以下の事項は 弊社の一般的な製品の方向性に関する概要を説明するものです また 情報提供を唯一の目的とするものであり いかなる契約にも組み込むことはできません 以下の事項は マテリアルやコード 機能を提供することをコミットメント ( 確約 ) するものではないため 購買決定を行う際の判断材料になさらな

Similar documents
How to Use the PowerPoint Template

Oracle SQL Developerの移行機能を使用したOracle Databaseへの移行

Oracle Web CacheによるOracle WebCenter Spacesパフォーマンスの向上

Oracle Database 12c

情報漏洩対策ソリューション ESS REC のご説明

Slide 1

今さら聞けない!? Oracle入門 ~後編~

Oracle Direct Seminar <Insert Picture Here> 試験対策ポイント解説 Bronze DBA11g 日本オラクル株式会社

富士通Interstage Application Server V10でのOracle Business Intelligence の動作検証

今さら聞けない!? Oracle入門 ~前編~

Microsoft Word - MOPatch-1.doc

Oracle Business Rules

Enterprise Manager 10gによるデータベース・パフォーマンスチューニング

PowerPoint Presentation

Microsoft PowerPoint - J-DBVAULT4SAP.ppt [互換モード]

目次 はじめに... 2 無料トライアルのサインアップ方法... 3 トライアル環境へのアクセス 参考情報

PowerPoint Presentation

PowerPoint Presentation

Oracle Access ManagerとOracle Identity Managerの同時配置

MySQL研修コース & 資格のご案内

Oracle Warehouse Builder: 製品ロードマップ

ORACLE TUNING PACK 11G

Oracle 入門 ~ 研修受講後のスキルアップサポート ~ 対応バージョン :Oracle 10gR1 ~ 12cR1 本資料は アシスト Oracle 研修をご受講いただいたお客様からのご質問や 研修ではご案内できなかった情報などを FAQ にまとめたものです 研修受講後のスキルアップの一助とし

PowerPoint Presentation

Oracle Un お問合せ : Oracle Data Integrator 11g: データ統合設定と管理 期間 ( 標準日数 ):5 コースの概要 Oracle Data Integratorは すべてのデータ統合要件 ( 大量の高パフォーマンス バッチ ローブンの統合プロセスおよ

ムの共有アドレス帳 インスタント メッセージングの宛先に活用することも考えられる 統合アカウント管理 認証 認可 ( アクセス制御 ) の機能 サービス機能 サービス定義統合アカウント管理利用者の認証情報 ( ユーザ ID パスワード) と属性情報 ( グループ 所属部門等 ) を一元的に管理する機

EM10gR3記者発表

HP Touchpoint Manager Windows 10 Mobile 登録手順

FUJITSU Cloud Service for OSS 「ログ監査サービス」 ご紹介資料

Oracle CloudDays 2015 ダウンロード資料

ALogシリーズ 監査レポート集

製品組み込み手順書 Oracle Tuxedo (Linux版)  

HP USB Port Managerご紹介資料 -シンクライアント

Oracle DatabaseとIPv6 Statement of Direction

Oracle Application Expressの機能の最大活用-インタラクティブ・レポート

はじめに コース概要と目的 Oracle を使用した開発 管理を行う上でのファースト ステップとして リレーショナル データベース管理ソフトウェアである Oracle の役割 基本機能 基本アーキテクチャを幅広く理解することを目的としています 受講対象者 これから Oracle を使用する方 データ

以下の事項は 弊社の一般的な製品の方向性に関する概要を説明するものです また 情報提供を唯一の目的とするものであり いかなる契約にも組み込むことはできません 以下の事項は マテリアルやコード 機能を提供することをコミットメント ( 確約 ) するものではないため 購買決定を行う際の判断材料になさらな

