データベースセキュリティコンソーシアム2019秋のセミナー

1. データベースセキュリティに
おける重要課題
～DBSCが今後果たすべき役割～
データベースセキュリティコンソーシアム
立命館大学情報理工学部 上原哲太郎

2. Disclaimer
• 本講演の内容は
DBSC理事・運営委員の
皆さんと調整しておりませんので
DBSCを代表するものではなく
単に「たまたま」DBSC会長になった
上原が「個人的に」考えていることを
吐露したものだとお考えください
DBSCの活動は会員の皆様のご希望と
社会の要請に応えて進めて参ります

3. 上原哲太郎（うえはらてつたろう）
• 1967年 兵庫県尼崎市生まれ→育ち
（ダウンタウン松本浜田と同じ）
• 中高時代はアルバイトプログラマ
• 大学生当時独立、ソフトハウス経営
• PC88/98のツールとゲームと受託開発
• 博士進学後教員になった…が
大学のシステム管理を担う日々
• 1996京大工・情報 1997～2003和歌山大
2003～2005京大院工 2006～2011京大センター
• 2011～2013 総務省技官
• 通信規格と情報セキュリティ政策
• 2013より現職
• 1997年よりサイバー犯罪に関する
白浜シンポジウムの企画運営を担う
• 自治体情報セキュリティ対応の経験多数
セキュリティ
プライバシー
システム管理
フォレンジック

4. 困った…
セキュリティは
自信あるが
データベースは
正直自信がない！

5. 困ったときはBack to Basic！
DBSC設立主旨(2004)
• 個人情報漏洩に起因した事件が、社会において頻発する中、個人情報
の主たる格納場所が、データベースであるにも関わらず、データベー
ス、セキュリティ、それぞれの分野を包括した、もしくは双方の技術
の橋渡しできる知識に精通した専門家がいないのが現状です。
• その為、「データベース・セキュリティ」の分野における高度なセ
キュリティに関わるスタンダードな技術・手法の確立を図っていくこ
とは、高度情報通信ネットワーク社会の中で、安心・安全な利用環境
を維持したシステムを構築・運用していく上で急務であると考えます。
• このような背景から、広く社会に「データベース・セキュリティ」の
普及促進を図っていく為、ユーザーを専門家が支援、補完する形での
受け皿の枠組みが必要と考え、ユーザー、システムインテグレーター
を中心に、データベースベンダー、セキュリティベンダーが参加した、
任意団体として「データベース・セキュリティ・コンソーシアム」を
設立するものです。
かくにん！
よかった

6. この15年何があった？
• 2000年代諸島は情報漏えいと言えばAntinny
Webセキュリティといえば
SQL Injection対策だった時代…
• 最近はさすがに減ってきた
Prepared Statementくらいは使える？
• 企業の関心は
Data WareHouseからBig Dataへ
• 定型データから非定型データへ？そうでもない？
• 内部不正は大きなインシデントになりやすい
• 外部攻撃は不正アクセスから標的型へ
• データベースは「薄まっている？」
• データ量が膨れ上がる割にはレコード数が…？

7. 主な個人情報漏洩事件を振り返る
• 1999年 宇治市
• 2004年 Yahoo!BB Japanetたかた
• 2006年 日産自動車 FXSS
• 2007年 DNP 愛南町
• 2011年 ソニー
• 2013年 Yahoo!Japan
• 2014年 ベネッセ
• 2015年 日本年金機構
赤字は
内部犯

8. ベネッセ事件の大きな構図
連絡先
など
顧客
名簿
サービス
利用者や
アンケート
回答者
ベネッセの社内情報システム
管理
端末
不正な
持ち出し
ベネッセ
システム管理子会社
（シンフォーム）
（元）社員
開発
管理
委託
業務
委託
業務受託
システム会社
名簿業者
名簿業者
名簿 流出
名簿
競合する
通信教育
事業者
流出
名簿
ダイレクト
メール
利用
送付
流出
名簿
流出
名簿
データベース

9. 年金機構事件の大きな構図
LAC「日本年金機構の情報漏えい事件から、我々が得られる教訓」より

10. 内部不正対策は難しいが…
• 犯行を難しくする
（やりにくくする）
• 捕まるリスクを高める
（やると見つかる）
• 犯行の見返りを減らす
（割に合わない）
• 犯行の誘因を減らす
（その気にさせない）
犯罪の弁明をさせない
（言い訳させない）

11. DB内部不正対策ガイドライン

12. 盗まれにくくするための暗号化
DB漏洩対策を
鍵管理問題に変換

13. ログ管理は内部にも外部にも効く
• ログ管理
→定期的なログ監査
• SIEMの流行に
合わせて
見直しても
良い時期では？

14. 標的型攻撃対策は…
早期発見が鍵

15. Web不正アクセス対策は…

16. データベースセキュリティ
ガイドライン（2009）

17. 道具はほぼ出そろっている？
• 10年前のものでも今も使える
• 足りないものと言えば…？
• ユーザ認証関係のガイドライン
• リスト型攻撃の防御法
• パスワードのあり方(SP800-53B日本版？)
• 多段階認証・多要素認証のガイドライン
• 認証連携のガイドライン
• クラウド利用のガイドライン
• 冗長化とバックアップのガイドライン？
• 他に？
• だいたい揃っているのなら
粛々と広めてゆくのみ！

