整備 要件5: アンチウイルス・ソフトウェアを利用し、定期的に更新すること 要件6: 安全性の高いシステムとアプリケーションを開発し、保守すること 強固なアクセス管理手法の導入 要件7: カード会員データへのアクセスを業務上の必要範囲内に制限すること 要件8: コンピュータにアクセスする利用者ごとに個別のIDを割り当てること 要件9: カード会員データへの物理的アクセスを制限すること 定期的なネットワークの監視およびテスト 要件10: ネットワーク資源およびカード会員データに対するすべてのアクセスを追跡し、監視すること 要件11: セキュリティ・システムおよび管理手順を定期的にテストすること 情報セキュリティ・ポリシーの整備 要件12: 情報セキュリティに関するポリシーを整備すること http://www.pci-dss.jp/require.html これらはシステムを構成する全てのハード/ソフト/運用プロセスに適応される。 では、データベースではどのように考えるべきか?
10Copyright©2017 NTT Corp. All Rights Reserved. データベースのセキュリティにおいて考えるべき観点 データベースへの PCI DSS 適応を以下の観点で考える 1.データベースをセキュアな状態に保つ 2.データの保護、暗号化と鍵の管理 3.ユーザーの識別、認証、認可、アカウント管理 4.監査
11Copyright©2017 NTT Corp. All Rights Reserved. 1.データベースをセキュアな状態に保つ
12Copyright©2017 NTT Corp. All Rights Reserved. 1.データベースをセキュアな状態に保つ PCI DSS 要件2 ざっくりまとめ • デフォルトアカウント、パスワードの使用禁止 • 既知の脆弱性が修正された状態を保つ • 不要な機能、プロトコルの使用禁止 • 管理アクセスは暗号化する。 要件2から考えるデータベースですべきこと • デフォルトのユーザはログイン禁止 • 最新マイナーバージョンへのアップデート • IPアドレス制限、必要最低限のアクセスのみを許可 • 管理アクセスは暗号化 (例えばpsqlによるDBへの接続など) 基本的なセキュリティ対策はちゃんとやろう!
13Copyright©2017 NTT Corp. All Rights Reserved. 2.データの保護、暗号化と鍵の管理
14Copyright©2017 NTT Corp. All Rights Reserved. 2.データの保護、暗号化と鍵の管理 PCI DSS 要件3 ざっくりまとめ • PANの保護 • PANは以下の状態で保存する。  不可逆的に読み取り不可な状態にする ・ワンウェイハッシュ ・トランケーション ・代替番号  暗号化する • 暗号鍵を使う • 業務上必要な人のみが復号できる
15Copyright©2017 NTT Corp. All Rights Reserved. 2.データの保護、暗号化と鍵の管理 PCI DSS 要件3 ざっくりまとめ • 暗号鍵は以下の要件に従って管理する • 業務上必要な人だけが鍵にアクセスできる • 暗号鍵は鍵暗号鍵で暗号化(2層鍵管理) • 暗号鍵と鍵暗号鍵は別々の場所に保存 • 鍵は最小限の場所に保存 • 鍵は使用期限を設け、一定期間で更新する • 鍵は安全に保存、配布する • 鍵へのアクセス/使用の記録を残して監査する
16Copyright©2017 NTT Corp. All Rights Reserved. 2.データの保護、暗号化と鍵の管理 要件3から考えるデータベースですべきこと • 以下の機能を持つデータベース外部の鍵管理ソフトウェアと連携すべき  2層鍵管理方式による鍵管理可能  システム全体のユーザ認証と連携した鍵管理機構可能  DB管理者と鍵管理者は分けることができる(権限分掌)  鍵の利用状況を監査できる https://docs.oracle.com/c d/E49329_01/network.12 1/b71313/asotrans.htm 鍵交換時の再暗号化時 にもメリットあり 2層鍵管理方式 このような要件を満たす鍵管理OSSが欲しい…
17Copyright©2017 NTT Corp. All Rights Reserved. 2.データの保護、暗号化と鍵の管理 • 透過的暗号化機能(TDE)が使えるとベスト!  実際の案件では需要大  現実の案件ではAPにパスワードや鍵を埋め込むことが多い →セキュリティ的に大問題なので避けるべき →APへの変更をなるべく抑えたい  クラウド上でのDB利用拡大に伴い、DBの暗号機能、TDEの要望は多い。
18Copyright©2017 NTT Corp. All Rights Reserved. 3.ユーザーの識別、認証、認可、プロファイル管理
19Copyright©2017 NTT Corp. All Rights Reserved. 3.ユーザーの識別、認証、認可、プロファイル管理 PCI DSS 要件7,8 ざっくりまとめると • 識別:Identification  全てのユーザーに各個人を一意に識別できるユーザーIDを与える • 認証: Authentication  パスワード  トークンデバイス  生体認証 • 認可: Authorization  業務上必要なユーザーに最小限の権限を与える。 • プロファイル管理 →ユーザーIDの削除、凍結、接続断  移動/退職者  一定数の認証失敗  長時間アクセスなし  一定時間アイドル状態 有効なパスワードの要件は…
20Copyright©2017 NTT Corp. All Rights Reserved. 3.ユーザーの識別、認証、認可、プロファイル管理 8.2.3 パスワードは7文字以上、数字と英文字を両方含むこと
21Copyright©2017 NTT Corp. All Rights Reserved. 3.ユーザーの識別、認証、認可、プロファイル管理 8.2.4 90日に一回パスワードを変更すること
22Copyright©2017 NTT Corp. All Rights Reserved. 3.ユーザーの識別、認証、認可、プロファイル管理 8.2.5 直近に使用した4つのlパスワードは使用できない
23Copyright©2017 NTT Corp. All Rights Reserved. 3.ユーザーの識別、認証、認可、プロファイル管理 要件7,8から考えるデータベースですべきこと • 以下の機能を持つデータベース外部のソフトウェアと連携すべき  システム全体のユーザ、権限を一括管理可能  鍵管理機能と連携可能  単純なパスワードの制限/有効期限設定可能  プロファイル管理可能 DBと連携してユーザアカウントの削除、凍結が行える  利用状況の監査可能 • ユーザ管理者とDB管理者は分けるべき • 業務に応じた細かい単位の権限を持つロール、ユーザを作成する APから接続するユーザ、運用者、バックアップ、DB管理者など このような機能を持つOSSが欲しい… OpenLDAP?
24Copyright©2017 NTT Corp. All Rights Reserved. 4.監査: Auditing
25Copyright©2017 NTT Corp. All Rights Reserved. 4.監査 PCI DSS 要件10 ざっくりまとめると • 以下を監査する  カード会員データ、監査証跡へのアクセス  管理者の全てのアクション  無効なアクセス試行  識別・認証に関わる操作 • 以下の情報を取得する  ユーザ識別  イベントの種類  日時  成功/失敗  イベントの発生元  影響を受けるデータ、リソースID • 監査証跡を保護する  参照、変更権限の制限  監査ログファイルの変更の検知  監査証跡は変更が困難な一元管理ログサーバに保存
26Copyright©2017 NTT Corp. All Rights Reserved. 4.監査 要件10から考えるデータベースですべきこと • 前述の要件を満たす監査ログ出力機能を導入すべき  特権ユーザの完全な監査をどのように実現するかが課題 • 以下を可能にするため監査ログ管理サーバにログを集約すべき  システム全体の監査ログを集約  監査ログは監査権限を持つユーザ以外にはアクセスさせない  監査者とDB管理者は分ける  監査ログの監査
27Copyright©2017 NTT Corp. All Rights Reserved. 1~4をまとめると DB DB DB 監査ログ管理サーバ DBA DBA DBA 監査者 認証情報 監査ログ 識別、認証、認可、 プロファイル管理 暗号鍵管理 鍵管理者 ユーザ 管理者 鍵情報 暗号化 データ 暗号化 データ 暗号化 データ
28Copyright©2017 NTT Corp. All Rights Reserved. Oracleでの対応 「狙われているのはデータ」──企業の機密情報、個人情報を効果的に守るには? http://www.atmarkit.co.jp/ait/articles/1511/24/news014_4.html
29Copyright©2017 NTT Corp. All Rights Reserved. PostgreSQLでの対応 以下の点を除けばPostgreSQLは十分に PCI DSS に対応できる。 • 権限分掌が不十分 スーパーユーザ(特権ユーザ)権限無しでの運用が困難 →PostgreSQLコミュニティでも改善を検討中 • DB外部の鍵管理機構との連携した暗号化機能がない • DB外部のユーザ管理機構と連携したプロファイル管理機能がない • 監査ログ出力機能がない いずれも代替コントロールできる可能性が高い! 詳しくはOSSセンターにお問い合わせください。 TDEもほしい!
30Copyright©2017 NTT Corp. All Rights Reserved. pgauditについて PCI DSS の監査要件を満たす監査ログ出力機能を OSSセンターで開発中。 https://github.com/ossc-db/pgaudit/tree/refactored ポイント • 監査要件を満たす出力対象、出力情報。 • スーパーユーザであっても監査設定を容易に変更すること はできない。 • Syslog経由で監査ログをログ管理サーバに送信。 • 性能への影響を極力軽減するログフィルタリング機能。
31Copyright©2017 NTT Corp. All Rights Reserved. END

