「Oracle Audit Vault」～エンタープライズ統合監査ログソリューション～

Transcription

1 <Insert Picture Here> Oracle Audit Vault ~ エンタープライズ統合監査ログソリューション ~ 2007 年 7 月 4 日日本オラクル株式会社

2 Enterprise-wide GRC with Oracle GRC の要件を満たす COSO や COBIT などのベストプラクティス フレームワークの組み込み 標準化 自動化された業界横断的な基幹業務プロセス 業務プロセスのリスクと統制におけるパフォーマンスをモニタリング 統制の不備の検知 および是正措置を自動化 職務分掌の徹底 データ暗号化による機密情報の保護 統合的で信頼性の高いデータ監査機能 変更 ( 更新履歴 ) 管理 コンテンツ レコード管理機能による GRC 情報の分類 保存 保管 管理 ID 認証管理による職務分掌の徹底 アプリケーションとの緊密な連携 プロセスガバナンス リスク コンプライアンス (GRCM) コントロールマネージメント ID 管理 データセキュリティ アプリケーション インフラストラクチャ ポリシー管理 業界特化 Oracle (EBS PSFT JDE ) SAP カスタムレガシーその他 コンテンツ管理変更管理 Repository データ監査 インサイト リスク & コントロールインテリジェンス オペレーショナル インテリジェンス パフォーマンス管理 役割レベルに応じたダッシュボード BI 機能による全社規模での可視性を提供 リスクと統制におけるパフォーマンスを管理 モニタリング リスクの検知と対応 監査対応型レポート プロジェクトポートフォリオ管理による GRC メトリックスと組織の戦略目標との合致 ガバナンス リスク コンプライアンスマネジメント要件を満たす包括的で統合されたプラットフォームを提供可能なのはオラクルだけ Oracle Partners and Internal Use Only 2

3 統合された GRC 製品群と選択 Products プロセスガバナンス リスク コンプライアンス (GRCM) コントロールマネージメント アプリケーション Oracle (EBS PSFT JDE ) SAP カスタムレガシーその他 ID 管理 データセキュリティ インフラストラクチャ コンテンツ管理変更管理 Repository ポリシー管理 業界特化 データ監査 インサイト リスク & コントロールインテリジェンス オペレーショナル インテリジェンス パフォーマンス管理 Risk & Compliance Mgmt GRC Manager Project Portfolio Mgmt Controls Management Application Access Controls Application Configuration Controls Policy Management Learning Management Policy & Procedure Portal Content Management Universal Content Mgmt Universal Records Mgmt Content Database Records Database Information Rights Mgmt Identity & Access Mgmt Access Manager Identity Manager Enterprise Single Sign-On Virtual Directory Change Management Enterprise Manager Risk & Control Intelligence Fusion GRC Intelligence Business Intelligence Operational Intelligence BPEL Process Manager Business Activity Monitoring Performance Mgmt Financial Consolidation Hub Enterprise Planning & Budgeting Balanced Scorecard Industry Specific iflex Reveleus iflex Mantas Clinical Trial Mgmt Adverse Event Reporting Data Audit Audit Vault Data Security Database Vault Label Security Advanced Security Secure Enterprise Search Oracle Partners and Internal Use Only 3

4 オラクルが提供するすべての層をカバーするセキュリティーソリューション 暗号化 脆弱性チェック アクセス制御 DBA 職務分掌 監査ログ監視 管理 Advanced Security Option Oracle Enterprise Manager Oracle Identity and Access Management Oracle Database Vault Oracle Audit Vault Oracle Partners and Internal Use Only 4

5 監査ログが必要とされる 2 つの背景 内部統制構築と IT 統制 情報漏洩事件の発生とその防止 Oracle Partners and Internal Use Only 5

6 履歴 ( ログ ) の取得によって実現されること 1 (IT 全般統制のモニタリング ) 収集と分析が行われている もれなく収集されている 正しく保全され保管されている 証拠として利用できる 経済産業省 システム管理基準追補版 ( 財務報告に係る IT 統制ガイダンス ) Oracle Partners and Internal Use Only 6

7 履歴 ( ログ ) の取得によって実現されること 2 ( 情報セキュリティ インシデントの管理 ) 経済産業省 システム管理基準追補版 ( 財務報告に係る IT 統制ガイダンス ) 各種監査ログの取得と保全が必要 問題発生時に原因究明 追跡に利用する ログに対するアクセスコントロール ( 保全 ) が必要 監査人に証拠として提出する 定期的な分析により不正の早期発見や PDCA サイクルの確立に役立てる 不正の徴候を早期に発見し問題の発生 拡大を防止する アクセス権付与の見直し作業などにも役立てる Oracle Partners and Internal Use Only 7

