Document

海外最新動向に学ぶ、
進化する脅威、増加する内部不正
へのデータ保護対策
オラクル・コーポレーション
データベースセキュリティ プロダクトマネジメント
シニアディレクター
ポール・ニーダム
Copyright © 2014 Oracle and/or its affiliates. All rights reserved. |
• 以下の事項は、弊社の一般的な製品の方向性に関する概要を説明する
ものです。また、情報提供を唯一の目的とするものであり、いかなる契約
にも組み込むことはできません。以下の事項は、マテリアルやコード、機
能を提供することをコミットメント(確約)するものではないため、購買決定
を行う際の判断材料になさらないで下さい。オラクル製品に関して記載さ
れている機能の開発、リリースおよび時期については、弊社の裁量により
決定されます。
OracleとJavaは、Oracle Corporation 及びその子会社、関連会社の米国及びその他の国における登録商標です。
文中の社名、商品名等は各社の商標または登録商標である場合があります。
Copyright © 2014 Oracle and/or its affiliates. All rights reserved. |
2
過去12か月間の大規模な漏えい事件
2億件
信用調査機関
2014年3月
1億5000万
以上の
コード
ハイテク
2013年10月
5600万件
小売業者
2014年9月
7600万件
9800万件 金融サービス
2014年10月
小売業者
2013年12月
通信業者
2013年10月
200
万件
2000万件 2200万件
信用調査機関
1200万件
教育
2014年7月
通信業者
2014年1月
1億5000万件
eコマース
14年5月
南アフリカの銀行
2013年10月
クレジット
カード
© 2015and/or
Oracle its
and/or
its affiliates.
All rights
reserved.
|
Copyright Copyright
© 2015, Oracle
affiliates.
All rights
reserved.
|
入国管理事務所
2014年6月
個人情報
3
典型的な攻撃ベクトル
SQLインジェクション
攻撃
ブルート・フォース・
ハッキング
盗んだ資格情報を
利用したもの
マルウェア
ソーシャル攻撃
コマンド&コントロール
Copyright
2015 and/or
Oracle and/or
its affiliates.
All rights
reserved.
Copyright
© 2015©
Oracle
its affiliates.
All rights
reserved.
| | Oracle Public
4
データベースがこれほどまでに脆弱な理由
ITセキュリティ・プログラムの80%は、データベース・セキュリティに対応していない
SQL
インジェクション
攻撃
SIEM
IDS
認証
エンドポイント
ネットワーク
電子メール
Copyright © 2014 Oracle and/or its affiliates. All rights reserved. |
5
内部の者(インサイダー)によるデータ漏えいが
全インシデントの70%を占めている
出典: 2013年のVerizonデータ漏えい調査レポート
Copyright © 2015 Oracle and/or its affiliates. All rights reserved. |
6
リスクは社内にある
シンプルなガバナンスでリスクを軽減できる
50%
76%
のマルウェアは
誤った設定で拡散
パッチ適用に6か月以上
かかっている組織の割合
VDBIR 2014
IOUG 2013
80%
85%
5分以内の
攻撃の割合
は 脆弱なパスワードを
標的としている
VDBIR 2014
Copyright © 2014 Oracle and/or its affiliates. All rights reserved. |
VDBIR 2014
7
データの漏えいが増加しており、
データベースが標的になっている
個人情報のデータ漏えい
は2005年の5300万レコー
ドから、2億5千万レコー
ドに増加した
#1
「データベースとファイル
・サーバーはいずれも非常
に貴重な情報のリポジトリ
で、定期的に標的となって
いる。」
クレデンシャル(資格証明)
の盗難が最大の脅威
データベースはインサイダー
の標的として第2位
出典: Privacyrights.org; 2014年のVerizonデータ漏えい調査レポート
Copyright © 2015 Oracle and/or its affiliates. All rights reserved. |
8
オラクルのデータベース・セキュリティ・コントロール
予 防
検 出
管 理
暗号化とリダクション
アクティビティの監視
鍵管理
マスキング&サブセッティング
データベース・
ファイアウォール
特権とデータ・ディスカバリ
特権・運用管理者の統制
監査とレポート
構成管理
Copyright © 2015 Oracle and/or its affiliates. All rights reserved. |