Recommended

インフラ廻戦 品川事変 前夜編
インフラ廻戦 品川事変 前夜編インフラ廻戦 品川事変 前夜編
インフラ廻戦 品川事変 前夜編Toru Makabe
 
Apache OpenWhiskで実現するプライベートFaaS環境 #tjdev
Apache OpenWhiskで実現するプライベートFaaS環境 #tjdevApache OpenWhiskで実現するプライベートFaaS環境 #tjdev
Apache OpenWhiskで実現するプライベートFaaS環境 #tjdevYahoo!デベロッパーネットワーク
 
PostgreSQLをKubernetes上で活用するためのOperator紹介!(Cloud Native Database Meetup #3 発表資料)
PostgreSQLをKubernetes上で活用するためのOperator紹介!(Cloud Native Database Meetup #3 発表資料)PostgreSQLをKubernetes上で活用するためのOperator紹介!(Cloud Native Database Meetup #3 発表資料)
PostgreSQLをKubernetes上で活用するためのOperator紹介!(Cloud Native Database Meetup #3 発表資料)NTT DATA Technology & Innovation
 
PostgreSQLでスケールアウト
PostgreSQLでスケールアウトPostgreSQLでスケールアウト
PostgreSQLでスケールアウトMasahiko Sawada
 
10分でわかる Cilium と XDP / BPF
10分でわかる Cilium と XDP / BPF10分でわかる Cilium と XDP / BPF
10分でわかる Cilium と XDP / BPFShuji Yamada
 
KafkaとPulsar
KafkaとPulsarKafkaとPulsar
KafkaとPulsarYahoo!デベロッパーネットワーク
 
AlloyDBを触ってみた!(第33回PostgreSQLアンカンファレンス@オンライン 発表資料)
AlloyDBを触ってみた!(第33回PostgreSQLアンカンファレンス@オンライン 発表資料)AlloyDBを触ってみた!(第33回PostgreSQLアンカンファレンス@オンライン 発表資料)
AlloyDBを触ってみた!(第33回PostgreSQLアンカンファレンス@オンライン 発表資料)NTT DATA Technology & Innovation
 
本当は恐ろしい分散システムの話
本当は恐ろしい分散システムの話本当は恐ろしい分散システムの話
本当は恐ろしい分散システムの話Kumazaki Hiroki
 

Recommended

インフラ廻戦 品川事変 前夜編
インフラ廻戦 品川事変 前夜編インフラ廻戦 品川事変 前夜編
インフラ廻戦 品川事変 前夜編Toru Makabe
 
Apache OpenWhiskで実現するプライベートFaaS環境 #tjdev
Apache OpenWhiskで実現するプライベートFaaS環境 #tjdevApache OpenWhiskで実現するプライベートFaaS環境 #tjdev
Apache OpenWhiskで実現するプライベートFaaS環境 #tjdevYahoo!デベロッパーネットワーク
 
PostgreSQLをKubernetes上で活用するためのOperator紹介!(Cloud Native Database Meetup #3 発表資料)
PostgreSQLをKubernetes上で活用するためのOperator紹介!(Cloud Native Database Meetup #3 発表資料)PostgreSQLをKubernetes上で活用するためのOperator紹介!(Cloud Native Database Meetup #3 発表資料)
PostgreSQLをKubernetes上で活用するためのOperator紹介!(Cloud Native Database Meetup #3 発表資料)NTT DATA Technology & Innovation
 
PostgreSQLでスケールアウト
PostgreSQLでスケールアウトPostgreSQLでスケールアウト
PostgreSQLでスケールアウトMasahiko Sawada
 
10分でわかる Cilium と XDP / BPF
10分でわかる Cilium と XDP / BPF10分でわかる Cilium と XDP / BPF
10分でわかる Cilium と XDP / BPFShuji Yamada
 
KafkaとPulsar
KafkaとPulsarKafkaとPulsar
KafkaとPulsarYahoo!デベロッパーネットワーク
 
AlloyDBを触ってみた!(第33回PostgreSQLアンカンファレンス@オンライン 発表資料)
AlloyDBを触ってみた!(第33回PostgreSQLアンカンファレンス@オンライン 発表資料)AlloyDBを触ってみた!(第33回PostgreSQLアンカンファレンス@オンライン 発表資料)
AlloyDBを触ってみた!(第33回PostgreSQLアンカンファレンス@オンライン 発表資料)NTT DATA Technology & Innovation
 
本当は恐ろしい分散システムの話
本当は恐ろしい分散システムの話本当は恐ろしい分散システムの話
本当は恐ろしい分散システムの話Kumazaki Hiroki
 
Active Directory 侵害と推奨対策
Active Directory 侵害と推奨対策Active Directory 侵害と推奨対策
Active Directory 侵害と推奨対策Yurika Kakiuchi
 
CentOS Linux 8 の EOL と対応策の検討
CentOS Linux 8 の EOL と対応策の検討CentOS Linux 8 の EOL と対応策の検討
CentOS Linux 8 の EOL と対応策の検討Masahito Zembutsu
 
各種データベースの特徴とパフォーマンス比較
各種データベースの特徴とパフォーマンス比較各種データベースの特徴とパフォーマンス比較
各種データベースの特徴とパフォーマンス比較株式会社オプト 仙台ラボラトリ
 
スケールアウトするPostgreSQLを目指して!その第一歩!(NTTデータ テクノロジーカンファレンス 2020 発表資料)
スケールアウトするPostgreSQLを目指して!その第一歩!(NTTデータ テクノロジーカンファレンス 2020 発表資料)スケールアウトするPostgreSQLを目指して!その第一歩!(NTTデータ テクノロジーカンファレンス 2020 発表資料)
スケールアウトするPostgreSQLを目指して!その第一歩!(NTTデータ テクノロジーカンファレンス 2020 発表資料)NTT DATA Technology & Innovation
 
SPAセキュリティ入門~PHP Conference Japan 2021
SPAセキュリティ入門~PHP Conference Japan 2021SPAセキュリティ入門~PHP Conference Japan 2021
SPAセキュリティ入門~PHP Conference Japan 2021Hiroshi Tokumaru
 
PostgreSQLレプリケーション10周年!徹底紹介!(PostgreSQL Conference Japan 2019講演資料)
PostgreSQLレプリケーション10周年!徹底紹介!(PostgreSQL Conference Japan 2019講演資料)PostgreSQLレプリケーション10周年!徹底紹介!(PostgreSQL Conference Japan 2019講演資料)
PostgreSQLレプリケーション10周年!徹底紹介!(PostgreSQL Conference Japan 2019講演資料)NTT DATA Technology & Innovation
 
IAM Roles Anywhereのない世界とある世界(2022年のAWSアップデートを振り返ろう ~Season 4~ 発表資料)
IAM Roles Anywhereのない世界とある世界(2022年のAWSアップデートを振り返ろう ~Season 4~ 発表資料)IAM Roles Anywhereのない世界とある世界(2022年のAWSアップデートを振り返ろう ~Season 4~ 発表資料)
IAM Roles Anywhereのない世界とある世界(2022年のAWSアップデートを振り返ろう ~Season 4~ 発表資料)NTT DATA Technology & Innovation
 
MySQLレプリケーションあれやこれや
MySQLレプリケーションあれやこれやMySQLレプリケーションあれやこれや
MySQLレプリケーションあれやこれやyoku0825
 
なぜ自社で脆弱性診断を行うべきなのか
なぜ自社で脆弱性診断を行うべきなのかなぜ自社で脆弱性診断を行うべきなのか
なぜ自社で脆弱性診断を行うべきなのかSen Ueno
 
PostreSQL監査
PostreSQL監査PostreSQL監査
PostreSQL監査NTT DATA OSS Professional Services
 
PostgreSQLのロール管理とその注意点(Open Source Conference 2022 Online/Osaka 発表資料)
PostgreSQLのロール管理とその注意点(Open Source Conference 2022 Online/Osaka 発表資料)PostgreSQLのロール管理とその注意点(Open Source Conference 2022 Online/Osaka 発表資料)
PostgreSQLのロール管理とその注意点(Open Source Conference 2022 Online/Osaka 発表資料)NTT DATA Technology & Innovation
 
