Submit Search
Upload
Database Security for PCI DSS
•
Download as PPTX, PDF
•
1 like
•
2,180 views
Ohyama Masanori
Follow
2017/1/27 NTT Tech Conference https://ntt-developers.github.io/ntt-tech-conference-01/
Read less
Read more
Software
Report
Share
Report
Share
1 of 32
Download now
Recommended
インフラ廻戦 品川事変 前夜編
インフラ廻戦 品川事変 前夜編
Toru Makabe
Apache OpenWhiskで実現するプライベートFaaS環境 #tjdev
Apache OpenWhiskで実現するプライベートFaaS環境 #tjdev
Yahoo!デベロッパーネットワーク
PostgreSQLをKubernetes上で活用するためのOperator紹介!(Cloud Native Database Meetup #3 発表資料)
PostgreSQLをKubernetes上で活用するためのOperator紹介!(Cloud Native Database Meetup #3 発表資料)
NTT DATA Technology & Innovation
PostgreSQLでスケールアウト
PostgreSQLでスケールアウト
Masahiko Sawada
10分でわかる Cilium と XDP / BPF
10分でわかる Cilium と XDP / BPF
Shuji Yamada
KafkaとPulsar
KafkaとPulsar
Yahoo!デベロッパーネットワーク
AlloyDBを触ってみた!(第33回PostgreSQLアンカンファレンス@オンライン 発表資料)
AlloyDBを触ってみた!(第33回PostgreSQLアンカンファレンス@オンライン 発表資料)
NTT DATA Technology & Innovation
本当は恐ろしい分散システムの話
本当は恐ろしい分散システムの話
Kumazaki Hiroki
Recommended
インフラ廻戦 品川事変 前夜編
インフラ廻戦 品川事変 前夜編
Toru Makabe
Apache OpenWhiskで実現するプライベートFaaS環境 #tjdev
Apache OpenWhiskで実現するプライベートFaaS環境 #tjdev
Yahoo!デベロッパーネットワーク
PostgreSQLをKubernetes上で活用するためのOperator紹介!(Cloud Native Database Meetup #3 発表資料)
PostgreSQLをKubernetes上で活用するためのOperator紹介!(Cloud Native Database Meetup #3 発表資料)
NTT DATA Technology & Innovation
PostgreSQLでスケールアウト
PostgreSQLでスケールアウト
Masahiko Sawada
10分でわかる Cilium と XDP / BPF
10分でわかる Cilium と XDP / BPF
Shuji Yamada
KafkaとPulsar
KafkaとPulsar
Yahoo!デベロッパーネットワーク
AlloyDBを触ってみた!(第33回PostgreSQLアンカンファレンス@オンライン 発表資料)
AlloyDBを触ってみた!(第33回PostgreSQLアンカンファレンス@オンライン 発表資料)
NTT DATA Technology & Innovation
本当は恐ろしい分散システムの話
本当は恐ろしい分散システムの話
Kumazaki Hiroki
Active Directory 侵害と推奨対策
Active Directory 侵害と推奨対策
Yurika Kakiuchi
CentOS Linux 8 の EOL と対応策の検討
CentOS Linux 8 の EOL と対応策の検討
Masahito Zembutsu
各種データベースの特徴とパフォーマンス比較
各種データベースの特徴とパフォーマンス比較
株式会社オプト 仙台ラボラトリ
スケールアウトするPostgreSQLを目指して!その第一歩!(NTTデータ テクノロジーカンファレンス 2020 発表資料)
スケールアウトするPostgreSQLを目指して!その第一歩!(NTTデータ テクノロジーカンファレンス 2020 発表資料)
NTT DATA Technology & Innovation
SPAセキュリティ入門~PHP Conference Japan 2021
SPAセキュリティ入門~PHP Conference Japan 2021
Hiroshi Tokumaru
PostgreSQLレプリケーション10周年!徹底紹介!(PostgreSQL Conference Japan 2019講演資料)
PostgreSQLレプリケーション10周年!徹底紹介!(PostgreSQL Conference Japan 2019講演資料)
NTT DATA Technology & Innovation
IAM Roles Anywhereのない世界とある世界(2022年のAWSアップデートを振り返ろう ~Season 4~ 発表資料)
IAM Roles Anywhereのない世界とある世界(2022年のAWSアップデートを振り返ろう ~Season 4~ 発表資料)
NTT DATA Technology & Innovation
MySQLレプリケーションあれやこれや
MySQLレプリケーションあれやこれや
yoku0825
なぜ自社で脆弱性診断を行うべきなのか
なぜ自社で脆弱性診断を行うべきなのか
Sen Ueno
PostreSQL監査
PostreSQL監査
NTT DATA OSS Professional Services
PostgreSQLのロール管理とその注意点(Open Source Conference 2022 Online/Osaka 発表資料)
PostgreSQLのロール管理とその注意点(Open Source Conference 2022 Online/Osaka 発表資料)
NTT DATA Technology & Innovation
[Aurora事例祭り]Amazon Aurora を使いこなすためのベストプラクティス
