Oracle Direct Seminar <Insert Picture Here> 情報漏えい対策セミナー ~ 情報はいつ どこから流出するのか? 日本オラクル株式会社
以下の事項は 弊社の一般的な製品の方向性に関する概要を説明するものです また 情報提供を唯一の目的とするものであり いかなる契約にも組み込むことはできません 以下の事項は マテリアルやコード 機能を提供することをコミットメント ( 確約 ) するものではないため 購買決定を行う際の判断材料になさらないで下さい オラクル製品に関して記載されている機能の開発 リリースおよび時期については 弊社の裁量により決定されます Oracle と Java は Oracle Corporation 及びその子会社 関連会社の米国及びその他の国における登録商標です 文中の社名 商品名等は各社の商標または登録商標である場合があります 2
情報漏えいによる企業被害 1 情報漏えい事故は継続的に発生している 2 情報漏えい事故の8 割は内部からの漏洩 3 内部からの漏洩の多くは人為的原因 4 機密情報 人事情報の漏洩はビジネス存続の危機へとつながる 1800 1600 1400 1200 1000 800 600 400 200 0 1539 1373 1032 993 864 366 57 2003 2004 2005 2006 2007 2008 2009 図. 情報漏えい件数の推移 表個人情報漏えいインシデント概要データ 漏えい人数 572 万 1,498 人 インシデント件数 1,539 件 想定損害賠償総額 3,890 億 4,289 万円 一件あたりの漏えい人数 3,924 人 一件あたり平均想定損害賠償額 2 億 6,683 万円 一人当たり平均想定損害賠償額 4 万 9,961 円 出典 : 2009 年情報セキュリティインシデントに関する調査報告書 NPO 日本ネットワークセキュリティ安全協会 3
2009 年度インシデント トップ 10 業種は 金融業, 保険業 公務 が多い 電気 ガス 熱供給 水道業 や 情報通信業 といった特に個人情報の適正な取り扱いを確保すべき業種からも発生 原因としては 2008 年と同様に 管理ミス が登場する一方で 内部犯罪 内部不正行為や不正アクセスが増加 表インシデント トップ 10 出典 : 2009 年情報セキュリティインシデントに関する調査報告書 NPO 日本ネットワークセキュリティ安全協会 4
情報セキュリティインシデントの経験 社員が紛失や誤送信する確率は 携帯電話で 20% PC と USB が約 10% Email と FAX が約 70% 図 : 情報セキュリティ インシデントの経験者数と割合 出典 : 情報セキュリティインシデントに関する調査報告書 ~ 発生確率編 ~ NPO 日本ネットワークセキュリティ安全協会 5
機密情報漏えいの発生要因 原因 発生要因 対応状況 管理ミス ( 例 : 誤廃棄 ) 内部犯罪 内部不正行為 意識不足 対策不備 ルールの欠落 インシデント削減傾向 ( 意識向上 対策普及 ) 不正アクセス 紛失 盗難 誤操作 手違い ミス ケアレスミスヒューマンエラー悪意 恨み 金銭目的権限の 悪用 対策が必要 対策が必要 6
どこで情報漏洩が起こるのか 情報漏洩の原因 欠落した対策 バックアップメディアを盗む 管理者権限所有者が不正を行う ID を入手して堂々と不正を行う データ横取りや不正プログラムを実行する バックアップメディア データベース 業務アプリケーション ネットワーク プログラム リモート環境 メディアがセキュアに保全されていない SYS ユーザなら何でもできてしまう ID の棚卸や削除 変更に手が回っていない 日々変化する外部からの攻撃に対応しきれない 結果として データ抽出 印刷 一括持ち出し このような行為が行われたことに気が付いていない 不正売却 いざとなったとき 所在をつきとめられ ない 取り戻せない 権限の悪用 権限の悪用 ヒューマンエラー Niko icon Licensed Under: Creative Commons Attribution-Noncommercial-No Derivative Works 3.0 License Author: tribalmarkings 7
特権ユーザ管理 8
特権ユーザに関する課題 細かい権限申請が面倒だから DBA/root 権限を使おう アカウント使用者 管理者権限所有者が不正を行う サーバー管理担当者 共有アカウントを廃止したいけれど 運用がまわるだろか 棚卸の作業が大変 データベース 情報漏えい対策は十分だろうか 各サーバーは セキュリティポリシーに従っているだろうか 情報システム部責任者 SYS ユーザなら何でもできてしまう 特権ユーザを共有で利用している 特権ユーザ利用の申請ルールが徹底されていない とりあえず root 権限を与えてしまう ID の申請 作成 削除に人手を介し作業ミスが発生する 証跡不足により誰が いつ 何をしたか特定できない 退職者の ID の削除漏れが多い 9
