重要な業務データの保護を支援する 「Guardium」のご紹介 2010/7/28 日本アイ・ビー・エム株式会社 ソフトウェア事業データマネジメント営業部 藤本 敬信 © 2009 IBM Corporation Guardium( Guardium(ガーディアム) ガーディアム)を一言で 一言で言うと・・・ 業界用語的には、 「エンタープライズ データベース セキュリティ & 監査/ 監査/コンプライアンス ソリューション」 つまり、「データベース データベース」に対して データベース セキュリティ • 外部攻撃、内部犯行から貴重なデータ(顧客情報、財務情報、人事情 報、特許、図面情報 etc.)を守る 監査/ 監査/コンプライアンス • データが監査に耐えうる、または内部統制に準拠している事を証明 こんな事をしてくれるツール © 2009 IBM Corporation Guardiumはアプライアンスサーバーとして はアプライアンスサーバーとして納品致 はアプライアンスサーバーとして納品致します 納品致します © 2009 IBM Corporation IBM統合前 統合前 Guardium社概要 社概要 • 2010年8月 IBM統合 • 2002年、アメリカ合衆国ボストンにて創業 • Ciscoや大手ベンチャーキャピタルから総額21億円の出資を受ける • ワールドワイドに、約150人の従業員 • データベースのセキュリティーとコンプライアンス ソリューション 専業ベンダー • CTO(Chief Technology Offcer)のRon BenNatanは、約10冊の著書があり、IBMのゴールドコ ンサルタント。20年以上、メリルリンチ、JPモルガン、ベル研究所にて情報セキュリティ、データ ベースマネジメントに従事 • ワールドワイドで、約400社の顧客。 国内は、約50社。 • 前年対比 68% の急速な成長 • 2009年の売上は、約40億円 • Oracle、IBM、Microsoft、Sybase、EMC、BMC、HP、EDC、ArcSight、McAfee、RSA、 Teradata とのパートナーシップ © 2009 IBM Corporation 世界のリーディング 世界のリーディング企業 のリーディング企業がガーディアムを 企業がガーディアムを採用 がガーディアムを採用 • 金融: 金融 グローバル トップ5社 トップ 社のうち5社 のうち 社 • 保険: 保険 グローバル トップ5社 トップ 社のうち3社 のうち 社 • 消費財/ハイテク メーカー 消費財 ハイテク: ハイテク 世界2大飲料 世界 大飲料ブランド 大飲料ブランド、 ブランド、No.1 PCメーカー • テレコム: テレコム グローバル トップ10社 トップ 社のうち3社 のうち 社を含む、大手16社 大手 社 • 小売: トップ3社 小売 USトップ トップ 社のうち2社 のうち 社 • ソフトウェア&サービス ソフトウェア サービス: サービス リーディングBIベンダー リーディング ベンダー その他 その他、政府・ 政府・公共機関など 公共機関など多数 など多数 © 2009 IBM Corporation どんなお客様 どんなお客様で 客様で、ご採用いただいているか 採用いただいているか? いただいているか? 通信運輸 サービス7% 4% 7% 建設 7% 官公庁・教 育・病院 13% 製造・化学 16% 金融 24% 金融 IT 製造・化学 官公庁・教育・病院 建設 サービス IT 22% 通信 運輸 ほとんどの業種業態のお客様で採用実績がございます。 © 2009 IBM Corporation なぜ、 なぜ、データベースなのか? データベースなのか • データベースには、ERP(財務、顧客、在庫、人事)、研究開発、特許、知的所有権など 企業にとって最も重要な情報が格納されている 犯罪者の最大のターゲットであり、監査人も最も関心あるエリアの一つ • これらの情報が、大量に格納されている たった一度の漏洩事件でも甚大な被害・損害となり得る • 企業によっては、その重要なDBを世界中に数百のレベルで保有している 且つ、これらは様々なOSやRDBMSで動いており、連携するアプリケーションも多種多様な、 複雑な環境にある これらを、グループで統一された指標・ルールにて管理・監視する必要がある • DBは高度かつ特殊なテクノロジーの塊で、特定の技術者のみ扱う事が可能 彼らの行動を第三者の視点でチェックする必要がある • 法規制(J-SOX、PCI DSS、 Basel II、 個人情報保護法)への対応に大きく関連している 経営課題として位置づけられる © 2009 IBM Corporation なぜ、 なぜ、データベースのモニターが重要 データベースのモニターが重要なのか 重要なのか? なのか DBセキュリティーの主要な手段 – ID/アクセス管理 – 暗号化 – モニタリング(監視) 内部不正・ミスへの対策 不正行為や操作ミスは、事前に知り得 ない行為の為、予防的対策では対応に 限界 予防的対策 発見的対策 外部攻撃への対策 次々と新しい技術/手段が出てくるた 次々と新しい技術 手段が出てくるた め、予防的対策では対応に限界 発見的対策 = モニタリング にて対応 にて対応する 対応する事 する事が必要 © 2009 IBM Corporation お客様の 客様の現状 Aタイプ 現状-① 記録 未対応 警告 未対応 デメリット 問題外。 