[Aurora事例祭り]Amazon Aurora を使いこなすためのベストプラクティス
Amazon Web Services Japan
はじめてのElasticsearchクラスタ
はじめてのElasticsearchクラスタ
Satoyuki Tsukano
Kafka・Storm・ZooKeeperの認証と認可について #kafkajp
Kafka・Storm・ZooKeeperの認証と認可について #kafkajp
Yahoo!デベロッパーネットワーク
OpenJDKのコミッタってどんなことしたらなったの?解決してきた技術課題の事例から見えてくる必要な知識と技術(JJUG CCC 2023 Spring)
OpenJDKのコミッタってどんなことしたらなったの?解決してきた技術課題の事例から見えてくる必要な知識と技術(JJUG CCC 2023 Spring)
NTT DATA Technology & Innovation
Fluentdのお勧めシステム構成パターン
Fluentdのお勧めシステム構成パターン
Kentaro Yoshida
分散システムについて語らせてくれ
分散システムについて語らせてくれ
Kumazaki Hiroki
アーキテクチャから理解するPostgreSQLのレプリケーション
アーキテクチャから理解するPostgreSQLのレプリケーション
Masahiko Sawada
BuildKitによる高速でセキュアなイメージビルド
BuildKitによる高速でセキュアなイメージビルド
Akihiro Suda
監査要件を有するシステムに対する PostgreSQL 導入の課題と可能性
監査要件を有するシステムに対する PostgreSQL 導入の課題と可能性
Ohyama Masanori
PostgreSQL Security. How Do We Think?
PostgreSQL Security. How Do We Think?
Ohyama Masanori
ECSとSpotFleetで新規ビジネスのトライアル
ECSとSpotFleetで新規ビジネスのトライアル
Yu Sudo
More Related Content
What's hot
Active Directory 侵害と推奨対策
Active Directory 侵害と推奨対策
Yurika Kakiuchi
CentOS Linux 8 の EOL と対応策の検討
CentOS Linux 8 の EOL と対応策の検討
Masahito Zembutsu
各種データベースの特徴とパフォーマンス比較
各種データベースの特徴とパフォーマンス比較
株式会社オプト 仙台ラボラトリ
スケールアウトするPostgreSQLを目指して!その第一歩!(NTTデータ テクノロジーカンファレンス 2020 発表資料)
スケールアウトするPostgreSQLを目指して!その第一歩!(NTTデータ テクノロジーカンファレンス 2020 発表資料)
NTT DATA Technology & Innovation
SPAセキュリティ入門~PHP Conference Japan 2021
SPAセキュリティ入門~PHP Conference Japan 2021
Hiroshi Tokumaru
PostgreSQLレプリケーション10周年!徹底紹介!(PostgreSQL Conference Japan 2019講演資料)
PostgreSQLレプリケーション10周年!徹底紹介!(PostgreSQL Conference Japan 2019講演資料)
NTT DATA Technology & Innovation
IAM Roles Anywhereのない世界とある世界(2022年のAWSアップデートを振り返ろう ~Season 4~ 発表資料)
IAM Roles Anywhereのない世界とある世界(2022年のAWSアップデートを振り返ろう ~Season 4~ 発表資料)
NTT DATA Technology & Innovation
MySQLレプリケーションあれやこれや
MySQLレプリケーションあれやこれや
yoku0825
なぜ自社で脆弱性診断を行うべきなのか
なぜ自社で脆弱性診断を行うべきなのか
Sen Ueno
PostreSQL監査
PostreSQL監査
NTT DATA OSS Professional Services
PostgreSQLのロール管理とその注意点(Open Source Conference 2022 Online/Osaka 発表資料)
PostgreSQLのロール管理とその注意点(Open Source Conference 2022 Online/Osaka 発表資料)
NTT DATA Technology & Innovation
[Aurora事例祭り]Amazon Aurora を使いこなすためのベストプラクティス
[Aurora事例祭り]Amazon Aurora を使いこなすためのベストプラクティス
Amazon Web Services Japan
はじめてのElasticsearchクラスタ
はじめてのElasticsearchクラスタ
Satoyuki Tsukano
Kafka・Storm・ZooKeeperの認証と認可について #kafkajp
Kafka・Storm・ZooKeeperの認証と認可について #kafkajp
Yahoo!デベロッパーネットワーク
OpenJDKのコミッタってどんなことしたらなったの?解決してきた技術課題の事例から見えてくる必要な知識と技術(JJUG CCC 2023 Spring)
OpenJDKのコミッタってどんなことしたらなったの?解決してきた技術課題の事例から見えてくる必要な知識と技術(JJUG CCC 2023 Spring)
NTT DATA Technology & Innovation
Fluentdのお勧めシステム構成パターン
Fluentdのお勧めシステム構成パターン
Kentaro Yoshida
分散システムについて語らせてくれ
分散システムについて語らせてくれ
Kumazaki Hiroki
アーキテクチャから理解するPostgreSQLのレプリケーション
アーキテクチャから理解するPostgreSQLのレプリケーション
Masahiko Sawada
BuildKitによる高速でセキュアなイメージビルド
BuildKitによる高速でセキュアなイメージビルド
Akihiro Suda