[Aurora事例祭り]Amazon Aurora を使いこなすためのベストプラクティス
[Aurora事例祭り]Amazon Aurora を使いこなすためのベストプラクティス[Aurora事例祭り]Amazon Aurora を使いこなすためのベストプラクティス
[Aurora事例祭り]Amazon Aurora を使いこなすためのベストプラクティスAmazon Web Services Japan
 
はじめてのElasticsearchクラスタ
はじめてのElasticsearchクラスタはじめてのElasticsearchクラスタ
はじめてのElasticsearchクラスタSatoyuki Tsukano
 
Kafka・Storm・ZooKeeperの認証と認可について #kafkajp
Kafka・Storm・ZooKeeperの認証と認可について #kafkajpKafka・Storm・ZooKeeperの認証と認可について #kafkajp
Kafka・Storm・ZooKeeperの認証と認可について #kafkajpYahoo!デベロッパーネットワーク
 
OpenJDKのコミッタってどんなことしたらなったの?解決してきた技術課題の事例から見えてくる必要な知識と技術(JJUG CCC 2023 Spring)
OpenJDKのコミッタってどんなことしたらなったの?解決してきた技術課題の事例から見えてくる必要な知識と技術(JJUG CCC 2023 Spring)OpenJDKのコミッタってどんなことしたらなったの?解決してきた技術課題の事例から見えてくる必要な知識と技術(JJUG CCC 2023 Spring)
OpenJDKのコミッタってどんなことしたらなったの?解決してきた技術課題の事例から見えてくる必要な知識と技術(JJUG CCC 2023 Spring)NTT DATA Technology & Innovation
 
Fluentdのお勧めシステム構成パターン
Fluentdのお勧めシステム構成パターンFluentdのお勧めシステム構成パターン
Fluentdのお勧めシステム構成パターンKentaro Yoshida
 
分散システムについて語らせてくれ
分散システムについて語らせてくれ分散システムについて語らせてくれ
分散システムについて語らせてくれKumazaki Hiroki
 
アーキテクチャから理解するPostgreSQLのレプリケーション
アーキテクチャから理解するPostgreSQLのレプリケーションアーキテクチャから理解するPostgreSQLのレプリケーション
アーキテクチャから理解するPostgreSQLのレプリケーションMasahiko Sawada
 
BuildKitによる高速でセキュアなイメージビルド
BuildKitによる高速でセキュアなイメージビルドBuildKitによる高速でセキュアなイメージビルド
BuildKitによる高速でセキュアなイメージビルドAkihiro Suda
 
監査要件を有するシステムに対する PostgreSQL 導入の課題と可能性
監査要件を有するシステムに対する PostgreSQL 導入の課題と可能性監査要件を有するシステムに対する PostgreSQL 導入の課題と可能性
監査要件を有するシステムに対する PostgreSQL 導入の課題と可能性Ohyama Masanori
 
PostgreSQL Security. How Do We Think?
PostgreSQL Security. How Do We Think?PostgreSQL Security. How Do We Think?
PostgreSQL Security. How Do We Think?Ohyama Masanori
 
ECSとSpotFleetで新規ビジネスのトライアル
ECSとSpotFleetで新規ビジネスのトライアルECSとSpotFleetで新規ビジネスのトライアル
ECSとSpotFleetで新規ビジネスのトライアルYu Sudo
 

More Related Content

What's hot

Active Directory 侵害と推奨対策
Active Directory 侵害と推奨対策Active Directory 侵害と推奨対策
Active Directory 侵害と推奨対策Yurika Kakiuchi
 
CentOS Linux 8 の EOL と対応策の検討
CentOS Linux 8 の EOL と対応策の検討CentOS Linux 8 の EOL と対応策の検討
CentOS Linux 8 の EOL と対応策の検討Masahito Zembutsu
 
スケールアウトするPostgreSQLを目指して!その第一歩!(NTTデータ テクノロジーカンファレンス 2020 発表資料)
スケールアウトするPostgreSQLを目指して!その第一歩!(NTTデータ テクノロジーカンファレンス 2020 発表資料)スケールアウトするPostgreSQLを目指して!その第一歩!(NTTデータ テクノロジーカンファレンス 2020 発表資料)
スケールアウトするPostgreSQLを目指して!その第一歩!(NTTデータ テクノロジーカンファレンス 2020 発表資料)NTT DATA Technology & Innovation
 
SPAセキュリティ入門~PHP Conference Japan 2021
SPAセキュリティ入門~PHP Conference Japan 2021SPAセキュリティ入門~PHP Conference Japan 2021
SPAセキュリティ入門~PHP Conference Japan 2021Hiroshi Tokumaru
 
PostgreSQLレプリケーション10周年!徹底紹介!(PostgreSQL Conference Japan 2019講演資料)
PostgreSQLレプリケーション10周年!徹底紹介!(PostgreSQL Conference Japan 2019講演資料)PostgreSQLレプリケーション10周年!徹底紹介!(PostgreSQL Conference Japan 2019講演資料)
PostgreSQLレプリケーション10周年!徹底紹介!(PostgreSQL Conference Japan 2019講演資料)NTT DATA Technology & Innovation
 
IAM Roles Anywhereのない世界とある世界(2022年のAWSアップデートを振り返ろう ~Season 4~ 発表資料)
IAM Roles Anywhereのない世界とある世界(2022年のAWSアップデートを振り返ろう ~Season 4~ 発表資料)IAM Roles Anywhereのない世界とある世界(2022年のAWSアップデートを振り返ろう ~Season 4~ 発表資料)
IAM Roles Anywhereのない世界とある世界(2022年のAWSアップデートを振り返ろう ~Season 4~ 発表資料)NTT DATA Technology & Innovation
 
MySQLレプリケーションあれやこれや
MySQLレプリケーションあれやこれやMySQLレプリケーションあれやこれや
MySQLレプリケーションあれやこれやyoku0825
 
なぜ自社で脆弱性診断を行うべきなのか
なぜ自社で脆弱性診断を行うべきなのかなぜ自社で脆弱性診断を行うべきなのか
なぜ自社で脆弱性診断を行うべきなのかSen Ueno
 
PostgreSQLのロール管理とその注意点(Open Source Conference 2022 Online/Osaka 発表資料)
PostgreSQLのロール管理とその注意点(Open Source Conference 2022 Online/Osaka 発表資料)PostgreSQLのロール管理とその注意点(Open Source Conference 2022 Online/Osaka 発表資料)
PostgreSQLのロール管理とその注意点(Open Source Conference 2022 Online/Osaka 発表資料)NTT DATA Technology & Innovation
 
[Aurora事例祭り]Amazon Aurora を使いこなすためのベストプラクティス
[Aurora事例祭り]Amazon Aurora を使いこなすためのベストプラクティス[Aurora事例祭り]Amazon Aurora を使いこなすためのベストプラクティス
[Aurora事例祭り]Amazon Aurora を使いこなすためのベストプラクティスAmazon Web Services Japan
 
はじめてのElasticsearchクラスタ
はじめてのElasticsearchクラスタはじめてのElasticsearchクラスタ
はじめてのElasticsearchクラスタSatoyuki Tsukano
 
OpenJDKのコミッタってどんなことしたらなったの?解決してきた技術課題の事例から見えてくる必要な知識と技術(JJUG CCC 2023 Spring)
OpenJDKのコミッタってどんなことしたらなったの?解決してきた技術課題の事例から見えてくる必要な知識と技術(JJUG CCC 2023 Spring)OpenJDKのコミッタってどんなことしたらなったの?解決してきた技術課題の事例から見えてくる必要な知識と技術(JJUG CCC 2023 Spring)
OpenJDKのコミッタってどんなことしたらなったの?解決してきた技術課題の事例から見えてくる必要な知識と技術(JJUG CCC 2023 Spring)NTT DATA Technology & Innovation
 
Fluentdのお勧めシステム構成パターン
Fluentdのお勧めシステム構成パターンFluentdのお勧めシステム構成パターン
Fluentdのお勧めシステム構成パターンKentaro Yoshida
 
分散システムについて語らせてくれ
分散システムについて語らせてくれ分散システムについて語らせてくれ
分散システムについて語らせてくれKumazaki Hiroki
 
アーキテクチャから理解するPostgreSQLのレプリケーション
アーキテクチャから理解するPostgreSQLのレプリケーションアーキテクチャから理解するPostgreSQLのレプリケーション
アーキテクチャから理解するPostgreSQLのレプリケーションMasahiko Sawada
 
BuildKitによる高速でセキュアなイメージビルド
BuildKitによる高速でセキュアなイメージビルドBuildKitによる高速でセキュアなイメージビルド
BuildKitによる高速でセキュアなイメージビルドAkihiro Suda
 
