Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.

3年間の情報漏洩事件からみるデータ保護対策の勘所 ~ データ・セキュリティ、考え方とその仕組み

0 views

Published on

Oracle Cloud Days Tokyo 2016 (2016年10月開催)でのデータ・セキュリティに関する講演資料です。 ※ 一部資料を修正しました (2016/12/27)
この3年間の情報漏洩事件の傾向を振り返り、今考えるべき個人情報や機密情報を保護に求められる多層防御やデータ・セキュリティ対策のポイントを事例を交えて紹介します。また、各種ガイドラインに求められるデータ・セキュリティに求められる要件も併せて紹介します。

Published in: Technology
  • Be the first to comment

3年間の情報漏洩事件からみるデータ保護対策の勘所 ~ データ・セキュリティ、考え方とその仕組み

  1. 1. Copyright © 2016, Oracle and/or its affiliates. All rights reserved. | 3年間の情報漏洩事件からみるデータ保護対策の勘所 ~データセキュリティ、考え方とその仕組み~ 日本オラクル株式会社 クラウド・テクノロジー事業統括 Database & Exadataプロダクトマネジメント本部 ビジネス推進部 担当シニアマネージャー 大澤 清吾
  2. 2. Copyright © 2016 Oracle and/or its affiliates. All rights reserved. | • 以下の事項は、弊社の一般的な製品の方向性に関する概要を説明する ものです。また、情報提供を唯一の目的とするものであり、いかなる契約 にも組み込むことはできません。以下の事項は、マテリアルやコード、機 能を提供することをコミットメント(確約)するものではないため、購買決定 を行う際の判断材料になさらないで下さい。オラクル製品に関して記載さ れている機能の開発、リリースおよび時期については、弊社の裁量により 決定されます。 2 OracleとJavaは、Oracle Corporation 及びその子会社、関連会社の米国及びその他の国における登録商標です。 文中の社名、商品名等は各社の商標または登録商標である場合があります。
  3. 3. 3 昨今のセキュリティトレンド 2014年からの現在までの 日本の情報漏洩件数(*)6560万件 データベースから漏洩する 割合98% データベースへのセキュリティ 対策の実施状況20% * 日本オラクル調べ Copyright © 2016 Oracle and/or its affiliates. All rights reserved. | 出典:Verizon データ漏えい/侵害調査報告書 2013 出典:Forrster
  4. 4. 3年間に起きた情報漏洩事件
  5. 5. Copyright © 2016 Oracle and/or its affiliates. All rights reserved. | 大規模情報漏えい事例 5 年 企業・団体名 漏洩件数 最終的な 漏洩の原因 攻撃手法 概要 2016 国内大手企業 679万件 DBアカウント 高度サイバー攻撃 サーバー内にデータファイルを作成し、奪取 Mate1.com 2700万件 OSアカウント 高度サイバー攻撃 OSコマンドを利用し、DBデータを奪取。 2015 Anthem 8,000万件 DBアカウント 高度サイバー攻撃 DB管理者のログイン情報を取得し奪取 国内政府機関 125万件 OSアカウント 高度サイバー攻撃 感染PCからファイルサーバーのデータを奪取 2014 eBay 12,800万件 DBアカウント 高度サイバー攻撃 従業員のログイン情報を取得し、奪取 国内大手企業 2,300万件 DBアカウント 内部犯行 委託先職員がDB管理者権限を使用し奪取 2012 Advocate Medical 403万件 PC 物理盗難 (泥棒) 医療機関のシステム 2011 TRICARE 490万件 バックアップ 物理盗難 (紛失) 政府機関のシステム 高 度 サ イ バ ー 攻 撃 / 内 部 犯 行 物 理 盗 難 サイバー攻撃では、約50%がユーザーアカウントを奪取して攻撃を行う。内部犯行も同様 引用:Healthcare Info Security 「Update: Top 5 Health Data Breaches」 (2015年2月5日) 引用:Reuters , Forbes, USA Today, IT Media, ITPro 等
  6. 6. Copyright © 2016 Oracle and/or its affiliates. All rights reserved. | 欧州連合(EU)研究所によるサイバー攻撃手法の分類と傾向 ① マルウェア ② ウエブベース攻撃 ③ ウエブアプリ攻撃 ④ ボットネット ⑤ DoS攻撃 ⑦ 内部不正 ⑧ フィッシング ⑨ スパム ⑩ 攻撃キット ⑫ ID盗難 ⑭ ランサムウェア 出所: ENISA Threat Landscape 2014, European Union Agency For Network And Information Security, JAN 2015 出所: ENISA Threat Landscape 2015, European Union Agency For Network And Information Security, JAN 2016 (原資料のトップ15項目から該当しない⑥物理被害等、⑪データ漏洩、⑬情報流出、及び⑮サイバーエスピオナージを除外して四つのカテゴリに整理した。) 6 ① マルウェア ② ウエブベース攻撃 ③ ウエブアプリ攻撃 ④ ボットネット ⑤ DoS攻撃 ⑥ スパム ⑦ フィッシング ⑧ エクスプロイトキット ⑪ 内部不正 ⑬ ID盗難 ⑮ ランサムウェア 2014 2015  2014年度から急激に「マルウェア」、 「ウェブベース」、「ウェブアプリ」の脅威が増加  「内部不正」は、2014年度に新たな脅威に 認定され、2015年度も順位が上昇  「エクスプロイトキット」は、順位が低下
