Comments
Description
Transcript
明日セキュリティ設計を任されるかも知れないあなたへ - OTN
これだけは押さえたい! 現場で使えるデータベース・セキュリティ ~明日セキュリティ設計を任されるかも知れないあなたへ~ 日本オラクル株式会社 コンサルティングサービス事業統括 クラウド・テクノロジーコンサルティング事業本部 コンサルティングソリューションリーダー 増田 求 Copyright © 2016, Oracle and/or its affiliates. All rights reserved. • 以下の事項は、弊社の一般的な製品の方向性に関する概要を説明するも のです。また、情報提供を唯一の目的とするものであり、いかなる契約 にも組み込むことはできません。以下の事項は、マテリアルやコード、 機能を提供することをコミットメント(確約)するものではないため、 購買決定を行う際の判断材料になさらないで下さい。オラクル製品に関 して記載されている機能の開発、リリースおよび時期については、弊社 の裁量により決定されます。 OracleとJavaは、Oracle Corporation 及びその子会社、関連会社の米国及びその他の国における登録商標です。 文中の社名、商品名等は各社の商標または登録商標である場合があります。 Copyright © 2016, Oracle and/or its affiliates. All rights reserved. | 2 本日の内容 1 セキュリティ対策に向けて 2 セキュリティ要件検討で押さえておくべきポイント 3 セキュリティ導入のPJ計画とは? 4 セキュリティ設計・運用のポイント 5 まとめ Copyright © 2016, Oracle and/or its affiliates. All rights reserved. | 3 セキュリティ対策に向けて データベースセキュリティをめぐるお客様の声 • 「業務ユーザが、自業務に必要のない データまで参照可能です」 • 「1つのDBアカウントを複数のユーザや アプリケーションで共用している」 • 「顧客情報など機密性の高いデータを、 他のデータと同じように参照可能です」 • 「業務アプリケーションを迂回して、 直接データにアクセス可能です」 • 「インフラ管理者(DBA)が、業務データを 参照・更新可能です」 • 「データのセキュリティ重要度を 把握できていない」 • 「監査ログは取得しているが、分析や確認が できていない」 DB管理者 Copyright © 2016, Oracle and/or its affiliates. All rights reserved. | アプリケーション 担当者 4 セキュリティ対策に向けて データベースのセキュリティ対策を任されたものの・・・ 要件検討 設計 / 運用 プロジェクト検討 どこから手をつければいいのかな? プロジェクトの進め方がわからない なぁ・・・ セキュリティ実装や運用ってどうっ ているんだろう? どうやってセキュリティ確保するん だろう? 製品ってどれ使えばいいのかな? セキュリティ設計の妥当性ってどう やって評価するんだろう? セキュリティ設計のイメージがわか ないなぁ・・・ セキュリティインシデントのときに 何をすればいいだろう? うーん、こんなに やることのあるの?? まいったなぁ・・・。 Copyright © 2016, Oracle and/or its affiliates. All rights reserved. | 5 本日の内容 1 セキュリティ対策に向けて 2 セキュリティ要件検討で押さえておくべきポイント 3 セキュリティ導入のPJ計画とは? 4 セキュリティ設計・運用のポイント 5 まとめ Copyright © 2016, Oracle and/or its affiliates. All rights reserved. | 6 セキュリティ要件検討で押さえておくべきポイント どこから手をつければいいのかな? 要件検討 プロジェクト検討 設計 / 運用 どこから手をつければいいのかな? プロジェクトの進め方がわからない なぁ・・・ セキュリティ実装や運用ってどうっ ているんだろう? どうやってセキュリティ確保するん だろう? 製品ってどれ使えばいいのかな? セキュリティ設計の妥当性ってどう やって評価するんだろう? セキュリティ設計のイメージがわか ないなぁ・・・ セキュリティインシデントのときに 何をすればいいだろう? まず、ここから やるのね・・・ Copyright © 2016, Oracle and/or its affiliates. All rights reserved. | 7 セキュリティ要件検討で押さえておくべきポイント 要件検討における情報収集のポイント 自社情報セキュリティポリシー・ガイドライン セキュリティ基準 遵守すべき各種法令・規制、セキュリティ基準、 ガイドライン、ポリシー 業界標準(PCIDSS、STIG等) 遵守すべき事項や目指すべき セキュリティレベルの認識 競合他社の実施状況 最近のセキュリティインシデント事例 Copyright © 2016, Oracle and/or its affiliates. All rights reserved. | 8 セキュリティ要件検討で押さえておくべきポイント 各種ガイドラインで見るデータ・セキュリティ対策の記述について 名称 個人情報保護 (経済産業省) セキュリティ強化への取り組み 2004年10月:経済産業分野のガイドライン策定 2008年2月 : ガイドライン改定。暗号の記載が追加。 