8 その他の各ガイドラインおよび法律 ( 例 ) FISC 安全対策基準 技 37: アクセス履歴を管理することアクセス状況を管理するため システムやデータへのアクセス履歴を取得し 監査証跡として必要期間保管するとともに定期的にチェックすること 技 45: 不正アクセスの監視機能を設けること不正アクセスを早期に発見するため アクセスの失敗や不正アクセスを監視する機能を設けること 個人情報の保護に関する法律についての経済産業分野を対象とするガイドライン ( 経済産業省 ) 4 個人データへのアクセスの記録 を実践するために講じることが望まれる手法の例示 個人データへのアクセスや操作の成功と失敗の記録 ( 例えば 個人データへのアクセスや操作を記録できない場合には 情報システムへのアクセスの成功と失敗の記録 ) 採取した記録の漏えい 滅失及びき損からの適切な保護 * 個人データを取り扱う情報システムの記録が個人情報に該当する場合があることに留意する Oracle Partners and Internal Use Only 8

9 情報漏洩事件 大手自動車部品メーカーから 最重要ランクの企業機密 280 種類を含む製品 1700 種類のデータ 約 13 万 5000 件が不正に持ち出されていたことが判明 データベースの監査ログを利用して不審な行為を警告するシステム データベースに対する操作の記録をもとに 定期的な分析を行い 不正の早期発見と対応を行うしくみ これらがあれば事件を未然に防ぐ または被害を極小化することができたのでは? Oracle Partners and Internal Use Only 9

10 Oracle Audit Vault とは ログ収集 ログ保全 レポート モニタ 分析 リング 監査ソース Oracle 9i9 Database Release 2 ASO 各種分析 Oracle Database 10g Release1 Extensible Warehouse Database Vault ウェアハウス用スキーマ構造 各種レポート Dash Board によるモニタリング Oracle Database 10g Release 2 ASO Partitioning Compress Audit Vault Report リアルタイムアラート Oracle Partners and Internal Use Only 10

11 Oracle Audit Vault とは ログ収集 ログ保全 レポート モニタ 分析 リング 監査ソース Oracle 9i9 Database Release 2 Oracle Database 10g Release1 Oracle Database 10g Release 2 エンタープライズ各種分析 ASO 統合監査ログウェアハウス用スキーマ構造 Extensible Database ソリューション Warehouse Vault 各種レポート ASO Partitioning Compress Audit Vault Report Dash Board によるモニタリング リアルタイムアラート Oracle Partners and Internal Use Only 11

12 監査ログに対する顧客の課題 1 監査対象データベースにおけるパフォーマンスの劣化 ( 内部の監査機能を利用する場合 ) 2 ログの取りこぼしが発生 ( ネットワークキャプチャ型 DB のメモリアタッチ型監査の場合 ) 3 増え続けるログに対する拡張性 4 監査ログの保全 5 より高度な分析と監査を視野に入れたレポーティング Oracle Partners and Internal Use Only 12

13 監査ログに関する顧客の課題 1 監査対象データベースにおけるパフォーマンス劣化 監査対象 DB 監査ログ 一般的な DB ログ収集型の監査製品 DB 内部の監査 (Audit) 機能を多用するため監査対象 DB のパフォーマンス劣化を引き起こしてしまう Oracle Partners and Internal Use Only 13

14 監査ログに関する顧客の課題 1 監査対象データベースにおけるパフォーマンス劣化 監査対象 DB 監査ログ Oracle Audit Vault パフォーマンスの劣化を最小限に抑える ログの取得が必要最低限に 目的に応じたログの収集が可能 Oracle Partners and Internal Use Only 14

15 多種にわたる監査ログ機能への対応 以下の 3 つのログコレクターを提供 DBAUD Collector ( 通常の DB のログ監査機能 ) OSAUD Collector (DBA 監査用 ) REDO Collector ( 変更履歴のログ専用 ) ファイングレイン監査にも対応 ( 特定の条件に応じたログの取得 ) ログの収集を効率よく行いパフォーマンスに対する影響 最小限にとどめるためのしくみ Oracle Partners and Internal Use Only 15

16 監査ログに関する顧客の課題 2 ログの取りこぼしが発生 監査対象 DB ネットワークキャプチャ型 DB のメモリアタッチ型の監査製品 監査ログ ユーザー 負荷が大きくなった際メモリに蓄積しきれないログが失われる 一定の間隔でしかメモリ内部のログを収集しないためログの取りこぼしが起きる DB サーバーへの直接アクセスはログが取れない 通信を暗号化するとログが取れない Oracle Partners and Internal Use Only 16

