海外最新動向に学ぶ、 進化する脅威、増加する内部不正 へのデータ保護対策 オラクル・コーポレーション データベースセキュリティ プロダクトマネジメント シニアディレクター ポール・ニーダム Copyright © 2014 Oracle and/or its affiliates. All rights reserved. | • 以下の事項は、弊社の一般的な製品の方向性に関する概要を説明する ものです。また、情報提供を唯一の目的とするものであり、いかなる契約 にも組み込むことはできません。以下の事項は、マテリアルやコード、機 能を提供することをコミットメント(確約)するものではないため、購買決定 を行う際の判断材料になさらないで下さい。オラクル製品に関して記載さ れている機能の開発、リリースおよび時期については、弊社の裁量により 決定されます。 OracleとJavaは、Oracle Corporation 及びその子会社、関連会社の米国及びその他の国における登録商標です。 文中の社名、商品名等は各社の商標または登録商標である場合があります。 Copyright © 2014 Oracle and/or its affiliates. All rights reserved. | 2 過去12か月間の大規模な漏えい事件 2億件 信用調査機関 2014年3月 1億5000万 以上の コード ハイテク 2013年10月 5600万件 小売業者 2014年9月 7600万件 9800万件 金融サービス 2014年10月 小売業者 2013年12月 通信業者 2013年10月 200 万件 2000万件 2200万件 信用調査機関 1200万件 教育 2014年7月 通信業者 2014年1月 1億5000万件 eコマース 14年5月 南アフリカの銀行 2013年10月 クレジット カード © 2015and/or Oracle its and/or its affiliates. All rights reserved. | Copyright Copyright © 2015, Oracle affiliates. All rights reserved. | 入国管理事務所 2014年6月 個人情報 3 典型的な攻撃ベクトル SQLインジェクション 攻撃 ブルート・フォース・ ハッキング 盗んだ資格情報を 利用したもの マルウェア ソーシャル攻撃 コマンド&コントロール Copyright 2015 and/or Oracle and/or its affiliates. All rights reserved. Copyright © 2015© Oracle its affiliates. All rights reserved. | | Oracle Public 4 データベースがこれほどまでに脆弱な理由 ITセキュリティ・プログラムの80%は、データベース・セキュリティに対応していない SQL インジェクション 攻撃 SIEM IDS 認証 エンドポイント ネットワーク 電子メール Copyright © 2014 Oracle and/or its affiliates. All rights reserved. | 5 内部の者(インサイダー)によるデータ漏えいが 全インシデントの70%を占めている 出典: 2013年のVerizonデータ漏えい調査レポート Copyright © 2015 Oracle and/or its affiliates. All rights reserved. | 6 リスクは社内にある シンプルなガバナンスでリスクを軽減できる 50% 76% のマルウェアは 誤った設定で拡散 パッチ適用に6か月以上 かかっている組織の割合 VDBIR 2014 IOUG 2013 80% 85% 5分以内の 攻撃の割合 は 脆弱なパスワードを 標的としている VDBIR 2014 Copyright © 2014 Oracle and/or its affiliates. All rights reserved. | VDBIR 2014 7 データの漏えいが増加しており、 データベースが標的になっている 個人情報のデータ漏えい は2005年の5300万レコー ドから、2億5千万レコー ドに増加した #1 「データベースとファイル ・サーバーはいずれも非常 に貴重な情報のリポジトリ で、定期的に標的となって いる。」 クレデンシャル(資格証明) の盗難が最大の脅威 データベースはインサイダー の標的として第2位 出典: Privacyrights.org; 2014年のVerizonデータ漏えい調査レポート Copyright © 2015 Oracle and/or its affiliates. All rights reserved. | 8 オラクルのデータベース・セキュリティ・コントロール 予 防 検 出 管 理 暗号化とリダクション アクティビティの監視 鍵管理 マスキング&サブセッティング データベース・ ファイアウォール 特権とデータ・ディスカバリ 特権・運用管理者の統制 監査とレポート 構成管理 Copyright © 2015 Oracle and/or its affiliates. All rights reserved. | 9 予防的統制によるセキュリティ・コントロール データ リダクション ユーザー ssn:xxx-xx-4321 dob:xx/xx/xxxx 開発/テスト パートナー,BI アプリケーション DB アクセス制御 Access denied 「権限不足」 特権ユーザー Key Vault データ 暗号化 データ サブセッティング データ マスキング *7#$%!!@!