特権ユーザ (ID) を管理する重要性 root や administrator DBA だけではない 広範囲な操作が可能 プログラムの不正実行が可能 機密情報を含むデータの参照が可能 重要情報 データの変更 ( 改ざん ) が可能 ID/ 権限の変更や 特権ユーザ (ID) を作成可能 故意による情報漏洩や改ざんなど情報事故のリスク 過失による情報事故やシステム障害発生のリスク 特権ユーザ 開発者 OS DB 上のユーザ システムに影響を及ぼす権限の保持 管理 運用者 システム自体の起動 停止など 最も強い権限を持つアカウント root, Administrator DBA など 特権ユーザ管理 あらゆるリソースの操作が可能な特権ユーザには高いリスクが伴うが そのリスクを低減できれば効率よくセキュリティレベルをあげることが可能 10
特権ユーザ管理ソリューション ID 管理 特権ユーザのライフサイクル管理 データベース アクセス制御 データベース管理者をアクセス制御 ワークフロー申請 ユーザ ID 管理業務 管理者 監査ログ Oracle Identity Manager 配信 棚卸 不正 ID 検知 Oracle Audit Vault 監査ログ 購買システム 会計システム ルール 1 アクセス時間 9:00-18:30 データベース管理者 Oracle Database Vault 会計システム管理者 ルール 2 IP アドレス XXX,XXX 11
オラクルによる解決策 ~ Oracle Identity Manager による ID 管理 利用者と ID を連動し自動化された ID ライフサイクル管理 ID 管理 使用申請 承認経路を明確にする標準ワークフロー 棚卸や不正 ID チェックなどのセキュリティ対策 ID ライフサイクルに関する履歴を自動収集し証拠 証跡の管理 ユーザ情報源泉 ユーザ情報の取得 ID の自動配信と自動削除 顧客情報管理 システム 売上管理 システム 管理者 ID 情報の管理 メンテナンス OS アカウント管理 ユーザ パスワード変更 申請 属性 ルールに基づいたグループ化 ポリシー割当て 監査ログ Oracle Identity Manager 入退出管理 システム配信対象システム 12
データベース アクセス制御 オラクルによる解決策 ~ Oracle Database Vault による管理者のアクセス制御 ~ 今までの Oracle Database ~ 権限さえあればアクセス可能 ~ Oracle Database Vault ~ 条件を満たす場合のみアクセス可能 禁止 許可 CONNECT ロール CONNECT ロール 制御条件の評価 適切なシステム / オブジェクト権限を含むロール 適切なシステム / オブジェクト権限を含むロール セキュリティ ポリシーに則った複雑な条件に基くアクセス制御 条件を満たす場合のみ システム / オブジェクト権限の行使を許可 時刻 曜日 クライアント情報 etc 複数要素の組合せによる柔軟な条件付け 13
データベース アクセス制御オラクルによる解決策 ~ Oracle Audit Vaultによる監査ログの収集 DB 監査ログの収集 保全 監視 分析をシームレスに実現する統合監査ログウェアハウス 漏れなく ログ収集 効率的に ログ保全 簡単に ログ分析 Oracle Database 10g R1/R2 Oracle Database 11g R1 Oracle 9i Database R2 複数の監査ソース 他社 DB SQL Server, DB2,Sybase 通信暗号化 監査ログの収集 Oracle Advanced Security 監査ポリシーの適用 監査ログ格納用 Oracle Database 効率的なログ管理 監査ログの保全 監査ログ 分析用スキーマ Database Vault Oracle Partitioning オープンな分析用スキーマ 監査ポリシーの一元管理 リアルタイム監視レポート作成 OracleDB や他社 DB の監査機能と連携することで既存 DB を容易にログ収集対象へ追加 強固なセキュリティに保護された専用 DB へ監査ログを一箇所に収集し安全かつ効率的に管理 Oracle BI との組合せにより監視 レポーティング 高度な分析が可能また Oracle 以外の監査ログとの組合せも可 14
外部からの不正アクセスへの対策 15
クラウドなどのサービスにおける外部攻撃の課題 ~ なりすまし SQL インジェクション アプリケーションの実行環境 WEB サーバー データーべース (Oracle,SQLServ er,db2 ) 情報資産 不正アクセス SQL インジェクション 盗んだ ID パスワード 情報漏洩 概念図 攻撃者 データ横取りや不正プログラムを実行する ネットワーク プログラムリモート環境 日々変化する外部からの攻撃に対応しきれない 16
Oracle Database Firewall SQL インジェクション対策 アプリケーションとデータベースの中間に位置し ネットワーク上から SQL 文を収集 解析する モニタリング : 収集した SQL 情報をログとして記録 管理 レポーティングを行う ( 監査ツールの用途として使用 ) ブロッキング :SQL を解析し 危険と判断されるものはブロックまたは警告することで 内部不正 外部攻撃からデータベースを保護する 17
