DB 内 部 不 正 対 策 WG 目 的 と 活 動 内 容 について DBSC 運 営 委 員 DB 内 部 不 正 対 策 WGリーダー ブルーコートシステムズ 合 同 会 社 データセキュリティスペシャリスト 髙 岡 隆 佳
ターゲットはお 金 になる 個 人 情 報 PII クレジットカード 番 号 アカウント 情 報 昨 今 の 主 な 情 報 漏 洩 事 件 2014 年 9 月 :JALマイレージバンクシステム 管 理 システムの 端 末 がマルウェア 感 染 し 顧 客 情 報 11 万 件 分 漏 洩 発 生 2014 年 7 月 :ベネッセにて 登 録 された 個 人 情 報 が 他 社 サービスで 利 用 され DB 管 理 者 による 個 人 情 報 売 却 (2070 万 件 )が 発 覚 2014 年 2 月 :ビットコイン 取 引 所 Mt.Goxが 攻 撃 を 受 け すべてのビットコイン(479 億 円 分 )が 盗 難 2014 年 2 月 :ビットコインの 不 正 盗 難 を 行 うウイルスの 拡 散 2014 年 2 月 :MySoftbank はてな Mixiなどにて 外 部 入 手 ID 情 報 によるリスト 攻 撃 発 覚 2014 年 2 月 :Kickstarterにてユーザ 情 報 がハック 住 所 電 話 番 号 等 が 漏 洩 2014 年 2 月 : 米 連 邦 準 備 理 事 会 (FRB)のサーバに 不 正 侵 入 し 個 人 情 報 が 漏 洩 2014 年 2 月 :ECカレントのサーバにて 不 正 アクセス 9 万 件 以 上 のクレジットカードを 含 む 個 人 情 報 が 漏 洩 2014 年 1 月 :ファッション 通 販 サイトにてリスト 攻 撃 による 不 正 ログイン サイトの 脆 弱 性 により2 万 4000 件 のク レジットカード 情 報 が 漏 洩 2013 年 12 月 : 米 ターゲット 他 にてPOS 端 末 からのクレジットカード 情 報 盗 聴 事 件 (4000 万 枚 ) 2013 年 10 月 :セブンネットショッピングサイトにてリスト 攻 撃 サイトの 脆 弱 性 により15 万 件 以 上 のクレジットカ ード 情 報 が 漏 洩 2013 年 3 月 :Baidu IMEによるユーザ 側 入 力 情 報 の 不 正 な 送 信
個 人 情 報 保 護 法 改 訂 の 動 き 1) 安 全 管 理 措 置 入 退 館 ( 室 )の 記 録 の 保 管 個 人 データの 監 視 システム の 定 期 的 な 確 認 アクセスログについて 不 正 が 疑 われる 異 常 な 記 録 の 存 否 の 定 期 的 な 確 認 カメラ 撮 影 や 作 業 立 ち 会 い 等 による 記 録 やモニタリング の 実 施 私 物 媒 体 / 機 器 の 持 ち 込 み 禁 止 又 は 検 査 の 実 施 個 人 情 報 保 護 管 理 者 (CPO)については 役 員 とし 個 人 データの 取 扱 い を 総 括 する 部 署 や 管 理 委 員 会 を 設 置 すること 情 報 セキュリテイ 対 策 に 十 分 な 知 見 を 有 する 者 による 監 査 実 施 体 制 の 構 築 スマートフォン 等 の 記 録 機 能 を 有 する 機 器 の 接 続 制 限 と 機 器 の 更 新 への 対 応 直 接 雇 用 関 係 にない 派 遣 社 員 なども 教 育 訓 練 の 対 象 者 に 含 める 2) 委 託 先 の 監 督 委 託 先 が 中 小 企 業 の 場 合 に 事 業 規 模 実 態 個 人 情 報 の 性 質 及 び 量 などを 考 慮 に 入 れた 措 置 を 講 じるこ と 優 越 的 地 位 にある 場 合 委 託 先 に 不 当 な 負 担 を 課 さないこと 委 託 先 の 選 定 の 際 に 評 価 するポイントを 列 記 定 