監査要件を有するシステムに対する PostgreSQL 導入の課題と可能性
監査要件を有するシステムに対する PostgreSQL 導入の課題と可能性
Ohyama Masanori
What's hot
(20)
Active Directory 侵害と推奨対策
Active Directory 侵害と推奨対策
CentOS Linux 8 の EOL と対応策の検討
CentOS Linux 8 の EOL と対応策の検討
各種データベースの特徴とパフォーマンス比較
各種データベースの特徴とパフォーマンス比較
スケールアウトするPostgreSQLを目指して!その第一歩!(NTTデータ テクノロジーカンファレンス 2020 発表資料)
スケールアウトするPostgreSQLを目指して!その第一歩!(NTTデータ テクノロジーカンファレンス 2020 発表資料)
SPAセキュリティ入門~PHP Conference Japan 2021
SPAセキュリティ入門~PHP Conference Japan 2021
PostgreSQLレプリケーション10周年!徹底紹介!(PostgreSQL Conference Japan 2019講演資料)
PostgreSQLレプリケーション10周年!徹底紹介!(PostgreSQL Conference Japan 2019講演資料)
IAM Roles Anywhereのない世界とある世界(2022年のAWSアップデートを振り返ろう ~Season 4~ 発表資料)
IAM Roles Anywhereのない世界とある世界(2022年のAWSアップデートを振り返ろう ~Season 4~ 発表資料)
MySQLレプリケーションあれやこれや
MySQLレプリケーションあれやこれや
なぜ自社で脆弱性診断を行うべきなのか
なぜ自社で脆弱性診断を行うべきなのか
PostreSQL監査
PostreSQL監査
PostgreSQLのロール管理とその注意点(Open Source Conference 2022 Online/Osaka 発表資料)
PostgreSQLのロール管理とその注意点(Open Source Conference 2022 Online/Osaka 発表資料)
[Aurora事例祭り]Amazon Aurora を使いこなすためのベストプラクティス
[Aurora事例祭り]Amazon Aurora を使いこなすためのベストプラクティス
はじめてのElasticsearchクラスタ
はじめてのElasticsearchクラスタ
Kafka・Storm・ZooKeeperの認証と認可について #kafkajp
Kafka・Storm・ZooKeeperの認証と認可について #kafkajp
OpenJDKのコミッタってどんなことしたらなったの?解決してきた技術課題の事例から見えてくる必要な知識と技術(JJUG CCC 2023 Spring)
OpenJDKのコミッタってどんなことしたらなったの?解決してきた技術課題の事例から見えてくる必要な知識と技術(JJUG CCC 2023 Spring)
Fluentdのお勧めシステム構成パターン
Fluentdのお勧めシステム構成パターン
分散システムについて語らせてくれ
分散システムについて語らせてくれ
アーキテクチャから理解するPostgreSQLのレプリケーション
アーキテクチャから理解するPostgreSQLのレプリケーション
BuildKitによる高速でセキュアなイメージビルド
BuildKitによる高速でセキュアなイメージビルド
監査要件を有するシステムに対する PostgreSQL 導入の課題と可能性
監査要件を有するシステムに対する PostgreSQL 導入の課題と可能性
Viewers also liked
PostgreSQL Security. How Do We Think?
PostgreSQL Security. How Do We Think?
Ohyama Masanori
ECSとSpotFleetで新規ビジネスのトライアル
ECSとSpotFleetで新規ビジネスのトライアル
Yu Sudo
PostgreSQL 9.5 CPU Read Scalability
PostgreSQL 9.5 CPU Read Scalability
Ohyama Masanori
PostgreSQLによるデータ分析ことはじめ
PostgreSQLによるデータ分析ことはじめ
Ohyama Masanori
PostgreSQL 10: What to Look For
PostgreSQL 10: What to Look For
Amit Langote
Deconstruction of Serverless and blockchain
Deconstruction of Serverless and blockchain
Takahiro Hayashida
OSSコミッタの生活とその必要性
OSSコミッタの生活とその必要性
Hirofumi Ichihara
Dockerコミュニティ近況
Dockerコミュニティ近況
Akihiro Suda
PCIDSS compliance made easier through a collaboration between NC State and UN...
PCIDSS compliance made easier through a collaboration between NC State and UN...
John Baines
Windows Azure 最新 Update 2014/03/10
Windows Azure 最新 Update 2014/03/10
Ryusaburo Tanaka
feram-0.24.00 is released!
feram-0.24.00 is released!
Takeshi Nishimatsu
分散クラウドシステムにおける遠隔連携技術
分散クラウドシステムにおける遠隔連携技術
Masaharu Munetomo
(SDD409) Amazon RDS for PostgreSQL Deep Dive | AWS re:Invent 2014
(SDD409) Amazon RDS for PostgreSQL Deep Dive | AWS re:Invent 2014
Amazon Web Services
Amazon RDS for PostgreSQL - Postgres Open 2016 - New Features and Lessons Lea...