Oracle Database Firewall ~ 防御のファースト ライン SQL インジェクション対策 Allow Log Alert Applications Substitute Block Alerts Built-in Reports Custom Reports Policies 透過的 動作しているアプリケーション及びデータベースの変更を必要としない 高いパフォーマンス アプリケーション データベース間のトランザクション処理への影響はごくわずか 正確な検知 高精度な SQL 文法レベルの解析により 誤検知なく不正な SQL のみブロック 18
Oracle Database Firewall ~ アーキテクチャ SQL インジェクション対策 In-Line Blocking/ Monitoring Inbound SQL Traffic Management Management Server Server Policy Analyzer Out-of-Band Monitoring HA 構成 モニタリングのみの場合は スイッチの SPAN Port を使用した Out of Band 構成 ブロッキングの場合は アプリケーション - データベース間に In-Line に配置 H/A 構成のサポート サポート対象のデータベース Oracle Database 8i~11g SQL Server 2000 2005 2008 IBM DB2 for LUW 9.x Sybase ASE SQL Anywhere 19
Oracle Database Firewall ~ Web コンソール SQL インジェクション対策 ネットワーク トラフィックの履歴 過去にどれくらい怪しい SQL があったか? 不正な SQL としてブロックしたことを警告 20
Oracle Database Firewall ~ SQL インジェクション例 SQL インジェクション対策 SELECT null,null,null,null,null,prod_name FROM PRODUCTS WHERE 1=2 union select null,table_name,null,null,null,null from user_tables SQL インジェクションの SQL を 5W1H の要素でモニタリング 21
Oracle Adaptive Access Manager ~ なりすまし フィッシング被害から情報を守る なりすまし対策 多要素認証 リスクをスコア リスクベース認証 認証キーバッド ワンタイムパスワード デバイス位置日時アクティビティ 偽サイトに誘導する E-mail 盗んだ ID パスワード 認証キーパッドや多要素認証による認証強化 悪意を持ったユーザ 携帯電話やメールを利用したワンタイムパスワードによる本人確認の強化 リスクのリアルタイム分析による不正行為の防止 22
Oracle Adaptive Access Manager ~ キーロガー等の攻撃への対策 なりすまし対策 Webアクセスに対する認証 ( 本人確認 ) をより強固に バーチャル認証デバイス キーボード入力をしなくて済む ユーザによるカスタマイズが可能 表示形式がランダムに変更されるログイン画面認証キーパッド群 ユーザID パスワード 利用者 低 セキュリティ強度 強 インターネットバンキング ( 個人の資産情報 ) Oracle Adaptive Access Manager インターネット証券 金融商品 ( 個人の株式 保険 ) 23
Oracle Adaptive Access Manager ~ 盗まれた ID を不正利用されないための仕組み なりすまし対策 リアルタイム分析によって即座に不正アクセスをシャットアウト 正規の利用者 1 ID を盗まれる 正規のユーザであればアクセスを許可 オンラインシステム フィッシングメール フィッシング サイト アクション アクセス拒否 アクセス許可 悪意をもった犯罪者 2 盗んだ ID でアクセス 3 分析した結果 アクセス拒否 警告 第二認証要求 Oracle Adaptive Access Manager によるリアルタイム分析 収集 デバイスのフィンガープリント Cookie デバイスの ID 番号 所在のフィンガープリント IP アドレス 物理的 / 地理的な所在情報 処理フローのフィンガープリント URL 時間 パターン認識 履歴データ ユーザ デバイス 所在 フロー履歴 24
ファイル形式のデータ流出への対策 25
紛失 盗難の年間発生確率 1 年間に紛失 盗難 または紛失しそうになる会社員の確率 携帯電話 パソコンや USB メモリ :4~6% 電子メールや FAX: 40% アンケート回答者は 直近の情報セキュリティ インシデントの発生年を回答している 2009 年と 2010 年の両方の年に電子メール FAX を誤送信した人は 2010 年を選択している したがって 2010 年と比べて 2009 年の誤送信の発生確率が特別に低いわけではない 出典 : 情報セキュリティインシデントに関する調査報告書 ~ 発生確率編 ~ NPO 日本ネットワークセキュリティ安全協会 26
