AUDIT MASTER 1 データベースにおけるリスク対策 データベースにおけるリスク対策で気をつけるべきこと データベースのリスク ・データベース管理者の直接 の操作、なりすまし (不正ア クセス) ・AP等の脆弱性をついた攻撃 データベース ■100%防御はできない ■事故前提の対策が必要 暗号化しておきさえすれ ば安心、という誤解 WAFですべての不正ア クセスは防げない Copyright © 2014 Aqua-Systems, Inc. All Rights Reserved. AUDIT MASTER 2 データベースの管理者・特権ユーザー 管理者=特別な権限を持ったユーザー » OSの特権ユーザー ‒ Windows Administratorsグループ ‒ UNIX系 rootユーザー » DBの特権ユーザー ‒ DBA Oracleでは、DBA権限、 特にsysdba接続 SQLServerでは、sysadminロール OS特権ユーザー OS DB DB特権ユーザー OSユーザーのOSへのログイン、 OSファイル操作、印刷、等 DBユーザーのDBへのログイン、 DB権限操作、DB構造変更操作、 DBデータ操作(参照、更新)、等 Copyright © 2014 Aqua-Systems, Inc. All Rights Reserved. AUDIT MASTER 3 権限を持たない 不正アクセス データベースのセキュリティ 権限を持った、範囲外への 不正アクセス 正当な権限を使った 不正アクセス 基本設定 脆弱性の低減 アクセス制御 脅威の縮小 暗号化 漏洩リスク無害化&保護対象縮小 ログ 検知、抑止、事故後の対策 Copyright © 2014 Aqua-Systems, Inc. All Rights Reserved. AUDIT MASTER 4 クラウド環境について ユーザーの責任範囲について認識が必要 ユーザーが セキュリティ を担保 データベース RDS OS EC2 ネットワーク クラウド事 業者が セキュリティ を担保 ハードウェア 建物/環境 結局のところ アプリやOS データベースでは 従来の対策は 引き続き行うべき Copyright © 2014 Aqua-Systems, Inc. All Rights Reserved. AUDIT MASTER 5 DB管理者の意識調査 by DBSC 「不正をするかも知れない」意識 将来、データベースに格納されている情報をこ っそり売却するかも知れない。 回答数 % 1,000 全体 1 そう思う 36 3.6 2 ややそう思う 71 7.1 3 どちらともいえない 134 13.4 4 あまりそう思わない 104 10.4 5 そう思わない 655 65.5 将来、データベースを壊して業務を妨害する ことがあるかも知れない。 回答数 % 1,000 全体 1 そう思う 29 2.9 2 ややそう思う 65 6.5 3 どちらともいえない 155 15.5 4 あまりそう思わない 96 9.6 5 そう思わない 655 65.5 将来、データベースに格納されている情報をこ っそり改ざんするかも知れない。 回答数 % 1,000 全体 1 そう思う 24 2.4 2 ややそう思う 74 7.4 3 どちらともいえない 144 14.4 4 あまりそう思わない 107 10.7 5 そう思わない 651 65.1 将来、データベースのユーザ名やパスワード を他人に教えるかも知れない。 回答数 % 1,000 全体 1 そう思う 23 2.3 2 ややそう思う 81 8.1 3 どちらともいえない 134 13.4 4 あまりそう思わない 111 11.1 5 そう思わない 651 65.1 10%が ひょっとしたら Copyright © 2014 Aqua-Systems, Inc. All Rights Reserved. AUDIT MASTER 6 DBSC 緊急提言イベントご案内 データベース・セキュリティ・コンソーシアム (DBSC) » 「データベース・セキュリティ」の普及促進を啓蒙している団体です。 http://www.db-security.org/ データベースセキュリティを考える上で、要素技術として重要な「フォレンジック」、「システ ムデザイン」、「アクセスコントロール」、「パフォーマンス」などのキーワードを柱として、ワ ーキンググループ活動を実施。データベース技術者、セキュリティ技術者、システム開発 者、ネットワーク技術者など様々な技術交流、法律の専門家や法執行機関との情報交流 や勉強会の場を提供。 「緊急提言:オンラインサービスにおけるデータベースと機密情報の保護」 2011年6月 に発表 緊急開催!DBSCセミナー 2014年9月10日(水) 13時30分~17時30分 「個人情報活用時代の在り方~ 先般の個人情報漏えい事件を受けて ~ http://www.db-security.org/seminar/20140910.html Copyright © 2014 Aqua-Systems, Inc. All Rights Reserved.
© Copyright 2024 ExpyDoc