監査要件を有するシステムに対する PostgreSQL 導入の課題と可能性
監査要件を有するシステムに対する PostgreSQL 導入の課題と可能性監査要件を有するシステムに対する PostgreSQL 導入の課題と可能性
監査要件を有するシステムに対する PostgreSQL 導入の課題と可能性Ohyama Masanori
 

What's hot (20)

Active Directory 侵害と推奨対策
Active Directory 侵害と推奨対策Active Directory 侵害と推奨対策
Active Directory 侵害と推奨対策
 
CentOS Linux 8 の EOL と対応策の検討
CentOS Linux 8 の EOL と対応策の検討CentOS Linux 8 の EOL と対応策の検討
CentOS Linux 8 の EOL と対応策の検討
 
各種データベースの特徴とパフォーマンス比較
各種データベースの特徴とパフォーマンス比較各種データベースの特徴とパフォーマンス比較
各種データベースの特徴とパフォーマンス比較
 
スケールアウトするPostgreSQLを目指して!その第一歩!(NTTデータ テクノロジーカンファレンス 2020 発表資料)
スケールアウトするPostgreSQLを目指して!その第一歩!(NTTデータ テクノロジーカンファレンス 2020 発表資料)スケールアウトするPostgreSQLを目指して!その第一歩!(NTTデータ テクノロジーカンファレンス 2020 発表資料)
スケールアウトするPostgreSQLを目指して!その第一歩!(NTTデータ テクノロジーカンファレンス 2020 発表資料)
 
SPAセキュリティ入門~PHP Conference Japan 2021
SPAセキュリティ入門~PHP Conference Japan 2021SPAセキュリティ入門~PHP Conference Japan 2021
SPAセキュリティ入門~PHP Conference Japan 2021
 
PostgreSQLレプリケーション10周年!徹底紹介!(PostgreSQL Conference Japan 2019講演資料)
PostgreSQLレプリケーション10周年!徹底紹介!(PostgreSQL Conference Japan 2019講演資料)PostgreSQLレプリケーション10周年!徹底紹介!(PostgreSQL Conference Japan 2019講演資料)
PostgreSQLレプリケーション10周年!徹底紹介!(PostgreSQL Conference Japan 2019講演資料)
 
IAM Roles Anywhereのない世界とある世界(2022年のAWSアップデートを振り返ろう ~Season 4~ 発表資料)
IAM Roles Anywhereのない世界とある世界(2022年のAWSアップデートを振り返ろう ~Season 4~ 発表資料)IAM Roles Anywhereのない世界とある世界(2022年のAWSアップデートを振り返ろう ~Season 4~ 発表資料)
IAM Roles Anywhereのない世界とある世界(2022年のAWSアップデートを振り返ろう ~Season 4~ 発表資料)
 
MySQLレプリケーションあれやこれや
MySQLレプリケーションあれやこれやMySQLレプリケーションあれやこれや
MySQLレプリケーションあれやこれや
 
なぜ自社で脆弱性診断を行うべきなのか
なぜ自社で脆弱性診断を行うべきなのかなぜ自社で脆弱性診断を行うべきなのか
なぜ自社で脆弱性診断を行うべきなのか
 
PostreSQL監査
PostreSQL監査PostreSQL監査
PostreSQL監査
 
PostgreSQLのロール管理とその注意点(Open Source Conference 2022 Online/Osaka 発表資料)
PostgreSQLのロール管理とその注意点(Open Source Conference 2022 Online/Osaka 発表資料)PostgreSQLのロール管理とその注意点(Open Source Conference 2022 Online/Osaka 発表資料)
PostgreSQLのロール管理とその注意点(Open Source Conference 2022 Online/Osaka 発表資料)
 
[Aurora事例祭り]Amazon Aurora を使いこなすためのベストプラクティス
[Aurora事例祭り]Amazon Aurora を使いこなすためのベストプラクティス[Aurora事例祭り]Amazon Aurora を使いこなすためのベストプラクティス
[Aurora事例祭り]Amazon Aurora を使いこなすためのベストプラクティス
 
はじめてのElasticsearchクラスタ
はじめてのElasticsearchクラスタはじめてのElasticsearchクラスタ
はじめてのElasticsearchクラスタ
 
Kafka・Storm・ZooKeeperの認証と認可について #kafkajp
Kafka・Storm・ZooKeeperの認証と認可について #kafkajpKafka・Storm・ZooKeeperの認証と認可について #kafkajp
Kafka・Storm・ZooKeeperの認証と認可について #kafkajp
 
OpenJDKのコミッタってどんなことしたらなったの?解決してきた技術課題の事例から見えてくる必要な知識と技術(JJUG CCC 2023 Spring)
OpenJDKのコミッタってどんなことしたらなったの?解決してきた技術課題の事例から見えてくる必要な知識と技術(JJUG CCC 2023 Spring)OpenJDKのコミッタってどんなことしたらなったの?解決してきた技術課題の事例から見えてくる必要な知識と技術(JJUG CCC 2023 Spring)
OpenJDKのコミッタってどんなことしたらなったの?解決してきた技術課題の事例から見えてくる必要な知識と技術(JJUG CCC 2023 Spring)
 
Fluentdのお勧めシステム構成パターン
Fluentdのお勧めシステム構成パターンFluentdのお勧めシステム構成パターン
Fluentdのお勧めシステム構成パターン
 
分散システムについて語らせてくれ
分散システムについて語らせてくれ分散システムについて語らせてくれ
分散システムについて語らせてくれ
 
アーキテクチャから理解するPostgreSQLのレプリケーション
アーキテクチャから理解するPostgreSQLのレプリケーションアーキテクチャから理解するPostgreSQLのレプリケーション
アーキテクチャから理解するPostgreSQLのレプリケーション
 
BuildKitによる高速でセキュアなイメージビルド
BuildKitによる高速でセキュアなイメージビルドBuildKitによる高速でセキュアなイメージビルド
BuildKitによる高速でセキュアなイメージビルド
 
監査要件を有するシステムに対する PostgreSQL 導入の課題と可能性
監査要件を有するシステムに対する PostgreSQL 導入の課題と可能性監査要件を有するシステムに対する PostgreSQL 導入の課題と可能性
監査要件を有するシステムに対する PostgreSQL 導入の課題と可能性
 

Viewers also liked

PostgreSQL Security. How Do We Think?
PostgreSQL Security. How Do We Think?PostgreSQL Security. How Do We Think?
PostgreSQL Security. How Do We Think?Ohyama Masanori
 
ECSとSpotFleetで新規ビジネスのトライアル
ECSとSpotFleetで新規ビジネスのトライアルECSとSpotFleetで新規ビジネスのトライアル
ECSとSpotFleetで新規ビジネスのトライアルYu Sudo
 
PostgreSQL 9.5 CPU Read Scalability
PostgreSQL 9.5 CPU Read ScalabilityPostgreSQL 9.5 CPU Read Scalability
PostgreSQL 9.5 CPU Read ScalabilityOhyama Masanori
 
PostgreSQLによるデータ分析ことはじめ
PostgreSQLによるデータ分析ことはじめPostgreSQLによるデータ分析ことはじめ
PostgreSQLによるデータ分析ことはじめOhyama Masanori
 
PostgreSQL 10: What to Look For
PostgreSQL 10: What to Look ForPostgreSQL 10: What to Look For
PostgreSQL 10: What to Look ForAmit Langote
 
Deconstruction of Serverless and blockchain
Deconstruction of Serverless and blockchainDeconstruction of Serverless and blockchain
Deconstruction of Serverless and blockchainTakahiro Hayashida
 
OSSコミッタの生活とその必要性
OSSコミッタの生活とその必要性OSSコミッタの生活とその必要性
OSSコミッタの生活とその必要性Hirofumi Ichihara
 
Dockerコミュニティ近況
Dockerコミュニティ近況Dockerコミュニティ近況
Dockerコミュニティ近況Akihiro Suda
 
PCIDSS compliance made easier through a collaboration between NC State and UN...
PCIDSS compliance made easier through a collaboration between NC State and UN...PCIDSS compliance made easier through a collaboration between NC State and UN...
PCIDSS compliance made easier through a collaboration between NC State and UN...John Baines
 
Windows Azure 最新 Update 2014/03/10
Windows Azure 最新 Update 2014/03/10Windows Azure 最新 Update 2014/03/10
Windows Azure 最新 Update 2014/03/10Ryusaburo Tanaka
 
分散クラウドシステムにおける遠隔連携技術
分散クラウドシステムにおける遠隔連携技術分散クラウドシステムにおける遠隔連携技術
分散クラウドシステムにおける遠隔連携技術Masaharu Munetomo
 
