データベースにおけるリスク対策

AUDIT MASTER
1
データベースにおけるリスク対策
データベースにおけるリスク対策で気をつけるべきこと
データベースのリスク
・データベース管理者の直接
の操作、なりすまし (不正ア
クセス)
・AP等の脆弱性をついた攻撃
データベース
■100%防御はできない
■事故前提の対策が必要
暗号化しておきさえすれ
ば安心、という誤解
WAFですべての不正ア
クセスは防げない
Copyright © 2014 Aqua-Systems, Inc. All Rights Reserved.
AUDIT MASTER
2
データベースの管理者・特権ユーザー
管理者=特別な権限を持ったユーザー
» OSの特権ユーザー
‒ Windows Administratorsグループ
‒ UNIX系 rootユーザー
» DBの特権ユーザー
‒ DBA
Oracleでは、DBA権限、 特にsysdba接続
SQLServerでは、sysadminロール
OS特権ユーザー
OS
DB
DB特権ユーザー
OSユーザーのOSへのログイン、
OSファイル操作、印刷、等
DBユーザーのDBへのログイン、
DB権限操作、DB構造変更操作、
DBデータ操作(参照、更新)、等
Copyright © 2014 Aqua-Systems, Inc. All Rights Reserved.
AUDIT MASTER
3
権限を持たない
不正アクセス
データベースのセキュリティ
権限を持った、範囲外への
不正アクセス
正当な権限を使った
不正アクセス
基本設定
脆弱性の低減
アクセス制御
脅威の縮小
暗号化
漏洩リスク無害化&保護対象縮小
ログ
検知、抑止、事故後の対策
Copyright © 2014 Aqua-Systems, Inc. All Rights Reserved.
AUDIT MASTER
4
クラウド環境について
ユーザーの責任範囲について認識が必要
ユーザーが
セキュリティ
を担保
データベース
RDS
OS
EC2
ネットワーク
クラウド事
業者が
セキュリティ
を担保
ハードウェア
建物/環境
結局のところ
アプリやOS
データベースでは
従来の対策は
引き続き行うべき
Copyright © 2014 Aqua-Systems, Inc. All Rights Reserved.
AUDIT MASTER
5
DB管理者の意識調査 by DBSC
「不正をするかも知れない」意識
将来、データベースに格納されている情報をこ
っそり売却するかも知れない。
回答数
%
1,000
全体
1 そう思う
36
3.6
2 ややそう思う
71
7.1
3 どちらともいえない
134
13.4
4 あまりそう思わない
104
10.4
5 そう思わない
655
65.5
将来、データベースを壊して業務を妨害する
ことがあるかも知れない。
回答数
%
1,000
全体
1 そう思う
29
2.9
2 ややそう思う
65
6.5
3 どちらともいえない
155
15.5
4 あまりそう思わない
96
9.6
5 そう思わない
655
65.5
将来、データベースに格納されている情報をこ
っそり改ざんするかも知れない。
回答数
%
1,000
全体
1 そう思う
24
2.4
2 ややそう思う
74
7.4
3 どちらともいえない
144
14.4
4 あまりそう思わない
107
10.7
5 そう思わない
651
65.1
将来、データベースのユーザ名やパスワード
を他人に教えるかも知れない。
回答数
%
1,000
全体
1 そう思う
23
2.3
2 ややそう思う
81
8.1
3 どちらともいえない
134
13.4
4 あまりそう思わない
111
11.1
5 そう思わない
651
65.1
10%が ひょっとしたら
Copyright © 2014 Aqua-Systems, Inc. All Rights Reserved.
AUDIT MASTER
6
DBSC 緊急提言イベントご案内
データベース・セキュリティ・コンソーシアム (DBSC)
» 「データベース・セキュリティ」の普及促進を啓蒙している団体です。
http://www.db-security.org/
 データベースセキュリティを考える上で、要素技術として重要な「フォレンジック」、「システ
ムデザイン」、「アクセスコントロール」、「パフォーマンス」などのキーワードを柱として、ワ
ーキンググループ活動を実施。データベース技術者、セキュリティ技術者、システム開発
者、ネットワーク技術者など様々な技術交流、法律の専門家や法執行機関との情報交流
や勉強会の場を提供。
 「緊急提言:オンラインサービスにおけるデータベースと機密情報の保護」 2011年6月
に発表
緊急開催!DBSCセミナー
2014年9月10日(水) 13時30分~17時30分
「個人情報活用時代の在り方~ 先般の個人情報漏えい事件を受けて ~
http://www.db-security.org/seminar/20140910.html
Copyright © 2014 Aqua-Systems, Inc. All Rights Reserved.