AUDIT MASTER 1 データベースにおけるリスク対策 データベースにおけるリスク対策で気をつけるべきことデータベースのリスク・データベース管理者の直接の操作、なりすまし (不正アクセス) ・AP等の脆弱性をついた攻撃データベース ■100%防御はできない ■事故前提の対策が必要 暗号化しておきさえすれば安心、という誤解 WAFですべての不正アクセスは防げない Copyright © 2014 Aqua-Systems, Inc. All Rights Reserved. AUDIT MASTER 2 データベースの管理者・特権ユーザー 管理者＝特別な権限を持ったユーザー » OSの特権ユーザー ‒ Windows Administratorsグループ ‒ UNIX系 rootユーザー » DBの特権ユーザー ‒ DBA Oracleでは、DBA権限、特にsysdba接続 SQLServerでは、sysadminロール OS特権ユーザー OS DB DB特権ユーザー OSユーザーのOSへのログイン、 OSファイル操作、印刷、等 DBユーザーのDBへのログイン、 DB権限操作、DB構造変更操作、 DBデータ操作(参照、更新)、等 Copyright © 2014 Aqua-Systems, Inc. All Rights Reserved. AUDIT MASTER 3 権限を持たない不正アクセスデータベースのセキュリティ権限を持った、範囲外への不正アクセス正当な権限を使った不正アクセス基本設定 脆弱性の低減アクセス制御 脅威の縮小暗号化 漏洩リスク無害化＆保護対象縮小ログ 検知、抑止、事故後の対策 Copyright © 2014 Aqua-Systems, Inc. All Rights Reserved. AUDIT MASTER 4 クラウド環境について ユーザーの責任範囲について認識が必要ユーザーがセキュリティを担保データベース RDS OS EC2 ネットワーククラウド事業者がセキュリティを担保ハードウェア建物／環境結局のところアプリやOS データベースでは従来の対策は引き続き行うべき Copyright © 2014 Aqua-Systems, Inc. All Rights Reserved. AUDIT MASTER 5 DB管理者の意識調査 by DBSC 「不正をするかも知れない」意識将来、データベースに格納されている情報をこっそり売却するかも知れない。回答数％ 1,000 全体 1 そう思う 36 3.6 2 ややそう思う 71 7.1 3 どちらともいえない 134 13.4 4 あまりそう思わない 104 10.4 5 そう思わない 655 65.5 将来、データベースを壊して業務を妨害することがあるかも知れない。回答数％ 1,000 全体 1 そう思う 29 2.9 2 ややそう思う 65 6.5 3 どちらともいえない 155 15.5 4 あまりそう思わない 96 9.6 5 そう思わない 655 65.5 将来、データベースに格納されている情報をこっそり改ざんするかも知れない。回答数％ 1,000 全体 1 そう思う 24 2.4 2 ややそう思う 74 7.4 3 どちらともいえない 144 14.4 4 あまりそう思わない 107 10.7 5 そう思わない 651 65.1 将来、データベースのユーザ名やパスワードを他人に教えるかも知れない。回答数％ 1,000 全体 1 そう思う 23 2.3 2 ややそう思う 81 8.1 3 どちらともいえない 134 13.4 4 あまりそう思わない 111 11.1 5 そう思わない 651 65.1 10%がひょっとしたら Copyright © 2014 Aqua-Systems, Inc. All Rights Reserved. AUDIT MASTER 6 DBSC 緊急提言イベントご案内 データベース・セキュリティ・コンソーシアム (DBSC) » 「データベース・セキュリティ」の普及促進を啓蒙している団体です。 http://www.db-security.org/  データベースセキュリティを考える上で、要素技術として重要な「フォレンジック」、「システムデザイン」、「アクセスコントロール」、「パフォーマンス」などのキーワードを柱として、ワーキンググループ活動を実施。データベース技術者、セキュリティ技術者、システム開発者、ネットワーク技術者など様々な技術交流、法律の専門家や法執行機関との情報交流や勉強会の場を提供。  「緊急提言：オンラインサービスにおけるデータベースと機密情報の保護」 2011年6月に発表 緊急開催！DBSCセミナー 2014年9月10日(水) 13時30分～17時30分「個人情報活用時代の在り方～先般の個人情報漏えい事件を受けて～ http://www.db-security.org/seminar/20140910.html Copyright © 2014 Aqua-Systems, Inc. All Rights Reserved.