アジェンダ 会社紹介 内部情報漏えい被害の現状 データ セキュリティの必要性と弊社のアプローチ DB Fileセキュリティ ソリューション 質疑応答 2

Transcription

1 日常業務に潜む不正アクセス! ~ 内部情報漏えいのリスクと最新対策術 ~ 1

2 アジェンダ 会社紹介 内部情報漏えい被害の現状 データ セキュリティの必要性と弊社のアプローチ DB Fileセキュリティ ソリューション 質疑応答 2

3 IMPERVA 社 事業データ セキュリティ製品の開発 販売 設立 2002 年 (2011 年 11 月 NYSE 上場 ) 本社米国カリフォルニア州 Redwood City CEO & President Shlomo Kramer( シュロモ クレイマー ) CTO Amichai Shulman( アミカイ シュルマン ) 従業員数 500 名 + 日本法人 2007 年 3 月設立 Japan General Manager 長坂美宏 実績 : 60 カ国以上での展開 2,000 社 数千を超えるサイトを保護 世界的な金融データ サービス会社 世界的な電気通信会社 世界的なコンピュータ ハードウェア会社 米国商業銀行 150 を超える政府機関や部署 Revenue ($M) H1'11 H1'12 3

4 内部情報漏えい被害の現状 近年の主な内部情報漏えい被害 発生時期 被害内容 2013 年 2 月 スカパー JSATのサーバやPC 等 17 台がウイルスへ感染 取引先情報や技術情報が流出した可能性 2012 年 11 月 ジブラルタ生命保険を退職した社員や代理店の保険販売員計 19 人の不正行為によりが顧客情報が流出 2012 年 7 月 NTTドコモの携帯電話顧客情報 ( 約 3 万件 ) が派遣社員の不正行為により流出 2011 年 11 月 総務省の職員用 PC23 台がウイルス感染 外部へ情報が流出 2010 年 10 月 ルーク19が運営するオンライン サービスの会員個人情報 ( 約 47 万件 ) が派遣社員の不正行為により流出 2009 年 1 月 三菱 UFJ 証券会社の顧客情報 ( 約 5 万件 ) と企業情報 ( 約 122 万件 ) が正社員の不正行為により流出 ( 持ち出された顧客情報は約 148 万件 ) 内部情報漏えい被害により 企業が受ける損失 ブランド イメージ低下 社会的信用の失墜 顧客離れ データ漏えい対策費用 損害賠償費用 株価の下落 4

5 内部情報漏えい被害の現状 内部情報漏えい被害の傾向 内部情報漏えいの犯行者 元社員 元派遣やパートナー企業の元社員 遠隔操作系の不正プログラムに感染した社員の PC 2 次被害の確率 (2 次被害の例 : 漏えいした個人情報等を悪用した詐欺 ) * 元社員等による情報漏えいの場合 52.4% 不正プログラムによる情報漏えいの場合 50.0% Winny/Shareへの情報漏えいの場合 5.0% 紛失 盗難による情報漏えいの場合 4.1% 元社員等による内部情報漏えいは情報セキュリティ以外に企業の内情や全社員のモラル等を疑われてしまうため 外部からの不正アクセスよりも 社会や顧客へ与えるインパクトは非常に大きい! * 出展 : 独立行政法人情報処理推進機構情報漏えいインシデント対応方策に関する調査報告書 5

6 データ セキュリティの必要性と IMPERVA 社のアプローチ

7 データ セキュリティの必要性 外部ユーザお客様悪意あるユーザハッカー 不正アクセス サービス妨害 正規アクセス データ不正抽出 管理アクセス 業務アクセス 内部ユーザ従業員スタッフ パートナー悪意あるユーザ 日々 様々なユーザが 様々なデータを利用しています 7

8 IMPERVA 社のアプローチ 外部ユーザお客様悪意あるユーザハッカー 攻撃防御 バーチャルパッチ レピュテーション制御 アクセス監査 権限管理 アクセス制御 内部ユーザ従業員スタッフ パートナー悪意あるユーザ SecureSphere Data Security Solutions ビジネスの原動力であるデータを内外の様々な脅威から守る 8

9 IMPERVA 社のアプローチ SecureSphere 製品ラインアップ データベース セキュリティ データベースアクセスを監査し 攻撃に対するリアルタイム防御を提供する レピュテーション防御 相関攻撃検外部ユーザ証に基づいて 大規模なお客様 Web 攻スタッフ パートナー撃を迅速に検知 防御する ハッカー 攻撃防御 Webアプリケーションバーチャルパッチセキュリティ レピュテーション制御 アクセス監査 権限管理 アクセス制御 内部ユーザ従業員悪意あるユーザ危険性のあるユーザ ファイル セキュリティ 非構造化データに対する監査 防御及び権限管理を実現する 9