  7. 7. Copyright © 2016 Oracle and/or its affiliates. All rights reserved. | 欧州連合(EU)研究所によるサイバー攻撃手法の分類と傾向 ① マルウェア ② ウエブベース攻撃 ③ ウエブアプリ攻撃 ④ ボットネット ⑤ DoS攻撃 ⑦ 内部不正 ⑧ フィッシング ⑨ スパム ⑩ 攻撃キット ⑫ ID盗難 ⑭ ランサムウェア ①④⑭ ②③⑧ ⑨⑩⑫ 出所: ENISA Threat Landscape 2015, European Union Agency For Network And Information Security, JAN 2016(原資料のトップ15項目から 該当しない⑥物理被害等、⑪データ漏洩、⑬情報流出、及び⑮サイバーエスピオナージを除外して四つのカテゴリに整理した。) ⑦ マルウェア 高度 サイバー攻撃 内部不正 サービス拒否 (DoS)攻撃⑤ 7 ~ つづき 2015
  8. 8. Copyright © 2016 Oracle and/or its affiliates. All rights reserved. | 日本における2013年10月から現在までの情報漏洩の傾向 ※ 日本オラクル調べ (設定ミス、誤操作、紛失・置き忘れ、盗難を除く) マルウェア 高度 サイバー攻撃 内部不正 サービス拒否 (DoS)攻撃 PC端末からの漏洩 Web/APサーバー からの漏洩 DB/ファイル等の サーバーからの漏洩 内部不正による漏洩 情報漏洩の分類(*) 8 11% 48% 18% 23% PC Webサーバー サーバー 内部
  9. 9. Copyright © 2016 Oracle and/or its affiliates. All rights reserved. | それぞれのリスクにおける代表的なユーザーとそのリスク ユーザー種類 OS管理者権限による DBのファイルの持出 リスク 9 アプリケーションが管理する 全てのデータを参照・改竄 DB管理者権限により DB上の全データを参照・改竄 OS管理ユーザー AP用DB管理 /共有ユーザー Web/APサーバー からの漏洩 DB/ファイル等の サーバーからの漏洩 内部不正による漏洩 DB管理ユーザー 分類
  10. 10. Copyright © 2016 Oracle and/or its affiliates. All rights reserved. | DBサーバ OS管理ユーザーにおけるリスク 10 OSユーザー (Admin) DBユーザー (APPSYS) DB ファイル DB ファイル DB ファイル DB ファイル OS管理者 サーバーからの漏洩 内部不正による漏洩 バックアップサーバ DB ファイル Web/APサーバーからの漏洩 DBファイルが暗号化されていないと、全ての情報が持ち出されてしまう ストレージ暗号化の場合は、OSからは元のデータが見えてしまう 本番データだけでなく、バックアップデータの暗号化も必要 Web/APサーバー 悪意のある 攻撃者
  11. 11. Copyright © 2016 Oracle and/or its affiliates. All rights reserved. | DBサーバ OS管理ユーザーにおけるリスクへの解決策 ~ DBレベルでの暗号化 11 OSユーザー (Admin) DBユーザー (APPSYS) DB ファイル DB ファイル DB ファイル OS管理者 サーバーからの漏洩 内部不正による漏洩 バックアップサーバ DB ファイル Web/APサーバーからの漏洩 Web/APサーバー 悪意のある 攻撃者 アプリケーションの改修なく実装可能 本番データだけでなく、バックアップデータも暗号化 CPU内でデータの暗号化/復号処理を実行によりパフォーマンス劣化を防止
  12. 12. Copyright © 2016 Oracle and/or its affiliates. All rights reserved. | DB管理/共有ユーザーにおけるリスク 12 OSユーザー (Admin) DBユーザー (APPUSR) Web/APサーバー DB ファイル DB ファイル DB ファイル DBサーバ OS管理者 データベース 管理者 Web/APサーバーからの漏洩 サーバーからの漏洩 内部不正による漏洩 バックアップサーバ DB ファイル 悪意のある 攻撃者 データベース管理者権限を利用によるリスク 多くのデータへのアクセス権限を持ったAP用共有ユーザーによるリスク 利用者を特定した監査取得が不可 16/10/25 APPUSR 16/10/26 APPUSR 接続権限 データアクセス権限
  13. 13. Copyright © 2016 Oracle and/or its affiliates. All rights reserved. | DBサーバ DB管理/共有ユーザーにおけるリスクへの解決策 ~ DB管理者、一般ユーザのアクセス制御 13 OSユーザー (Admin) DBユーザー (APPUSR) Web/APサーバー DB ファイル DB ファイル DB ファイル OS管理者 データベース 管理者 Web/APサーバーからの漏洩 サーバーからの漏洩 内部不正による漏洩 バックアップサーバ DB ファイル 16/10/25 APPUSR Sato 16/10/26 APPUSR Ito 悪意のある 攻撃者 データベース管理者を権限分掌し、機密情報へのアクセスを防止 アプリケーションのユーザー名、権限を使用したデータセキュリティ対策 利用者を特定、アクティビティを監査 接続権限 権限情報
  14. 14. Copyright © 2016 Oracle and/or its affiliates. All rights reserved. | 代表的な特権ユーザーとそのリスクと対策 14 OS管理ユーザー DB管理ユーザー ユーザー種類 それに対する解決策 DB管理者の権限分割、 アクセス制御 一般ユーザの権限分割、 アクセス制御 OS管理者権限による DBのファイルの持出 DB管理者権限により DB上の全データを参照・改竄 アプリケーションが管理する 全てのデータを参照・改竄 リスク データ暗号化 不正アクセスが検知できず、 第3者からの指摘で発覚する 監査・監視 予 防 的 発 見 的
  15. 15. 各種ガイドラインにおけるデータ・ セキュリティ対策の要件の記載