%afb ##<>*$#@34 地域、年 サイズベース ssn:423-55-3571 dob: 12/01/1987 Copyright © 2015 Oracle and/or its affiliates. All rights reserved. | 10 暗号化によりデータベースのバイパスを防止 Oracle Advanced Security ディスク • 透過的なデータ暗号化 • アプリケーションの改修不要 & ) @ * *($ • 保存されているデータへのアクセスを 防止 バックアップ < > { ¥ (*# -_ “;_* (^ %^ . ? ,./ ]- +{< &)@*($ エクスポート • 2階層の鍵管理機能を内蔵 • HSM/KMSをサポート アプリケーション • オラクルテクノロジー製品と統合 Copyright © 2014 Oracle and/or its affiliates. All rights reserved. | オフサイト ファシリティ 11 機密データの表示を防止 Oracle Advanced Security • セッション・ファクタに基づき、結果 セットを実行時にリダクション • 完全、部分的、固定のリダクション リダクション ポリシー • リダクションポリシーのライブラリ • 典型的なアプリケーションには透過的 XXXX-XXXX-XXXX-4368 4451-2172-9841-4368 • 運用作業への影響はない コール・センター Copyright © 2014 Oracle and/or its affiliates. All rights reserved. | 請求部門 12 機密データの増殖を阻止 Oracle Data Masking and Subsetting • 機密のアプリケーション・データを 置き換える 姓 SSN 給与 AGUILAR 203-33-3234 40,000 BENSON 323-22-2943 60,000 本番 • サブセッティングの統合 • 参照整合性を維持 アプリケーション ・テンプレート • 拡張可能なテンプレート・ライブラリ 本番以外 • 自動マスキング・ポリシー • オラクル以外のデータベースも サポート 姓 SSN 給与 ANSKEKSL 323-23-1111 60,000 BKJHHEIEDK 252-34-1345 40,000 Copyright © 2014 Oracle and/or its affiliates. All rights reserved. | 13 特権ユーザーのリスクを回避 Oracle Database Vault セキュリティ DBA • アプリケーション・データへのデータ ベース管理者によるアクセスを制限 アプリケ ーション X 調達 アプリケー ション DBA • マルチファクタ認証 人事 • エンタープライズ・データのガバナンス と最小権限を強制 財務 • レルム(Realm)が保護ゾーンを作成 X select * from finance.customers • アプリケーション側のポリシーへの追加 設定不要 アプリケーション Copyright © 2014 Oracle and/or its affiliates. All rights reserved. | DBA 14 特権とロールの使用状況を確認 Oracle Database Vault • 特権キャプチャ・モードをオン • 特権とロールに関するレポート • 特権の取り消し作業をサポート • 最小限の特権の付与を推進し リスクを軽減 アプリケ ーション Drop… Create… Update… DBA role APADMIN role • 中断なくセキュリティを強化 Copyright © 2014 Oracle and/or its affiliates. All rights reserved. | 未使用 更新 APPADMIN 15 ラベル・ベースのアクセス・コントロール Oracle Label Security • ラベルを使用してユーザー、データを 分類 X • 行レベルのアクセス・コントロール • 複数レベルでのセキュリティ • Data Redaction ポリシー用のラベル SENSITIVE CONFIDENTIAL Confidential Sensitive PUBLIC • Database Vault ポリシー用のラベル Copyright © 2014 Oracle and/or its affiliates. All rights reserved. | 16 発見的統制によるセキュリティ・コントロール データベース・ ファイアウォール ✔ SYBASE ! ユーザー アプリケーション ネットワーク イベント アラート データ監査 ! レポート データ監査、 イベント・ログ カスタム ポリシー Audit Vault Copyright © 2015 Oracle and/or its affiliates. All rights reserved. | 17 許可されていないデータベース・アクティビティを 検出とブロック Oracle Audit Vault and Database Firewall • データベース・アクティビティの監視 • 独特のSQL文法解析 ユーザー 許可 ログ • ホワイトリストとブラックリスト によるアクティビティの強制 アラート 置換 ブロック • SQLインジェクション攻撃を含む 許可されていないアクティビティの 検出/ブロック • 拡張性のあるソフトウェア・アプライ アンス アプリケーション SQL分析 ポリシー ファクタ ホワイト リスト ブラック リスト Copyright © 2015 Oracle and/or its affiliates. All rights reserved. | 18 リアルタイムで監査、報告、アラート発出を実行 Oracle Audit Vault and Database Firewall