(SDD409) Amazon RDS for PostgreSQL Deep Dive | AWS re:Invent 2014
(SDD409) Amazon RDS for PostgreSQL Deep Dive | AWS re:Invent 2014(SDD409) Amazon RDS for PostgreSQL Deep Dive | AWS re:Invent 2014
(SDD409) Amazon RDS for PostgreSQL Deep Dive | AWS re:Invent 2014Amazon Web Services
 
Amazon RDS for PostgreSQL - Postgres Open 2016 - New Features and Lessons Lea...
Amazon RDS for PostgreSQL - Postgres Open 2016 - New Features and Lessons Lea...Amazon RDS for PostgreSQL - Postgres Open 2016 - New Features and Lessons Lea...
Amazon RDS for PostgreSQL - Postgres Open 2016 - New Features and Lessons Lea...Grant McAlister
 
[C14] 超高速データベースエンジンを用いたTPC-Hベンチマーク100TBクラス世界初登録への挑戦 by Shinji Fujiwara
[C14] 超高速データベースエンジンを用いたTPC-Hベンチマーク100TBクラス世界初登録への挑戦 by Shinji Fujiwara[C14] 超高速データベースエンジンを用いたTPC-Hベンチマーク100TBクラス世界初登録への挑戦 by Shinji Fujiwara
[C14] 超高速データベースエンジンを用いたTPC-Hベンチマーク100TBクラス世界初登録への挑戦 by Shinji FujiwaraInsight Technology, Inc.
 
北海道大学情報基盤センター10周年記念講演スライド(公開版)
北海道大学情報基盤センター10周年記念講演スライド(公開版)北海道大学情報基盤センター10周年記念講演スライド(公開版)
北海道大学情報基盤センター10周年記念講演スライド(公開版)Masaharu Munetomo
 
Les merveilleux bienfaits du bicarbonate de soude chemins de santé
Les merveilleux bienfaits du bicarbonate de soude chemins de santéLes merveilleux bienfaits du bicarbonate de soude chemins de santé
Les merveilleux bienfaits du bicarbonate de soude chemins de santéalexajonese
 
OSC沖縄2014_JPUG資料
OSC沖縄2014_JPUG資料OSC沖縄2014_JPUG資料
OSC沖縄2014_JPUG資料kasaharatt
 
集合演算を真っ向から否定するアレの話
集合演算を真っ向から否定するアレの話集合演算を真っ向から否定するアレの話
集合演算を真っ向から否定するアレの話Kouhei Aoyagi
 
pg_bigmを触り始めた人に伝えたいこと
pg_bigmを触り始めた人に伝えたいことpg_bigmを触り始めた人に伝えたいこと
pg_bigmを触り始めた人に伝えたいことMasahiko Sawada
 

Viewers also liked (20)

PostgreSQL Security. How Do We Think?
PostgreSQL Security. How Do We Think?PostgreSQL Security. How Do We Think?
PostgreSQL Security. How Do We Think?
 
ECSとSpotFleetで新規ビジネスのトライアル
ECSとSpotFleetで新規ビジネスのトライアルECSとSpotFleetで新規ビジネスのトライアル
ECSとSpotFleetで新規ビジネスのトライアル
 
PostgreSQL 9.5 CPU Read Scalability
PostgreSQL 9.5 CPU Read ScalabilityPostgreSQL 9.5 CPU Read Scalability
PostgreSQL 9.5 CPU Read Scalability
 
PostgreSQLによるデータ分析ことはじめ
PostgreSQLによるデータ分析ことはじめPostgreSQLによるデータ分析ことはじめ
PostgreSQLによるデータ分析ことはじめ
 
PostgreSQL 10: What to Look For
PostgreSQL 10: What to Look ForPostgreSQL 10: What to Look For
PostgreSQL 10: What to Look For
 
Deconstruction of Serverless and blockchain
Deconstruction of Serverless and blockchainDeconstruction of Serverless and blockchain
Deconstruction of Serverless and blockchain
 
OSSコミッタの生活とその必要性
OSSコミッタの生活とその必要性OSSコミッタの生活とその必要性
OSSコミッタの生活とその必要性
 
Dockerコミュニティ近況
Dockerコミュニティ近況Dockerコミュニティ近況
Dockerコミュニティ近況
 
PCIDSS compliance made easier through a collaboration between NC State and UN...
PCIDSS compliance made easier through a collaboration between NC State and UN...PCIDSS compliance made easier through a collaboration between NC State and UN...
PCIDSS compliance made easier through a collaboration between NC State and UN...
 
Windows Azure 最新 Update 2014/03/10
Windows Azure 最新 Update 2014/03/10Windows Azure 最新 Update 2014/03/10
Windows Azure 最新 Update 2014/03/10
 
feram-0.24.00 is released!
feram-0.24.00 is released!feram-0.24.00 is released!
feram-0.24.00 is released!
 
分散クラウドシステムにおける遠隔連携技術
分散クラウドシステムにおける遠隔連携技術分散クラウドシステムにおける遠隔連携技術
分散クラウドシステムにおける遠隔連携技術
 
(SDD409) Amazon RDS for PostgreSQL Deep Dive | AWS re:Invent 2014
(SDD409) Amazon RDS for PostgreSQL Deep Dive | AWS re:Invent 2014(SDD409) Amazon RDS for PostgreSQL Deep Dive | AWS re:Invent 2014
(SDD409) Amazon RDS for PostgreSQL Deep Dive | AWS re:Invent 2014
 
Amazon RDS for PostgreSQL - Postgres Open 2016 - New Features and Lessons Lea...
Amazon RDS for PostgreSQL - Postgres Open 2016 - New Features and Lessons Lea...Amazon RDS for PostgreSQL - Postgres Open 2016 - New Features and Lessons Lea...
Amazon RDS for PostgreSQL - Postgres Open 2016 - New Features and Lessons Lea...
 
[C14] 超高速データベースエンジンを用いたTPC-Hベンチマーク100TBクラス世界初登録への挑戦 by Shinji Fujiwara
[C14] 超高速データベースエンジンを用いたTPC-Hベンチマーク100TBクラス世界初登録への挑戦 by Shinji Fujiwara[C14] 超高速データベースエンジンを用いたTPC-Hベンチマーク100TBクラス世界初登録への挑戦 by Shinji Fujiwara
[C14] 超高速データベースエンジンを用いたTPC-Hベンチマーク100TBクラス世界初登録への挑戦 by Shinji Fujiwara
 
北海道大学情報基盤センター10周年記念講演スライド(公開版)
北海道大学情報基盤センター10周年記念講演スライド(公開版)北海道大学情報基盤センター10周年記念講演スライド(公開版)
北海道大学情報基盤センター10周年記念講演スライド(公開版)
 
Les merveilleux bienfaits du bicarbonate de soude chemins de santé
Les merveilleux bienfaits du bicarbonate de soude chemins de santéLes merveilleux bienfaits du bicarbonate de soude chemins de santé
Les merveilleux bienfaits du bicarbonate de soude chemins de santé
 
OSC沖縄2014_JPUG資料
OSC沖縄2014_JPUG資料OSC沖縄2014_JPUG資料
OSC沖縄2014_JPUG資料
 
集合演算を真っ向から否定するアレの話
集合演算を真っ向から否定するアレの話集合演算を真っ向から否定するアレの話
集合演算を真っ向から否定するアレの話
 
pg_bigmを触り始めた人に伝えたいこと
pg_bigmを触り始めた人に伝えたいことpg_bigmを触り始めた人に伝えたいこと
pg_bigmを触り始めた人に伝えたいこと
 

Similar to Database Security for PCI DSS

Database Encryption and Key Management for PostgreSQL - Principles and Consid...
Database Encryption and Key Management for PostgreSQL - Principles and Consid...Database Encryption and Key Management for PostgreSQL - Principles and Consid...
Database Encryption and Key Management for PostgreSQL - Principles and Consid...Masahiko Sawada
 
KOBE IT FESTIVAL 2012
KOBE IT FESTIVAL 2012KOBE IT FESTIVAL 2012
KOBE IT FESTIVAL 2012Hiroshi Bunya
 
B14 SQL Server over SMB using infiniBand and SSD by Mario Broodbakker/市川明
B14 SQL Server over SMB using infiniBand and SSD by Mario Broodbakker/市川明B14 SQL Server over SMB using infiniBand and SSD by Mario Broodbakker/市川明
B14 SQL Server over SMB using infiniBand and SSD by Mario Broodbakker/市川明Insight Technology, Inc.
 