Advance_LIMS+ESER_ pdf

内容 Visual Studio サーバーエクスプローラで学ぶ SQL とデータベース操作... 1 サーバーエクスプローラ... 4 データ接続... 4 データベース操作のサブメニューコンテキスト... 5 データベースのプロパティ... 6 SQL Server... 6 Microsoft

Oracle BI Publisherの概要

Microsoft Word - doc16594.doc

Oracle Warehouse Builder 10 g Release 2 ビジネス・ルール主導によるデータ統合

本資料の関連資料は下記をクリックして PDF 一覧からお入り下さい IT ライブラリー (pdf 100 冊 ) 目次番号 645 番他 2

Microsoft Word - JDBC検証 docx

ガバナンス、リスク、およびコンプライアンス

開発者向けクラウドサービスを活用したリッチな Web/ モバイル アプリケーションの構築手法 杉達也 Fusion Middleware 事業統括本部担当ディレクター [2013 年 4 月 9 日 ] [ 東京 ]

<Insert Picture Here> 30 分で理解する ORACLE MASTER 日本オラクル株式会社 Oracle University

Oracle DatabaseとIPv6 Statement of Direction

プレポスト【問題】

untitled

PassSureExam Best Exam Questions & Valid Exam Torrent & Pass for Sure

ORACLE PARTITIONING

Oracle Reports、Crystal、ActuateからOracle Business Intelligence Publisherへの変換

自己管理型データベース: 自動SGAメモリー管理

Oracle Cloud Adapter for Oracle RightNow Cloud Service

proventia_site_protector_sp8_sysreq

Oracle Solaris 仮想環境とプロビジョン環境の構築

アナタの業務に システムをマッチさせるための仕組み

クラウド時代のセキュリティ運用課題 従来 主流であったオンサイト作業は 少なくなり インターネット経由 VPN 経由によるリモート運用が中心となってきています オンプレミス プライベートクラウド パブリッククラウド A 社システム部門運用代行業者システム開発ベンダ 作業立会いができない 無断作業 D

ライフサイクル管理 Systemwalker Centric Manager カタログ

Microsoft認定資格問題集DEMO(70-459_Part2)

クラウドバックアップサービスアンインストールガイド 第 1.3 版 平成 29 年 1 月 24 日 株式会社大塚商会

Oracle Identity Analyticsサイジング・ガイド

製品組み込み手順書 Oracle Tuxedo (Windows版)

Oracle SQL Developer Data Modeler

Oracle Business Intelligence Suite

Oracle Enterprise Manager 10g System Monitoring Plug-In for IBM WebSphere Application Server

HP Device Managerご紹介資料

Oracle Direct Seminar <Insert Picture Here> システム管理者必見! ~ 乱立する DB と OS のユーザー / 権限管理の改善方法 日本オラクル株式会社 Fusion Middleware 事業統括本部 Security SC 部大森潤

Microsoft Windows向けOracle Database 12cでのOracleホーム・ユーザーの導入

Microsoft PowerPoint _DB_Security.ppt

スライドタイトル/TakaoPGothic

KSforWindowsServerのご紹介

Microsoft Word - PDFHS _ doc

PowerPoint Presentation

Oracle Corporation

使用する前に

アジェンダ ORACLE MASTER Oracle Database 11g 概要 11g SQL 基礎 Ⅰ 試験紹介 ポイント解説 Copyright 2011 Oracle. All rights reserved. 2

Make the Future Java FY13 PPT Template

<4D F736F F D FC8E448FEE95F1837C815B835E838B C8F92E88B608F912E646F63>

Windows Server 2016 Active Directory環境へのドメイン移行の考え方

所得税の達人from大蔵大臣NX 運用ガイド

事故前提社会における           企業を支えるシステム操作統制とは

<4D F736F F F696E74202D D312E A90A78CE48AC28BAB93B193FC835C838A B E707074>

PL/SQLからのオペレーティング・システム・コマンドの実行

Microsoft PowerPoint - Lite10g_SyncArchitecture.ppt

目 次 1. 目的 利用前提 承認経路 ユーザ ID 権限申請 ( 変更 廃止 ) 上長承認 アプリオーナー承認 ユーザ情報確認 調達部門管理担当課向け

Microsoft Word - J-jdev_dba_db_developers.doc

KeyWeb Creator 概要 What s KeyWeb Creator? 動的なホームページを作成するためのツール!! 従来の Web ページ DB を利用した Web ページ <HTML> <HEAD> <TITLE>show_book</TITLE> </HEAD> <BODY> <DI