データ監査& イベント・ログ • 一元化されたセキュアなレポジトリ • 疑わしいアクティビティを検出/ アラート • すぐに使えるカスタム& コンプライアンス・レポート • データベースの監査を合理化 データベース SOC アラート レポート 監査役 ポリシー • 職務分掌機能を内蔵 セキュリティ アナリスト データベース ファイアウォール OS & ストレージ ディレクトリ ビッグ・ データ・ アプライアンス カスタム Copyright © 2015 Oracle and/or its affiliates. All rights reserved. | 19 管理によるセキュリティ・コントロール 特権の分析 機密データの検出 構成のスキャン Copyright © 2015 Oracle and/or its affiliates. All rights reserved. | 20 鍵とウォレットを一元管理 Oracle Key Vault • 鍵、ウォレット、クレデンシャル、 パスワード、証明書を安全に管理 HA バックアップ • 暗号化されたOracle Databaseや その他サービス用に最適化 • OASIS KMIPを使用しているオラクル以外 のエンドポイントにも対応 ウォレットの アップロード/ ダウンロード • 強化され、インストールが容易な ソフトウェア・アプライアンス Live 接続 Copyright © 2015 Oracle and/or its affiliates. All rights reserved. | 21 機密データの検出 Oracle Enterprise Manager • Oracle Databaseの機密データをスキャン • 豊富なデータ定義を内蔵 • アプリケーション・データ・モジュール の検出 • 機密データを適切に保護 – – – – 暗号化 編集 マスキング 監査… Copyright © 2015 Oracle and/or its affiliates. All rights reserved. | 22 構成の脆弱性スキャニング Oracle Database Lifecycle Management ディスカバリ • データベースの検出と分類 • ベスト・プラクティス、標準と照合して スキャニングを行い、セキュアな構成で あることを確認 • 許可されていない変更を検出 スキャンと監視 • 自動的に矯正 • パッチ適用とプロビジョニング パッチ適用 Copyright © 2015 Oracle and/or its affiliates. All rights reserved. | 23 顧客事例 24 Qatar Olympic Committee スポーツのためにセキュリティレベルを強化 課題 ゴールは、持続可能なスポーツ開 発を通じて世界を1つにする スポーツを通じて国際関係を強化 することを目的 業種: プロフェッショナルサービス 日々のデータベースの管理タスクの簡素化 ステークホルダーや従業員のプライバシーを保護 スポーツイベントのデータを保護することで観客とプレイヤーのセキュリティを強化 データセキュリティに関する解決のために強化されたデータベースの監視と予測 テクノロジー製品の活用によるTCOの削減 ソリューション Oracle Exadataの活用により複数のデータベースインスタンスを統合 プロセッサー数の減少(24から8)によるTCOの削減 アプリケーションとデータベースへのアクセスをOracle Access Managerにより限定 Oracle Advanced Security と Oracle Data Masking Pack により暗号化とデーターのオ ンザフライのマスキングを保証 Copyright © 2015 Oracle and/or its affiliates. All rights reserved. | Oracle Public 25 SquareTwo Financial 法制度に対するコンプライアンス対応と職務文章の実現 課題 1000億ドルの資産回収と管理す る業界のリーダー バンキング、クレジットカード、お よび医療においてフォーチュン 500社の企業が利用するパート ナーネットワーク 業界: 金融機関 GLBA, HIPAA, SOX, PCIに対するコンプライアンス対応 SOXで求められる職務分掌の実現 害を及ぼすデータベーストラフィックを迅速に検出、監視、ブロッキング 成長を維持するために590万人のユーザの分断を最小化 ソリューション 包括的なデータベースセキュリティの多層防御戦略を活用したDatabase Firewall, Advanced Security TDE, Data Masking and Subsetting によるコンプライ アンス対応 Oracle Database Vault によりSOXやGLBA対応で必要となる職務分掌を実現 Oracle Database Firewallを活用しSQLインジェクション攻撃を含む内部や外部か らの脅威に対して保護するためのデータベースアクティビティをモニタリング Copyright © 2015 Oracle and/or its affiliates. All rights reserved. | Oracle Public 26 TransUnion Interactive 法制度に対するコンプライアンス対応と機密情報の保護 課題 TransUnionの消費者子会社は信 用情報のグローバルのリーダー 5億人を超えるグローバルの消 費者のクレジット履歴を保持 業界: 金融機関 PCI DSS, SOX, GLBAに対する コンプライアンス 検知とモニタリングによる増加するデータベースのトラフィックの可視化 アプリケーションへのSQLインジェクション攻撃のためのデータベースセキュリティ と監視の強化 