<Insert Picture Here> WikiLeaks も恐くない!!? Oracle Information Rights Management (IRM)
以下の事項は 弊社の一般的な製品の方向性に関する概要を説明するものです また 情報提供を唯一の目的とするものであり いかなる契約にも組み込むことはできません 以下の事項は マテリアルやコード 機能を提供することをコミットメント ( 確約 ) するものではないため 購買決定を行う際の判断材料になさらないで下さい オラクル製品に関して記載されている機能の開発 リリースおよび時期については 弊社の裁量により決定されます Oracle と Java は Oracle Corporation 及びその子会社 関連会社の米国及びその他の国における登録商標です 文中の社名 商品名等は各社の商標または登録商標である場合があります 2
Agenda 1. 情報漏えいの現実とこれからの対策 2. オラクルの提供するソリューション 3. Oracle IRMの機能をデモで紹介 4. まとめ 3
Agenda 1. 情報漏えいの現実とこれからの対策 2. オラクルの提供するソリューション 3. Oracle IRMの機能をデモで紹介 4. まとめ 4
情報が漏れる理由から考える 2010 年上半期 : 漏えい原因比率 ( 件数 ) 約 80% ミス 誤操作 ( 紛失含む ) 約 10% 不正な持ち出し ( 盗難含む ) ミスをしても被害をおこさない仕組みが必要では? 抑止力としての仕組みが必要では? 出典 : NPO 日本ネットワークセキュリティ協会 5
デジタルコンテンツの特徴と危険性 デジタルコンテンツの特徴 サイズ 質量がない 持ち運びが容易 伝搬が早い 複製が容易 複製は無制限 务化しない 複製しても务化しない 時間がたっても务化しない デジタルコンテンツの危険性 簡単に大量の情報が漏れる 短時間に広範囲に漏洩する 漏えいした情報を完全に消せない 紙媒体の モノ なら 取り返せばよいが デジタルコンテンツだと簡単には取り返せない取り返せても 消えていない 6
WikiLeaks 尖閣諸島等の例を見てみる アメリカ外交公電ウィキリークス流出事件 基地に駐屯する情報下士官が 国防省の SIPRNet ネットワークから機密情報をダウンロードし CD で持ち出したとみられている 尖閣諸島中国漁船衝突映像流出事件 海上保安官が 衝突映像を USB を使い持ち出し Youtube にアップする ヒューマンエラーによる情報流出 紛失 置き忘れ メール宛先の誤送信 etc 7
これからの情報漏えい対策 これまでの情報漏えい対策の課題 権限保有者が情報取得後 不正に利用しても特定できない ( わからない ) 権限保有者が情報を別の者に展開してしまう パスワードが分かれば情報が漏れてしまう 持ち出し禁止にしても 結局印刷して紙 ( 紙媒体 ) で持ち出してしまう 閲覧限定で共有しても利便性が悪い ( 編集可能なファイルを共有するよい方法が無い ) 配布情報の利用期限が設定できない ( 一度権限を保有すると永続的に利用できる ) 外部記憶領域 (USB メモリなど ) の使用禁止 パスワード ロック 閲覧限定で共有 サーバーアクセス制御 社外持ち出しの禁止 PCの暗号化 ネットワークの監視 セキュリティ強化 情報 ( ファイル ) そのものを完全コントロールできる機能 紙媒体の電子化 8
Agenda 1. 情報漏えいの現実とこれからの対策 2. オラクルの提供するソリューション 3. Oracle IRMの機能をデモで紹介 4. まとめ 9
オラクルのセキュリティソリューション全体像 今回ご紹介するソリューションの位置付け データベース セキュリティ 暗号化とデータマスク 特権ユーザーの制限 (SOD) 多要素認証 活動の監視と監査 セキュアな構成 アイデンティティの管理 情報 ハードウェア オペレーティングシステムデータベース業務アプリケーションコンテンツ ( ファイル, ドキュメント ) ユーザーのプロビジョニング ロール管理 職務ベースでの権限管理 リスク ベースでのアクセス制御 仮想ディレクトリ Information Rights Management ドキュメントレベルでのアクセス制御 場所によらない全ての配布物の保護 監査とアクセス権の事後取り消し 10
Oracle Information Rights Management (IRM) Oracle IRM は デジタルコンテンツ形式となった情報を保護し 改ざん 不正利用 複製 流出 漏えいを防ぎます ファイルサーバーから取り出されたデジタルコンテンツ サーバーでシール ( 保護 ) 誰が持っていようと いくら配布されようと 社員が作ったデジタルコンテンツ デスクトップでシール ( 保護 ) 置き忘れや盗難にあっても 11