10 IMPERVA 社のアプローチ SecureSphere 製品の導入構成例 Imperva Agent WAF & DDoS Protection Enterprise branch offices File セキュリティ for SharePoint File セキュリティ File サーバ NAS Imperva Agent Database セキュリティ データベース Native Audit Web Application Firewall Web サーバ インターネット 内部ユーザ 管理サーバ (MX) レポート 10

11 DB File セキュリティ ソリューション 内部情報漏えい防止ソリューションの概要

12 内部情報漏えい対策はお済ですか? Question! 皆様の会社では いつ 誰から 自社の重要データへ どのような操作が行われているかを把握することは 可能でしょうか? Answer: NO また社員の不正を抑止する取り組みや 重要データへの異常なアクセスを検知する仕組みはありますでしょうか? もし この問いの答えが NO である場合 内部情報漏えいリスクへの対策をお勧め致します IMPERVA 社のDB Fileセキュリティ ソリューション 重要データへのアクセス証跡の保存と全データへのアクセス制御等を用いた内部情報漏えい防止ソリューションをご提供します 12

13 データベース アクセス証跡ログ いつ誰がどのテーブルに何をした データベースに対する実際のアクセス証跡をログとして保存 13

14 ファイル アクセス証跡ログ 誰がどのファイルどのフォルダいつ 全てのファイルアクセスの可視化 フォルダ及びファイル 新規作成 読み込み 書き込み 修正 削除 権限変更 インストール不要 ファイル システムのパフォーマンスに影響を与えません アプリケーション サーバ クライアントの設定変更不要 14

15 アクセス制御違反ログ - アラートログ - アラート ログとして記録される項目 違反の内容 ( 重大度 ) イベント時刻 送信元 データベース名 データベースユーザ名 レスポンスレコード数 15 SQL クエリ全文

16 アクセス証跡やアラートをレポーティング 特権ユーザや退職ユーザ等の操作詳細を定期的にレポートし重要データの不正持ち出しの早期発見 対応に活用 16

17 DB File セキュリティ ソリューション IMPERVA SecureSphere アプライアンスの特徴 1

18 IMPERVA SecureSphere アプライアンスの特徴 1 柔軟性の高い設置パターン 透過型インラインブリッジ 全てのセキュリティ機能を実現 高いパフォーマンスと低い遅延時間 フェイルオープン インタフェース ノン インライン配置 SecureSphere 保護対象サーバ スイッチ ノン - インライン配置 監視用 ゼロネットワーク遅延時間 SecureSphere インライン ブリッジ配置 18

19 IMPERVA SecureSphere アプライアンスの特徴 1 インラインブリッジ設置構成の例 内部ユーザ 保護対象サーバ群 Imperva Agent 管理者ユーザ インターネット Web サーバ 監査セキュリティ ( 防御 ) SecureSphere DB File セキュリティ ログ分析レポート SecureSphere 管理サーバ (MX) FTP SCP アーカイブ 主に アクセス制御 目的で導入されるお客様向けの構成ハードウェア障害時は Fail Open 機能により ネットワーク断の回避も可能 19

20 IMPERVA SecureSphere アプライアンスの特徴 1 ノンインライン設置構成の例 保護対象サーバ群 内部ユーザ Imperva Agent 管理者ユーザ Web サーバ 監査セキュリティ ( アラート ) SecureSphere 管理サーバ (MX) インターネット SecureSphere DB File セキュリティ ログ分析レポート FTP SCP アーカイブ スイッチのミラーポート等からパケットをコピーし 弊社アプライアンスへ転送主に アラート アクセス証跡の保存 目的で導入されるお客様向けの構成 20

21 DB File セキュリティ ソリューション IMPERVA SecureSphere アプライアンスの特徴 2

22 IMPERVA SecureSphere アプライアンスの特徴 2 最新のアーキテクチャ - 他社製品との比較 - アクセスモニタリングタイプ a. ネットワーク型 ( パケットキャプチャ ) ベンダ主な優位点主な弱点 Chakra b. エージェント型 PISO LogLogic IBM c. DB 監査ログ取得型 Fortinet Oracle d. ハイブリッド型 (a+b) IMPERVA Oracle サーバの性能に影響を与えない Firewall 機能を提供可能 完全な権限分掌が可能 ローカル リモート アクセスのア クセス証跡取得が可能 アクセス証跡の取りこぼしがない リアルタイム アラート ブロック サーバの性能に影響を与えない Firewall 機能を提供可能 ローカル リモート アクセスの全 てのアクセス証跡取得が可能 ローカルアクセスをアクセス証跡取得や アクセス制御ができない サーバの性能に影響を与える データへのアクセス方法に依存 サーバの性能に影響を与える リアルタイム アラート ブロック不可 ログの解析ツールが弱い 異種 DB が混在する場合 22