  16. 16. Copyright © 2016 Oracle and/or its affiliates. All rights reserved. | 各種ガイドラインにおけるデータ・セキュリティ対策の要件の記載 ~ 2014年12月以降から様々なガイドラインに掲載 16 名称 セキュリティ強化への取り組み 対象 個人情報保護 (経済産業省) 2004年10月:経済産業分野のガイドライン策定 2008年2月 : ガイドライン改定。暗号化の記載が追加。 2014年12月 :ガイドライン改定。データベースへのアクセス制御、 管理者権限分割、パッチ管理が追加。 経済産業分野の事業者 及び、業界団体 マイナンバー (個人情報委員会) 2013年5月 : 「行政手続における特定の個人を識別するための番号の利用等 に関する法律(番号法)」が成立 2014年12月 : ガイドライン公開。技術的安全管理措置に特定個人情報への アクセス制御、暗号化、監査が記載 行政機関・地方公共団体 及び、全事業者 サイバーセキュリティ 経営ガイドライン (経済産業省) 2015年12月:ガイドライン 公開。多層防御と重要データ(データベース、 ファイル)への高度な暗号化、アクセス制御、監査が記載 企業の経営者 大企業・中小企業のITシステムを 供給する企業と経営戦略上ITの 利活用が不可欠な企業 政府機関等の情報 セキュリティ対策のた めの統一基準 2005年9月 政府機関の情報セキュリティ対策のための統一基準 公開 2016年8月 平成 28年度版公開。データベースの項目が新たに追加。 管理者権限分割、アクセス制御、監査、暗号化が記載 政府機関 官公庁・独立行政法人等 New
  17. 17. Copyright © 2016 Oracle and/or its affiliates. All rights reserved. | 個人情報保護法のガイドライン改正によりシステムが 対応すべき事項 [2014年12月12日改正] (以下、一部抜粋) 17 改 正 前 改 正 後 個人データを格納した情報システムへの無権限アクセスから の保護(例えば、ファイアウォール、ルータ等の設定) 個人データを格納した情報システムへの無権限アクセスからの保護 (例えば、ファイアウォール、ルータ等の設定) *個人データを格納するためのデータベースを構成要素に 含む情報システムを構築する場合には、当該情報システム 自体へのアクセス制御に加えて、情報システムの構成要素で あるデータベースへのアクセス制御を別に実施し、それぞれ にアクセス権限を設定することが望ましい。 オペレーティング・システム(OS)、アプリケーション等に 対するセキュリティ対策用修正ソフトウェア (いわゆるセキュリティパッチ)の適用 端末及びサーバー等のオペレーティングシステム(OS)、 ミドルウェア(DBMS等)、アプリケーション等に対するセキュリティ 対策用修正ソフトウェア(いわゆるセキュリティパッチ)の適用 *個人データを格納するためのデータベースを構成要素に含む 情報システムを構築する場合には、当該情報システム自体へのア クセス制御に加えて、情報システムの構成要素であるデータベー スへのアクセス制御を別に実施し、それぞれにアクセス権限を 設定することが望ましい。
  18. 18. Copyright © 2016 Oracle and/or its affiliates. All rights reserved. | サイバーセキュリティ経営ガイドラインによりシステムが対応すべき事項 [2015年12月27日公開] (以下、一部抜粋) 3.2 サイバーセキュリティリスク管理の枠組み決定 ー(3)サイバーセキュリティリスクの把握と実現するセキュリティレベルを踏まえた目標と計画の策定 ー [対策例] ・・・・・・・・ 例えば、ソフトウェア更新の徹底、マルウェア対策ソフトの導入などによるマルウェア感染リスクの低減策を実施する。また、重要 業務を行う端末、ネットワーク、情報システム又は情報サービス(クラウドサービスを含む)には、多層防御の導入 や情報資産別のネットワークの分離を検討する 18 引用: 経済産業省:「サイバーセキュリティ経営ガイドライン」 付録D 用語の定義 ー (10) 多層防御 物理層、ネットワーク層からデータ層までの多層防御を導入することで、1つの機器やソフトウェアに依存する拠点防御対 策や、単一の境界防御層(主としてネットワーク境界)に依存する対策の場合より、未知のマルウェアや新たな攻撃手法の 登場により容易に突破されるリスクの軽減が期待される。 ・・・<以下省略>・・・ 付録B-2 多層防御措置の実施 ー 重要情報が保存されているサーバの保護 - 重要情報を保存しているサーバについては、ネットワークの分離(別セグメント化)や、ファイアウォール(FW)設置、 重要データ(データベースおよびファイル)への高度な暗号化、アクセス制限、アクセスログ収集を行う。
  19. 19. Copyright © 2016 Oracle and/or its affiliates. All rights reserved. | 19 政府機関等の情報セキュリティ対策のための統一基準 におけるデータベースが対応すべき事項 (新規追加) 引用:NISC政府機関等の情報セキュリティ対策のための統一基準(案) [2016年8月31日 公開] (1) データベースの導入・運用時の対策 (a) 情報システムセキュリティ責任者は、データベースに対する内部不正を防止する ため、 管理者アカウントの適正な権限管理を行うこと。 (b) 情報システムセキュリティ責任者は、データベースに格納されているデータにアクセスした利用者を特定で きるよう、措置を講ずること。 (c) 情報システムセキュリティ責任者は、データベースに格納されているデータに対するアクセス権を有する 利用者によるデータの不正な操作を検知できるよう、対策 を講ずること。 (d) 情報システムセキュリティ責任者は、データベース及びデータベースへアクセスする機器等の脆弱性を悪用 した、データの不正な操作を防止するための対策を講ず ること。 (e) 情報システムセキュリティ責任者は、データの窃取、電磁的記録媒体の盗難等による情報の漏えいを防 止する必要がある場合は、適切に暗号化をすること。 第 7 部 情報システムの構成要素 - 7.2 電子メール・ウェブ等 7.2.4 データベース 遵守事項