一般的な Oracle IRM システム構成 Oracle IRM の管理は 通常ウェブブラウザで行います クライアント Oracle IRM サーバー Oracle Database サーバー Internet Explorer 7.x+ Firefox 3.5+ Safari 4.x Oracle IRM Desktop Windows XP (SP2+) Windows Vista (SP1+) Windows 7 Oracle IRM Server 11g Oracle WebLogic Server 11g Windows 2003 (SP2/R2+) Windows Server 2008 (SP1+) Oracle Database 11g R2 Windows 2003 (SP2/R2+) Windows Server 2008 (SP1+) あくまでシステム構成の一例です OS や LDAP サーバーなどを限定しているわけではありません 詳しいサーティファイ情報は Oracle Technology Network に掲載されているのでそちらを参照してください オラクル製品ライセンスが必要 Active Directory 2003 Windows 2003 (SP2/R2+) Windows Server 2008 (SP1+) 12
Oracle IRM の利用イメージ アプリケーション 3 1 2 自動保護 ファイルを出力 ファイルを出力 自動保護 どこにあろうがと RM によって制御されます 利用者 特定のフォルダに登録 ファイルサーバー ファイル メールをシールして送信 利用者 4 手動保護 保護済ファイルの配布 1 2 3 シール方法 アプリケーションから出力されるファイルを自動保護 アプリケーションから出力されるファイルを自動保護 利用者がファイルサーバーにファイルを格納することで自動保護 実現方法 Web サービス連携アプリケーションにより ファイル生成時に自動保護 ( 既存アプリケーションの改修が必要 ) 出力先 ( ファイルサーバーなど ) での自動保護 ( 保護設定は出力先で行うため 既存アプリケーションの改修は不要 ) ファイルサーバーで自動シールするためのアプリケーションにより実現 ( サンプルアプリケーション提供可能 ) 4 利用者が自分でファイルを保護 ファイル右クリック 保存時にシールなどで手動保護 ( 標準機能で実現 ) 13
Oracle Information Rights Management 機能概要 Oracle IRM はファイルを物理的に保護 ( シール ) することで 下記のことを可能にする製品です 1 アクセス権の制限 ファイルがどこにあっても 権限を持つ人だけがファイルを開けます 2 操作権の制限 ファイルを開いた人の権限に応じて印刷 編集 コピー 保存などの操作を制限します 3 参照期間の制限 指定した時間が経過した後 または即時にファイルを開けないようにします 4 操作の追跡 ファイルに対する操作を記録し サーバー上で集約することで 利用者の活動状況を追跡します 14
Agenda 1. 情報漏えいの現実とこれからの対策 2. オラクルの提供するソリューション 3. Oracle IRMの機能をデモで紹介 4. まとめ 15
Oracle IRM の機能 ~ アクセス権の制限 ~ 1 アクセス権の制限 ファイルがどこにあっても 権限を持つ人だけがファイルを開けます これまでは Oracle IRM では 別々に管理 暗号化 ファイル本体 セキュリティ情報 セキュリティ情報の埋め込み Oracle IRM は 暗号化したファイルにセキュリティ情報 ( ポインタ情報のみ ) を埋め込ことで ファイルを格納している媒体の特性に影響を受けず 厳密なセキュリティ管理を実現します ( 誰に? どんな権限を? などの情報は埋め込みません ) ファイルをどこから開こうとも 一貫したユーザー認証とアクセス権を強制的に適用します 16
Oracle IRM の機能 ~ 操作権の制限 ~ 2 操作権の制限 ファイルを開いた人の権限に応じて印刷 編集 コピー 保存などの操作を制限します 権限とロールの組み合わせ例 シール 印刷 シール 印刷 開く 再シール シール 印刷 開く 再シール 編集 スクリーン キャプチャ 編集 スクリーン キャプチャ 閲覧者用ロール 開く 再シール 承認者用ロール シール 印刷 シール 印刷 開く 再シール 編集 スクリーン キャプチャ 開く 再シール 編集 スクリーン キャプチャ 作成者用ロール : : 編集 スクリーン キャプチャ 管理者用ロール Oracle IRM は ファイルを開いた利用者がどのようなロール ( 役割 ) を持っているかに応じて ドキュメントにどのような操作が行えるのかを柔軟にコントロールします 権限管理はロールと呼ばれる権限の集合体を付与することで行ないます ( 権限を一つ一つ利用者に付与するわけではありません ) 17