ファイル形式の情報を守るクライアントセキュリティ ~ Oracle Information Rights Management 社内や社外に配布されるファイルと ファイルに納められた重要な情報を 改ざん 不正利用 複製 流用 盗難 流出 漏えいなどのリスクから守る サーバーで自動的にシールして ファイルサーバー データベースからのレポート または 社員の文書や電子メール デスクトップ上でシールして 利用者の利便性を損なわず シール = 暗号化とセキュリティ設定の付与 操作を制御 所在を追跡操作を記録権限を剥奪 27
Oracle IRM で保護することで安心 暗号化セキュリティ設定保護された文書 AES 128 AES 256 Oracle IRM サーバー情報 セキュリティ設定内容 28
Oracle IRM 特長 Oracle IRM はファイルを物理的に保護 ( シール ) することで 下記のことを可能にする製品です 1 2 3 4 アクセス権の管理 ファイルがどこにあっても 権限を持つ人だけがファイルを開けます 操作権の管理 ファイルを開いた人の権限に応じて印刷 編集 コピー 保存などの操作を制限します 参照期間の管理 指定した時間が経過した後 または即時にファイルを開けないようにします 操作履歴の管理 ファイルに対する操作を記録し サーバー上で集約することで 利用者の活動状況を管理します 29
Oracle Security Solution Web サイト >>> oracle.co.jp/security 30
( 参考資料 ) オラクルのセキュリティソリューション製品 企業のセキュリティソリューションを支援するためのソフトウェアおよび機能を提供しており 世界中で多くの実績を持っています 情報セキュリティ対策 アイデンティティ (ID) 管理 LDAP ID ライフサイクル管理 認証 アクセス制御 ( アクセス管理 ) 統合型認証 アクセス制御連携型認証 ( フェデレーション ) Oracle Internet Directory Oracle Virtual Directory Oracle Directory Server EE Oracle Identity Manager Oracle Access Manager Oracle Identity Federation Oracle STS/Fedlet 職務分掌 ロール管理 Windows 環境のシングル サインオン認証 アクセス制御の強化 Oracle Identity Analytics アプリケーション セキュリティ Oracle WebLogic Security (OPSS) Oracle Enterprise Single Sign-On Suite Plus Oracle Adaptive Access Manager Oracle Entitlements Server データ セキュリティの強化 Oracle Advanced Security Oracle Database Vault Oracle Label Security Oracle Audit Vault Oracle Data Masking Enterprise User Security 電子文書の取扱いに関するセキュリティの強化 Oracle Universal Content Management Oracle Information Rights Management Oracle Universal Records Management 31
OTN ダイセミでスキルアップ!! 一般的な技術問題解決方法などを知りたい! セミナ資料など技術コンテンツがほしい! Oracle Technology Network(OTN) を御活用下さい http://forums.oracle.com/forums/main.jspa?categoryid=484 一般的技術問題解決には OTN 掲示版の データベース一般 をご活用ください OTN 掲示版は 基本的に Oracle ユーザ有志からの回答となるため 100% 回答があるとは限りません ただ 過去の履歴を見ると 質問の大多数に関してなんらかの回答が書き込まれております http://www.oracle.com/technetwork/jp/ondemand/index.html 過去のセミナ資料 動画コンテンツは OTN の OTN セミナーオンデマンドコンテンツ へ ダイセミ事務局にダイセミ資料を請求頂いても お受けできない可能性がございますので予めご了承ください ダイセミ資料は OTN コンテンツオンデマンドか セミナ実施時間内にダウンロード頂くようお願い致します 32