Amazon RDS for PostgreSQL - Postgres Open 2016 - New Features and Lessons Lea...
Grant McAlister
[C14] 超高速データベースエンジンを用いたTPC-Hベンチマーク100TBクラス世界初登録への挑戦 by Shinji Fujiwara
[C14] 超高速データベースエンジンを用いたTPC-Hベンチマーク100TBクラス世界初登録への挑戦 by Shinji Fujiwara
Insight Technology, Inc.
北海道大学情報基盤センター10周年記念講演スライド(公開版)
北海道大学情報基盤センター10周年記念講演スライド(公開版)
Masaharu Munetomo
Les merveilleux bienfaits du bicarbonate de soude chemins de santé
Les merveilleux bienfaits du bicarbonate de soude chemins de santé
alexajonese
OSC沖縄2014_JPUG資料
OSC沖縄2014_JPUG資料
kasaharatt
集合演算を真っ向から否定するアレの話
集合演算を真っ向から否定するアレの話
Kouhei Aoyagi
pg_bigmを触り始めた人に伝えたいこと
pg_bigmを触り始めた人に伝えたいこと
Masahiko Sawada
Viewers also liked
(20)
PostgreSQL Security. How Do We Think?
PostgreSQL Security. How Do We Think?
ECSとSpotFleetで新規ビジネスのトライアル
ECSとSpotFleetで新規ビジネスのトライアル
PostgreSQL 9.5 CPU Read Scalability
PostgreSQL 9.5 CPU Read Scalability
PostgreSQLによるデータ分析ことはじめ
PostgreSQLによるデータ分析ことはじめ
PostgreSQL 10: What to Look For
PostgreSQL 10: What to Look For
Deconstruction of Serverless and blockchain
Deconstruction of Serverless and blockchain
OSSコミッタの生活とその必要性
OSSコミッタの生活とその必要性
Dockerコミュニティ近況
Dockerコミュニティ近況
PCIDSS compliance made easier through a collaboration between NC State and UN...
PCIDSS compliance made easier through a collaboration between NC State and UN...
Windows Azure 最新 Update 2014/03/10
Windows Azure 最新 Update 2014/03/10
feram-0.24.00 is released!
feram-0.24.00 is released!
分散クラウドシステムにおける遠隔連携技術
分散クラウドシステムにおける遠隔連携技術
(SDD409) Amazon RDS for PostgreSQL Deep Dive | AWS re:Invent 2014
(SDD409) Amazon RDS for PostgreSQL Deep Dive | AWS re:Invent 2014
Amazon RDS for PostgreSQL - Postgres Open 2016 - New Features and Lessons Lea...
Amazon RDS for PostgreSQL - Postgres Open 2016 - New Features and Lessons Lea...
[C14] 超高速データベースエンジンを用いたTPC-Hベンチマーク100TBクラス世界初登録への挑戦 by Shinji Fujiwara
[C14] 超高速データベースエンジンを用いたTPC-Hベンチマーク100TBクラス世界初登録への挑戦 by Shinji Fujiwara
北海道大学情報基盤センター10周年記念講演スライド(公開版)
北海道大学情報基盤センター10周年記念講演スライド(公開版)
Les merveilleux bienfaits du bicarbonate de soude chemins de santé
Les merveilleux bienfaits du bicarbonate de soude chemins de santé
OSC沖縄2014_JPUG資料
OSC沖縄2014_JPUG資料
集合演算を真っ向から否定するアレの話
集合演算を真っ向から否定するアレの話
pg_bigmを触り始めた人に伝えたいこと
pg_bigmを触り始めた人に伝えたいこと
Similar to Database Security for PCI DSS
Database Encryption and Key Management for PostgreSQL - Principles and Consid...
Database Encryption and Key Management for PostgreSQL - Principles and Consid...
Masahiko Sawada
KOBE IT FESTIVAL 2012
KOBE IT FESTIVAL 2012
Hiroshi Bunya
B14 SQL Server over SMB using infiniBand and SSD by Mario Broodbakker/市川明
B14 SQL Server over SMB using infiniBand and SSD by Mario Broodbakker/市川明
Insight Technology, Inc.
Postgre SQL security_20170412
Postgre SQL security_20170412
Kazuki Omo
ホワイトペーパー:クラウドサービスプロバイダがデータセキュリティを武器にする方法
ホワイトペーパー:クラウドサービスプロバイダがデータセキュリティを武器にする方法
株式会社クライム
[db tech showcase Tokyo 2017] E24: 流行りに乗っていれば幸せになれますか?数あるデータベースの中から敢えて今Db2が選ば...
[db tech showcase Tokyo 2017] E24: 流行りに乗っていれば幸せになれますか?数あるデータベースの中から敢えて今Db2が選ば...
Insight Technology, Inc.