デモシナリオ背景 1~ 権限制御の確認 ~ [Excel ファイル ] セミナー参加顧客.sxls [Word ファイル ] IRMdemo.sdoc コンテキスト ロールはあらかじめ管理者が定義している [ コンテキスト ] 顧客情報 セキュリティレベル [ コンテキスト ] 一般資料 デモ内容 あなた (Oracle) に 2 つの資料が添付されたメールが届きました [ ロール ] 読み取り専用 ( シール, 開く ) [ ロール ] 読み取り + ( 開く, 検索 ) 資料にはそれぞれ異なるセキュリティレベル ( コンテキスト ) の設定がされています コンテキスト別に 資料に対して可能な操作範囲が異なります どのような制御されているか確認します 一般社員ユーザ :Oracle 18
Demonstration IRM 管理下の コンテンツ操作制限の確認 19
Oracle IRM の機能 ~ 操作権の制限詳細 (1)~ 2 Oracle IRM では 下記の操作権を制限できます 開く シール済ドキュメントを開いて画面に表示できます シール 新規のシール済ドキュメントまたは電子メールを作成できます 再シール シール済ドキュメントまたはシール済電子メールの返信の編集内容を保存できます 検索 Microsoft Windows の検索機能を使用してシール済ドキュメントのコンテンツを検索できます 編集 Microsoft Office ドキュメントを編集できます 印刷 ドキュメントを用紙に印刷してコピーを作成できます ファイルに出力 ドキュメントを出力ファイルとして保存するか 仮想プリンタ (Adobe PDF など ) に送信できます スクリーン キャプチャ シール済ドキュメントのスクリーン キャプチャを取得できます ( 制御できる操作 アプリケーションに制限があります ) * ドキュメント = ファイル 20
Oracle IRM の機能 ~ 操作権の制限詳細 (2)~ 2 Oracle IRM では 下記の操作権を制限できます アイテム コードの設定 シール済ドキュメントのアイテム コードを手動で設定できます (Oracle IRM が内部的に使用する ID) アクセシビリティ シール済ファイルに対するアクセシビリティ ツールおよび機能の使用がブロックされないように それらのファイルの保護を緩和します 注釈の付与 Microsoft Excel と Microsoft Word のドキュメント (DOC および RTF フォーマット ) にコメントを追加できます 編集追跡 Microsoft Office ドキュメントを編集できますが Microsoft Word の変更履歴機能の使用が強制されます 相互作用 Microsoft Word ドキュメントのフォーム フィールドにデータを入力できます Microsoft Excel ドキュメントの非保護セルにデータを入力できます 数式 Microsoft Excel ワークブックで数式を選択して表示できます 返信 シール済電子メールを編集して返信を作成できます 返信追跡 シール済電子メールを編集して返信を作成できますが 変更履歴機能が強制されます * ドキュメント = ファイル 21
Oracle IRM の機能 ~ 操作権の制限詳細 (3)~ 2 Oracle IRM では 下記の操作権を制限できます プログラム シール済ドキュメント内でマクロを使用してドキュメントのコンテンツを操作できます コピー シール済ドキュメントからコンテンツをコピーして別のドキュメントに貼り付けることができます シール済ドキュメントのコンテキストを アクセス権のある別のコンテキストに変更できます コピー先 同じコンテキストにシールされているドキュメント間でコンテンツをコピーできます シール済ドキュメントからコンテンツをコピーして 別のコンテキスト ( ただし 信頼できるコンテキストのみ ) にシールされているドキュメントに貼り付けることができます シール済ドキュメントのコンテキストを 信頼できる別のコンテキストに変更できます シール済ドキュメントのコピーを作成し そのコピーのコンテキストを 信頼できる別のコンテキストに変更できます シールなしで保存 シール済ドキュメントについてシールなしのコピーを作成できます * ドキュメント = ファイル 22
Oracle IRM の機能 ~ 参照期間の制限 ~ 3 参照期間の制限 指定した時間が経過した後 または即時にファイルを開けないようにします 時間が経ったので 公開期限切れのファイルを自動で破棄 ( 利用権の剥奪 ) 情報が更新されたので 新しい版が出たタイミングで古い版を破棄 人事異動や退職 契約破棄等により 権限喪失者から即時に利用権を剥奪 ( ディレクトリ情報との連携 ) Oracle IRM では ファイルを参照できる期限を設定できます 配布した後で ファイルへのアクセス権と操作権を管理者がいつでも取り消せます 23