期 的 な 委 託 先 業 務 の 監 査 ( 最 低 年 1 回 )と 再 評 価 を 推 奨 契 約 に 委 託 先 担 当 者 の 氏 名 または 役 職 損 害 賠 償 責 任 を 明 記 することを 推 奨 再 委 託 先 再 々 委 託 先 に 対 しても 委 託 先 と 同 様 に 監 督 することを 推 奨 3) 適 正 取 得 第 三 者 から 個 人 情 報 を 取 得 する 場 合 提 供 元 の 法 の 遵 守 状 況 と 適 法 に 入 手 さ れていることを 確 認 すること を 推 奨 第 三 者 から 個 人 情 報 を 取 得 する 場 合 適 法 に 入 手 さ れたことが 確 認 できない 場 合 は 取 得 の 自 粛 などを 推 奨 4)その 他 参 考 となる 規 格 の 中 に 組 織 における 内 部 不 正 防 止 ガイドライン を 追 加 IPAより 提 供 企 業 側 で 必 要 なアクションを 具 体 的 に 提 示 したガイドライン 情 報 管 理 の 見 直 しに 関 する 項 目 を 強 化 事 業 者 に 対 する 責 任 の 明 確 化 特 定 個 人 情 報 保 護 法 との 絡 み
組 織 における 内 部 不 正 防 止 ガイドライン 社 内 体 制 の 見 直 し 組 織 の 管 理 基 本 方 針 資 産 管 理 事 後 対 策 職 場 環 境 対 策 物 理 的 管 理 技 術 的 管 理 コンプラ イアンス 人 的 管 理 証 拠 確 保 責 任 者 の 任 命 と 機 微 情 報 に 対 する 取 り 扱 い 制 限 および 取 り 扱 う 人 間 に 対 する 対 応
民 間 企 業 での 番 号 利 用 例 企 業 は 情 報 管 理 のあり 方 を 見 直 す 必 要 がある * 総 務 省 :マイナンバー 社 会 保 障 税 番 号 制 度 民 間 事 業 者 の 対 応 より 抜 粋
マイナンバー 法 における 罰 則 規 定 罰 則 行 為 番 号 法 個 人 情 報 保 護 法 類 似 規 定 個 人 番 号 関 係 事 務 又 は 個 人 番 号 利 用 事 務 に 従 事 する 者 又 は 従 事 していた 者 が 正 当 な 理 由 なく 特 定 個 人 情 報 ファイルを 提 供 上 記 の 者 が 不 正 な 利 益 を 図 る 目 的 で 個 人 番 号 を 提 供 又 は 盗 用 情 報 提 供 ネットワークシステムの 事 務 に 従 事 する 者 又 は 従 事 していた 者 が 情 報 提 供 ネットワーク システムに 関 する 秘 密 を 漏 えい 又 は 盗 用 人 を 欺 き 人 に 暴 行 を 加 え 人 を 脅 迫 し 又 は 財 物 の 窃 取 施 設 への 侵 入 不 正 アクセス 等 に より 個 人 番 号 を 取 得 国 の 機 関 の 職 員 等 が 職 権 を 濫 用 して 専 らその 職 務 の 用 以 外 の 用 に 供 する 目 的 で 特 定 個 人 情 報 が 記 録 された 文 書 等 を 収 集 委 員 会 の 委 員 等 が 職 務 上 知 り 得 た 秘 密 を 漏 え い 又 は 盗 用 委 員 会 から 命 令 を 受 けた 者 が 委 員 会 の 命 令 に 違 反 委 員 会 に 対 する 虚 偽 の 報 告 虚 偽 の 資 料 提 出 検 査 拒 否 等 偽 りその 他 不 正 の 手 段 により 個 人 番 号 カード 等 を 取 得 4 年 以 下 の 懲 役 若 しくは200 万 円 以 下 の 罰 金 又 は 併 科 ( 第 67 条 ) 3 年 以 下 の 懲 役 若 しくは150 万 円 以 下 の 罰 金 又 は 併 科 ( 第 68 条 ) 同 上 ( 第 69 条 ) 3 年 以 下 の 懲 役 又 は150 万 円 以 下 の 罰 金 ( 第 70 条 ) 2 年 以 下 