IDCFクラウドセミナー RDB活用
IDCFクラウドセミナー RDB活用
IDC Frontier
[dbts-2014-tokyo] 目指せExadata!! Oracle DB高速化を目指した構成
[dbts-2014-tokyo] 目指せExadata!! Oracle DB高速化を目指した構成
Yahoo!デベロッパーネットワーク
AI/MLシステムにおけるビッグデータとの付き合い方
AI/MLシステムにおけるビッグデータとの付き合い方
Shota Suzuki
20171125 springfest snappydata
20171125 springfest snappydata
Masaki Yamakawa
【GridDB入門】 IoT、そしてサイバー・フィジカル・システムを支える オープンソースデータベース GridDB ~ こだわりの理由と実現方法のポイント
【GridDB入門】 IoT、そしてサイバー・フィジカル・システムを支える オープンソースデータベース GridDB ~ こだわりの理由と実現方法のポイント
griddb
Get started with azure v0.9.19.1213
Get started with azure v0.9.19.1213
Ayumu Inaba
何を基準に選定すべきなのか!? 〜ビッグデータ×IoT×AI時代のデータベースのアーキテクチャとメカニズムの比較〜
何を基準に選定すべきなのか!? 〜ビッグデータ×IoT×AI時代のデータベースのアーキテクチャとメカニズムの比較〜
griddb
[db tech showcase Tokyo 2017] D35: 何を基準に選定すべきなのか!? ~ビッグデータ×IoT×AI時代のデータベースのアー...
[db tech showcase Tokyo 2017] D35: 何を基準に選定すべきなのか!? ~ビッグデータ×IoT×AI時代のデータベースのアー...
Insight Technology, Inc.
ヤフーを支えるフラッシュストレージ
ヤフーを支えるフラッシュストレージ
Yahoo!デベロッパーネットワーク
World wide ssp delivery system
World wide ssp delivery system
英伸 篠塚
Mk onic data-intensive-public
Mk onic data-intensive-public
Miya Kohno
Mk onic data-intensive-public
Mk onic data-intensive-public
Miya Kohno
世界分散配信システムとレポーティングシステム刷新のお話
世界分散配信システムとレポーティングシステム刷新のお話
Geniee, Inc. / 株式会社ジーニー
[db tech showcase OSS 2017] A22: NoSQL:誰のための、何のためのデータベース?その将来は?by Aerospike, ...
[db tech showcase OSS 2017] A22: NoSQL:誰のための、何のためのデータベース?その将来は?by Aerospike, ...
Insight Technology, Inc.
Similar to Database Security for PCI DSS
(20)
Database Encryption and Key Management for PostgreSQL - Principles and Consid...
Database Encryption and Key Management for PostgreSQL - Principles and Consid...
KOBE IT FESTIVAL 2012
KOBE IT FESTIVAL 2012
B14 SQL Server over SMB using infiniBand and SSD by Mario Broodbakker/市川明
B14 SQL Server over SMB using infiniBand and SSD by Mario Broodbakker/市川明
Postgre SQL security_20170412
Postgre SQL security_20170412
ホワイトペーパー:クラウドサービスプロバイダがデータセキュリティを武器にする方法
ホワイトペーパー:クラウドサービスプロバイダがデータセキュリティを武器にする方法
[db tech showcase Tokyo 2017] E24: 流行りに乗っていれば幸せになれますか?数あるデータベースの中から敢えて今Db2が選ば...
[db tech showcase Tokyo 2017] E24: 流行りに乗っていれば幸せになれますか?数あるデータベースの中から敢えて今Db2が選ば...
IDCFクラウドセミナー RDB活用
IDCFクラウドセミナー RDB活用
[dbts-2014-tokyo] 目指せExadata!! Oracle DB高速化を目指した構成
[dbts-2014-tokyo] 目指せExadata!! Oracle DB高速化を目指した構成
AI/MLシステムにおけるビッグデータとの付き合い方
AI/MLシステムにおけるビッグデータとの付き合い方
20171125 springfest snappydata
20171125 springfest snappydata
【GridDB入門】 IoT、そしてサイバー・フィジカル・システムを支える オープンソースデータベース GridDB ~ こだわりの理由と実現方法のポイント
【GridDB入門】 IoT、そしてサイバー・フィジカル・システムを支える オープンソースデータベース GridDB ~ こだわりの理由と実現方法のポイント
Get started with azure v0.9.19.1213
Get started with azure v0.9.19.1213
何を基準に選定すべきなのか!? 〜ビッグデータ×IoT×AI時代のデータベースのアーキテクチャとメカニズムの比較〜
何を基準に選定すべきなのか!? 〜ビッグデータ×IoT×AI時代のデータベースのアーキテクチャとメカニズムの比較〜
[db tech showcase Tokyo 2017] D35: 何を基準に選定すべきなのか!? ~ビッグデータ×IoT×AI時代のデータベースのアー...
[db tech showcase Tokyo 2017] D35: 何を基準に選定すべきなのか!? ~ビッグデータ×IoT×AI時代のデータベースのアー...