17 監査ログに関する顧客の課題 2 ログの取りこぼしが発生 監査対象 DB 監査ログ ユーザー ログを取りこぼすことはない Oracle Audit Vault Oracle Partners and Internal Use Only 17

18 監査ログに関する顧客の課題 3 増え続けるログに対する拡張性 監査対象 DB Fri Mar ACTION 25 : 'insert 23:08: into Fri scott.testtab Mar 25 values 23:08:20 USER: ( 1 )' 2005 '/' USER: '/' values Fri ( Mar 1 )' 25 USER: ACTION '/' : 'insert into Fri scott.testtab Mar 25 values 23:08:20 ( 1 )' 2005 USER: into '/' scott.testtab ログ用 DB が肥大化し管理が困難になる 監査ログ製品自体のパフォーマンスが劣化する 一般的な監査ログ製品 ログを蓄積する DB Oracle Partners and Internal Use Only 18

19 増大する監査ログの管理 Oracle Audit Vault が自動的にパーティショニングを実施 Oracle Grid にも対応 パフォーマンスの向上 管理性の向上 拡張性の確保ログを1 時間毎にパーティショニング 増大する監査ログ 1 時 ~2 時 2 時 ~3 時 3 時 ~4 時 4 時 ~5 時 ) 更にハッシュ関数を利用して均等に 4 分割 Oracle Partners and Internal Use Only 19

20 監査ログに関する顧客の課題 4 監査ログの保全 監査対象 DB 監査ログ 一般的な監査ログ収集製品 事例 : XX 銀行より受託していた ATM の取引記録が XX 協力会社社員により不正に持ち出され 偽造カードに利用されていた サーバルームは 指紋認証による入退室管理が行われていたが 履歴が改ざんされていた 管理者によってログの削除や改ざんができる ログの客観性が失われる Oracle Partners and Internal Use Only 20

21 監査ログに関する顧客の課題 4 監査ログの保全 監査対象 DB Oracle Audit Vault 監査ログ ( 暗号化通信 ) Audit Vault 管理業務はできない ログ管理業務は可能 内部監査人等 Oracle Database Vault を実装 Audit Vault 管理業務は可能 ログを閲覧 削除 変更はできない Audit Vault 管理者 Oracle Partners and Internal Use Only 21

22 監査ログに関する顧客の課題 5 より高度な分析と監査 Oracle Audit Vault ~ ウェアハウス用スキーマ構造 ~ BI 製品による高度な分析 Oracle Partners and Internal Use Only 22

23 Oracle Audit Vault でログ収集可能な監査対象時期リリース以降 ( 予定 ) ファーストリリース Oracle 9i Database Release 2 Oracle Database 10g Release 1 Release 2 Oracle Database 11g Oracle Audit Vault Oracle Partners and Internal Use Only 23

24 Demonstration Oracle Partners and Internal Use Only 24

25 Oracle Audit Vault への顧客の期待 New Products & Technologies Award ~ あなたの投票で決まる最も優れた製品やソリューション サービス ~ 特別賞受賞!! 日本オラクル株式会社 Oracle Audit Vault Oracle Partners and Internal Use Only 25

26 Oracle Audit Vault の利用が適している顧客 Oracle Database インスタンスが複数稼働している顧客 情報漏洩防止 コンプライアンス要件がより厳密な顧客 (J-SOX 対応の必要がある 個人情報など機密性の高い情報を保持している ) 一元的なログの収集 保全 レポート等を目指している顧客 ログの収集時に管理性やパフォーマンスの高さを求めている顧客 Oracle Partners and Internal Use Only 26

27 ご賛同頂いた方々 監査法人トーマツ KPMG ビジネスアシュアランス株式会社 株式会社プロティビティジャパン Oracle Partners and Internal Use Only 27

28 製品リリースについて 米国 出荷済み 日本 2007 年 8 月 7 日 ( 火 ) Oracle Partners and Internal Use Only 28

29 Oracle Audit Vault 価格 Audit Vault Server : 625 万 / プロセッサー Audit Vault Collection Agent : 37.5 万 / プロセッサー ( 監査ソース元のプロセッサー数 ) 単体ライセンス製品 Audit Vault Server では Restricted Use で以下を利用可能 監査ログソース Audit Vault Collection Agent Audit Vault Server Oracle Database Enterprise Edition Oracle Database Vault Oracle Partitioning Oracle Advanced Security Oracle Partners and Internal Use Only 29

30 価格例 監査ログソース 2CPU Audit Vault Collection Agent Audit Vault Server 監査ログソース 8CPU Audit Vault Collection Agent 2CPU Audit Vault Server (625 万円 x 2) + (37.5 万円 x 万円 x 8) = 1625 万円 1250 万円 Audit Vault Collection Agent 375 万円 Oracle Partners and Internal Use Only 30

31