の 懲 役 又 は100 万 円 以 下 の 罰 金 ( 第 71 条 ) 同 上 ( 第 72 条 ) 2 年 以 下 の 懲 役 又 は50 万 円 以 下 の 罰 金 ( 第 73 条 ) 6か 月 以 下 の 懲 役 又 は30 万 円 以 下 の 罰 金 ( 第 56 条 ) 1 年 以 下 の 懲 役 又 は50 万 円 以 下 の 罰 金 ( 第 74 条 ) 30 万 円 以 下 の 罰 金 ( 第 57 条 ) 6か 月 以 下 の 懲 役 又 は50 万 円 以 下 の 罰 金 ( 第 75 条 )
特 定 個 人 情 報 保 護 に 関 するガイドライン 基 本 方 針 関 係 法 令 遵 守 窓 口 の 設 置 安 全 管 理 措 置 取 り 扱 い 規 定 情 報 処 理 のライフサイ クル 管 理 組 織 的 安 全 管 理 措 置 責 任 者 の 任 命 事 故 対 応 ログ 管 理 人 的 安 全 管 理 措 置 関 係 法 令 遵 守 窓 口 の 設 置 事 務 担 当 の 教 育 監 督 物 理 的 安 全 管 理 措 置 入 室 管 理 持 ち 込 み 管 理 盗 難 対 策 技 術 的 安 全 管 理 措 置 認 証 アクセス 管 理 不 正 アクセス 対 策 データ 及 び 通 信 経 路 暗 号 化 特 定 個 人 情 報 の 適 正 な 取 扱 いに 関 するガイドライン( 事 業 者 編 ) 抜 粋 非 常 に 大 まかな 定 義
8 DB 内 部 不 正 対 策 WGの 目 的 今 後 求 められる 情 報 管 理 責 務 の 認 知 と 内 部 不 正 防 止 の 手 法 を 提 示 利 便 性 の 著 しく 向 上 したIoTに 囲 まれた 社 会 において 内 部 の 人 間 を 狙 った 標 的 型 攻 撃 を 始 め 内 外 からの 不 正 アクセス 事 件 が 途 絶 えることはなく お 金 となる 情 報 が 格 納 されているDBおよ び 関 連 する 内 部 リソースに 対 して 脅 威 が 容 易 に 侵 入 できることは 昨 今 の 事 件 などから 明 白 であ る マイナンバー 法 の 施 行 や 個 人 情 報 保 護 法 改 定 を 控 え 企 業 における 情 報 管 理 のあり 方 は 漏 洩 事 件 に 法 的 な 罰 則 が 見 えていることからも 今 まさに 見 直 しを 迫 られている DBSCではこれまでDB 管 理 手 法 のガイドラインや ログ 管 理 暗 号 化 といった 手 法 について 提 示 し てきたが 直 近 のDBAへのリサーチ 結 果 から 浮 き 彫 りとなったのは セキュアなDB 管 理 が 行 き 届 いておらず 漏 洩 の 事 実 を 第 3 者 (ユーザ 等 )から 知 らされるという 現 状 とリンクする 上 記 法 改 正 によりDB 上 の 個 人 情 報 の 取 り 扱 いおよび 漏 洩 時 の 対 応 は 企 業 側 に 重 い 責 任 を 要 する 当 WGではDB 管 理 者 (DBA)の 置 かれている 環 境 の 実 情 と 環 境 の 改 善 機 密 情 報 に 対 する 脅 威 異 変 に 対 する 可 視 化 およびリアルタイムレスポンスを 可 能 とするための 手 段 運 用 方 法 を 提 示 することで 内 部 不 正 の 誘 因 に 対 する 対 処 およびそれを 抑 制 できるDB 環 境 さらには 事 件 時 の 影 響 範 囲 の 特 定 を 可 能 にする 手 法 を 広 めることを 目 的 とする
9 当 WG 活 動 の 位 置 づけ DBセキュリティガイドライン <セキュアなDB 設 計 の 指 針 > DB 暗 号 化 ガイドライン DBログ 統 合 ガイドライン DBA 意 識 調 査 DB 内 部 不 正 対 策 ガイドライン 内 部 不 正 に 係 る 部 分 の 参 照