  20. 20. Copyright © 2016 Oracle and/or its affiliates. All rights reserved. | 20 個人情報の保護に関する法律施行令の一部を改正する政令(案) 個人情報の保護に関する法律施行規則(案)が公開 (2016年8月2日) 本案では、個人情報を基に作ったデータを外部に提供する場合は氏名や誕生日、住所に加え、 マイナンバーや旅券番号のような公的番号なども削除するよう企業に求める。 個人情報を匿名化して活用するルールを明確にし、商品開発などに活用しやすくする。 新基準では、これまで個人情報に該当するかどうかが曖昧だった情報を新たに個人情報に追加される。 引用: http://www.nikkei.com/article/DGKKZO05542160S6A800C1EE8000/ 引用: http://search.e-gov.go.jp/servlet/Public?CLASSNAME=PCMMSTDETAIL&id=240000022&Mode=0 個人識別符号及び要配慮個人情報の定義規定(案)で定義されている個人情報 個人識別符号として定義されるのは以下の通り。これらの情報を含むものを個人情報という • DNAや顔、虹彩、歩き方、指紋・掌紋などの生体情報 • マイナンバー、パスポート番号、基礎年金番号、運転免許証の番号など • 個人情報保護委員会規則で定める文字、番号、記号その他の符号など (国民健康保険の被保険者証の記号、番号及び保険者番号、等)
  21. 21. Copyright © 2016 Oracle and/or its affiliates. All rights reserved. | 各種ガイドラインへの対応のポイント ~ データを識別しセキュアな管理を検討 21 BRONZE GOLDSILVER PLATINUM セキュアな構成・監査 暗号化・マスキング アクセス制御・検知 厳格なアクセス制御 スキャンとパッチ セキュアな構成 監査の取得 データ暗号化・伏字化 マスキング 通信暗号化 DB管理者権限分掌・ アクセス制御 監査の一元管理・検知 不正なSQLからの防御 ラベルベースのアクセス制御 鍵の一元管理 機密ではない 社内ポータル,組織情報… 社内秘 ビジネスの取引情報, 発注情報 コンプライアンス対応 個人情報(PII), クレジット カード(PCI)、J-SOX関連、 個人符号番号 機密性の高い情報 売上情報, M&A, ソース コード特許情報… 個人情報保護、マイナンバー、サイバーセキュリティ経営ガイドライン、政府統一基準では、GOLD の対応が求められる
  22. 22. オラクルのセキュリティへの取組
  23. 23. Copyright © 2016 Oracle and/or its affiliates. All rights reserved. | 情報化社会における企業資産の位置づけ データの「利活用」 と「保護」の両立が重要 23 経営目標 モノ人材 お金 IT/情報資産 情報を利活用することが、 競争力の源泉 (データ・マネージメント) 情報保護は、 事業リスク管理のため重要 (データ・セキュリティ) オンプレミス / クラウドIT基盤 求められる要件 経営目標を 実現するために 必要な事 • コンプライアンス、 法制度対応 • 脅威への対応 • 新しいテクノロ ジーへの対応 環境の変化
  24. 24. Copyright © 2016 Oracle and/or its affiliates. All rights reserved. | CloudOn-Premises DEVELOP AND DEPLOY ANYWHERE 24 同じ「アーキテクチャ」 同じ「オラクル製品」 同じ「知識・ノウハウ」 共通のコンプライアンス対応 同一セキュリティポリシー 情報化社会における企業資産の位置づけ データの「利活用」 と「保護」をハイブリットな環境で実現
  25. 25. Copyright © 2016 Oracle and/or its affiliates. All rights reserved. | オラクルが提供するデータを中心とした「多層防御」の対策 • データ層とアプリ層、アクセス層の連携強化し、 一気通貫のポリシーで運用を実現 • End-To-Endなセキュリティ対策を実現 – クライアントの情報をデータベースに伝播し、 クライアント情報を基に厳密なアクセス制御 を実現 – アプリケーションの利用者を特定し、 DB側からアクティビティを監査 • 既存アプリケーションの改修を極小化 • 収集したログは、リアルタイムな検索と 高速なドリルダウンにより早期発見を実現 25 ✔データ層: アクセス制御 / 監査・監視 暗号化 ✔アプリ層: アクセス制御 / 監査・監視/ 認証 ✔アクセス層: 認証 / 認可 ✔ネットワーク層: FW / 暗号化 / IDS ✔物理層: 入退出管理 / 警備員 / 施錠
  26. 26. Copyright © 2016 Oracle and/or its affiliates. All rights reserved. | ポリシーがアプリケーション毎にバラバラ 暗号範囲の拡張時に、個別の対応で高コスト 改竄、削除の脅威に対応できず、限定的 SQLチューニングが出来ず、パフォーマンスが劣化 一元的なポリシーによるセキュリティ対策 暗号範囲はDB側の設定のみで短期間・低コストの実装 改竄、削除、参照のあらゆる脅威に対応 パフォーマンスやデータ量への影響小 アプリケーションによるセキュリティ実装との比較 26 アプリケーション側で実装 データベース側で実装 改竄/削除 改竄/削除 内部 攻撃 内部 攻撃
  27. 27. お客様でのデータベースセキュリティ の取り組みについて
  28. 28. Copyright © 2016 Oracle and/or its affiliates. All rights reserved. | • SBIトレードウィンテック 様 • エディオン様 • KDDIエボルバ 様 (*) • 佐世保中央病院 様 • セブン&アイ・ホールディングス 様 • 統計センター 様 • 日本精工 様 • 野村総合研究所 様 • バンダイ 様 • プロトコーポレーション 様 (*) • ベリトランス 様 • マツダ 様 • 三菱アルミニウム 様 • 楽天証券 様 • 良品計画 様 28 オラクルデータベースセキュリティ製品をご利用頂いているお客様 ~ Press Release 等から抜粋 (五十音順) * オラクルデータベースインサイダー にて掲載