デモシナリオ背景 2~ 権限の付与とはく奪 ~ 管理者ユーザ :Candy あらすじ ユーザ Oracle は送られてきた資料にアクセスをしたところ 権限がないため参照できませんでした 管理者 Candy を操作し ユーザ Oracle に アクセス権のないコンテンツに参照権限を付与します 参照できることを確認後 再び参照権限を剥奪します ユーザに対して 容易に権限の付与 剥奪が可能なところをご確認下さい [Word ファイル ] Candy 機密書類.sppt [ コンテキスト ] 機密書類 参照権限なし 権限付与 [ ロール ] ( 開く, シール ) 権限剥奪 [Word ファイル ] Candy 機密書類.sppt [ コンテキスト ] 機密書類 [ ロール ] ( 開く, シール ) 一般社員ユーザ :Oracle 24
Demonstration IRM 管理下コンテンツへの 権限付与と剥奪 25
Oracle IRM の機能 ~ 操作の追跡 ~ 4 操作の追跡 ファイルに対する操作記録をサーバー上で集約することで 利用者の利用状況を追跡します ファイルに対する操作を逐一記録 記録中 オフライン中の操作もすべてサーバー側へ転送し 集中管理 記録中 記録中 Audit 誰がどのファイルにどのような操作を行ったか 後から解析が可能 記録中 Oracle IRM は オンライン オフラインにかかわりなく 利用者が保護されているファイルに対して行った主要な操作をすべて記録し サーバー側で集中管理します 万一のときに漏れのない操作が素早く行え また 抑止力につながります 26
デモシナリオ背景 3~ 操作ログの確認 ~ あらすじ IRM サーバーでは コンテンツに対して行われた操作を収集し確認することが可能です 管理者ユーザ Candy として IRM コンソールにログインし 今まで Oracle ユーザが行ったコンテンツへの操作ログを確認していきます 開く 管理者ユーザ :Candy ログ 印刷 記録中 シール 一般社員ユーザ :Oracle ファイル出力 27
Demonstration IRM 管理下の コンテンツ操作ログの確認 28
Oracle IRM の機能 ~ 追跡できる操作の種類 ~ 4 Oracle IRM では 下記の操作ログをサーバーで収集します 開く シール済ドキュメントを開いて画面に表示できます シール 新規のシール済ドキュメントまたは電子メールを作成できます 再シール シール済ドキュメントまたはシール済電子メールの返信の編集内容を保存できます 印刷 ドキュメントを用紙に印刷してコピーを作成できます ファイルに出力 ドキュメントを出力ファイルとして保存するか 仮想プリンタ (Adobe PDF など ) に送信できます シールなしで保存 シール済ドキュメントについてシールなしのコピーを作成できます その他 ( 失敗した操作ログ ) 上記 6 操作は成功 / 失敗ともに収集されますが それ以外のログは失敗した時のみ収集されます ( 全文検索など ) * ドキュメント = ファイル 29
Agenda 1. 情報漏えいの現実とこれからの対策 2. オラクルの提供するソリューション 3. Oracle IRMの機能をデモで紹介 4. まとめ 30
まとめ Oracle IRM はファイルを物理的に保護 ( シール ) することで コンテンツがどこにあろうとも 情報の漏えいを防ぐための製品です 1. アクセス権の制限 ファイルがどこにあっても 権限を持つ人だけがファイルを開けます 2. 操作権の制限 ファイルを開いた人の権限に応じて印刷 編集 コピー 保存などの操作を制限します 3. 参照期間の制限 指定した時間が経過した後 または即時にファイルを開けないようにします 4. 操作の追跡 ファイルに対する操作を記録し サーバー上で集約することで 利用者の活動状況を追跡します 31
OTN ダイセミでスキルアップ!! 一般的な技術問題解決方法などを知りたい! セミナ資料など技術コンテンツがほしい! Oracle Technology Network(OTN) を御活用下さい http://forums.oracle.com/forums/forum.jspa?forumid=1361 一般的技術問題解決には OTN 掲示版の データベース一般 をご活用ください OTN 掲示版は 基本的に Oracle ユーザー有志からの回答となるため 100% 回答があるとは限りません ただ 過去の履歴を見ると 質問の大多数に関してなんらかの回答が書き込まれております http://www.oracle.com/technetwork/jp/content/index-086873-ja.html 過去のセミナ資料 動画コンテンツは OTN の OTN セミナーオンデマンドコンテンツ へ ダイセミ事務局にダイセミ資料を請求頂いても お受けできない可能性がございますので予めご了承ください ダイセミ資料は OTN コンテンツオンデマンドか セミナ実施時間内にダウンロード頂くようお願い致します 32
