データベース暗号化アプライアンス -DataSecureシリーズご紹介-

DB 内部不正対策 WG 目的と活動内容について DBSC 運営委員 DB 内部不正対策 WGリーダーブルーコートシステムズ合同会社データセキュリティスペシャリスト髙岡隆佳

ターゲットはお金になる個人情報 PII クレジットカード番号アカウント情報昨今の主な情報漏洩事件 2014 年 9 月 :JALマイレージバンクシステム管理システムの端末がマルウェア感染し顧客情報 11 万件分漏洩発生 2014 年 7 月 :ベネッセにて登録された個人情報が他社サービスで利用され DB 管理者による個人情報売却 (2070 万件 )が発覚 2014 年 2 月 :ビットコイン取引所 Mt.Goxが攻撃を受けすべてのビットコイン(479 億円分 )が盗難 2014 年 2 月 :ビットコインの不正盗難を行うウイルスの拡散 2014 年 2 月 :MySoftbank はてな Mixiなどにて外部入手 ID 情報によるリスト攻撃発覚 2014 年 2 月 :Kickstarterにてユーザ情報がハック住所電話番号等が漏洩 2014 年 2 月 : 米連邦準備理事会 (FRB)のサーバに不正侵入し個人情報が漏洩 2014 年 2 月 :ECカレントのサーバにて不正アクセス 9 万件以上のクレジットカードを含む個人情報が漏洩 2014 年 1 月 :ファッション通販サイトにてリスト攻撃による不正ログインサイトの脆弱性により2 万 4000 件のクレジットカード情報が漏洩 2013 年 12 月 : 米ターゲット他にてPOS 端末からのクレジットカード情報盗聴事件 (4000 万枚 ) 2013 年 10 月 :セブンネットショッピングサイトにてリスト攻撃サイトの脆弱性により15 万件以上のクレジットカード情報が漏洩 2013 年 3 月 :Baidu IMEによるユーザ側入力情報の不正な送信

個人情報保護法改訂の動き 1) 安全管理措置入退館 ( 室 )の記録の保管個人データの監視システムの定期的な確認アクセスログについて不正が疑われる異常な記録の存否の定期的な確認カメラ撮影や作業立ち会い等による記録やモニタリングの実施私物媒体 / 機器の持ち込み禁止又は検査の実施個人情報保護管理者 (CPO)については役員とし個人データの取扱いを総括する部署や管理委員会を設置すること情報セキュリテイ対策に十分な知見を有する者による監査実施体制の構築スマートフォン等の記録機能を有する機器の接続制限と機器の更新への対応直接雇用関係にない派遣社員なども教育訓練の対象者に含める 2) 委託先の監督委託先が中小企業の場合に事業規模実態個人情報の性質及び量などを考慮に入れた措置を講じること優越的地位にある場合委託先に不当な負担を課さないこと委託先の選定の際に評価するポイントを列記定期的な委託先業務の監査 ( 最低年 1 回 )と再評価を推奨契約に委託先担当者の氏名または役職損害賠償責任を明記することを推奨再委託先再々委託先に対しても委託先と同様に監督することを推奨 3) 適正取得第三者から個人情報を取得する場合提供元の法の遵守状況と適法に入手されていることを確認することを推奨第三者から個人情報を取得する場合適法に入手されたことが確認できない場合は取得の自粛などを推奨 4)その他参考となる規格の中に組織における内部不正防止ガイドラインを追加 IPAより提供企業側で必要なアクションを具体的に提示したガイドライン情報管理の見直しに関する項目を強化事業者に対する責任の明確化特定個人情報保護法との絡み

組織における内部不正防止ガイドライン社内体制の見直し組織の管理基本方針資産管理事後対策職場環境対策物理的管理技術的管理コンプライアンス人的管理証拠確保責任者の任命と機微情報に対する取り扱い制限および取り扱う人間に対する対応