  29. 29. Copyright © 2016 Oracle and/or its affiliates. All rights reserved. | お客様でのデータベースセキュリティの取り組みについて • 経営目標や事業目標を達成するための基盤刷新時でのセキュリティ強化 • マイナンバーや個人情報などの機密情報を集約して管理 • セキュリティ強化による運用性の低下への改善 29
  30. 30. Copyright © 2016 Oracle and/or its affiliates. All rights reserved. | お客様でのデータベースセキュリティの取り組みについて • 経営目標や事業目標を達成するための基盤刷新時でのセキュリティ強化 • マイナンバーや個人情報などの機密情報を集約して管理 • セキュリティ強化による運用性の低下への改善 30
  31. 31. Copyright © 2016 Oracle and/or its affiliates. All rights reserved. | 31 顧客事例:バンダイ様 ECサイト“プレミアムバンダイ ”をOracle Exadataで刷新し、会員の個人情報を 高度なセキュリティで保護、グローバル展開も見据えた処理性能向上を実現 DBサーバ性能、個人情報保護強化の課題を Oracle Exadataとデータベースセキュリティ製品で解決 大幅な性能向上 - バッチ処理: • 21分→2分39秒(会員情報洗い替え処理) • 57分38秒→8分29秒(会員受注集計処理) - 平均処理性能 • 10倍以上に向上 (45.4[TPS]→488[TPS]) 個人情報保護強化 - Oracle Advanced Security によるデータの暗号化 - Oracle Database Vault による管理者によるアクセスを厳密 にコントロールを実現 - Oracle Audit Vault and Database Firewall で監査・監視 し、Oracle Data Masking and Subsetting でテスト環境を 保護
  32. 32. Copyright © 2016 Oracle and/or its affiliates. All rights reserved. | お客様でのデータベースセキュリティの取り組みについて • 経営目標や事業目標を達成するための基盤刷新時でのセキュリティ強化 • マイナンバーや個人情報などの機密情報を集約して管理 • セキュリティ強化による運用性の低下への改善 32
  33. 33. Copyright © 2016 Oracle and/or its affiliates. All rights reserved. | マイナンバーや個人情報などの機密情報を集約して管理する例 33 マイナンバー、個人情報保護対応システム(保管・利用・廃棄) アクセス制御 暗号化 監査・ 不正アクセス検知 マイナンバー 運転免許証番号 ID 12345 1234567 999 45678 3456789 888 78901 2468135 777 人事システム 経理システム 本社 子会社 人事システム 経理システムID 氏名 999 山田太郎 888 番号太郎 777 閣内番子 既存システム ID 氏名 999 山田太郎 888 番号太郎 777 閣内番子 必要な情報のコピーだけを行う DBセキュリティ対策を実施
  34. 34. Copyright © 2016 Oracle and/or its affiliates. All rights reserved. | マイナンバー管理のアクセス制御、暗号化、監査・監視をインフラ側で担保し 開発を効率化、業界ガイドライン準拠の安心・安全なサービスを短期間で提供 顧客事例:SBIトレードウィンテック 様 DBセキュリティ製品群を活用し、アプリケーション開発 に影響与えず、安全管理措置の要件を担保  オラクル製品群はセキュリティ要件を最も効率的 に満たし、他社製品と比較して約3分の1の費用 で同じ要件を実現  「Oracle Advanced Security」により、画像ファイル も含むマイナンバー関連情報をすべて暗号化  「Oracle Database Vault」により、DB管理者など 特権ユーザーのアクセス制御/権限管理を実現  「Oracle Audit Vault and Database Firewall」によ り、特定個人情報へのアクセスの監査・監視や定 期的なログ解析を実現 34
  35. 35. Copyright © 2016 Oracle and/or its affiliates. All rights reserved. | 顧客事例:楽天証券 様 35 将来的にはマイナンバーだけでなく顧 客のあらゆる重要情報を保管・管理 することも見据え、自社で独自の高 セキュリティな顧客情報管理システム を構築 – Oracle Advanced Security (暗号化) – Oracle Database Vault (特権管理) – Oracle Audit Vault and Database Firewall (取得・監視・保全)
  36. 36. Copyright © 2016 Oracle and/or its affiliates. All rights reserved. | お客様でのデータベースセキュリティの取り組みについて • 経営目標や事業目標を達成するための基盤刷新時でのセキュリティ強化 • マイナンバーや個人情報などの機密情報を集約して管理 • セキュリティ強化による運用性の低下への改善 36
  37. 37. Copyright © 2016 Oracle and/or its affiliates. All rights reserved. | サイバー・セキュリティに対するオラクルのソリューション ~ データを中心とした「多層防御」のメリット 37 低 セキュリティ対策レベル 高 低高 運用・利便性 オラクルが貢献させて 頂くポイント