OTN セミナーオンデマンドコンテンツ ダイセミで実施された技術コンテンツを動画で配信中!! ダイセミのライブ感はそのままに お好きな時間で受講頂けます 最新情報つぶやき中 oracletechnetjp 人気コンテンツは? お勧め情報 公開予告など OTN トップページ http://www.oracle.com/technetwork/jp/index.html ページ左 基本リンク > OTN セミナーオンデマンド 掲載のコンテンツ内容は予告なく変更になる可能性があります 期間限定での配信コンテンツも含まれております お早めにダウンロード頂くことをお勧めいたします 33
Oracle エンジニアのための技術情報サイトオラクルエンジニア通信 http://blogs.oracle.com/oracle4engineer/ 最新情報つぶやき中 oracletechnetjp 技術資料 ダイセミの過去資料や製品ホワイトペーパー スキルアップ資料などを多様な方法で検索できます キーワード検索 レベル別 カテゴリ別 製品 機能別 コラム オラクル製品に関する技術コラムを毎週お届けします 決してニッチではなく 誰もが明日から使える技術の あ そうだったんだ! をお届けします オラクルエンジニア通信 こんな資料が人気です 6か月ぶりに資料ダウンロードランキングの首位が交代! 新王者はOracle Database 構築資料でした データベースの性能管理手法について Statspack 派も Enterprise Manager 派も目からウロコの技術特集公開中 34
Oracle Database の価格ご存知ですか? 1 問題 : Oracle Database の最小構成はいくらでしょうか? ヒント : Oracle Standard Edition One を 5Named User Plus( 指名ユーザ ) というのが最小構成です 2 問題 : Real Applications Clusters(RAC) Option はいくらでしょうか? ヒント : RAC は Oracle Database Enterprise Edition の Option です 答えはこちら ログイン不要の簡単見積もり ライセンス見積もりヘルプ 検索 35
IT プロジェクト全般に渡る無償支援サービス Oracle Direct Concierge サービス パフォーマンス診断サービス Webシステムボトルネック診断サービス NEW データベースパフォーマンス診断サービス 移行支援サービス SQL Serverからの移行支援サービス DB2からの移行支援サービス Sybaseからの移行支援サービス MySQLからの移行支援サービス Postgre SQLからの移行支援サービス Accessからの移行支援サービス Oracle Application ServerからWeblogicへ移行支援サービス NEW システム構成診断サービス Oracle Database 構成相談サービス サーバー統合支援サービス 仮想化アセスメントサービス メインフレーム資産活用相談サービス BI EE アセスメントサービス 簡易業務診断サービス バージョンアップ支援サービス Oracle Database バージョンアップ支援サービス Weblogic Server バージョンアップ支援サービス Oracle Developer/2000(Froms/Reports) Web アップグレード相談サービス NEW オラクル社のエンジニアが直接ご支援しますお気軽にご活用ください! オラクル無償支援 検索 36
1 日 5 組限定! 製品無償評価サービス 提供シナリオ一例 データベースチューニング アプリケーション性能 負荷検証 インストールすることなく すぐに体験いただけます Web 問い合わせフォーム 無停止アップグレード Web システム障害解析 サービスご提供までの流れ 1. お問合せフォームより 製品評価サービス希望 と必要事項を明記し送信下さい 2. 弊社より接続方法手順書およびハンズオン手順書を送付致します 3. 当日は 弊社サーバー環境でインターネット越しに製品を体感頂けます サービスご提供には事前予約が必要です ダイデモ をキーワードに検索することで申し込みホームページにアクセスできます http://www.oracle.com/jp/direct/services/didemo-195748-ja.html 37
あなたにいちばん近いオラクル Oracle Direct まずはお問合せください Oracle Direct 検索 システムの検討 構築から運用まで IT プロジェクト全般の相談窓口としてご支援いたします システム構成やライセンス / 購入方法などお気軽にお問い合わせ下さい Web 問い合わせフォーム フリーダイヤル 専用お問い合わせフォームにてご相談内容を承ります http://www.oracle.com/jp/direct/inquiry-form-182185-ja.html こちらから詳細確認のお電話を差し上げる場合がありますので ご登録されている連絡先が最新のものになっているか ご確認下さい 0120-155-096 月曜 ~ 金曜 9:00~12:00 13:00~18:00 ( 祝日および年末年始除く ) 38
39