OTN セミナーオンデマンドコンテンツダイセミで実施された技術コンテンツを動画で配信中!! ダイセミのライブ感はそのままに お好きな時間で受講頂けます 最新情報つぶやき中 oracletechnetjp 人気コンテンツは? お勧め情報 公開予告など OTN トップページ http://www.oracle.com/technetwork/jp/index.html ページ左 基本リンク > OTN セミナーオンデマンド 掲載のコンテンツ内容は予告なく変更になる可能性があります 期間限定での配信コンテンツも含まれております お早めにダウンロード頂くことをお勧めいたします 33
Oracle エンジニアのための技術情報サイトオラクルエンジニア通信 http://blogs.oracle.com/oracle4engineer/ 最新情報つぶやき中 oracletechnetjp 技術資料 ダイセミの過去資料や製品ホワイトペーパー スキルアップ資料などを多様な方法で検索できます キーワード検索 レベル別 カテゴリ別 製品 機能別 コラム オラクル製品に関する技術コラムを毎週お届けします 決してニッチではなく 誰もが明日から使える技術の あ そうだったんだ! をお届けします オラクルエンジニア通信 こんな資料が人気です 6か月ぶりに資料ダウンロードランキングの首位が交代! 新王者はOracle Database 構築資料でした データベースの性能管理手法について Statspack 派も Enterprise Manager 派も目からウロコの技術特集公開中 34
Oracle Database の価格ご存知ですか? 1 問題 : Oracle Databaseの最小構成はいくらでしょうか? ヒント : Oracle Standard Edition Oneを 5Named User Plus( 指名ユーザ ) というのが最小構成です 2 問題 : Real Applications Clusters(RAC) Optionはいくらでしょうか? ヒント : RACはOracle Database Enterprise EditionのOptionです 答えはこちら ログイン不要の簡単見積もり ライセンス見積もりヘルプ 検索 35
IT プロジェクト全般に渡る無償支援サービス パフォーマンス診断サービス Web システムボトルネック診断サービス データベースパフォーマンス診断サービス 移行支援サービス SQL Server からの移行支援サービス DB2 からの移行支援サービス Sybase からの移行支援サービス MySQL からの移行支援サービス Postgre SQL からの移行支援サービス Access からの移行支援サービス Oracle Direct Concierge サービス NEW Oracle Application ServerからWeblogicへ移行支援サービス NEW システム構成診断サービス Oracle Database 構成相談サービス サーバー統合支援サービス 仮想化アセスメントサービス メインフレーム資産活用相談サービス BI EE アセスメントサービス 簡易業務診断サービス バージョンアップ支援サービス Oracle Database バージョンアップ支援サービス Weblogic Server バージョンアップ支援サービス Oracle Developer/2000(Froms/Reports) Web アップグレード相談サービス NEW オラクル社のエンジニアが直接ご支援しますお気軽にご活用ください! オラクル無償支援 検索 36
1 日 5 組限定! 製品無償評価サービス 提供シナリオ一例 データベースチューニング 無停止アップグレード アプリケーション性能 負荷検証 Webシステム障害解析 インストールすることなく すぐに体験いただけます サービスご提供までの流れ 1. お問合せフォームより 製品評価サービス希望 と必要事項を明記し送信下さい 2. 弊社より接続方法手順書およびハンズオン手順書を送付致します 3. 当日は 弊社サーバー環境でインターネット越しに製品を体感頂けます Web 問い合わせフォーム サービスご提供には事前予約が必要です ダイデモ をキーワードに検索することで申し込みホームページにアクセスできます http://www.oracle.com/jp/direct/services/didemo-195748-ja.html 37
あなたにいちばん近いオラクル Oracle Direct まずはお問合せください Oracle Direct 検索 システムの検討 構築から運用まで ITプロジェクト全般の相談窓口としてご支援いたします システム構成やライセンス / 購入方法などお気軽にお問い合わせ下さい Web 問い合わせフォームフリーダイヤル 専用お問い合わせフォームにてご相談内容を承ります http://www.oracle.com/jp/direct/inquiry-form-182185-ja.html こちらから詳細確認のお電話を差し上げる場合がありますので ご登録されている連絡先が最新のものになっているか ご確認下さい 0120-155-096 月曜 ~ 金曜 9:00~12:00 13:00~18:00 ( 祝日および年末年始除く ) 38
40