23 IMPERVA SecureSphere アプライアンスの特徴 2 最新のアーキテクチャ - 他社製品との比較 - ハイブリッド型 Agent エージェント型 Agent ローカルアクセス Agent ローカルアクセス Gateway Gateway Agent 基本的に Gateway でアクセス ログの取得 セキュリティ対策を行う ローカル アクセスの発生する DB に対してのみ Agent でアクセス ログの取得 セキュリティ対策を行う 基本的に全ての DB に対して Agent をインストールすることでアクセス ログの取得 セキュリティ対策を行う DB への負荷が高い 内部情報漏えい対策を検討する上で サーバの処理能力の維持は非常に重要なポイントです 対策を行った結果 サーバの処理能力を低下させてサービス自体の品質低下をまねくことは本末転倒です その為 対策はサーバのリソース使用は最小限に抑え サービス品質の低下を発生させないアーキテクチャが求められます 23

24 DB File セキュリティ ソリューション IMPERVA SecureSphere アプライアンスの特徴 3

25 IMPERVA SecureSphere アプライアンスの特徴 3 柔軟なセキュリティポリシーと監査ポリシー アクセス制御機能 データに対するアクセスをモニタリングし 不正 異常アクセスを検知 データへの全アクセス アクセス証跡 データに対するアクセスや特権ユーザによるアクセスをロギング 25

26 IMPERVA SecureSphere アプライアンスの特徴 3 柔軟なセキュリティポリシーと監査ポリシー アクセス制御機能 全てのデータに対するアクセスをモニタリングし 不正 異常アクセスを検知 弊社の内部情報漏えい防止ソリューションは セキュリティポリシー 機能で実現します 全てのアクセスの中から条件に一致する 不正 異常アクセスを検知し リアルタイムに通知または防御します データへの全アクセス アクセス証跡 重要なデータに対するアクセスをロギング 特権ユーザによるアクセスをロギング 弊社の内部情報漏えい防止ソリューションは 監査ポリシー 機能で実現します 全てのアクセスの中から重要なデータへのアクセスや特権ユーザのアクセスをロギングします 既存の他社製品では監査対象データに限定したモニタリング ( セキュリティ機能 ) しか行えないものが存在する 26

27 IMPERVA SecureSphere アプライアンスの特徴 3 アクセス証跡とアクセス制御機能の設計思想における比較 IMPERVA A 社 B 社 アクセス制御機能 アクセス制御機能含むアクセス証跡 対象外 アクセス証跡 セキュリティ機能含むアクセス証跡 アクセス証跡とアクセス制御機能の対象を分けることができる アクセス証跡 監査対象データに対するアクセス 特権ユーザによるアクセスログ等を記録 アクセス制御機能 全てのデータに対するアクセスをモニタリング データベースへの全アクセスにアクセス証跡とアクセス制御機能を設定 アクセス証跡 アクセス制御機能 データベースへの全アクセスに対するアクセス 特権ユーザによるアクセスログ等を記録及びアクセスをモニタリング アクセス証跡を適用するアクセスを限定し その限定された範囲内でアクセス制御機能も設定 アクセス証跡 アクセス制御機能 センシティブデータに対するアクセス 特権ユーザによるアクセスログ等を記録及びアクセスをモニタリング 内部情報漏えい対策を検討し実現する上で 各機能の適用範囲の設計思想は非常に重要です この対策を行う上で データの保護対象範囲を決めることは基本とされております その為 保護対象範囲外のデータまでアクセス証跡収集してしまうと 証跡の検索や分析 レポートの精度と効率が低下してしまいます また 不正アクセスを試みる際 攻撃者は調査行為として存在しないテーブルにアクセスをしてくることがあります アクセス制御機能を働かせる対象を限定してしまうと こういった不正行為に気づくことができません 27

28 総括 内部情報漏えいのリスク マネジメントデータへのアクセス状況を把握し 管理 運用することが重要です 社員への抑止力強化 アクセス証跡の取得とレポートによる定期監査 早期検知 防御 アクセス制御による異常なアクセスのアラートやブロック 内部情報漏えい対策のポイント サービスを提供するシステムへ 影響を与えない事 過不足なく データへのアクセス状況の管理 運用が出来る事 管理者等へリアルタイムに異常なアクセスを検知し通知出来る事 28

29 29 質疑応答

30 ありがとうございました 株式会社 Imperva Japan お問い合わせ先 Web: 30