以下の事項は弊社の一般的な製品の方向性に関する概要を説明するものですまた情報提供を唯一の目的とするものでありいかなる契約にも組み込むことはできません以下の事項はマテリアルやコード機能を提供することをコミットメント ( 確約 ) するものではないため購買決定を行う際の判断材料になさらな

Oracle Direct Seminar <Insert Picture Here> 情報漏えい対策セミナー ~ 情報はいつどこから流出するのか? 日本オラクル株式会社

以下の事項は弊社の一般的な製品の方向性に関する概要を説明するものですまた情報提供を唯一の目的とするものでありいかなる契約にも組み込むことはできません以下の事項はマテリアルやコード機能を提供することをコミットメント ( 確約 ) するものではないため購買決定を行う際の判断材料になさらないで下さいオラクル製品に関して記載されている機能の開発リリースおよび時期については弊社の裁量により決定されます Oracle と Java は Oracle Corporation 及びその子会社関連会社の米国及びその他の国における登録商標です文中の社名商品名等は各社の商標または登録商標である場合があります 2

情報漏えいによる企業被害 1 情報漏えい事故は継続的に発生している 2 情報漏えい事故の8 割は内部からの漏洩 3 内部からの漏洩の多くは人為的原因 4 機密情報人事情報の漏洩はビジネス存続の危機へとつながる 1800 1600 1400 1200 1000 800 600 400 200 0 1539 1373 1032 993 864 366 57 2003 2004 2005 2006 2007 2008 2009 図. 情報漏えい件数の推移表個人情報漏えいインシデント概要データ漏えい人数 572 万 1,498 人インシデント件数 1,539 件想定損害賠償総額 3,890 億 4,289 万円一件あたりの漏えい人数 3,924 人一件あたり平均想定損害賠償額 2 億 6,683 万円一人当たり平均想定損害賠償額 4 万 9,961 円出典 : 2009 年情報セキュリティインシデントに関する調査報告書 NPO 日本ネットワークセキュリティ安全協会 3

2009 年度インシデントトップ 10 業種は金融業, 保険業公務が多い電気ガス熱供給水道業や情報通信業といった特に個人情報の適正な取り扱いを確保すべき業種からも発生原因としては 2008 年と同様に管理ミスが登場する一方で内部犯罪内部不正行為や不正アクセスが増加表インシデントトップ 10 出典 : 2009 年情報セキュリティインシデントに関する調査報告書 NPO 日本ネットワークセキュリティ安全協会 4

情報セキュリティインシデントの経験社員が紛失や誤送信する確率は携帯電話で 20% PC と USB が約 10% Email と FAX が約 70% 図 : 情報セキュリティインシデントの経験者数と割合出典 : 情報セキュリティインシデントに関する調査報告書 ~ 発生確率編 ~ NPO 日本ネットワークセキュリティ安全協会 5

機密情報漏えいの発生要因原因発生要因対応状況管理ミス ( 例 : 誤廃棄 ) 内部犯罪内部不正行為意識不足対策不備ルールの欠落インシデント削減傾向 ( 意識向上対策普及 ) 不正アクセス紛失盗難誤操作手違いミスケアレスミスヒューマンエラー悪意恨み金銭目的権限の悪用対策が必要対策が必要 6

どこで情報漏洩が起こるのか情報漏洩の原因欠落した対策バックアップメディアを盗む管理者権限所有者が不正を行う ID を入手して堂々と不正を行うデータ横取りや不正プログラムを実行するバックアップメディアデータベース業務アプリケーションネットワークプログラムリモート環境メディアがセキュアに保全されていない SYS ユーザなら何でもできてしまう ID の棚卸や削除変更に手が回っていない日々変化する外部からの攻撃に対応しきれない結果としてデータ抽出印刷一括持ち出しこのような行為が行われたことに気が付いていない不正売却いざとなったとき所在をつきとめられない取り戻せない権限の悪用権限の悪用ヒューマンエラー Niko icon Licensed Under: Creative Commons Attribution-Noncommercial-No Derivative Works 3.0 License Author: tribalmarkings 7