10 DB 内 部 不 正 対 策 ガイドライン 素 案 管 理 者 の 誘 因 管 理 者 の 抑 制 運 用 の 実 施 雇 用 条 件 職 場 環 境 幸 福 度 アクセスポリシー 認 証 方 式 管 理 者 の 分 掌 暗 号 化 鍵 管 理 DB 周 辺 デバイスの 管 理 ポリシーの 制 定 保 全 監 査 体 制 監 査 の 実 施
11 本 WGでの 対 策 対 象 国 家 NSA 中 国 など DDoS ハッカー 集 団 アノニマス アルカイダなど 盗 聴 暗 号 化 NAC アンチ スパム APTs VPN Web プロキシ IPS/IDS 機 密 情 報 NGFW ゼロデイ 攻 撃 Sandbox ホストFW モダン マルウェア ハッカー 愉 快 犯 商 売 目 的 など URLフィル タリング 標 的 型 攻 撃 DLP フォレンジッ クス SIEM 内 部 不 正 持 ち 出 し 内 部 不 正 企 業 に 反 感 を 持 つ 内 部 社 員 など
内 部 の 脅 威 について 理 解 する 管 理 者 の 間 違 った 権 限 移 譲 契 約 会 社 派 遣 社 員 への 過 剰 な 特 権 移 譲 経 営 層 における 情 報 管 理 への 不 十 分 な 理 解 と 投 資 理 由 と 機 会 と 条 件 が 揃 う 現 場 DBA(IT 管 理 者 )に 対 するネガティブ 条 件 ( 賃 金 労 働 時 間 責 任 ) DBA 管 理 が 存 在 しない 現 場 環 境 (アクセス 制 御 なし ログ 管 理 なし 暗 号 化 なし) DB 上 のお 金 になる 情 報 ( 個 人 情 報 クレジットカード 番 号 その 他 )を 自 分 が 管 理 漏 洩 事 件 を 検 知 する 手 段 のないスキーム 管 理 者 自 体 の 不 正 は 外 部 のユーザ 企 業 からの 報 告 で 認 識 するケースが 多 い 管 理 者 の 不 正 を 抑 制 管 理 監 視 するスキーム( 投 資 )が 必 要 不 可 欠
13 内 部 不 正 の 一 覧 手 口 の 定 義 (DBSCガイドラインver2.0より 抜 粋 )のうち 内 部 不 正 となるもの Web App RDB
14 内 部 不 正 の 一 覧 手 口 の 定 義 (DBSCガイドラインver2.0より 抜 粋 )のうち 内 部 不 正 となるもの Web App DBFW 暗 号 化 監 視 カメラ フォレン ジック 本 人 認 証 暗 号 化 SIEM RDB フォレン ジック アクセス 制 御
15 抑 制 方 法 従 来 単 一 管 理 者 での 運 用 複 数 管 理 者 によるシフト 制 アカウント 共 有 過 剰 権 限 の 付 与 シフト 制 今 後 管 理 者 の 増 員 責 任 者 のアサイン 本 人 認 証 多 要 素 認 証 ( 証 明 書 OTP 端 末 認 証 ) 持 ち 込 みデバイス 管 理 職 務 分 掌 暗 号 化 暗 号 鍵 アクセス 制 御 本 人 認 証 権 限 A 管 理 者 管 理 者 共 通 アカウント 全 権 限 管 理 者 管 理 者 本 人 認 証 権 限 B 暗 号 化
16 運 用 方 法 ログの 保 全 と 事 故 対 策????? コンソールアクセス????? データベース 認 証 /ログ 管 理 暗 号 化 / 鍵 管 理? DBA DBFW: 暗 号 データに 対 する 過 度 不 正 なアクセス クエリの 検 知 暗 号 鍵 管 理 : 特 権 ユーザの 異 常 なアクセスの 検 知 SIEM: 異 常 なアクセス トラフィックの 検 知 フォレンジックス:DB 周 辺 の 監 視 カメラ(パケットキャ プチャ) 監 視 カメラ:コンソールアクセス DB 設 置 場 所 周 辺 に 対 する 物 理 的 な 監 視 SQL 業 務 アプリ オペレータ 統 合 ログ 管 理 / SIEM フォレンジックス 監 視 監 査 による 抑 制 DBFW? SQL アクセス ポリシーの 把 握 社 内 ユーザ DBA 管 理 ツール 責 任 者 管 理 者 開 発 者