  38. 38. Copyright © 2016 Oracle and/or its affiliates. All rights reserved. | セキュリティ強化による運用性の低下への改善 38 業務データシステム系データ データセンター 保守ルーム DB管理者 SI事業者 (DB管理者) DB管理者が全権限を保持し、性 善説で運用している 必須とされるアクセス制御設計ポイント アクセス制限下における柔軟な リモートアクセスの実現 基幹DBへ物理セキュリティで守られた保守ルームか らしかアクセスできない DB障害時は、作業申請に加えて保守ルームへの 入室申請、現地への駆けつけが必要となり、障害 対応を開始するまで時間がかかってしまう 即時対応には常駐が必要となってしまう 執務室 SI事業者 (DB管理者)
  39. 39. Copyright © 2016 Oracle and/or its affiliates. All rights reserved. | セキュリティ強化による運用性の低下への改善 39 業務データシステム系データ データセンター 保守ルーム DB管理者SI事業者 (AP保守) DB管理者が全権限を保持し、性 善説で運用している 必須とされるアクセス制御設計ポイント アクセス制限下のもとによる柔軟な リモートアクセスの実現 執務室 申請手続きを簡略化して、リモート作業を実施可能 障害対応を迅速に実施でき、復旧時間を短縮可能 リモート作業用に、既存の保守ルームと同じくらいの物理 セキュリティを施した設備を用意する必要がなくなったSI事業者 (DB管理者) セキュリティ 管理者
  40. 40. オラクルが提供するサービスのご紹介
  41. 41. Copyright © 2016 Oracle and/or its affiliates. All rights reserved. | Oracle Database セキュリティ・リスク・アセスメント スクリプトとヒアリングを元にリスクを可視化し、推奨する対策と優先対策事項をご提案 1 対象システムを選定し、 スクリプトとヒアリングで、 現在の状況を確認 2 発見したリスクをリストし、 可視化 3 リスクの大きさと 対策実施のコストから 実施優先順位をご提案 4 優先対策事項のご提案 1 2 3 現在の状況をスクリプトとヒアリングで確認 • ロールや特権の設定状況 • 暗号化、アクセス制御状況 • DBの初期パラメータの設定 • アカウントの設定・運用状況 • 監査の設定状況 • ネットワーク構成 スクリプト ヒアリング 4対策実施の優先順位のご提案 優先対策事項のご提案と 推奨対策実施による効果の可視化 発見したリスクの一覧 41
  42. 42. Copyright © 2016 Oracle and/or its affiliates. All rights reserved. | パートナー様との取り組み 五十音順 42
  43. 43. Copyright © 2016 Oracle and/or its affiliates. All rights reserved. | 43 NEC様
  44. 44. Copyright © 2016 Oracle and/or its affiliates. All rights reserved. | 44 NTTデータ先端技術様
  45. 45. Copyright © 2016 Oracle and/or its affiliates. All rights reserved. | 45 富士通北陸システムズ様
  46. 46. サイバー・セキュリティに 対するオラクルのソリューション
  47. 47. Copyright © 2016 Oracle and/or its affiliates. All rights reserved. | 代表的な特権ユーザーとそのリスクと対策 47 OS管理ユーザー DB管理ユーザー ユーザー種類 それに対する解決策 DB管理者の権限分割、 アクセス制御 一般ユーザの権限分割、 アクセス制御 OS管理者権限による DBのファイルの持出 DB管理者権限により DB上の全データを参照・改竄 アプリケーションが管理する 全てのデータを参照・改竄 リスク データ暗号化 不正アクセスが検知できず、 第3者からの指摘で発覚する 監査・監視 予 防 的 発 見 的
  48. 48. Copyright © 2016 Oracle and/or its affiliates. All rights reserved. | サイバー・セキュリティに対するオラクルのソリューション 48 Web/APサーバーへの攻撃 サーバーへの攻撃 内部不正による漏洩 Webサーバ 攻撃者 DB管理者 DBサーバAPサーバ 3. 一般ユーザの権限分割、アクセス制御 (Virtual Private Database/ Real Application Security) 4. 監査・監視 (標準監査機能/Audit Vault and Database Firewall) APが管理する全データ を参照・改竄 2. DB管理者の権限分割、 アクセス制御 (Database Vault) DB管理者による 全データ参照・改竄 1. データの暗号化 (Advanced Security) OS管理者による DBファイル持出 管理・運用端末 不正アクセスの早期発見 出来ず被害拡大 開発環境
  49. 49. ご参考資料:サイバー・セキュリティ に対するオラクルのソリューション
  50. 50. Copyright © 2016 Oracle and/or its affiliates. All rights reserved. | 1. データの暗号化 :Oracle Advanced Security Transparent Data Encryption(TDE) データベースの暗号化 – アプリケーションからは透過的 Xeon 5570 IPP 無し Xeon 5570 IPP 有り AES-NI無し AES-NI有り 10倍の スループット 暗号化 Xeon 5570 IPP 無し Xeon 5570 IPP 有り AES-NI無し AES-NI有り 8倍の スループット 復号 1. アプリケーションの改修なく実装可能 2. CPU内でデータの暗号化/復号 処理を実行(*) => パフォーマンス劣化を防止 3. 既存の表領域をそのまま暗号化する 新機能を提供 (11gR2,12cR1で利用可) 暗号化処理量(MB/秒) 高 低 AES-NIの使用有無による暗号化処理データ量(MB/秒)の比較 * Intel Xeon 5600番代以降、SPARC M6以降 のCPUで対応 50