9
予防的統制によるセキュリティ・コントロール
データ
リダクション
ユーザー
ssn:xxx-xx-4321
dob:xx/xx/xxxx
開発/テスト
パートナー,BI
アプリケーション
DB
アクセス制御
Access denied
「権限不足」
特権ユーザー
Key Vault
データ
暗号化
データ
サブセッティング
データ
マスキング
*7#$%!!@!%afb
##<>*$#@34
地域、年
サイズベース
ssn:423-55-3571
dob: 12/01/1987
Copyright © 2015 Oracle and/or its affiliates. All rights reserved. |
10
暗号化によりデータベースのバイパスを防止
Oracle Advanced Security
ディスク
• 透過的なデータ暗号化
• アプリケーションの改修不要
& ) @ * *($
• 保存されているデータへのアクセスを
防止
バックアップ
< > { ¥ (*# -_
“;_* (^ %^
. ? ,./ ]- +{<
&)@*($
エクスポート
• 2階層の鍵管理機能を内蔵
• HSM/KMSをサポート
アプリケーション
• オラクルテクノロジー製品と統合
Copyright © 2014 Oracle and/or its affiliates. All rights reserved. |
オフサイト
ファシリティ
11
機密データの表示を防止
Oracle Advanced Security
• セッション・ファクタに基づき、結果
セットを実行時にリダクション
• 完全、部分的、固定のリダクション
リダクション
ポリシー
• リダクションポリシーのライブラリ
• 典型的なアプリケーションには透過的
XXXX-XXXX-XXXX-4368
4451-2172-9841-4368
• 運用作業への影響はない
コール・センター
Copyright © 2014 Oracle and/or its affiliates. All rights reserved. |
請求部門
12
機密データの増殖を阻止
Oracle Data Masking and Subsetting
• 機密のアプリケーション・データを
置き換える
姓
SSN
給与
AGUILAR
203-33-3234
40,000
BENSON
323-22-2943
60,000
本番
• サブセッティングの統合
• 参照整合性を維持
アプリケーション
・テンプレート
• 拡張可能なテンプレート・ライブラリ
本番以外
• 自動マスキング・ポリシー
• オラクル以外のデータベースも
サポート
姓
SSN
給与
ANSKEKSL
323-23-1111
60,000
BKJHHEIEDK
252-34-1345
40,000
Copyright © 2014 Oracle and/or its affiliates. All rights reserved. |
13
特権ユーザーのリスクを回避
Oracle Database Vault
セキュリティ
DBA
• アプリケーション・データへのデータ
ベース管理者によるアクセスを制限
アプリケ
ーション
X
調達
アプリケー
ション
DBA
• マルチファクタ認証
人事
• エンタープライズ・データのガバナンス
と最小権限を強制
財務
• レルム(Realm)が保護ゾーンを作成
X
select * from finance.customers
• アプリケーション側のポリシーへの追加
設定不要
アプリケーション
Copyright © 2014 Oracle and/or its affiliates. All rights reserved. |
DBA
14
特権とロールの使用状況を確認
Oracle Database Vault
• 特権キャプチャ・モードをオン
• 特権とロールに関するレポート
• 特権の取り消し作業をサポート
• 最小限の特権の付与を推進し
リスクを軽減
アプリケ
ーション
Drop…
Create…
Update…
DBA role
APADMIN role
• 中断なくセキュリティを強化
Copyright © 2014 Oracle and/or its affiliates. All rights reserved. |
未使用
更新
APPADMIN
15
ラベル・ベースのアクセス・コントロール
Oracle Label Security
• ラベルを使用してユーザー、データを
分類
X
• 行レベルのアクセス・コントロール
• 複数レベルでのセキュリティ
• Data Redaction ポリシー用のラベル
SENSITIVE
CONFIDENTIAL
Confidential
Sensitive
PUBLIC
• Database Vault ポリシー用のラベル
Copyright © 2014 Oracle and/or its affiliates. All rights reserved. |
16
発見的統制によるセキュリティ・コントロール
データベース・
ファイアウォール
✔
SYBASE
!
ユーザー
アプリケーション
ネットワーク
イベント
アラート
データ監査
!