DB 不 正 防 止 に 求 められるアクション 各 機 器 サーバへの 設 定 更 新 管 理 ポリシーの 設 定 保 護 対 象 の 暗 号 化 管 理 者 の 本 人 認 証 およびアクセス 制 御 職 務 分 掌 の 徹 底 暗 号 化 暗 号 鍵 管 理 本 人 認 証 フォレンジックス ポリシーへの 反 映 特 定 されたリスクに 対 して 既 存 のセキュリティー ポリシーを 更 新??????????? データベース 対 象 の 監 視 保 護 対 象 (データ サーバ 等 ) への 全 アクセスに 対 する 監 視 DBファイアウォール ログ 統 合 管 理 /SIEM 対 象 の 分 析 調 査 権 限 のある 一 部 管 理 者 の 不 正 事 項 と 対 象 を 特 定 攻 撃 不 審 な 対 象 の 検 知 異 常 なアクセスへのアラートや 不 審 な 外 部 通 信 等 の 検 知 SIEM/フォレンジックス
18 内 部 不 正 リスク セルフチェックシート 全 50 項 目 管 理 者 および 責 任 者 に 対 する 設 問 誘 因 対 応 度 数 管 理 者 抑 制 度 数 運 用 実 施 度 数 管 理 者 責 任 者 =17 =17 START YES NO 管 理 者 責 任 者 >10 >10 管 > 責 管 理 者 責 任 者 >=0 >=0 管 > 責 YES 管 理 者 責 任 者 =18 =18 管 = 責 管 理 者 責 任 者 >13 >13 管 < 責 YES 管 理 者 責 任 者 =15 =15 管 = 責 NO NO YES 管 理 者 責 任 者 >10 >10 管 < 責 NO NO NO NO YES YES YES 内 部 不 正 対 策 度 管 理 者 の 高 い 意 識 とバラ ンスの 取 れた 情 報 管 理 が 行 われており 内 部 不 正 は 起 きにくいと 言 えます 管 理 者 の 気 持 ち 次 第 で システムの 穴 を 突 いた 漏 洩 が 発 生 する 可 能 性 があ ります 速 やかに 未 対 応 箇 所 に 対 する 対 応 が 必 要 と 言 えます いつ 内 部 不 正 が 起 きても おかしくない 状 況 と 言 えま す 管 理 者 に 対 する 待 遇 の 見 直 し 責 任 者 の 選 出 技 術 的 な 対 策 の 実 施 な どが 必 要 です
19 DB 内 部 不 正 対 策 WG 活 動 予 定 2014 年 12 月 2015 年 1 月 WGメンバー 募 集 第 1 回 WG 開 催 2015 年 2 月 20 日 WGの 目 的 と 内 部 不 正 耐 性 チェックシートの 発 表 2015 年 5 月 2015 年 6 月 ガイドラインパブコメ 募 集 ガイドライン1.0 版 公 開 その 他 DBSCセミナー 等 における 活 動 中 間 報 告 ガイドライン 紹 介 を 行 う
20 WGメンバー( 敬 称 略 社 名 順 ) 名 前 髙 岡 隆 佳 (リーダー) 安 澤 弘 子 北 條 将 也 溝 上 弘 起 市 川 直 実 桜 井 勇 亮 岩 下 洋 司 青 柳 孝 一 武 田 治 福 田 知 彦 亀 田 治 伸 原 田 義 明 社 名 ブルーコートシステムズ 合 同 会 社 株 式 会 社 アクアシステムズ 伊 藤 忠 テクノソリューションズ 株 式 会 社 株 式 会 社 インサイトテクノロジー 株 式 会 社 Imperva Japan 日 本 電 気 株 式 会 社 日 本 ウェアバレー 株 式 会 社 日 本 オラクル 株 式 会 社 日 本 セーフネット 株 式 会 社 株 式 会 社 日 立 ソリューションズ
ご 清 聴 ありがとうございました 21