  51. 51. Copyright © 2016 Oracle and/or its affiliates. All rights reserved. | 2. データベースのアクセス制御(職務分掌) : Oracle Database Vault 重要情報保護のために必要なシステム管理者の職務分掌 DB ルールセット 機密情報取扱 事務実施者 一般利用者 セキュリティ 管理者 サーバ 管理者 機密・個人情報 業務データ DB運用管理情報 ユーザ・アカウント 時刻 = 8:00~19:00 曜日 = 月~金 IPアドレス = xxxxx 必要に応じてルールを適用し、時間 帯やIPアドレスでアクセスを制限する それ以外 それ以外 それ以外 それ以外 すべて DB管理者 DB管理者であっても、管理 業務に必要ないデータへの アクセスを禁止する DB管理者またはその成りすましによる不正閲覧・改竄、監査証跡削除を抑止し、情報漏洩リスクを最小化しま す。Database Vaultはアプリケーションからは透過的であり、アプリーケーションの改修は必須ではありません。 51
  52. 52. Copyright © 2016 Oracle and/or its affiliates. All rights reserved. | 3. 一般ユーザの権限分割、アクセス制御: Oracle Real Application Security アプリケーション管理ユーザーにおけるリスクと解決策 52 AP用共有ユーザー (APPUSR) 接続権限 データアクセス権限 AP用共有ユーザー 乗っ取りによる漏洩 人事アプリ ビジネス・ロジック セキュリティ・ポリシー ユーザー 顧客管理アプリ ビジネス・ロジック セキュリティ・ポリシー ユーザー 直接接続による漏洩 ビジネス・ロジック AP用共有ユーザー (APPUSR) 接続権限 これまでのセキュリティ対策 End to End のセキュリティ対策 AP管理ユーザーが全てのデータを参照・改ざん可能 アプリケーションを経由しないアクセスへの対応不可 利用者を特定した監査取得が不可 AP管理ユーザーでもデータへのアクセス不可 アプリケーションのユーザー名、権限を使用したデータセキュリティ対策 利用者を特定した監査取得が可能 2/10 APPUSR 監査証跡 2/10 APPUSR Sato 監査証跡 顧客管理アプリ人事アプリ ビジネス・ロジック セキュリティ・ポリシー データアクセス権限 ユーザー 接続権限のみのため データアクセス不可 直接接続も保護 AP管理ユーザー (アドホッククエリ等) (共用可) AP管理ユーザー (アドホッククエリ等)
  53. 53. Copyright © 2016 Oracle and/or its affiliates. All rights reserved. | 4. 監査・監視:標準監査機能, Oracle Audit Vault and Database Firewall 網羅的なログ取得と取得したログの集約・一元管理 • 一般ユーザに対する監査 → 標準監査 • 対象をより詳細に絞った監査→ ファイングレイン監査 • DBAの行動監査 → DBA監査 • 統合的な新しい監査(12c~) → Unified Auditing 監査ログ レポート アラート ポリシー 各DBが取得したログを集約・一元管理 Oracle Audit Vault and Database Firewall オラクルデータベースが提供する監査機能 ファイングレイン監査 Oracle Audit Vault and Database Firewall ・特定の行・列・レコード単位で監査条件を絞り込み、 定義した操作(参照、更新、削除、追加)でログ取得 ・実行したSQL文も記録される →漏洩範囲の特定に使える ・利用者を特定した監査取得が可能 ・オラクルほか他社のデータベース製品およびOSなどのログを 一括収集、管理 ・収集したログをレポート・アラートし、不正な操作の早期検知 ・暗号化、特権管理により証跡を改竄、削除されないよう保全 53
  54. 54. Copyright © 2016 Oracle and/or its affiliates. All rights reserved. | データベースを中心にセキュリティ対策を実装することのメリット 保護するデータの種類、対象システム数 コスト コスト アプリケーション側での実装 データベース側の実装 アプリの 改修 アプリの 改修 H/W増強 アプリの 改修 アプリの 改修 データベース に実装 H/W増強 保護するデータの種類、対象システム数 保護すべき データ 個人情報 マイナンバー 個人符号番号 制御情報 対象追加 対象追加 対象追加 将来的には 大きな コストメリット 今後保護するべきデータはますます増加する事が予想される。データベース側で実装する事で、 最小限の変更箇所で対応する事が出来るため、将来のセキュリティ要件の追加時に迅速かつ低コストで行える 個人情報 マイナンバー 個人符号番号 制御情報 54
  55. 55. Copyright © 2016 Oracle and/or its affiliates. All rights reserved. | 55 データベースセキュリティ対策の関連情報 • これだけは押さえたい! データベースセキュリティ (マイナビ) 第1回:データベース管理者、信じていいの? 性善説の運用を考える(1) 第2回:データベース管理者、信じていいの? 性善説の運用を考える(2) 第3回:物理セキュリティとデータアクセスで 安全性と可用性を両立 第4回:考慮不足だと危険? データベース 監査の設計を考える(前編) 第5回:考慮不足だと危険? データベース 監査の設計を考える(後編) URL: https://blogs.oracle.com/oracle4engineer/URL: http://news.mynavi.jp/series/db_security/001/ • データベースインサイダー: セキュリティ対策 セミナーレポート、 顧客事例等多数紹介 • オラクルエンジニア通信: オラクルのデータベース・セキュリティ全体像 最新セキュリティトレンド コンプライアンス ソリューション全体像 各製品詳細 URL: http://www.oracle.co.jp/dbi