ファイルサーバパワーアップ計画

「Oracle Audit Vault」~エンタープライズ統合監査ログソリューション~

PowerPoint プレゼンテーション

リレーショナルデータベース入門 SRA OSS, Inc. 日本支社 Copyright 2008 SRA OSS, Inc. Japan All rights reserved. 1

IBM Internet Security Systems NTFS ファイルシステム必須 一覧の 以後にリリースされた Service Pack (Release 2 等は除く ) は特に記載の無い限りサポートいたします メモリ 最小要件 512MB 推奨要件 1GB 最小要件 9GB 推奨要件

How to Use the PowerPoint Template

データベース暗号化ツール「D’Amo」性能検証

CA Federation ご紹介資料

ORION 終了に伴う Oracle Partner Store(OPS) 及び Oracle Store(OSR) での注文情報の参照方法について 2018 年 9 月 21 日 2018 年 10 月 3 日 Updated 日本オラクル株式会社カスタマーサポートサービス事業統括

PowerPoint Presentation

PowerPoint Presentation

Transcription:

第 2 回データベース セキュリティ コンソーシアムセミナー < 写真欄 > 内部統制時代のデータベース セキュリティ 日本オラクル株式会社システム製品統括本部北野晴人 2006 年 11 月 7 日

以下の事項は 弊社の一般的な製品の方向性に関する概要を説明するものです また 情報提供を唯一の目的とするものであり いかなる契約にも組み込むことはできません 以下の事項は マテリアルやコード 機能を提供することをコミットメント ( 確約 ) するものではないため 購買決定を行う際の判断材料になさらないで下さい オラクル製品に関して記載されている機能の開発 リリースおよび時期については 弊社の裁量により決定されます

財務諸表 IT 業務処理統制 IT 全般統制 財務諸表上の重要な勘定科目 ( ビジネスプロセス ) 貸借対照表損益計算書資金計算書注記その他 業務プロセス 取引のクラス ( ビジネスプロセス 行動規範 ) プロセス A プロセス B プロセス C IT 業務処理統制 網羅性 正確性 妥当性 承認 職務の分離 財務アプリケーション ( 統制の自動化 ) アプリケーション A アプリケーション B アプリケーション C ID 権限管理のための基盤データベースオペレーティングシステムネットワーク IT 全般統制 プログラム開発 プログラム変更 コンピュータ運用 プログラムとデータへのアクセス管理 統制環境 3

データベース セキュリティに求められるもの IT 全般統制の中で 情報の正しさ を保証することで業務処理統制上の統制活動の正当性を担保しなければならない 業務アプリケーションにおける統制活動が有効に機能することをインフラ側で保証する必要がある 全てのセキュリティ対策はこの点に貢献している 情報が正しい という証明ができなければならない 情報にかかわる変更履歴の保持と保全が必要となる データベースの管理操作についても履歴が必要になる 権限の付与プロセスについても統制と履歴の保持が必要になる 4

1 情報の正しさを保証する - 職務分掌 - 一般的な職務分掌 ( 予防的統制 ) 職務を分離し相互監視 ダブルチェックの仕組みをつくる ( 例 : 支払いの実行者と承認者を分離する ) 支払いの実施 支払いの申請者支払いの承認者支払いの実行者 データベースにおける職務分掌 データベース管理者と開発者 一般ユーザ 利用できる権限 操作と職務の一致 職務分掌 = データベース内での最小権限 5