レポート
データ監査、
イベント・ログ
カスタム
ポリシー
Audit Vault
Copyright © 2015 Oracle and/or its affiliates. All rights reserved. |
17
許可されていないデータベース・アクティビティを
検出とブロック
Oracle Audit Vault and Database Firewall
• データベース・アクティビティの監視
• 独特のSQL文法解析
ユーザー
許可
ログ
• ホワイトリストとブラックリスト
によるアクティビティの強制
アラート
置換
ブロック
• SQLインジェクション攻撃を含む
許可されていないアクティビティの
検出/ブロック
• 拡張性のあるソフトウェア・アプライ
アンス
アプリケーション
SQL分析
ポリシー
ファクタ
ホワイト
リスト
ブラック
リスト
Copyright © 2015 Oracle and/or its affiliates. All rights reserved. |
18
リアルタイムで監査、報告、アラート発出を実行
Oracle Audit Vault and Database Firewall
データ監査&
イベント・ログ
• 一元化されたセキュアなレポジトリ
• 疑わしいアクティビティを検出/
アラート
• すぐに使えるカスタム&
コンプライアンス・レポート
• データベースの監査を合理化
データベース
SOC
アラート
レポート
監査役
ポリシー
• 職務分掌機能を内蔵
セキュリティ
アナリスト
データベース
ファイアウォール
OS &
ストレージ
ディレクトリ
ビッグ・
データ・
アプライアンス
カスタム
Copyright © 2015 Oracle and/or its affiliates. All rights reserved. |
19
管理によるセキュリティ・コントロール
特権の分析
機密データの検出
構成のスキャン
Copyright © 2015 Oracle and/or its affiliates. All rights reserved. |
20
鍵とウォレットを一元管理
Oracle Key Vault
• 鍵、ウォレット、クレデンシャル、
パスワード、証明書を安全に管理
HA
バックアップ
• 暗号化されたOracle Databaseや
その他サービス用に最適化
• OASIS KMIPを使用しているオラクル以外
のエンドポイントにも対応
ウォレットの
アップロード/
ダウンロード
• 強化され、インストールが容易な
ソフトウェア・アプライアンス
Live
接続
Copyright © 2015 Oracle and/or its affiliates. All rights reserved. |
21
機密データの検出
Oracle Enterprise Manager
• Oracle Databaseの機密データをスキャン
• 豊富なデータ定義を内蔵
• アプリケーション・データ・モジュール
の検出
• 機密データを適切に保護
–
–
–
–
暗号化
編集
マスキング
監査…
Copyright © 2015 Oracle and/or its affiliates. All rights reserved. |
22
構成の脆弱性スキャニング
Oracle Database Lifecycle Management
ディスカバリ
• データベースの検出と分類
• ベスト・プラクティス、標準と照合して
スキャニングを行い、セキュアな構成で
あることを確認
• 許可されていない変更を検出
スキャンと監視
• 自動的に矯正
• パッチ適用とプロビジョニング
パッチ適用
Copyright © 2015 Oracle and/or its affiliates. All rights reserved. |
23
顧客事例
24
Qatar Olympic Committee
スポーツのためにセキュリティレベルを強化
課題
ゴールは、持続可能なスポーツ開
発を通じて世界を1つにする
スポーツを通じて国際関係を強化
することを目的
業種: プロフェッショナルサービス





日々のデータベースの管理タスクの簡素化
ステークホルダーや従業員のプライバシーを保護
スポーツイベントのデータを保護することで観客とプレイヤーのセキュリティを強化
データセキュリティに関する解決のために強化されたデータベースの監視と予測
テクノロジー製品の活用によるTCOの削減
ソリューション




Oracle Exadataの活用により複数のデータベースインスタンスを統合
プロセッサー数の減少(24から8)によるTCOの削減
アプリケーションとデータベースへのアクセスをOracle Access Managerにより限定
Oracle Advanced Security と Oracle Data Masking Pack により暗号化とデーターのオ
ンザフライのマスキングを保証
Copyright © 2015 Oracle and/or its affiliates. All rights reserved. |
Oracle Public
25
SquareTwo Financial
法制度に対するコンプライアンス対応と職務文章の実現
課題
1000億ドルの資産回収と管理す
る業界のリーダー
バンキング、クレジットカード、お
よび医療においてフォーチュン
500社の企業が利用するパート
ナーネットワーク
業界: 金融機関




GLBA, HIPAA, SOX, PCIに対するコンプライアンス対応
SOXで求められる職務分掌の実現
害を及ぼすデータベーストラフィックを迅速に検出、監視、ブロッキング
成長を維持するために590万人のユーザの分断を最小化
ソリューション
 包括的なデータベースセキュリティの多層防御戦略を活用したDatabase
Firewall, Advanced Security TDE, Data Masking and Subsetting によるコンプライ
アンス対応
 Oracle Database Vault によりSOXやGLBA対応で必要となる職務分掌を実現
 Oracle Database Firewallを活用しSQLインジェクション攻撃を含む内部や外部か
らの脅威に対して保護するためのデータベースアクティビティをモニタリング
Copyright © 2015 Oracle and/or its affiliates. All rights reserved. |