  56. 56. Copyright © 2016 Oracle and/or its affiliates. All rights reserved. | オラクルが提供するセキュリティソリューション ユーザー ① Transparent Data Encryption データ暗号化 ③ Virtual Private DB データアクセス制御 ④ Data Masking and Subsetting データマスキング ⑤ Database Vault DB管理者 職務分掌 OS & ストレージ ディレクトリデータベース カスタム 監査ログ & イベントログ ⑦ Audit Vault and Database Firewall 不正SQL検知 レポート アラート ⑦ Audit Vault and Database Firewall 証跡管理 ポリシー イベント ⑨ Access Management SSO&アクセス制御 DB ⑩Database Lifecycle Management Pack 機密情報の検出とコンプライアンス管理 ⑥ Key Vault 鍵の集中管理 ⑪ WebCenter Content 文書管理 ⑦ Identity Governance IDライフサイクル管理 ② Data Redaction 機密データ伏字化 56
  57. 57. Copyright © 2016 Oracle and/or its affiliates. All rights reserved. | ご参考: オラクルが提供するセキュリティ・ソリューション機能概要 機能名 ① Transparent Data Encryption ② Data Redaction ③ Virtual Private Database ④ Data Masking and Subsetting ⑤ Database Vault ⑥ Key Vault ⑦ Audit Vault and Database Firewall ⑧ Identity Governance ⑨ Access Managemen t ⑩ Database Lifecycle Management Pack ⑪ WebCenter Content 脅威 データファイル、 バックアップデー タの奪取 正規利用者の 業務を逸脱した 不適切アクセス 正規利用者の 業務を逸脱した 不適切アクセス 開発・テスト環 境データの奪 取 DB管理者によ るデータ奪取 暗号鍵の紛失 内部不正の追 跡、影響範囲の 調査不可能 共有特権ユーザ IDを使用した不 正アクセス Webシステム に対する不正 アクセス セキュリティ設定漏れ を突いた不正アクセ ス 営業秘密文書の 不正取得と外部 漏洩 機能 概要 既存のアプリ ケーションに変 更なく、透過 的に本番、バッ クアップデータを 暗号化 特定の表への 参照範囲を列 レベルで制限。 この機能は、 データベース内 で実施されるた め、アプリケー ション側からは 透過的に利用 可能。 特定の表への 行・列レベルで のより厳密なア クセス制御を実 現 開発・テスト環 境の実データの マスキング(伏 字化) ステージ環境を 用意することな くExport時に マスキングデー タを生成 DB管理者の 業務データアク セスを制御。 特定のDB設 定やパスワード 変更、業務 データの閲覧等 を制限する 公開鍵、秘密 鍵、Oracle Wallets、 Javaキースト ア他の集中管 理 Oracle製品 (データベース、 ミドルウェア、 OS)の鍵を一 元管理 DB、OSなどのロ グをもれなく取得。 定常的なレポー トと不正なアクセ スを検知。 証跡を改ざん・ 削除されないよう ログを保全 人事情報と連動 したID/権限の作 成・変更・削除の 自動実施 DBやOS等の特 権IDに対して申 請ベースでワンタイ ムパスワードの発 行し、利用者を限 定し、コマンド操 作を取得 Webアプリケー ションの認証一 元化と部署・ 役職に応じた アクセス制御の 実現 多段要素認証 によるなりすま しを防止 企業の全管理対象 データベースに対して セキュリテイ未対策の 機密情報、個人情 報を検出 企業、業界標準のコ ンプライアンスフレーム ワークやベストプラク ティスルールを利用し 違反を検出し問題 解決 文書を一元管理 し、企業のセキュリ ティポリシーに対応 したアクセス権限 を強制適用 文書のダウンロー ドや更新などの各 種操作をログとし て蓄積。 使途 本番データ、 バックアップファ イルに含まれる 情報を保護 参照時における 列レベルでの 伏字化 参照、更新時 における行・列 レベルでのアクセ ス制御 テスト、開発環 境の情報を保 護 データベース管 理者の職務分 掌 業務データにア クセスさせない 暗号化した本 番、バックアッ プデータの暗 号鍵を管理、 保全 DB、OSなど、 網羅的な監査 証跡の取得、管 理 個人ID管理の 厳格化 OS, DBなどの 共有特権ID管理、 監査の厳格化 Webアプリケー ションの認証と より厳密なアク セス制御 セキュリティ対策が不 十分な機密情報を 検出し可視化 コンプライアンス基準 への対策証明 営業機密となる文 書の一元管理と 保護 57
  58. 58. Copyright © 2016 Oracle and/or its affiliates. All rights reserved. | 58 Oracle Digitalは、オラクル製品の導入をご検討いただく際の総合窓口。 電話とインターネットによるダイレクトなコニュニケーションで、どんなお問い合わせにもすばやく対応します。 もちろん、無償。どんなことでも、ご相談ください。
  59. 59. Copyright © 2016, Oracle and/or its affiliates. All rights reserved. | 59
  60. 60. Copyright © 2016, Oracle and/or its affiliates. All rights reserved. | 60

×