民間企業での番号利用例企業は情報管理のあり方を見直す必要がある * 総務省 :マイナンバー社会保障税番号制度民間事業者の対応より抜粋

マイナンバー法における罰則規定罰則行為番号法個人情報保護法類似規定個人番号関係事務又は個人番号利用事務に従事する者又は従事していた者が正当な理由なく特定個人情報ファイルを提供上記の者が不正な利益を図る目的で個人番号を提供又は盗用情報提供ネットワークシステムの事務に従事する者又は従事していた者が情報提供ネットワークシステムに関する秘密を漏えい又は盗用人を欺き人に暴行を加え人を脅迫し又は財物の窃取施設への侵入不正アクセス等により個人番号を取得国の機関の職員等が職権を濫用して専らその職務の用以外の用に供する目的で特定個人情報が記録された文書等を収集委員会の委員等が職務上知り得た秘密を漏えい又は盗用委員会から命令を受けた者が委員会の命令に違反委員会に対する虚偽の報告虚偽の資料提出検査拒否等偽りその他不正の手段により個人番号カード等を取得 4 年以下の懲役若しくは200 万円以下の罰金又は併科 ( 第 67 条 ) 3 年以下の懲役若しくは150 万円以下の罰金又は併科 ( 第 68 条 ) 同上 ( 第 69 条 ) 3 年以下の懲役又は150 万円以下の罰金 ( 第 70 条 ) 2 年以下の懲役又は100 万円以下の罰金 ( 第 71 条 ) 同上 ( 第 72 条 ) 2 年以下の懲役又は50 万円以下の罰金 ( 第 73 条 ) 6か月以下の懲役又は30 万円以下の罰金 ( 第 56 条 ) 1 年以下の懲役又は50 万円以下の罰金 ( 第 74 条 ) 30 万円以下の罰金 ( 第 57 条 ) 6か月以下の懲役又は50 万円以下の罰金 ( 第 75 条 )

特定個人情報保護に関するガイドライン基本方針関係法令遵守窓口の設置安全管理措置取り扱い規定情報処理のライフサイクル管理組織的安全管理措置責任者の任命事故対応ログ管理人的安全管理措置関係法令遵守窓口の設置事務担当の教育監督物理的安全管理措置入室管理持ち込み管理盗難対策技術的安全管理措置認証アクセス管理不正アクセス対策データ及び通信経路暗号化特定個人情報の適正な取扱いに関するガイドライン( 事業者編 ) 抜粋非常に大まかな定義

8 DB 内部不正対策 WGの目的今後求められる情報管理責務の認知と内部不正防止の手法を提示利便性の著しく向上したIoTに囲まれた社会において内部の人間を狙った標的型攻撃を始め内外からの不正アクセス事件が途絶えることはなくお金となる情報が格納されているDBおよび関連する内部リソースに対して脅威が容易に侵入できることは昨今の事件などから明白であるマイナンバー法の施行や個人情報保護法改定を控え企業における情報管理のあり方は漏洩事件に法的な罰則が見えていることからも今まさに見直しを迫られている DBSCではこれまでDB 管理手法のガイドラインやログ管理暗号化といった手法について提示してきたが直近のDBAへのリサーチ結果から浮き彫りとなったのはセキュアなDB 管理が行き届いておらず漏洩の事実を第 3 者 (ユーザ等 )から知らされるという現状とリンクする上記法改正によりDB 上の個人情報の取り扱いおよび漏洩時の対応は企業側に重い責任を要する当 WGではDB 管理者 (DBA)の置かれている環境の実情と環境の改善機密情報に対する脅威異変に対する可視化およびリアルタイムレスポンスを可能とするための手段運用方法を提示することで内部不正の誘因に対する対処およびそれを抑制できるDB 環境さらには事件時の影響範囲の特定を可能にする手法を広めることを目的とする

9 当 WG 活動の位置づけ DBセキュリティガイドライン <セキュアなDB 設計の指針 > DB 暗号化ガイドライン DBログ統合ガイドライン DBA 意識調査 DB 内部不正対策ガイドライン内部不正に係る部分の参照

10 DB 内部不正対策ガイドライン素案管理者の誘因管理者の抑制運用の実施雇用条件職場環境幸福度アクセスポリシー認証方式管理者の分掌暗号化鍵管理 DB 周辺デバイスの管理ポリシーの制定保全監査体制監査の実施

11 本 WGでの対策対象国家 NSA 中国など DDoS ハッカー集団アノニマスアルカイダなど盗聴暗号化 NAC アンチスパム APTs VPN Web プロキシ IPS/IDS 機密情報 NGFW ゼロデイ攻撃 Sandbox ホストFW モダンマルウェアハッカー愉快犯商売目的など URLフィルタリング標的型攻撃 DLP フォレンジックス SIEM 内部不正持ち出し内部不正企業に反感を持つ内部社員など