Oracle Public
26
TransUnion Interactive
法制度に対するコンプライアンス対応と機密情報の保護
課題
TransUnionの消費者子会社は信
用情報のグローバルのリーダー
5億人を超えるグローバルの消
費者のクレジット履歴を保持
業界: 金融機関
 PCI DSS, SOX, GLBAに対する コンプライアンス
 検知とモニタリングによる増加するデータベースのトラフィックの可視化
 アプリケーションへのSQLインジェクション攻撃のためのデータベースセキュリティ
と監視の強化
 アプリケーションの迂回やデータ奪取を検知し防止する
ソリューション
 データベースのアクティビティ・モニタリングするためにDatabase Firewallを1ヶ月
で導入
 性能を維持しながら、10000トランザクション/秒を実現
 トラフィックモニターやワークロード、キャパシティ管理をレポート
 Oracle Advanced Security により表領域暗号化を実現
Copyright © 2015 Oracle and/or its affiliates. All rights reserved. |
Oracle Public
27
TIM Brazil
アクセス制御と監視機能の強化
課題
Telecom Italia Mobile (イタリアの通
信会社)の子会社である通信会社
1万人以上の従業員
ブラジルの市場の総都市人口の
93%の届く範囲を保持
業界: 通信業




PCI, SOX対応のため機密性の高い個人情報を保護
アプリケーション以外からのデータベースへのアクセスを特定し制限
大量の監査データの管理
特権ユーザーからのアプリケーションデータへのアクセスの最小化
ソリューション
 Oracle Database Vault が許可されていないデータベースアクティビティを防止
 Oracle Audit Vault and Database Firewallによってアクセスするデータの可視性を
高めるシステムを構築
 Audit Vault は、とアクティビティの許可とパフォーマンス向上のためアクティビ
ティを監査データとデータベースログの統合を実現
 Oracle Database Vault によってアプリケーションを迂回するアクセスを防止
Copyright © 2015 Oracle and/or its affiliates. All rights reserved. |
Oracle Public
28
セキュリティ実装の展開計画
29
どこから始めますか?
データ/ユーザー
の分類
コントロール
マッピング
データ・
セキュリティ
戦略
脅威予測
Copyright © 2015 Oracle and/or its affiliates. All rights reserved. |
30
1つとして同じデータはない
GOLD
PLATINUM
SILVER
BRONZE
機密性が高く
制限されている
企業の
機密性がないデータ 社内データ
社内ポータル、
組織ディレクトリ、
テスト/開発システム...
四半期決算、
規制
コンプライアンス M&A、IP、
トランザクション、
オーダー...
PII、PCI、
PHI、SOX…
Copyright © 2015 Oracle and/or its affiliates. All rights reserved. |
ソース・コード...
31
データとセキュリティ・コントロールのマッピング
GOLD
SILVER
BRONZE
コマンド&コントロール
アクセスを保護
データを保護
セキュアな構成
スキャンとパッチ
セキュアな構成
機密なアクティビティ
の監査
保存データの暗号化
PLATINUM
アプリケーション・
への返し値を編集
DBへの操作をコントロール
実行中に特権利用状況を分析
無許可のSQLトラフィックをブロック
総合的な監査
DBAアクセスの制限
ネットワーク・
トラ
SQLトラフィックの監視
フィックの暗号化
データのマスキング、抽出
Copyright © 2015 Oracle and/or its affiliates. All rights reserved. |
32
データとセキュリティ・コントロールのマッピング
組織全体
標準的な
構成
セキュリティ
ロードマップ
プランニングと
管理
メリット
低コストに
セキュリティを強化
シンプルな
セキュリティ
セキュリティ
コントロール
データの価値
との整合
Copyright © 2015 Oracle and/or its affiliates. All rights reserved. |
33
オラクルのデータベース・セキュリティ戦略
SECURITY
INSIDE OUT
データの近くでセキュリティ対策を講じる
アプリケーションへの透過性は維持しながら
パフォーマンスを最大化
多層防御
複数階層によるコントロール: 暗号化、監査、
監視、アクセス制御、マスキング、リダクション …
セキュアな
展開
継続的な
イノベーション
複合システムへの導入: オペレーティング・
システム、異種混在データベース、
アプリケーション …
仮想プライベート・データベース、
透過的なデータ暗号化、データベース管理者の制御、
データ・リダクション、特権分析、データベース・
ファイアウォール、Real Application Securityなど
Copyright © 2015 Oracle and/or its affiliates. All rights reserved. |
34
ご質問・ご相談等ございましたら、終了後もお受けしております
あなたにいちばん近いオラクル
Oracle Direct
0120-155-096
(平日9:00-12:00 / 13:00-18:00)
http://www.oracle.com/jp/direct/index.html
Oracle Direct
検索
各種無償支援サービスもございます。
Copyright © 2015 Oracle and/or its affiliates. All rights reserved. |
35
Copyright © 2015 Oracle
Oracleand/or
and/orits
itsaffiliates.
affiliates. All
Allrights
rightsreserved.
reserved. ||