特権ユーザ管理 8

特権ユーザに関する課題細かい権限申請が面倒だから DBA/root 権限を使おうアカウント使用者管理者権限所有者が不正を行うサーバー管理担当者共有アカウントを廃止したいけれど運用がまわるだろか棚卸の作業が大変データベース情報漏えい対策は十分だろうか各サーバーはセキュリティポリシーに従っているだろうか情報システム部責任者 SYS ユーザなら何でもできてしまう特権ユーザを共有で利用している特権ユーザ利用の申請ルールが徹底されていないとりあえず root 権限を与えてしまう ID の申請作成削除に人手を介し作業ミスが発生する証跡不足により誰がいつ何をしたか特定できない退職者の ID の削除漏れが多い 9

特権ユーザ (ID) を管理する重要性 root や administrator DBA だけではない広範囲な操作が可能プログラムの不正実行が可能機密情報を含むデータの参照が可能重要情報データの変更 ( 改ざん ) が可能 ID/ 権限の変更や特権ユーザ (ID) を作成可能故意による情報漏洩や改ざんなど情報事故のリスク過失による情報事故やシステム障害発生のリスク特権ユーザ開発者 OS DB 上のユーザシステムに影響を及ぼす権限の保持管理運用者システム自体の起動停止など最も強い権限を持つアカウント root, Administrator DBA など特権ユーザ管理あらゆるリソースの操作が可能な特権ユーザには高いリスクが伴うがそのリスクを低減できれば効率よくセキュリティレベルをあげることが可能 10

特権ユーザ管理ソリューション ID 管理特権ユーザのライフサイクル管理データベースアクセス制御データベース管理者をアクセス制御ワークフロー申請ユーザ ID 管理業務管理者監査ログ Oracle Identity Manager 配信棚卸不正 ID 検知 Oracle Audit Vault 監査ログ購買システム会計システムルール 1 アクセス時間 9:00-18:30 データベース管理者 Oracle Database Vault 会計システム管理者ルール 2 IP アドレス XXX,XXX 11

オラクルによる解決策 ~ Oracle Identity Manager による ID 管理利用者と ID を連動し自動化された ID ライフサイクル管理 ID 管理使用申請承認経路を明確にする標準ワークフロー棚卸や不正 ID チェックなどのセキュリティ対策 ID ライフサイクルに関する履歴を自動収集し証拠証跡の管理ユーザ情報源泉ユーザ情報の取得 ID の自動配信と自動削除顧客情報管理システム売上管理システム管理者 ID 情報の管理メンテナンス OS アカウント管理ユーザパスワード変更申請属性ルールに基づいたグループ化ポリシー割当て監査ログ Oracle Identity Manager 入退出管理システム配信対象システム 12

データベースアクセス制御オラクルによる解決策 ~ Oracle Database Vault による管理者のアクセス制御 ~ 今までの Oracle Database ~ 権限さえあればアクセス可能 ~ Oracle Database Vault ~ 条件を満たす場合のみアクセス可能禁止許可 CONNECT ロール CONNECT ロール制御条件の評価適切なシステム / オブジェクト権限を含むロール適切なシステム / オブジェクト権限を含むロールセキュリティポリシーに則った複雑な条件に基くアクセス制御条件を満たす場合のみシステム / オブジェクト権限の行使を許可時刻曜日クライアント情報 etc 複数要素の組合せによる柔軟な条件付け 13

データベースアクセス制御オラクルによる解決策 ~ Oracle Audit Vaultによる監査ログの収集 DB 監査ログの収集保全監視分析をシームレスに実現する統合監査ログウェアハウス漏れなくログ収集効率的にログ保全簡単にログ分析 Oracle Database 10g R1/R2 Oracle Database 11g R1 Oracle 9i Database R2 複数の監査ソース他社 DB SQL Server, DB2,Sybase 通信暗号化監査ログの収集 Oracle Advanced Security 監査ポリシーの適用監査ログ格納用 Oracle Database 効率的なログ管理監査ログの保全監査ログ分析用スキーマ Database Vault Oracle Partitioning オープンな分析用スキーマ監査ポリシーの一元管理リアルタイム監視レポート作成 OracleDB や他社 DB の監査機能と連携することで既存 DB を容易にログ収集対象へ追加強固なセキュリティに保護された専用 DB へ監査ログを一箇所に収集し安全かつ効率的に管理 Oracle BI との組合せにより監視レポーティング高度な分析が可能また Oracle 以外の監査ログとの組合せも可 14