18. 自信を持っても良いらしい
やるべきことは
やってきた！
これからも
続けていくべき
継続は力なり

19. …もう少し攻めてもいいのでは？
• 既存システムをどう運用するかの
ガイドラインはだいたいあるとして…
• 実は見逃していた領域があるのでは？
• この15年のアカデミックな成果を
実運用に入れるための
アイデア出しがあっても良いかも？

20. 見過ごされてきた領域：
アクセス制御の無駄遣い
OSはアクセス制御可能
でもDBMSはUser名database
DBMSはアクセス制御可能
でもAdminとUserで運用
アプリは独自で
ユーザ管理

21. マイナンバーの安全管理問題の
わかりにくさの整理
• 内部で検索キーとして個人番号が利用され
紐付けてアクセスできるなら
画面上に見えなくとも特定個人情報ファイル
個人番号 ① ③
① ② ② ⑤ ⑥ ⑦
① ②
③ ⑤
特定個人情報ファイル
アクセス権
個人番号

22. 既存の番号で連携すると？
• 既存の番号で紐付けが行われていても
個人番号そのものにアクセスできないよう
アクセス制御がなされていれば
特定個人情報ファイルにあたらない
既存番号 ① ③
① ② ② ⑤
① ②
③ ⑤
特定個人情報ファイルではない
アクセス権
既存番号
個人番号
アクセス制御
既存番号

23. ダミーデータ挿入による漏洩追跡
• 例えば顧客名簿に社員を紛れ込ませる
→漏洩があれば社員にDM等が届いて
気づく
•そのことを周知することで抑止力
• ダミーデータを時期・利用者で変えれば
さらに追跡力が上がる
• その追跡力を失わせる結託攻撃に対して
符号理論で対抗する（結託耐性符号）
•論文あります

25. 物理漏洩防止のための秘密分散
• 3つのうち
2つないと
意味がないデータ
• 分散状態で
通信しあう間に
処理が進む

26. 暗号化状態処理の積極活用
＝＋
暗号化された状態のまま
検索や演算が出来る処理方法
準同型暗号化やマジックプロトコルなど利用
♪※！ ☆○△ 亜％？
１２ ３４ 46

27. 匿名加工とPPDM
Privacy-Preserving Data Mining
• 属性値から個人特定可能となる属性値の
ユニークな組み合わせを疑似識別子とい
う（偽IDとも）
• 疑似識別子すべてについて、それぞれの
属する項目がk個以上ある状況がk-匿名性
• 疑似識別子すべてについて、それぞれの
履歴やプライバシー上特に機微な属性が
l種類以上ある状況がl-多様性

28. k-匿名化とℓ-多様性
M T
A大学 24歳 コーヒー
A大学 24歳 お茶
B大学 28歳 お茶
C総研 35歳 コーヒー
C総研 35歳 コーヒー
M k T
大学 24歳 2 コーヒー
大学 24歳 お茶
大学 28歳 1 お茶
企業 35歳 2 コーヒー
企業 35歳 コーヒー
1. オリジナル 2. 一般化（所属）
k=1
M k T
大学 20代 3 コーヒー
大学 20代 お茶
大学 20代 お茶
企業 30代 2 コーヒー
企業 30代 コーヒー
3. 一般化（年齢）
k=2, ℓ =1
M k T ℓ
大学 20代 3 コーヒー 2
大学 20代 お茶
大学 20代 お茶
企業 30代 2 コーヒー 2
企業 30代 お茶
4. 摂動化（履歴）
k=2, ℓ =2

29. k-匿名化処理
• 属性値を丸める（一般化）か一般化でも特定が免れな
い個票を削除（抑圧）し、どの疑似識別子に関しても
kの値が与えられた値以上になるようにする
• この過程で必要な統計的性質が失われなければデータ
の実用性が失われない
氏名 生年月日 〒 性別 病名
太郎 67/8/9 12345 男 がん
二郎 67/9/11 12567 男 風邪
花子 71/1/23 67124 女 風疹
直子 75/3/3 12628 女 がん
三郎 79/1/8 13579 男 がん
四郎 81/7/3 13459 男 淋病
五郎 83/3/3 13321 男 風邪
生年月日 〒 性別 病名
67年 12*** 人 がん
67年 12*** 人 風邪
71/1/23 67124 女 風疹
70年代 1**** 人 がん
70年代 1**** 人 がん
80年代 13*** 男 淋病
80年代 13*** 男 風邪
ｋ=2

30. l-多様化処理
• 機微でない属性値から機微な属性値や履歴が
判明する場合に備えて
同一疑似識別子内の属性値を多様化（摂動）
l≧2
生年月日 〒 性別 病名
67年 12*** 人 がん
67年 12*** 人 風邪
70年代 1**** 人 がん
70年代 1**** 人 がん
80年代 13*** 男 淋病
80年代 13*** 男 風邪
生年月日 〒 性別 病名
67年 12*** 人 がん
67年 12*** 人 風邪
70年以降 1**** 人 がん
70年以降 1**** 人 がん
70年以降 1**** 人 淋病
70年以降 1**** 人 風邪

31. さらに攻めたテーマもありそう
• ブロックチェーンを改ざん不能な
Key-Value Storeとして使う
どのようなシステムがよいか？
• データベースに情報ハイディング
（ステガノグラフィ）を
仕込む／仕込まれたらどうする？
• 量子コンピューティングとDBで
何かテーマはないか？

32. おわりに
• データベースセキュリティの重要課題は
大きくは変わっていない
• なのでDBSCとしては今までの活動を
外挿することで多くは足りそう
• しかし新しい展開のために
新技術を取り込む場合の
セキュリティガイドを考えても
良い時期ではないか？