内部の脅威について理解する管理者の間違った権限移譲契約会社派遣社員への過剰な特権移譲経営層における情報管理への不十分な理解と投資理由と機会と条件が揃う現場 DBA(IT 管理者 )に対するネガティブ条件 ( 賃金労働時間責任 ) DBA 管理が存在しない現場環境 (アクセス制御なしログ管理なし暗号化なし) DB 上のお金になる情報 ( 個人情報クレジットカード番号その他 )を自分が管理漏洩事件を検知する手段のないスキーム管理者自体の不正は外部のユーザ企業からの報告で認識するケースが多い管理者の不正を抑制管理監視するスキーム( 投資 )が必要不可欠

13 内部不正の一覧手口の定義 (DBSCガイドラインver2.0より抜粋 )のうち内部不正となるもの Web App RDB

14 内部不正の一覧手口の定義 (DBSCガイドラインver2.0より抜粋 )のうち内部不正となるもの Web App DBFW 暗号化監視カメラフォレンジック本人認証暗号化 SIEM RDB フォレンジックアクセス制御

15 抑制方法従来単一管理者での運用複数管理者によるシフト制アカウント共有過剰権限の付与シフト制今後管理者の増員責任者のアサイン本人認証多要素認証 ( 証明書 OTP 端末認証 ) 持ち込みデバイス管理職務分掌暗号化暗号鍵アクセス制御本人認証権限 A 管理者管理者共通アカウント全権限管理者管理者本人認証権限 B 暗号化

16 運用方法ログの保全と事故対策????? コンソールアクセス????? データベース認証 /ログ管理暗号化 / 鍵管理? DBA DBFW: 暗号データに対する過度不正なアクセスクエリの検知暗号鍵管理 : 特権ユーザの異常なアクセスの検知 SIEM: 異常なアクセストラフィックの検知フォレンジックス:DB 周辺の監視カメラ(パケットキャプチャ) 監視カメラ:コンソールアクセス DB 設置場所周辺に対する物理的な監視 SQL 業務アプリオペレータ統合ログ管理 / SIEM フォレンジックス監視監査による抑制 DBFW? SQL アクセスポリシーの把握社内ユーザ DBA 管理ツール責任者管理者開発者

DB 不正防止に求められるアクション各機器サーバへの設定更新管理ポリシーの設定保護対象の暗号化管理者の本人認証およびアクセス制御職務分掌の徹底暗号化暗号鍵管理本人認証フォレンジックスポリシーへの反映特定されたリスクに対して既存のセキュリティーポリシーを更新??????????? データベース対象の監視保護対象 (データサーバ等 ) への全アクセスに対する監視 DBファイアウォールログ統合管理 /SIEM 対象の分析調査権限のある一部管理者の不正事項と対象を特定攻撃不審な対象の検知異常なアクセスへのアラートや不審な外部通信等の検知 SIEM/フォレンジックス

18 内部不正リスクセルフチェックシート全 50 項目管理者および責任者に対する設問誘因対応度数管理者抑制度数運用実施度数管理者責任者 =17 =17 START YES NO 管理者責任者 >10 >10 管 > 責管理者責任者 >=0 >=0 管 > 責 YES 管理者責任者 =18 =18 管 = 責管理者責任者 >13 >13 管 < 責 YES 管理者責任者 =15 =15 管 = 責 NO NO YES 管理者責任者 >10 >10 管 < 責 NO NO NO NO YES YES YES 内部不正対策度管理者の高い意識とバランスの取れた情報管理が行われており内部不正は起きにくいと言えます管理者の気持ち次第でシステムの穴を突いた漏洩が発生する可能性があります速やかに未対応箇所に対する対応が必要と言えますいつ内部不正が起きてもおかしくない状況と言えます管理者に対する待遇の見直し責任者の選出技術的な対策の実施などが必要です

19 DB 内部不正対策 WG 活動予定 2014 年 12 月 2015 年 1 月 WGメンバー募集第 1 回 WG 開催 2015 年 2 月 20 日 WGの目的と内部不正耐性チェックシートの発表 2015 年 5 月 2015 年 6 月ガイドラインパブコメ募集ガイドライン1.0 版公開その他 DBSCセミナー等における活動中間報告ガイドライン紹介を行う

20 WGメンバー( 敬称略社名順 ) 名前髙岡隆佳 (リーダー) 安澤弘子北條将也溝上弘起市川直実桜井勇亮岩下洋司青柳孝一武田治福田知彦亀田治伸原田義明社名ブルーコートシステムズ合同会社株式会社アクアシステムズ伊藤忠テクノソリューションズ株式会社株式会社インサイトテクノロジー株式会社 Imperva Japan 日本電気株式会社日本ウェアバレー株式会社日本オラクル株式会社日本セーフネット株式会社株式会社日立ソリューションズ

ご清聴ありがとうございました 21