ヤフーを支えるフラッシュストレージ
ヤフーを支えるフラッシュストレージ
World wide ssp delivery system
World wide ssp delivery system
Mk onic data-intensive-public
Mk onic data-intensive-public
Mk onic data-intensive-public
Mk onic data-intensive-public
世界分散配信システムとレポーティングシステム刷新のお話
世界分散配信システムとレポーティングシステム刷新のお話
[db tech showcase OSS 2017] A22: NoSQL:誰のための、何のためのデータベース?その将来は?by Aerospike, ...
[db tech showcase OSS 2017] A22: NoSQL:誰のための、何のためのデータベース?その将来は?by Aerospike, ...
Database Security for PCI DSS
1.
Copyright©2017 NTT Corp.
All Rights Reserved. Database Security for PCIDSS - NTT Database Summit - 大山真実(@ooyamams1987) – NTT OSSセンター
2.
1Copyright©2017 NTT Corp.
All Rights Reserved. セキュリティって必要? 必要です! Q: 将来、データベースを壊して業務を妨害することがあるかも知れない。(図 3-21) Q: 将来、データベースに格納されている情報をこっそり改ざんするかも知れない。(図 3-22) そう思う 2.9% ややそう思う 6.5% どちらとも いえない 15.5% あまりそう 思わない 9.6% そう思わない 65.5% そう思う 2.4% ややそう思う 7.4% 約1割のDB管理者がDBを破壊するかもしれない!? 引用元:DBSC 「DBA 1,000 人に聞きました」アンケート調査報告書 http://www.db-security.org/report/dbsc_dba_ver1.0.pdf
3.
2Copyright©2017 NTT Corp.
All Rights Reserved. セキュリティって必要? 必要です! IPA 「組織における内部不正対策」 http://www.ipa.go.jp/files/000047237.pdf
4.
3Copyright©2017 NTT Corp.
All Rights Reserved. セキュリティは投資! 必要です! METI IPA「サイバーセキュリティ経営ガイドライン Ver 1.0」 http://www.meti.go.jp/press/2015/12/20151228002/20151228002-2.pdf 抜粋: • セキュリティ対策に対して経営者が十分なリーダーシップを発揮していない。 • セキュリティ投資へのリターンが見えにくい性質のものであるため、 経営者がリーダーシップを取らなければ、積極的に話が上がりにくい
5.
4Copyright©2017 NTT Corp.
All Rights Reserved. セキュリティを考える上で大事なこと 必要です! 「スター・ウォーズ:帝国のサイバーセキュリティ問題」 https://blog.kaspersky.co.jp/star-wars-cybersecurity-problems/13511/ 引用: このデス・スター破壊のエピソードを、セ キュリティの観点から詳しく見ていきま しょう。 ~ 省略 ~ また、最終兵器の設計図がそっくりそのま ま漏洩して敵の手に渡ったことも、陥落の 真の要因ではありません。もちろん大失態 ではありますが。要は「情報が知られなけ れば安全」という法則は成り立たない、の です。 「完璧なセキュリティ対策」は存在しない。 多層防御の考え方が大事!
6.
5Copyright©2017 NTT Corp.
All Rights Reserved. 免責事項 本発表は PCI DSS を参考にデータベースのセキュリティに ついて考えることを目的にしています。 本資料の記載通りに対策を施しても、PCI DSS の要件を満たすか どうかは保証できません。実際に PCI DSS の審査を 受ける時は、最寄りの QSA にご相談ください。 http://www.intellilink.co.jp/security/services/consulting/09.html 1日研修もあるよ!
7.
6Copyright©2017 NTT Corp.
All Rights Reserved. PCI DSS とは? クレジットカード業界のセキュリティ基準です。 Payment Card Industry Data Security Standardの頭文字をとったも ので、国際カードブランド5社 American Express Discover JCB MasterCard VISA が共同で設立したPCI SSC(Payment Card Industry Security Standards Council)によって運用、管理されています。 クレジットカードを扱わないシステムであったとしても、セキュリティ について考える時は、この PCI DSS を参考にすることができる。 http://www.jcdsc.org/pci_dss.php より
8.
7Copyright©2017 NTT Corp.
All Rights Reserved. PCI DSS の用語 カード会員データ (保存可) プライマリアカウント番号(PAN) (読み取り不可、暗号化) カード会員名 サービスコード 有効期限 機密認証データ (保存不可) 磁気ストライプデータなど 代替コントロール QSA=Qualified Security Assessors • 審査機関(QSAC) • 審査人(QSAP)
9.
8Copyright©2017 NTT Corp.
All Rights Reserved. クレジットカードの不正使用 期間 偽造カード 番号盗用 その他 合計 H.26 19.5 66.7 27.7 113.9 H.27 23.0 71.4 25.6 120.0 H.28(1-9月) 22.7 67.2 16.9 106.8 0 50 100 150 H.26 H.27 H.28(1-9月) その他 番号盗用 偽造カード (億円) (億円) 日本クレジット協会 クレジットカード不正 使用被害額の発生状況 http://www.j- credit.or.jp/informati on/statistics/downloa d/toukei_03_g_1612 28.pdf 毎年100億円 を超える被害額
10.
9Copyright©2017 NTT Corp.