神頼み。 Oracle 20-30% メリット パフォーマンスダウン DB2 V9.5以降 以降 5-10%劣化 %劣化 お金も人もかからない 集計/レポート 未対応 Bタイプ 現状-② 記録 DBログ機能 警告 手作り 集計/レポート 手作り Cタイプ 対策済 デメリット パフォーマンスの大幅な低下を招き、業務に支障 S/Wコストがかからない が出る それぞれのシステムを個別に対応しなけれ ばいけない → 膨大な工数、コストがかかる ツール導入コストがかからない → 企業として統一した仕組みにならない →見ていない ログは取っているだけ デメリット 記録 警告 集計/レポート DB 監査製品 Guardium メリット Guardium 導入コストがかかる ログの保管 メリット そもそも見ていない パフォーマンスに最小限の影響 EXCELでレポート作成 でレポート作成 マルチプラットフォーム対応 豊富なレポートテンプレート アクセスブロック機能 脆弱性評価機能 変更管理機能 ローカルアクセス対応 © 2009 IBM Corporation データベースセキュリティ・監査 データベースセキュリティ・監査: 監査:ビジネス要件 ビジネス要件 やるべきこと セキュリティ • – 内部漏洩を防ぐ – 特権ユーザー – ハッキングへの対抗 できていない理由 – – プロセス順守の証明 – 承認されていない変更 の特定 – 自動化・コスト削減 標準機能では業務 に影響が出る コスト • コンプライアンス • パフォーマンス • – 監査ログ集めに膨 大な労力 – 人でチェック、分析 複雑な 複雑な環境 • – 技術的に全ログの 取得が難しい – 一元管理できない © 2009 IBM Corporation Guardiumの の特長 • ネットワーク アプライアンス +ソフトウェア ドライバー – ゼロインパクト(既存環境、データベースに負荷なし) – アラート & ブロッキング • セキュア、独立したプラットフォーム – 完全にプロテクトされたアプライアンス – 職務権限の分離 • 優れたレポーティング機能 Custom apps – 70種類以上の標準レポート テンプレート – ドリルダウンして詳細調査 S-TAP • マルチプラットフォーム対応 Collector – 多数のDBMSやOSをサポート – パッケージアプリ、自社開発アプリにも対応 © 2009 IBM Corporation あらゆるデータベースをリアルタイム監視 あらゆるデータベースをリアルタイム監視 アプリケーションサー バ データベースサーバ DB2 SQL Server Custom apps ソフトウェア・エー ジェント(STAP) ) ジェント( アプライアンス (Collector) ) • データベースへの影響は最小限 • エージェントはデータベースの外 • 最小限のパフォーマンスインパクト (平均 • • • 1%) • DBMSの設定変更は必要ない メジャーなDBMSに対応 ローカル、DBAアクセス含む100%の監視 DBチームに頼る必要がないため、権限の分離を実 現 • DBそのものに保存されるログに依存しない • DBAが消去可能なものは監査に意味がな • • い ポリシー設定、監査ログ保存の粒度が細かい • Who, what, when, where, how 設定済みのコンプライアンス/監査レポートテ ンプレート (SOX, PCI, etc.)が70種以上。す ぐに利用可能 © 2009 IBM Corporation サポートするプラットフォーム DBMS バージョン OS タイプ バージョン 32-Bit & 64-Bit Oracle 8i, 9i, 10g (r1, r2), 11g, 11i AIX 5.1, 5.2, 5.3, 6.1 Both Microsoft SQL Server 2000, 2005, 2008 11.00, 11.11, 11.31 Both IBM DB2 LUW (Windows, Unix, z/Linux) 8.0, 8.2, 9.1, 9.5 11.23 PA 32-Bit IBM DB2 for z/OS 7, 8, 9, 9.5 11.23 IA64 64-Bit IBM DB2 for iSeries (AS/400) V5R2, V5R3, V5R4, V6R1 Red Hat Enterprise 2, 3, 4, 5 Both SUSE Linux 9, 10 Both IBM Informix 7, 8, 9, 10,11 Solaris - SPARC 6, 8, 9, 10 Both MySQL 4.1, 5.0, 5.1 Solaris - Intel/AMD 10 Both Sybase ASE 12, 15 Tru64 5.1A, 5.1B 