外部からの不正アクセスへの対策 15

クラウドなどのサービスにおける外部攻撃の課題 ~ なりすまし SQL インジェクションアプリケーションの実行環境 WEB サーバーデーターべース (Oracle,SQLServ er,db2 ) 情報資産不正アクセス SQL インジェクション盗んだ ID パスワード情報漏洩概念図攻撃者データ横取りや不正プログラムを実行するネットワークプログラムリモート環境日々変化する外部からの攻撃に対応しきれない 16

Oracle Database Firewall SQL インジェクション対策アプリケーションとデータベースの中間に位置しネットワーク上から SQL 文を収集解析するモニタリング : 収集した SQL 情報をログとして記録管理レポーティングを行う ( 監査ツールの用途として使用 ) ブロッキング :SQL を解析し危険と判断されるものはブロックまたは警告することで内部不正外部攻撃からデータベースを保護する 17

Oracle Database Firewall ~ 防御のファーストライン SQL インジェクション対策 Allow Log Alert Applications Substitute Block Alerts Built-in Reports Custom Reports Policies 透過的動作しているアプリケーション及びデータベースの変更を必要としない高いパフォーマンスアプリケーションデータベース間のトランザクション処理への影響はごくわずか正確な検知高精度な SQL 文法レベルの解析により誤検知なく不正な SQL のみブロック 18

Oracle Database Firewall ~ アーキテクチャ SQL インジェクション対策 In-Line Blocking/ Monitoring Inbound SQL Traffic Management Management Server Server Policy Analyzer Out-of-Band Monitoring HA 構成モニタリングのみの場合はスイッチの SPAN Port を使用した Out of Band 構成ブロッキングの場合はアプリケーション - データベース間に In-Line に配置 H/A 構成のサポートサポート対象のデータベース Oracle Database 8i~11g SQL Server 2000 2005 2008 IBM DB2 for LUW 9.x Sybase ASE SQL Anywhere 19

Oracle Database Firewall ~ Web コンソール SQL インジェクション対策ネットワークトラフィックの履歴過去にどれくらい怪しい SQL があったか? 不正な SQL としてブロックしたことを警告 20

Oracle Database Firewall ~ SQL インジェクション例 SQL インジェクション対策 SELECT null,null,null,null,null,prod_name FROM PRODUCTS WHERE 1=2 union select null,table_name,null,null,null,null from user_tables SQL インジェクションの SQL を 5W1H の要素でモニタリング 21

Oracle Adaptive Access Manager ~ なりすましフィッシング被害から情報を守るなりすまし対策多要素認証リスクをスコアリスクベース認証認証キーバッドワンタイムパスワードデバイス位置日時アクティビティ偽サイトに誘導する E-mail 盗んだ ID パスワード認証キーパッドや多要素認証による認証強化悪意を持ったユーザ携帯電話やメールを利用したワンタイムパスワードによる本人確認の強化リスクのリアルタイム分析による不正行為の防止 22

Oracle Adaptive Access Manager ~ キーロガー等の攻撃への対策なりすまし対策 Webアクセスに対する認証 ( 本人確認 ) をより強固にバーチャル認証デバイスキーボード入力をしなくて済むユーザによるカスタマイズが可能表示形式がランダムに変更されるログイン画面認証キーパッド群ユーザID パスワード利用者低セキュリティ強度強インターネットバンキング ( 個人の資産情報 ) Oracle Adaptive Access Manager インターネット証券金融商品 ( 個人の株式保険 ) 23

Oracle Adaptive Access Manager ~ 盗まれた ID を不正利用されないための仕組みなりすまし対策リアルタイム分析によって即座に不正アクセスをシャットアウト正規の利用者 1 ID を盗まれる正規のユーザであればアクセスを許可オンラインシステムフィッシングメールフィッシングサイトアクションアクセス拒否アクセス許可悪意をもった犯罪者 2 盗んだ ID でアクセス 3 分析した結果アクセス拒否警告第二認証要求 Oracle Adaptive Access Manager によるリアルタイム分析収集デバイスのフィンガープリント Cookie デバイスの ID 番号所在のフィンガープリント IP アドレス物理的 / 地理的な所在情報処理フローのフィンガープリント URL 時間パターン認識履歴データユーザデバイス所在フロー履歴 24