1 情報の正しさを保証する - 職務分掌 - 最小権限を実現できる設計と実装が必要 スキーマ構造の検討 オブジェクトに対するアクセス権限 (DML) の最小化 ビュー その他を利用したアクセスコントロール 管理操作 (DDL 文など ) の最小化 データベース管理者 (DBA) に対する抑止策を実装する 仮想的に分割して管理者を分離するデータベース 管理者権限を制限できるデータベースの利用 ( 事実上のデュアルロック機能が必要 ) デュアルロック : 政府機関の情報セキュリティ対策のための統一基準 にある強化遵守事項の一つ 6

職務分掌の観点からは DBA が課題 DBA が本来すべき作業 DBA ができてしまう作業 運用 バックアップ リカバリ インスタンス管理 起動 停止 Table Space データファイルの拡大 チューニング作業 SGA メモリのサイズ変更 Redo ログバッファのサイズ調整 データの盗み見 不正持出し 全従業員の給料 個人情報 決算発表前の会計データ 全顧客データ 不正なコマンド発行 全ビジネスデータの削除 不当なデータの Update アプリケーションへの不要なユーザーの作成 7

職務分掌の観点からは DBA が課題 DBA が本来すべき作業 運用 DBA ができてしまう作業 データの盗み見 不正持出し バックアップ リカバリ 全従業員の給料 個人情報 インスタンス管理明確な職務分掌が必要 決算発表前の会計データ起動 停止 Table Space 全顧客データ データファイルの拡大 チューニング作業 データベース利用者 データベース管理者 不正なコマンド発行 全ビジネスデータの削除 SGAメモリのサイズ変更 不当なデータの Update 内部統制上 データベース利用者 と データベース管理者 Redoログバッファのサイ アプリケーションへのは明確に区分されるべきズ調整不要なユーザーの作成 相互に監視できる仕組みを確立することが重要 8

内部統制の強化のための職務分掌イメージ 可 : セキュリティポリシーの決定 適用不可 : ビジネスデータの操作 DBA 業務 セキュリティ管理責任者 A さん DBA 業務 情報システム部データベース管理者 B さん 可 :DBA 業務不可 : ビジネスデータの操作 人事部給与担当 C さん 可 : 給与データの管理 9

ご参考 :Oracle Database Vault でできることデータベース管理者の権限を制限 ~ 権限の分割 ~ ~ 今までの Oracle Database ~ データベース管理者に管理権限が一極集中 ~ Oracle Database Vault ~ 複数の管理者に管理権限を分割 分担 データベース管理者 データベース管理 ユーザー アカウント管理 セキュリティ ポリシー管理 アプリケーション データの管理 データベースの起動停止から 全スキーマ オブジェクトの操作やセキュリティの設定まで あらゆるシステム権限の実行が可能 データベース管理者自身による 不正なデータの操作や情報漏えいのリスク! 管理権限の一極集中によるリスクを回避し 各役割に応じた権限のみを持つ複数の管理者によって データベースを安全に管理 日本版 SOX 法などの法規制に備えた 内部統制の基盤作りが可能 データベース管理 データベースの起動 / 停止など 実データへのアクセス不可! ユーザー アカウント管理 ユーザの作成 変更 プロファイルの作成 変更 接続の許可 実データへのアクセス不可! セキュリティ ポリシー管理セキュリティポリシーに基くアクセス制御の設定 管理 実データへのアクセス不可! アプリケーション データの管理 アプリケーションに紐付く実データの管理 アクセス権限の付与 データベース管理者 アカウント管理者 セキュリティ管理者 アプリケーション管理者 10