All Rights Reserved. PCI DSS の要件 PCI DSS の12要件 安全なネットワークの構築・維持 要件1:カード会員データを保護するためにファイアウォールを導入し、最適な設定を維持すること 要件2:システム・パスワードと他のセキュリティ・パラメータにベンダー提供のデフォルトを使用しないこと カード会員データの保護 要件3: 保存されたカード会員データを安全に保護すること 要件4: オープンなパブリック・ネットワーク経由で転送されるカード名義人データを暗号化する 脆弱性を管理するプログラムの整備 要件5: アンチウイルス・ソフトウェアを利用し、定期的に更新すること 要件6: 安全性の高いシステムとアプリケーションを開発し、保守すること 強固なアクセス管理手法の導入 要件7: カード会員データへのアクセスを業務上の必要範囲内に制限すること 要件8: コンピュータにアクセスする利用者ごとに個別のIDを割り当てること 要件9: カード会員データへの物理的アクセスを制限すること 定期的なネットワークの監視およびテスト 要件10: ネットワーク資源およびカード会員データに対するすべてのアクセスを追跡し、監視すること 要件11: セキュリティ・システムおよび管理手順を定期的にテストすること 情報セキュリティ・ポリシーの整備 要件12: 情報セキュリティに関するポリシーを整備すること http://www.pci-dss.jp/require.html これらはシステムを構成する全てのハード/ソフト/運用プロセスに適応される。 では、データベースではどのように考えるべきか?
11.
10Copyright©2017 NTT Corp.
All Rights Reserved. データベースのセキュリティにおいて考えるべき観点 データベースへの PCI DSS 適応を以下の観点で考える 1.データベースをセキュアな状態に保つ 2.データの保護、暗号化と鍵の管理 3.ユーザーの識別、認証、認可、アカウント管理 4.監査
12.
11Copyright©2017 NTT Corp.
All Rights Reserved. 1.データベースをセキュアな状態に保つ
13.
12Copyright©2017 NTT Corp.
All Rights Reserved. 1.データベースをセキュアな状態に保つ PCI DSS 要件2 ざっくりまとめ • デフォルトアカウント、パスワードの使用禁止 • 既知の脆弱性が修正された状態を保つ • 不要な機能、プロトコルの使用禁止 • 管理アクセスは暗号化する。 要件2から考えるデータベースですべきこと • デフォルトのユーザはログイン禁止 • 最新マイナーバージョンへのアップデート • IPアドレス制限、必要最低限のアクセスのみを許可 • 管理アクセスは暗号化 (例えばpsqlによるDBへの接続など) 基本的なセキュリティ対策はちゃんとやろう!
14.
13Copyright©2017 NTT Corp.
All Rights Reserved. 2.データの保護、暗号化と鍵の管理
15.
14Copyright©2017 NTT Corp.
All Rights Reserved. 2.データの保護、暗号化と鍵の管理 PCI DSS 要件3 ざっくりまとめ • PANの保護 • PANは以下の状態で保存する。 不可逆的に読み取り不可な状態にする ・ワンウェイハッシュ ・トランケーション ・代替番号 暗号化する • 暗号鍵を使う • 業務上必要な人のみが復号できる
16.
15Copyright©2017 NTT Corp.
All Rights Reserved. 2.データの保護、暗号化と鍵の管理 PCI DSS 要件3 ざっくりまとめ • 暗号鍵は以下の要件に従って管理する • 業務上必要な人だけが鍵にアクセスできる • 暗号鍵は鍵暗号鍵で暗号化(2層鍵管理) • 暗号鍵と鍵暗号鍵は別々の場所に保存 • 鍵は最小限の場所に保存 • 鍵は使用期限を設け、一定期間で更新する • 鍵は安全に保存、配布する • 鍵へのアクセス/使用の記録を残して監査する
17.
16Copyright©2017 NTT Corp.
All Rights Reserved. 2.データの保護、暗号化と鍵の管理 要件3から考えるデータベースですべきこと • 以下の機能を持つデータベース外部の鍵管理ソフトウェアと連携すべき 2層鍵管理方式による鍵管理可能 システム全体のユーザ認証と連携した鍵管理機構可能 DB管理者と鍵管理者は分けることができる(権限分掌) 鍵の利用状況を監査できる https://docs.oracle.com/c d/E49329_01/network.12 1/b71313/asotrans.htm 鍵交換時の再暗号化時 にもメリットあり 2層鍵管理方式 このような要件を満たす鍵管理OSSが欲しい…
18.
17Copyright©2017 NTT Corp.
All Rights Reserved. 2.データの保護、暗号化と鍵の管理 • 透過的暗号化機能(TDE)が使えるとベスト! 実際の案件では需要大 現実の案件ではAPにパスワードや鍵を埋め込むことが多い →セキュリティ的に大問題なので避けるべき →APへの変更をなるべく抑えたい クラウド上でのDB利用拡大に伴い、DBの暗号機能、TDEの要望は多い。
19.
18Copyright©2017 NTT Corp.
All Rights Reserved. 3.ユーザーの識別、認証、認可、プロファイル管理
20.