アプリケーションの迂回やデータ奪取を検知し防止する ソリューション データベースのアクティビティ・モニタリングするためにDatabase Firewallを1ヶ月 で導入 性能を維持しながら、10000トランザクション/秒を実現 トラフィックモニターやワークロード、キャパシティ管理をレポート Oracle Advanced Security により表領域暗号化を実現 Copyright © 2015 Oracle and/or its affiliates. All rights reserved. | Oracle Public 27 TIM Brazil アクセス制御と監視機能の強化 課題 Telecom Italia Mobile (イタリアの通 信会社)の子会社である通信会社 1万人以上の従業員 ブラジルの市場の総都市人口の 93%の届く範囲を保持 業界: 通信業 PCI, SOX対応のため機密性の高い個人情報を保護 アプリケーション以外からのデータベースへのアクセスを特定し制限 大量の監査データの管理 特権ユーザーからのアプリケーションデータへのアクセスの最小化 ソリューション Oracle Database Vault が許可されていないデータベースアクティビティを防止 Oracle Audit Vault and Database Firewallによってアクセスするデータの可視性を 高めるシステムを構築 Audit Vault は、とアクティビティの許可とパフォーマンス向上のためアクティビ ティを監査データとデータベースログの統合を実現 Oracle Database Vault によってアプリケーションを迂回するアクセスを防止 Copyright © 2015 Oracle and/or its affiliates. All rights reserved. | Oracle Public 28 セキュリティ実装の展開計画 29 どこから始めますか? データ/ユーザー の分類 コントロール マッピング データ・ セキュリティ 戦略 脅威予測 Copyright © 2015 Oracle and/or its affiliates. All rights reserved. | 30 1つとして同じデータはない GOLD PLATINUM SILVER BRONZE 機密性が高く 制限されている 企業の 機密性がないデータ 社内データ 社内ポータル、 組織ディレクトリ、 テスト/開発システム... 四半期決算、 規制 コンプライアンス M&A、IP、 トランザクション、 オーダー... PII、PCI、 PHI、SOX… Copyright © 2015 Oracle and/or its affiliates. All rights reserved. | ソース・コード... 31 データとセキュリティ・コントロールのマッピング GOLD SILVER BRONZE コマンド&コントロール アクセスを保護 データを保護 セキュアな構成 スキャンとパッチ セキュアな構成 機密なアクティビティ の監査 保存データの暗号化 PLATINUM アプリケーション・ への返し値を編集 DBへの操作をコントロール 実行中に特権利用状況を分析 無許可のSQLトラフィックをブロック 総合的な監査 DBAアクセスの制限 ネットワーク・ トラ SQLトラフィックの監視 フィックの暗号化 データのマスキング、抽出 Copyright © 2015 Oracle and/or its affiliates. All rights reserved. | 32 データとセキュリティ・コントロールのマッピング 組織全体 標準的な 構成 セキュリティ ロードマップ プランニングと 管理 メリット 低コストに セキュリティを強化 シンプルな セキュリティ セキュリティ コントロール データの価値 との整合 Copyright © 2015 Oracle and/or its affiliates. All rights reserved. | 33 オラクルのデータベース・セキュリティ戦略 SECURITY INSIDE OUT データの近くでセキュリティ対策を講じる アプリケーションへの透過性は維持しながら パフォーマンスを最大化 多層防御 複数階層によるコントロール: 暗号化、監査、 監視、アクセス制御、マスキング、リダクション … セキュアな 展開 継続的な イノベーション 複合システムへの導入: オペレーティング・ システム、異種混在データベース、 アプリケーション … 仮想プライベート・データベース、 透過的なデータ暗号化、データベース管理者の制御、 データ・リダクション、特権分析、データベース・ ファイアウォール、Real Application Securityなど Copyright © 2015 Oracle and/or its affiliates. All rights reserved. | 34 ご質問・ご相談等ございましたら、終了後もお受けしております あなたにいちばん近いオラクル Oracle Direct 0120-155-096 (平日9:00-12:00 / 13:00-18:00) http://www.oracle.com/jp/direct/index.html Oracle Direct 検索 各種無償支援サービスもございます。 Copyright © 2015 Oracle and/or its affiliates. All rights reserved. | 35 Copyright © 2015 Oracle Oracleand/or and/orits itsaffiliates. affiliates. All Allrights rightsreserved. reserved. ||
© Copyright 2024 ExpyDoc