64-Bit Sybase IQ 12.6 NT 32-Bit 2000, 2003, 2008 Both Teradata 6.01, 6.02 パッケージソリューション Oracle E-Business Suite HP-UX Windows アプリケーションサーバ (手作り、その他のパッケージ) IBM WebSphere PeopleSoft BEA WebLogic Siebel Oracle Application Server (AS) SAP JBoss Enterprise Application Platform Cognos Business Objects Web Intelligence + Others based on customer demand 最新情報はこちら: http://www.guardium.com/index.php/t2/226/ 13 © 2009 IBM Corporation 拡張可能なアーキテクチャ 拡張可能なアーキテクチャ 中国・インド オフショア開 発環境への適 用 ヨーロッパ データセンター Guardium for Z コレクター コレクター (アプライアンス) アメリカ データセンター セントラル・マネー ジャ/監査ログリポ ジトリ コレクター その他の場所/ アウトソーシング先 STAP:標準ソフトウェアモジュール SGATE:オプションモジュール SQLアクセスブロック用 • 大規模な適用が可能 • DBMS、OSの種類に関わらずポリシ • ー、ログをすべて一元管理 超大規模適用の実績 • 数千のDBサーバを監視 アジア データセンター コレクター • 大企業に必要な機能を提供 • 業界標準ソリューションとの連携 • コンプライアンス・ワークフロー • ERP、DWHシステムのアプリケーシ ョンユーザレベル監視 © 2009 IBM Corporation より強固 より強固な 強固なDBセキュリティーを DBセキュリティーを実現 セキュリティーを実現する 実現する、 する、包括的ソリューション 包括的ソリューション • 重要/機密データの検出と 分類 • セキュリティーポリシーを継 続的に更新 • マルウェアなどのウィルスや 脆弱なプログラムの検出 検出 Discover & 分類 Classify • 複数システムの一元管理 • 統一監査リポジトリー • 設定済みポリシー&レポート • 自動化された監査プロセス • ログの長期保管 • DB変更不要、低負荷 Critical Data Critical InfraData structure Infrastructure Assess &評価 Assess Harden & 強化 Harden 監査 Audit Audit & & Report レポート モニター Monitor Monitor & & Enforce 対策 Report Enforce • 脆弱性評価 • コンフィギュレーション評価 • ビヘイビア評価 • ベストプラクティスに基く設定 済みテストシナリオ (STIG、CIS) • SQLインジェクション • 特権ユーザー監視 • アプリケーション経由の不正 検知 • OS、DBの変更管理 • リアルタイムアラート&ブロック • 統合ログシステムとの連携 © 2009 IBM Corporation リアルタイム監視 リアルタイム監視、 監視、警告 本番アプリサーバ以外 からアクセス? アプリケーショ ンサーバ データベース サーバ 10.10.9.244 10.10.9.56 詳細な監査ログを記録 するとともに担当者にメ ールでアラート! © 2009 IBM Corporation S-GATE: 不正アクセスをブロック 不正アクセスをブロック “DBMS ソフトウェアは一般的に管理者からのアクセスからデータを保護する手段を持っていない。 つまり、データベースに保管された機密情報はいつでもDBAに見られる可能性がある” Forrester, “Database Security: Market Overview,” Feb. 2009 アプリサーバ SQL(レイテンシーなし) 特権 ユーザ Oracle, DB2, MySQL, Sybase, etc. SQL発行 発行 S-GATE SQLを を保留 外部DBA 接続を 接続を切断しろ 切断しろ ポリシー違反 ポリシー違反: 違反 接続を 接続を切断 アプライアンスに 対してポリシーを チェック 切断された 切断された接続 された接続 © 2009 IBM Corporation アプリケーションユーザの識別 アプリケーションユーザの識別 Marc Joe • 課題: アプリケーションサーバは一般的に共通のユーザIDでDB に接続する – 誰が トランザクションを開始したか識別出来ない 識別出来ない。 (コネク ションプール) ユーザ アプリサーバ (SAP, etc.) DBサーバ • 解決法: GuardiumはSQLを発行するアプリケーションユーザま で追跡可能。 – 主要なエンタプライズ・アプリケーションに標準で 標準で (Oracle EBS, PeopleSoft, SAP, Siebel, Business Objects, Cognos…)、手作りアプリケーションにも対応可能 (WebSphere….) 18 © 2009 IBM Corporation 脆弱性診断の 脆弱性診断の例 過去実行したテストとの 過去実行したテストとの比 したテストとの比 較 全体の 全体の得点 詳細得点分布 DBのパーミッション、ロー ル、パスワード等のデフォル ト設定がそのままの状態に なっていないこと、最新の バージョン、パッチ適用され てるか テスト結果 テスト結果をフィル 結果をフィル タリング CIS,STIG準拠 準拠のテスト 準拠のテスト、 のテスト、 対策も 対策も提示 © 2009 IBM Corporation 取得可能データ 取得可能データ項目 データ項目 監査で必要なすべてのデータを適切な粒度でモニター、取得 クライアント IP クライアント ホスト名 ホスト名 ドメインログイン アプリユーザ ID クライアント OS MAC TTL Origin ログイン失敗 ログイン失敗 サーバ IP サーバ ポート サーバ 名 セッション SQL パターン ネットワークプロトコル サーバ OS タイムスタンプ アクセスプログラム 全SQLコマンド コマンド 項目 オブジェクト 命令 DDL DML DCL DB ユーザ名 ユーザ名 DB バージョン DB 種類 DB プロトコル Origin DB エラー セレクト項目数 セレクト項目数 • これらの項目から 自由にレポートを 作成することが可 能 © 2009 IBM Corporation 20 レポート表示 出力 レポート表示、 表示、PDF出力 その他 その他の機能: 機能: • レポートの作成をスケジュー ルして、作成されたレポート を自動配信 • 自動配信されたレポートをワ ークフローに載せて、確認で きたかどうかを管理 することも可能。 © 2009 IBM Corporation 既存アーキテクチャとの 既存アーキテクチャとの融合 アーキテクチャとの融合 アプリケーションサーバ Oracle EBS, SAP, Siebel, SIEMソリューション - ArcSight, EnVision, TSIEM, etc ディレクトリサービス (Active Directory, LDAP, etc) Cognos, PeopleSoft, etc 特権ユーザ コネクションプールを利用していても 変更管理システムとの照合 アプリユーザを取得 SIEMに 対してアラート ユーザグループ情報 ダウンロード 外部ストレージ EMC Centera, IBM TSM FTP, SCP, etc 変更管理システム - Remedy, Peregrine, etc バックアップ、アーカイブ データは当然暗号化、通信もSCPに より暗号化 データベース、 重要データの 検知 自動配布 & 自動インストール データの分類 脆弱性診断 ソフトウェア配布ソリューション SNMP システム Tivoli, RPM’s Openview, Tivoli, etc -CVE番号, CISベンチマーク, STIG対応 © 2009 IBM Corporation あなたならどう設計 あなたならどう設計しますか 設計しますか アプリサーバ データベース管 理者 外部アクセスなしのア プライアンス Network スパニング/ミ ラリングポート エージェントで • DBMS固有のロ グを見る 暗号化アクセス 暗号化アクセス、 アクセス、 ローカルアクセ 取得出来ない ローカルエー ス取得出来ない DBサーバ内 DBサーバのパ サーバのパ フォーマンスが2 2- フォーマンスが 3割ダウン • シェアメモリを サンプリング 99.9%でいいの でいいの? でいいの? • 全アクセスを カーネルレベル でモニタリング して、コピーす る Q1: すべてのデータベースアクセスをモニタ リングしたい場合、どこでやりますか? ジェント DB管理者 管理者が 管理者が消去、 消去、 改竄可能 データベース サーバ 任意のサーバ サーバへのアク セス権限 セス権限を 権限を持っ ている人 ている人が消去、 消去、 改竄可能 Q2: データベースサーバにエージェントを入 れるとしたら、どのような実装が効果的です か? Q3: 監査証跡となるログはどこで保存します か? 正しいアーキテクチャー を持つことは非常に重 要! © 2009 IBM Corporation Guardium 標準的導入作業 <Guardium 導入・設置作業> 設計フェーズ システム監査要件(対象データ、対象ユーザ、監査範囲)のヒアリング システム環境(OS, データベース)のヒアリング アプライアンスサーバ設定(システム、ネットワーク設定) 導入フェーズ ハードウェアの設置立会い、設定のアドバイス ハードウェア設置時の正常動作確認 製品トレーニング ポリシー策定支援 導入・ 導入・設置作業期間: 設置作業期間: 5日間 © 2009 IBM Corporation © 2009 IBM Corporation
© Copyright 2024 ExpyDoc