19Copyright©2017 NTT Corp.
All Rights Reserved. 3.ユーザーの識別、認証、認可、プロファイル管理 PCI DSS 要件7,8 ざっくりまとめると • 識別:Identification 全てのユーザーに各個人を一意に識別できるユーザーIDを与える • 認証: Authentication パスワード トークンデバイス 生体認証 • 認可: Authorization 業務上必要なユーザーに最小限の権限を与える。 • プロファイル管理 →ユーザーIDの削除、凍結、接続断 移動/退職者 一定数の認証失敗 長時間アクセスなし 一定時間アイドル状態 有効なパスワードの要件は…
21.
20Copyright©2017 NTT Corp.
All Rights Reserved. 3.ユーザーの識別、認証、認可、プロファイル管理 8.2.3 パスワードは7文字以上、数字と英文字を両方含むこと
22.
21Copyright©2017 NTT Corp.
All Rights Reserved. 3.ユーザーの識別、認証、認可、プロファイル管理 8.2.4 90日に一回パスワードを変更すること
23.
22Copyright©2017 NTT Corp.
All Rights Reserved. 3.ユーザーの識別、認証、認可、プロファイル管理 8.2.5 直近に使用した4つのlパスワードは使用できない
24.
23Copyright©2017 NTT Corp.
All Rights Reserved. 3.ユーザーの識別、認証、認可、プロファイル管理 要件7,8から考えるデータベースですべきこと • 以下の機能を持つデータベース外部のソフトウェアと連携すべき システム全体のユーザ、権限を一括管理可能 鍵管理機能と連携可能 単純なパスワードの制限/有効期限設定可能 プロファイル管理可能 DBと連携してユーザアカウントの削除、凍結が行える 利用状況の監査可能 • ユーザ管理者とDB管理者は分けるべき • 業務に応じた細かい単位の権限を持つロール、ユーザを作成する APから接続するユーザ、運用者、バックアップ、DB管理者など このような機能を持つOSSが欲しい… OpenLDAP?
25.
24Copyright©2017 NTT Corp.
All Rights Reserved. 4.監査: Auditing
26.
25Copyright©2017 NTT Corp.
All Rights Reserved. 4.監査 PCI DSS 要件10 ざっくりまとめると • 以下を監査する カード会員データ、監査証跡へのアクセス 管理者の全てのアクション 無効なアクセス試行 識別・認証に関わる操作 • 以下の情報を取得する ユーザ識別 イベントの種類 日時 成功/失敗 イベントの発生元 影響を受けるデータ、リソースID • 監査証跡を保護する 参照、変更権限の制限 監査ログファイルの変更の検知 監査証跡は変更が困難な一元管理ログサーバに保存
27.
26Copyright©2017 NTT Corp.
All Rights Reserved. 4.監査 要件10から考えるデータベースですべきこと • 前述の要件を満たす監査ログ出力機能を導入すべき 特権ユーザの完全な監査をどのように実現するかが課題 • 以下を可能にするため監査ログ管理サーバにログを集約すべき システム全体の監査ログを集約 監査ログは監査権限を持つユーザ以外にはアクセスさせない 監査者とDB管理者は分ける 監査ログの監査
28.
27Copyright©2017 NTT Corp.
All Rights Reserved. 1~4をまとめると DB DB DB 監査ログ管理サーバ DBA DBA DBA 監査者 認証情報 監査ログ 識別、認証、認可、 プロファイル管理 暗号鍵管理 鍵管理者 ユーザ 管理者 鍵情報 暗号化 データ 暗号化 データ 暗号化 データ
29.
28Copyright©2017 NTT Corp.
All Rights Reserved. Oracleでの対応 「狙われているのはデータ」──企業の機密情報、個人情報を効果的に守るには? http://www.atmarkit.co.jp/ait/articles/1511/24/news014_4.html
30.
29Copyright©2017 NTT Corp.
All Rights Reserved. PostgreSQLでの対応 以下の点を除けばPostgreSQLは十分に PCI DSS に対応できる。 • 権限分掌が不十分 スーパーユーザ(特権ユーザ)権限無しでの運用が困難 →PostgreSQLコミュニティでも改善を検討中 • DB外部の鍵管理機構との連携した暗号化機能がない • DB外部のユーザ管理機構と連携したプロファイル管理機能がない • 監査ログ出力機能がない いずれも代替コントロールできる可能性が高い! 詳しくはOSSセンターにお問い合わせください。 TDEもほしい!
31.
30Copyright©2017 NTT Corp.
All Rights Reserved. pgauditについて PCI DSS の監査要件を満たす監査ログ出力機能を OSSセンターで開発中。 https://github.com/ossc-db/pgaudit/tree/refactored ポイント • 監査要件を満たす出力対象、出力情報。 • スーパーユーザであっても監査設定を容易に変更すること はできない。 • Syslog経由で監査ログをログ管理サーバに送信。 • 性能への影響を極力軽減するログフィルタリング機能。
32.
31Copyright©2017 NTT Corp.
All Rights Reserved. END
Download now