ご参考 :Oracle Database Vault でできること様々な条件に基く強靭かつ柔軟なアクセス制御 ~ 今までの Oracle Database ~ 権限さえあればデータへのアクセスが可能 ~ Oracle Database Vault ~ 権限に加え 複数の条件を満たす場合のみデータへのアクセスが可能 一般ユーザ SELECT 権限 INSERT 権限 UPDATE 権限 DELETE 権限 etc. ロール SELECT 権限 INSERT 権限 UPDATE 権限 DELETE 権限 etc. ロール 一般ユーザ セキュリティポリシーに則った複合条件に基くアクセス制御が可能 様々な条件を柔軟に設定可能 条件を満たす場合はアクセス可能 条件を満たさない場合はアクセス不可能 アクセス制御条件 OSユーザホストクライアントの IP 時間帯曜日 etc ロールを有効化するための条件を評価 上記はあくまでも一例です 要件に合わせ 複雑な条件設定も可能です 11

ご参考 Oracle Database Vault でできること Realm や Command Rule によるデータの保護 Realm (レルム) Command Rule (コマンド ルール) スキーマあるいは一部オブジェクトのセット を保護 管理するための論理的な単位 レルム所有者はDBAの権限と役割を持ち システム権限の行使やオブジェクト権限の 付与等を行うことが可能 ただしその権限は レルム内に閉じるため 他レルムに対する 操作は実行不可能 HRシステム 各SQLコマンドの実行をアクセス制御条件 に基いて制限するためのもの 紐付くアクセス制御条件を満たす場合に のみ その SQLコマンドを発行する許可が 与えられる 注 各コマンドの実行権限は別途必要 例 CREATE TABLE emp. レルム 許 可 アクセス制御条件 HRシステム 管理者 データディクショナリ レルム OSユーザ ホスト クライアントのIP 時間帯 曜日 etc データベース 管理者 False 禁 止 12

2 情報が正しいと証明する 各種監査ログの取得と保全が必要 ログを取っておくだけではなく活用するフェーズへ 定期的な傾向分析による不正の早期発見 ユーザの ID 権限 ロールの付与プロセスやポリシーを管理する必要がある 権限を与えて良い と誰が承認するのか? 承認のポリシーとプロセスは可視化されているか? ID の生成 変更 削除とそれにともなう承認プロセスは履歴を保持しているか? 13

2 情報が正しいと証明する 監査ログの取得と保全から分析 活用へ 監査対象のデータベース 監査ログ フラットファイル等別形式のログ リスナーのログ ファイア ウォール IDS OS Apache その他 監査ログ分析用データベースに集約 保全する 別形式のログはツール等で変換し RDBMS に取り込むことで一元的な分析を可能にする Business Intelligence による多次元分析 ブラウザ セキュリティ管理者内部 外部監査人 監査ログ取り込み蓄積分析追跡 証拠保全 14

2 情報が正しいと証明する ID 管理基盤 ( アイデンティティ マネジメント ) によるユーザ 権限 ロールの一元管理と履歴の取得 OS アプリケーションなど様々な ID を一元的に管理する必要があるためデータベースもここに取り込む 管理者 承認 権限設定等 ID の取得申請 ID 権限の設定 ユーザ ( 開発者 管理者など ) 付与プロセスの履歴 レポートとして内部統制評価 監査に利用 15

ご参考 :Oracle Identity Manager を使った ID 管理 Oracle Identity Manager ユーザ 承認 Request Engine セルフサービスによる ID 取得申請 承認ワークフロー プロビジョニングワークフロー データベースへのユーザ ロール等作成 ユーザ ( 派遣社員 ) 承認 1 承認 2 16

日本オラクル株式会社無断転載を禁ずこの文書はあくまでも参考資料であり 掲載されている情報は予告なしに変更されることがあります 日本オラクル社は本書の内容に関していかなる保証もいたしません また 本書の内容に関連したいかなる損害についても責任を負いかねます Oracle PeopleSoft JD Edwards 及び Siebel は 米国オラクル コーポレーション及びその子会社 関連会社の登録商標です その他の名称はそれぞれの会社の商標の可能性があります

2024 © docsplayer.net プライバシー | 利用規約 | フィードバック