ファイル形式のデータ流出への対策 25

紛失盗難の年間発生確率 1 年間に紛失盗難または紛失しそうになる会社員の確率携帯電話パソコンや USB メモリ :4~6% 電子メールや FAX: 40% アンケート回答者は直近の情報セキュリティインシデントの発生年を回答している 2009 年と 2010 年の両方の年に電子メール FAX を誤送信した人は 2010 年を選択しているしたがって 2010 年と比べて 2009 年の誤送信の発生確率が特別に低いわけではない出典 : 情報セキュリティインシデントに関する調査報告書 ~ 発生確率編 ~ NPO 日本ネットワークセキュリティ安全協会 26

ファイル形式の情報を守るクライアントセキュリティ ~ Oracle Information Rights Management 社内や社外に配布されるファイルとファイルに納められた重要な情報を改ざん不正利用複製流用盗難流出漏えいなどのリスクから守るサーバーで自動的にシールしてファイルサーバーデータベースからのレポートまたは社員の文書や電子メールデスクトップ上でシールして利用者の利便性を損なわずシール = 暗号化とセキュリティ設定の付与操作を制御所在を追跡操作を記録権限を剥奪 27

Oracle IRM で保護することで安心暗号化セキュリティ設定保護された文書 AES 128 AES 256 Oracle IRM サーバー情報セキュリティ設定内容 28

Oracle IRM 特長 Oracle IRM はファイルを物理的に保護 ( シール ) することで下記のことを可能にする製品です 1 2 3 4 アクセス権の管理ファイルがどこにあっても権限を持つ人だけがファイルを開けます操作権の管理ファイルを開いた人の権限に応じて印刷編集コピー保存などの操作を制限します参照期間の管理指定した時間が経過した後または即時にファイルを開けないようにします操作履歴の管理ファイルに対する操作を記録しサーバー上で集約することで利用者の活動状況を管理します 29

Oracle Security Solution Web サイト >>> oracle.co.jp/security 30

( 参考資料 ) オラクルのセキュリティソリューション製品企業のセキュリティソリューションを支援するためのソフトウェアおよび機能を提供しており世界中で多くの実績を持っています情報セキュリティ対策アイデンティティ (ID) 管理 LDAP ID ライフサイクル管理認証アクセス制御 ( アクセス管理 ) 統合型認証アクセス制御連携型認証 ( フェデレーション ) Oracle Internet Directory Oracle Virtual Directory Oracle Directory Server EE Oracle Identity Manager Oracle Access Manager Oracle Identity Federation Oracle STS/Fedlet 職務分掌ロール管理 Windows 環境のシングルサインオン認証アクセス制御の強化 Oracle Identity Analytics アプリケーションセキュリティ Oracle WebLogic Security (OPSS) Oracle Enterprise Single Sign-On Suite Plus Oracle Adaptive Access Manager Oracle Entitlements Server データセキュリティの強化 Oracle Advanced Security Oracle Database Vault Oracle Label Security Oracle Audit Vault Oracle Data Masking Enterprise User Security 電子文書の取扱いに関するセキュリティの強化 Oracle Universal Content Management Oracle Information Rights Management Oracle Universal Records Management 31

OTN ダイセミでスキルアップ!! 一般的な技術問題解決方法などを知りたい! セミナ資料など技術コンテンツがほしい! Oracle Technology Network(OTN) を御活用下さい http://forums.oracle.com/forums/main.jspa?categoryid=484 一般的技術問題解決には OTN 掲示版のデータベース一般をご活用ください OTN 掲示版は基本的に Oracle ユーザ有志からの回答となるため 100% 回答があるとは限りませんただ過去の履歴を見ると質問の大多数に関してなんらかの回答が書き込まれております http://www.oracle.com/technetwork/jp/ondemand/index.html 過去のセミナ資料動画コンテンツは OTN の OTN セミナーオンデマンドコンテンツへダイセミ事務局にダイセミ資料を請求頂いてもお受けできない可能性がございますので予めご了承くださいダイセミ資料は OTN コンテンツオンデマンドかセミナ実施時間内にダウンロード頂くようお願い致します 32