Postgre SQL security_20170412
Postgre SQL security_20170412Postgre SQL security_20170412
Postgre SQL security_20170412Kazuki Omo
 
ホワイトペーパー:クラウドサービスプロバイダがデータセキュリティを武器にする方法
ホワイトペーパー:クラウドサービスプロバイダがデータセキュリティを武器にする方法ホワイトペーパー:クラウドサービスプロバイダがデータセキュリティを武器にする方法
ホワイトペーパー:クラウドサービスプロバイダがデータセキュリティを武器にする方法株式会社クライム
 
[db tech showcase Tokyo 2017] E24: 流行りに乗っていれば幸せになれますか?数あるデータベースの中から敢えて今Db2が選ば...
[db tech showcase Tokyo 2017] E24: 流行りに乗っていれば幸せになれますか?数あるデータベースの中から敢えて今Db2が選ば...[db tech showcase Tokyo 2017] E24: 流行りに乗っていれば幸せになれますか?数あるデータベースの中から敢えて今Db2が選ば...
[db tech showcase Tokyo 2017] E24: 流行りに乗っていれば幸せになれますか?数あるデータベースの中から敢えて今Db2が選ば...Insight Technology, Inc.
 
IDCFクラウドセミナー RDB活用
IDCFクラウドセミナー RDB活用IDCFクラウドセミナー RDB活用
IDCFクラウドセミナー RDB活用IDC Frontier
 
AI/MLシステムにおけるビッグデータとの付き合い方
AI/MLシステムにおけるビッグデータとの付き合い方AI/MLシステムにおけるビッグデータとの付き合い方
AI/MLシステムにおけるビッグデータとの付き合い方Shota Suzuki
 
20171125 springfest snappydata
20171125 springfest snappydata20171125 springfest snappydata
20171125 springfest snappydataMasaki Yamakawa
 
【GridDB入門】 IoT、そしてサイバー・フィジカル・システムを支える オープンソースデータベース GridDB ~ こだわりの理由と実現方法のポイント
【GridDB入門】 IoT、そしてサイバー・フィジカル・システムを支える オープンソースデータベース GridDB ~ こだわりの理由と実現方法のポイント【GridDB入門】 IoT、そしてサイバー・フィジカル・システムを支える オープンソースデータベース GridDB ~ こだわりの理由と実現方法のポイント
【GridDB入門】 IoT、そしてサイバー・フィジカル・システムを支える オープンソースデータベース GridDB ~ こだわりの理由と実現方法のポイントgriddb
 
Get started with azure v0.9.19.1213
Get started with azure v0.9.19.1213Get started with azure v0.9.19.1213
Get started with azure v0.9.19.1213Ayumu Inaba
 
何を基準に選定すべきなのか!? 〜ビッグデータ×IoT×AI時代のデータベースのアーキテクチャとメカニズムの比較〜
何を基準に選定すべきなのか!? 〜ビッグデータ×IoT×AI時代のデータベースのアーキテクチャとメカニズムの比較〜何を基準に選定すべきなのか!? 〜ビッグデータ×IoT×AI時代のデータベースのアーキテクチャとメカニズムの比較〜
何を基準に選定すべきなのか!? 〜ビッグデータ×IoT×AI時代のデータベースのアーキテクチャとメカニズムの比較〜griddb
 
[db tech showcase Tokyo 2017] D35: 何を基準に選定すべきなのか!? ~ビッグデータ×IoT×AI時代のデータベースのアー...
[db tech showcase Tokyo 2017] D35: 何を基準に選定すべきなのか!? ~ビッグデータ×IoT×AI時代のデータベースのアー...[db tech showcase Tokyo 2017] D35: 何を基準に選定すべきなのか!? ~ビッグデータ×IoT×AI時代のデータベースのアー...
[db tech showcase Tokyo 2017] D35: 何を基準に選定すべきなのか!? ~ビッグデータ×IoT×AI時代のデータベースのアー...Insight Technology, Inc.
 
World wide ssp delivery system
World wide ssp delivery systemWorld wide ssp delivery system
World wide ssp delivery system英伸 篠塚
 
Mk onic data-intensive-public
Mk onic data-intensive-publicMk onic data-intensive-public
Mk onic data-intensive-publicMiya Kohno
 
Mk onic data-intensive-public
Mk onic data-intensive-publicMk onic data-intensive-public
Mk onic data-intensive-publicMiya Kohno
 
世界分散配信システムとレポーティングシステム刷新のお話
世界分散配信システムとレポーティングシステム刷新のお話世界分散配信システムとレポーティングシステム刷新のお話
世界分散配信システムとレポーティングシステム刷新のお話Geniee, Inc. / 株式会社ジーニー
 
[db tech showcase OSS 2017] A22: NoSQL:誰のための、何のためのデータベース?その将来は?by Aerospike, ...
[db tech showcase OSS 2017] A22: NoSQL:誰のための、何のためのデータベース?その将来は?by Aerospike, ...[db tech showcase OSS 2017] A22: NoSQL:誰のための、何のためのデータベース?その将来は?by Aerospike, ...
[db tech showcase OSS 2017] A22: NoSQL:誰のための、何のためのデータベース?その将来は?by Aerospike, ...Insight Technology, Inc.
 

Similar to Database Security for PCI DSS (20)

Database Encryption and Key Management for PostgreSQL - Principles and Consid...
Database Encryption and Key Management for PostgreSQL - Principles and Consid...Database Encryption and Key Management for PostgreSQL - Principles and Consid...
Database Encryption and Key Management for PostgreSQL - Principles and Consid...
 
KOBE IT FESTIVAL 2012
KOBE IT FESTIVAL 2012KOBE IT FESTIVAL 2012
KOBE IT FESTIVAL 2012
 
B14 SQL Server over SMB using infiniBand and SSD by Mario Broodbakker/市川明
B14 SQL Server over SMB using infiniBand and SSD by Mario Broodbakker/市川明B14 SQL Server over SMB using infiniBand and SSD by Mario Broodbakker/市川明
B14 SQL Server over SMB using infiniBand and SSD by Mario Broodbakker/市川明
 
Postgre SQL security_20170412
Postgre SQL security_20170412Postgre SQL security_20170412
Postgre SQL security_20170412
 
ホワイトペーパー:クラウドサービスプロバイダがデータセキュリティを武器にする方法
ホワイトペーパー:クラウドサービスプロバイダがデータセキュリティを武器にする方法ホワイトペーパー:クラウドサービスプロバイダがデータセキュリティを武器にする方法
ホワイトペーパー:クラウドサービスプロバイダがデータセキュリティを武器にする方法
 
[db tech showcase Tokyo 2017] E24: 流行りに乗っていれば幸せになれますか?数あるデータベースの中から敢えて今Db2が選ば...
[db tech showcase Tokyo 2017] E24: 流行りに乗っていれば幸せになれますか?数あるデータベースの中から敢えて今Db2が選ば...[db tech showcase Tokyo 2017] E24: 流行りに乗っていれば幸せになれますか?数あるデータベースの中から敢えて今Db2が選ば...
[db tech showcase Tokyo 2017] E24: 流行りに乗っていれば幸せになれますか?数あるデータベースの中から敢えて今Db2が選ば...
 
IDCFクラウドセミナー RDB活用
IDCFクラウドセミナー RDB活用IDCFクラウドセミナー RDB活用
IDCFクラウドセミナー RDB活用
 
[dbts-2014-tokyo] 目指せExadata!! Oracle DB高速化を目指した構成
[dbts-2014-tokyo] 目指せExadata!! Oracle DB高速化を目指した構成[dbts-2014-tokyo] 目指せExadata!! Oracle DB高速化を目指した構成
[dbts-2014-tokyo] 目指せExadata!! Oracle DB高速化を目指した構成
 
AI/MLシステムにおけるビッグデータとの付き合い方
AI/MLシステムにおけるビッグデータとの付き合い方AI/MLシステムにおけるビッグデータとの付き合い方
AI/MLシステムにおけるビッグデータとの付き合い方
 
20171125 springfest snappydata
20171125 springfest snappydata20171125 springfest snappydata
20171125 springfest snappydata
 
【GridDB入門】 IoT、そしてサイバー・フィジカル・システムを支える オープンソースデータベース GridDB ~ こだわりの理由と実現方法のポイント
【GridDB入門】 IoT、そしてサイバー・フィジカル・システムを支える オープンソースデータベース GridDB ~ こだわりの理由と実現方法のポイント【GridDB入門】 IoT、そしてサイバー・フィジカル・システムを支える オープンソースデータベース GridDB ~ こだわりの理由と実現方法のポイント
【GridDB入門】 IoT、そしてサイバー・フィジカル・システムを支える オープンソースデータベース GridDB ~ こだわりの理由と実現方法のポイント
 