OTN セミナーオンデマンドコンテンツダイセミで実施された技術コンテンツを動画で配信中!! ダイセミのライブ感はそのままにお好きな時間で受講頂けます最新情報つぶやき中 oracletechnetjp 人気コンテンツは? お勧め情報公開予告など OTN トップページ http://www.oracle.com/technetwork/jp/index.html ページ左基本リンク > OTN セミナーオンデマンド掲載のコンテンツ内容は予告なく変更になる可能性があります期間限定での配信コンテンツも含まれておりますお早めにダウンロード頂くことをお勧めいたします 33

Oracle エンジニアのための技術情報サイトオラクルエンジニア通信 http://blogs.oracle.com/oracle4engineer/ 最新情報つぶやき中 oracletechnetjp 技術資料ダイセミの過去資料や製品ホワイトペーパースキルアップ資料などを多様な方法で検索できますキーワード検索レベル別カテゴリ別製品機能別コラムオラクル製品に関する技術コラムを毎週お届けします決してニッチではなく誰もが明日から使える技術のあそうだったんだ! をお届けしますオラクルエンジニア通信こんな資料が人気です 6か月ぶりに資料ダウンロードランキングの首位が交代! 新王者はOracle Database 構築資料でしたデータベースの性能管理手法について Statspack 派も Enterprise Manager 派も目からウロコの技術特集公開中 34

Oracle Database の価格ご存知ですか? 1 問題 : Oracle Databaseの最小構成はいくらでしょうか? ヒント : Oracle Standard Edition Oneを 5Named User Plus( 指名ユーザ ) というのが最小構成です 2 問題 : Real Applications Clusters(RAC) Optionはいくらでしょうか? ヒント : RACはOracle Database Enterprise EditionのOptionです答えはこちらログイン不要の簡単見積もりライセンス見積もりヘルプ検索 35

IT プロジェクト全般に渡る無償支援サービスパフォーマンス診断サービス Web システムボトルネック診断サービスデータベースパフォーマンス診断サービス移行支援サービス SQL Server からの移行支援サービス DB2 からの移行支援サービス Sybase からの移行支援サービス MySQL からの移行支援サービス Postgre SQL からの移行支援サービス Access からの移行支援サービス Oracle Direct Concierge サービス NEW Oracle Application ServerからWeblogicへ移行支援サービス NEW システム構成診断サービス Oracle Database 構成相談サービスサーバー統合支援サービス仮想化アセスメントサービスメインフレーム資産活用相談サービス BI EE アセスメントサービス簡易業務診断サービスバージョンアップ支援サービス Oracle Database バージョンアップ支援サービス Weblogic Server バージョンアップ支援サービス Oracle Developer/2000(Froms/Reports) Web アップグレード相談サービス NEW オラクル社のエンジニアが直接ご支援しますお気軽にご活用ください! オラクル無償支援検索 36

1 日 5 組限定! 製品無償評価サービス提供シナリオ一例データベースチューニング無停止アップグレードアプリケーション性能負荷検証 Webシステム障害解析インストールすることなくすぐに体験いただけますサービスご提供までの流れ 1. お問合せフォームより製品評価サービス希望と必要事項を明記し送信下さい 2. 弊社より接続方法手順書およびハンズオン手順書を送付致します 3. 当日は弊社サーバー環境でインターネット越しに製品を体感頂けます Web 問い合わせフォームサービスご提供には事前予約が必要ですダイデモをキーワードに検索することで申し込みホームページにアクセスできます http://www.oracle.com/jp/direct/services/didemo-195748-ja.html 37

あなたにいちばん近いオラクル Oracle Direct まずはお問合せください Oracle Direct 検索システムの検討構築から運用まで ITプロジェクト全般の相談窓口としてご支援いたしますシステム構成やライセンス / 購入方法などお気軽にお問い合わせ下さい Web 問い合わせフォームフリーダイヤル専用お問い合わせフォームにてご相談内容を承ります http://www.oracle.com/jp/direct/inquiry-form-182185-ja.html こちらから詳細確認のお電話を差し上げる場合がありますのでご登録されている連絡先が最新のものになっているかご確認下さい 0120-155-096 月曜 ~ 金曜 9:00~12:00 13:00~18:00 ( 祝日および年末年始除く ) 38