Get started with azure v0.9.19.1213
Get started with azure v0.9.19.1213Get started with azure v0.9.19.1213
Get started with azure v0.9.19.1213
 
何を基準に選定すべきなのか!? 〜ビッグデータ×IoT×AI時代のデータベースのアーキテクチャとメカニズムの比較〜
何を基準に選定すべきなのか!? 〜ビッグデータ×IoT×AI時代のデータベースのアーキテクチャとメカニズムの比較〜何を基準に選定すべきなのか!? 〜ビッグデータ×IoT×AI時代のデータベースのアーキテクチャとメカニズムの比較〜
何を基準に選定すべきなのか!? 〜ビッグデータ×IoT×AI時代のデータベースのアーキテクチャとメカニズムの比較〜
 
[db tech showcase Tokyo 2017] D35: 何を基準に選定すべきなのか!? ~ビッグデータ×IoT×AI時代のデータベースのアー...
[db tech showcase Tokyo 2017] D35: 何を基準に選定すべきなのか!? ~ビッグデータ×IoT×AI時代のデータベースのアー...[db tech showcase Tokyo 2017] D35: 何を基準に選定すべきなのか!? ~ビッグデータ×IoT×AI時代のデータベースのアー...
[db tech showcase Tokyo 2017] D35: 何を基準に選定すべきなのか!? ~ビッグデータ×IoT×AI時代のデータベースのアー...
 
ヤフーを支えるフラッシュストレージ
ヤフーを支えるフラッシュストレージヤフーを支えるフラッシュストレージ
ヤフーを支えるフラッシュストレージ
 
World wide ssp delivery system
World wide ssp delivery systemWorld wide ssp delivery system
World wide ssp delivery system
 
Mk onic data-intensive-public
Mk onic data-intensive-publicMk onic data-intensive-public
Mk onic data-intensive-public
 
Mk onic data-intensive-public
Mk onic data-intensive-publicMk onic data-intensive-public
Mk onic data-intensive-public
 
世界分散配信システムとレポーティングシステム刷新のお話
世界分散配信システムとレポーティングシステム刷新のお話世界分散配信システムとレポーティングシステム刷新のお話
世界分散配信システムとレポーティングシステム刷新のお話
 
[db tech showcase OSS 2017] A22: NoSQL:誰のための、何のためのデータベース?その将来は?by Aerospike, ...
[db tech showcase OSS 2017] A22: NoSQL:誰のための、何のためのデータベース?その将来は?by Aerospike, ...[db tech showcase OSS 2017] A22: NoSQL:誰のための、何のためのデータベース?その将来は?by Aerospike, ...
[db tech showcase OSS 2017] A22: NoSQL:誰のための、何のためのデータベース?その将来は?by Aerospike, ...
 

Database Security for PCI DSS

  • 1. Copyright©2017 NTT Corp. All Rights Reserved. Database Security for PCIDSS - NTT Database Summit - 大山真実(@ooyamams1987) – NTT OSSセンター
  • 2. 1Copyright©2017 NTT Corp. All Rights Reserved. セキュリティって必要?  必要です! Q: 将来、データベースを壊して業務を妨害することがあるかも知れない。(図 3-21) Q: 将来、データベースに格納されている情報をこっそり改ざんするかも知れない。(図 3-22) そう思う 2.9% ややそう思う 6.5% どちらとも いえない 15.5% あまりそう 思わない 9.6% そう思わない 65.5% そう思う 2.4% ややそう思う 7.4% 約1割のDB管理者がDBを破壊するかもしれない!? 引用元:DBSC 「DBA 1,000 人に聞きました」アンケート調査報告書 http://www.db-security.org/report/dbsc_dba_ver1.0.pdf
  • 3. 2Copyright©2017 NTT Corp. All Rights Reserved. セキュリティって必要?  必要です! IPA 「組織における内部不正対策」 http://www.ipa.go.jp/files/000047237.pdf
  • 4. 3Copyright©2017 NTT Corp. All Rights Reserved. セキュリティは投資!  必要です! METI IPA「サイバーセキュリティ経営ガイドライン Ver 1.0」 http://www.meti.go.jp/press/2015/12/20151228002/20151228002-2.pdf 抜粋: • セキュリティ対策に対して経営者が十分なリーダーシップを発揮していない。 • セキュリティ投資へのリターンが見えにくい性質のものであるため、 経営者がリーダーシップを取らなければ、積極的に話が上がりにくい
  • 5. 4Copyright©2017 NTT Corp. All Rights Reserved. セキュリティを考える上で大事なこと  必要です! 「スター・ウォーズ:帝国のサイバーセキュリティ問題」 https://blog.kaspersky.co.jp/star-wars-cybersecurity-problems/13511/ 引用: このデス・スター破壊のエピソードを、セ キュリティの観点から詳しく見ていきま しょう。 ~ 省略 ~ また、最終兵器の設計図がそっくりそのま ま漏洩して敵の手に渡ったことも、陥落の 真の要因ではありません。もちろん大失態 ではありますが。要は「情報が知られなけ れば安全」という法則は成り立たない、の です。 「完璧なセキュリティ対策」は存在しない。 多層防御の考え方が大事!
  • 6. 5Copyright©2017 NTT Corp. All Rights Reserved. 免責事項  本発表は PCI DSS を参考にデータベースのセキュリティに ついて考えることを目的にしています。  本資料の記載通りに対策を施しても、PCI DSS の要件を満たすか どうかは保証できません。実際に PCI DSS の審査を 受ける時は、最寄りの QSA にご相談ください。 http://www.intellilink.co.jp/security/services/consulting/09.html 1日研修もあるよ!
  • 7. 6Copyright©2017 NTT Corp. All Rights Reserved. PCI DSS とは?  クレジットカード業界のセキュリティ基準です。 Payment Card Industry Data Security Standardの頭文字をとったも ので、国際カードブランド5社 American Express Discover JCB MasterCard VISA が共同で設立したPCI SSC(Payment Card Industry Security Standards Council)によって運用、管理されています。  クレジットカードを扱わないシステムであったとしても、セキュリティ について考える時は、この PCI DSS を参考にすることができる。 http://www.jcdsc.org/pci_dss.php より
  • 8. 7Copyright©2017 NTT Corp. All Rights Reserved. PCI DSS の用語  カード会員データ (保存可) プライマリアカウント番号(PAN) (読み取り不可、暗号化) カード会員名 サービスコード 有効期限  機密認証データ (保存不可) 磁気ストライプデータなど  代替コントロール  QSA=Qualified Security Assessors • 審査機関(QSAC) • 審査人(QSAP)
  • 9. 8Copyright©2017 NTT Corp. All Rights Reserved. クレジットカードの不正使用 期間 偽造カード 番号盗用 その他 合計 H.26 19.5 66.7 27.7 113.9 H.27 23.0 71.4 25.6 120.0 H.28(1-9月) 22.7 67.2 16.9 106.8 0 50 100 150 H.26 H.27 H.28(1-9月) その他 番号盗用 偽造カード (億円) (億円) 日本クレジット協会 クレジットカード不正 使用被害額の発生状況 http://www.j- credit.or.jp/informati on/statistics/downloa d/toukei_03_g_1612 28.pdf 毎年100億円 を超える被害額
  • 10. 9Copyright©2017 NTT Corp. All Rights Reserved. PCI DSS の要件 PCI DSS の12要件 安全なネットワークの構築・維持 要件1:カード会員データを保護するためにファイアウォールを導入し、最適な設定を維持すること 要件2:システム・パスワードと他のセキュリティ・パラメータにベンダー提供のデフォルトを使用しないこと カード会員データの保護 要件3: 保存されたカード会員データを安全に保護すること 要件4: オープンなパブリック・ネットワーク経由で転送されるカード名義人データを暗号化する 脆弱性を管理するプログラムの整備 要件5: アンチウイルス・ソフトウェアを利用し、定期的に更新すること 要件6: 安全性の高いシステムとアプリケーションを開発し、保守すること 強固なアクセス管理手法の導入 要件7: カード会員データへのアクセスを業務上の必要範囲内に制限すること 要件8: コンピュータにアクセスする利用者ごとに個別のIDを割り当てること 要件9: カード会員データへの物理的アクセスを制限すること 定期的なネットワークの監視およびテスト 要件10: ネットワーク資源およびカード会員データに対するすべてのアクセスを追跡し、監視すること 要件11: セキュリティ・システムおよび管理手順を定期的にテストすること 情報セキュリティ・ポリシーの整備 要件12: 情報セキュリティに関するポリシーを整備すること http://www.pci-dss.jp/require.html これらはシステムを構成する全てのハード/ソフト/運用プロセスに適応される。 では、データベースではどのように考えるべきか?
  • 11. 10Copyright©2017 NTT Corp. All Rights Reserved. データベースのセキュリティにおいて考えるべき観点 データベースへの PCI DSS 適応を以下の観点で考える 1.データベースをセキュアな状態に保つ 2.データの保護、暗号化と鍵の管理 3.ユーザーの識別、認証、認可、アカウント管理 4.監査
  • 12. 11Copyright©2017 NTT Corp. All Rights Reserved. 1.データベースをセキュアな状態に保つ
  • 13. 12Copyright©2017 NTT Corp. All Rights Reserved. 1.データベースをセキュアな状態に保つ PCI DSS 要件2 ざっくりまとめ • デフォルトアカウント、パスワードの使用禁止 • 既知の脆弱性が修正された状態を保つ • 不要な機能、プロトコルの使用禁止 • 管理アクセスは暗号化する。 要件2から考えるデータベースですべきこと • デフォルトのユーザはログイン禁止 • 最新マイナーバージョンへのアップデート • IPアドレス制限、必要最低限のアクセスのみを許可 • 管理アクセスは暗号化 (例えばpsqlによるDBへの接続など) 基本的なセキュリティ対策はちゃんとやろう!
  • 14. 13Copyright©2017 NTT Corp. All Rights Reserved. 2.データの保護、暗号化と鍵の管理
  • 15. 14Copyright©2017 NTT Corp. All Rights Reserved. 2.データの保護、暗号化と鍵の管理 PCI DSS 要件3 ざっくりまとめ • PANの保護 • PANは以下の状態で保存する。  不可逆的に読み取り不可な状態にする ・ワンウェイハッシュ ・トランケーション ・代替番号  暗号化する • 暗号鍵を使う • 業務上必要な人のみが復号できる
  • 16. 15Copyright©2017 NTT Corp. All Rights Reserved. 2.データの保護、暗号化と鍵の管理 PCI DSS 要件3 ざっくりまとめ • 暗号鍵は以下の要件に従って管理する • 業務上必要な人だけが鍵にアクセスできる • 暗号鍵は鍵暗号鍵で暗号化(2層鍵管理) • 暗号鍵と鍵暗号鍵は別々の場所に保存 • 鍵は最小限の場所に保存 • 鍵は使用期限を設け、一定期間で更新する • 鍵は安全に保存、配布する • 鍵へのアクセス/使用の記録を残して監査する
  • 17. 16Copyright©2017 NTT Corp. All Rights Reserved. 2.データの保護、暗号化と鍵の管理 要件3から考えるデータベースですべきこと • 以下の機能を持つデータベース外部の鍵管理ソフトウェアと連携すべき  2層鍵管理方式による鍵管理可能  システム全体のユーザ認証と連携した鍵管理機構可能  DB管理者と鍵管理者は分けることができる(権限分掌)  鍵の利用状況を監査できる https://docs.oracle.com/c d/E49329_01/network.12 1/b71313/asotrans.htm 鍵交換時の再暗号化時 にもメリットあり 2層鍵管理方式 このような要件を満たす鍵管理OSSが欲しい…
  • 18. 17Copyright©2017 NTT Corp. All Rights Reserved. 2.データの保護、暗号化と鍵の管理 • 透過的暗号化機能(TDE)が使えるとベスト!  実際の案件では需要大  現実の案件ではAPにパスワードや鍵を埋め込むことが多い →セキュリティ的に大問題なので避けるべき →APへの変更をなるべく抑えたい  クラウド上でのDB利用拡大に伴い、DBの暗号機能、TDEの要望は多い。
  • 19. 18Copyright©2017 NTT Corp. All Rights Reserved. 3.ユーザーの識別、認証、認可、プロファイル管理
  • 20. 19Copyright©2017 NTT Corp. All Rights Reserved. 3.ユーザーの識別、認証、認可、プロファイル管理 PCI DSS 要件7,8 ざっくりまとめると • 識別:Identification  全てのユーザーに各個人を一意に識別できるユーザーIDを与える • 認証: Authentication  パスワード  トークンデバイス  生体認証 • 認可: Authorization  業務上必要なユーザーに最小限の権限を与える。 • プロファイル管理 →ユーザーIDの削除、凍結、接続断  移動/退職者  一定数の認証失敗  長時間アクセスなし  一定時間アイドル状態 有効なパスワードの要件は…
  • 21. 20Copyright©2017 NTT Corp. All Rights Reserved. 3.ユーザーの識別、認証、認可、プロファイル管理 8.2.3 パスワードは7文字以上、数字と英文字を両方含むこと
  • 22. 21Copyright©2017 NTT Corp. All Rights Reserved. 3.ユーザーの識別、認証、認可、プロファイル管理 8.2.4 90日に一回パスワードを変更すること
  • 23. 22Copyright©2017 NTT Corp. All Rights Reserved. 3.ユーザーの識別、認証、認可、プロファイル管理 8.2.5 直近に使用した4つのlパスワードは使用できない
  • 24. 23Copyright©2017 NTT Corp. All Rights Reserved. 3.ユーザーの識別、認証、認可、プロファイル管理 要件7,8から考えるデータベースですべきこと • 以下の機能を持つデータベース外部のソフトウェアと連携すべき  システム全体のユーザ、権限を一括管理可能  鍵管理機能と連携可能  単純なパスワードの制限/有効期限設定可能  プロファイル管理可能 DBと連携してユーザアカウントの削除、凍結が行える  利用状況の監査可能 • ユーザ管理者とDB管理者は分けるべき • 業務に応じた細かい単位の権限を持つロール、ユーザを作成する APから接続するユーザ、運用者、バックアップ、DB管理者など このような機能を持つOSSが欲しい… OpenLDAP?
  • 25. 24Copyright©2017 NTT Corp. All Rights Reserved. 4.監査: Auditing
  • 26. 25Copyright©2017 NTT Corp. All Rights Reserved. 4.監査 PCI DSS 要件10 ざっくりまとめると • 以下を監査する  カード会員データ、監査証跡へのアクセス  管理者の全てのアクション  無効なアクセス試行  識別・認証に関わる操作 • 以下の情報を取得する  ユーザ識別  イベントの種類  日時  成功/失敗  イベントの発生元  影響を受けるデータ、リソースID • 監査証跡を保護する  参照、変更権限の制限  監査ログファイルの変更の検知  監査証跡は変更が困難な一元管理ログサーバに保存
  • 27. 26Copyright©2017 NTT Corp. All Rights Reserved. 4.監査 要件10から考えるデータベースですべきこと • 前述の要件を満たす監査ログ出力機能を導入すべき  特権ユーザの完全な監査をどのように実現するかが課題 • 以下を可能にするため監査ログ管理サーバにログを集約すべき  システム全体の監査ログを集約  監査ログは監査権限を持つユーザ以外にはアクセスさせない  監査者とDB管理者は分ける  監査ログの監査
  • 28. 27Copyright©2017 NTT Corp. All Rights Reserved. 1~4をまとめると DB DB DB 監査ログ管理サーバ DBA DBA DBA 監査者 認証情報 監査ログ 識別、認証、認可、 プロファイル管理 暗号鍵管理 鍵管理者 ユーザ 管理者 鍵情報 暗号化 データ 暗号化 データ 暗号化 データ
  • 29. 28Copyright©2017 NTT Corp. All Rights Reserved. Oracleでの対応 「狙われているのはデータ」──企業の機密情報、個人情報を効果的に守るには? http://www.atmarkit.co.jp/ait/articles/1511/24/news014_4.html
  • 30. 29Copyright©2017 NTT Corp. All Rights Reserved. PostgreSQLでの対応 以下の点を除けばPostgreSQLは十分に PCI DSS に対応できる。 • 権限分掌が不十分 スーパーユーザ(特権ユーザ)権限無しでの運用が困難 →PostgreSQLコミュニティでも改善を検討中 • DB外部の鍵管理機構との連携した暗号化機能がない • DB外部のユーザ管理機構と連携したプロファイル管理機能がない • 監査ログ出力機能がない いずれも代替コントロールできる可能性が高い! 詳しくはOSSセンターにお問い合わせください。 TDEもほしい!
  • 31. 30Copyright©2017 NTT Corp. All Rights Reserved. pgauditについて PCI DSS の監査要件を満たす監査ログ出力機能を OSSセンターで開発中。 https://github.com/ossc-db/pgaudit/tree/refactored ポイント • 監査要件を満たす出力対象、出力情報。 • スーパーユーザであっても監査設定を容易に変更すること はできない。 • Syslog経由で監査ログをログ管理サーバに送信。 • 性能への影響を極力軽減するログフィルタリング機能。
  • 32. 31Copyright©2017 NTT Corp. All Rights Reserved. END