2014年12月 :ガイドライン改定。データベースへのアクセス制御、 管理者権限分割、パッチ管理が追加。 対象 経済産業分野の事業者 及び、業界団体 2013年5月 : 「行政手続における特定の個人を識別するための番号の利用等 マイナンバー に関する法律(番号法)」が成立 行政機関・地方公共団体 (個人情報委員会) 2014年12月 : ガイドライン公開。技術的安全管理措置に特定個人情報への 及び、全事業者 アクセス制御、暗号化、監査が記載 サイバーセキュリティ 2015年12月:ガイドライン 公開。多層防御と重要データ(データベース、 経営ガイドライン ファイル)への高度な暗号化、アクセス制御、監査が記載 (経済産業省) Copyright © 2016, Oracle and/or its affiliates. All rights reserved. | 企業の経営者 大企業・中小企業のITシステムを 供給する企業と経営戦略上ITの 利活用が不可欠な企業 9 セキュリティ要件検討で押さえておくべきポイント 政府機関の情報セキュリティ対策のための統一基準(平成28年度版) 抜粋 【目的・趣旨】 本項における「データベース」とは、データベース管理システムとそれによりアクセスされるデータファイルから構成され、体系的に構成さ れたデータを管理し、容易に検索・抽出等が可能な機能を持つものであって、要保護情報を保管するサーバ装置とする。要保護情報を保管す るデータベースでは、不正プログラム感染や不正アクセス等の外的要因によるリスク及び行政事務従事者の不適切な利用や過失等の内的要因 によるリスクに対して、管理者権限の悪用を防止するための技術的対策等を講ずる必要がある。 特に大量のデータを保管するデータベースの場合、そのデータが漏えい等した際の影響が大きく、また、そのようなデータは攻撃者の標的と なりやすい。なお、本項の遵守事項のほか、6.1節「情報システムのセキュリティ機能」において定める主体認証・アクセス制御・権限 管理・ログ管理・暗号・電子署名等の機能面での対策、6.2.1項「ソフトウェアに関する脆弱性対策」、6.2.2項「不正プログラ ム対策」、7.3.2項「IPv6通信回線」において定める遵守事項のうち、データベースに関係するものについても併せて遵守する必要がある。 内閣サイバーセキュリティ センター(NISC) ・政府機関の情報セキュリティ対策のための統一基準(平成28年度版) ・府省庁対策基準策定のためのガイドライン(平成28年度版) Copyright © 2016, Oracle and/or its affiliates. All rights reserved. | 10 セキュリティ要件検討で押さえておくべきポイント 攻めのITの実現は透過的セキュリティの実現につながる 攻めのIT-IRガイドライン 1.経営方針・経営計画における企業価値 向上のためのIT活用 2.企業価値向上のための戦略的IT活用 3.攻めのIT経営を推進するための体制お よび人材 4.攻めのIT経営を支える基盤的取り組み 5.企業価値向上のためのIT投資評価およ び改善のための取り込み 英国マニュアルレポート・ガイドライン 1. Business Model and Strategy (ビジネスモデルと戦略) 2. Market Review(市場評価) 3.Performance(パフォーマンス) 4.Segmental Analysis(セグメント分析) 5.Supply Chain(サプライチェーン) 6. Governance(ガバナンス) 7. Risk(リスク) 8. Sustainability(事業継続) 攻めのIT-IRガイドライン http://www.meti.go.jp/policy/it_policy/investment/keiei_meigara/it-ir.pdf Copyright © 2016, Oracle and/or its affiliates. All rights reserved. | 11 セキュリティ要件検討で押さえておくべきポイント どうやってセキュリティ確保するんだろう? 要件検討 プロジェクト検討 設計 / 運用 どこから手をつければいいのかな? プロジェクトの進め方がわからない なぁ・・・ セキュリティ実装や運用ってどうっ ているんだろう? どうやってセキュリティ確保するん だろう? 製品ってどれ使えばいいのかな? セキュリティ設計の妥当性ってどう やって評価するんだろう? セキュリティ設計のイメージがわか ないなぁ・・・ セキュリティインシデントのときに 何をすればいいだろう? あぁ、これ聞きたい! Copyright © 2016, Oracle and/or its affiliates. All rights reserved. | 12 セキュリティ要件検討で押さえておくべきポイント 物理層からデータ層までの多層防御へ 境界防御層を中心とした対策 物理層 ~ データ層までの多層防御 ✔物理層 ✔物理層 ✔ネットワーク層 ✔ネットワーク層 ×アクセス層 中心部の 防御欠落 ×アプリ層 ✔アクセス層 ✔アプリ層 ✔データ層 アクセス制御 /監査・監視 / 暗号化 アクセス制御 /監査・監視/ 認証 ×データ層 認証 / 認可 FW / 暗号化 / IDS / IPS 入退出管理 / 警備員 / 施錠 Copyright © 2016, Oracle and/or its affiliates. All rights reserved. | 13 セキュリティ要件検討で押さえておくべきポイント 防御と検知 【防御 = 予防的統制】 ・「悪いことをさせない」仕組みのこと。 ・ブロッキング、アクセスコントロールなどの強制力を伴うもの。 【検知 = 発見的統制】 ・「悪いことが起きたことを見つける」仕組みのこと。 ・監査証跡、ログ分析などの誰が何をやったかが追跡できる状態(責任追跡性) Oracleコンサルが考えるDBセキュリティ • プロアクティブに抑止する …【予防的統制】 • 最終防衛としての監査証跡 …【発見的統制】 Copyright © 2016, Oracle and/or its affiliates. All rights reserved. | 14 セキュリティ要件検討で押さえておくべきポイント データベースの脅威を押さえた対策が重要 予防的統制 スキーマ 一般ユーザ 攻撃者 AP埋め込み アカウント AP開発 アカウント 脅威 Web/APサーバーへの攻撃 サーバーへの攻撃 ② ③ ④ AP運用 アカウント ① ① OS/DB 管理・運用端末 ① 重要なデータの暗号化 ② ③ ④ ② 職務分掌と最小権限の原則 ③ アクセス制御 DB 管理者 OS管理者 内部不正による漏洩 発見的統制 ④ 監査・監視 脅威 Copyright © 2016, Oracle and/or its affiliates. All rights reserved. | 15 セキュリティ要件検討で押さえておくべきポイント セキュリティ設計のイメージがわかないなぁ・・・ 要件検討 プロジェクト検討 設計 / 運用 どこから手をつければいいのかな? プロジェクトの進め方がわからない なぁ・・・ セキュリティ実装や運用ってどうっ ているんだろう? どうやってセキュリティ確保するん だろう? 製品ってどれ使えばいいのかな? セキュリティ設計の妥当性ってどう やって評価するんだろう? セキュリティ設計のイメージがわか ないなぁ・・・ セキュリティインシデントのときに 何をすればいいだろう? みんな、これどう考えて いるんだろう・・・ Copyright © 2016, Oracle and/or its affiliates. All rights reserved. | 16 セキュリティ要件検討で押さえておくべきポイント セキュリティ施行における進め方 システムとしてのセキュリティ統制を効かせるため、 「何を」「誰から」 「どう守るのか」の要件を整理する データベース関係者(DBを取り巻く各関係者)の 整理およびユースケース・権限の洗い出し 整理した要件を基に製品選定及び実装案出しを実施する 性能・運用コストなどを考慮した実装方式を決定する Copyright © 2016, Oracle and/or its affiliates. All rights reserved. | 17 セキュリティ要件検討で押さえておくべきポイント データベース現状把握のポイント 運用監視製品 誰が・いつ・どのような操作が可能か (ユースケース) 作業端末 AP埋め込み アカウント AP開発 アカウント システム系 データ 業務データ AP運用 アカウント DB管理者 守るべきデータの把握 セキュリティ対策を施行するシステム範囲 今後のシステムロードマップ データベースの現状と将来像を明確にする Copyright © 2016, Oracle and/or its affiliates. All rights reserved. | 18 セキュリティ要件検討で押さえておくべきポイント データベース現状把握のポイント Database Security Assessment Tool (DBSAT) • データベースをスキャンし、DBのセキュリティを網羅的にチェックするツール – 基本構成、ユーザアカウント、権限管理、暗号化、監査 • Pythonで作成された完全自動化スクリプト • HTML, XLSX, TEXTの形式でそれぞれレポート出力 • 出力レポートは英語 ※日本オラクルから日本語化パッチ提供 HTML • ダウンロード先 – Doc ID 2138254.1 Oracle Database Security Assessment Tool (DBSAT) XLSX 10.2, 11.2, 12c • ドキュメント – Database Database Security Assessment Tool User Guide http://docs.oracle.com/cd/E76178_01/index.htm Copyright © 2016, Oracle and/or its affiliates. All rights reserved. | TEXT 19 セキュリティ要件検討で押さえておくべきポイント データベース現状把握のポイント DBSAT レポート (HTML) ①基本情報 データベースのバージョンとオプション セキュリティ機能の使用状況 ③権限とロール パッチの適用状況 ④権限管理 付与されているシステム権限 付与されているロール Database Vault ②ユーザ・アカウント アカウント管理の権限 Privilege Analysis ⑦監査管理 ⑧データベースの構成 監査パラメータ SYSTEM, SYSAUX表領域へアクセス可能なユーザ 権限管理の権限、監査管理の権限 ⑨ネットワークの構成 ステートメント監査セキュリティに関する初期化パラメータ ⑤データ暗号化 サンプル・スキーマ データアクセスの権限 O7_DICTIONARY_ACCESSIBILITY オブジェクト監査 Transparent Data Encryption ネットワークの暗号化 アクティブでないユーザ アクセス制御を免除する権限 SQL92_SECURITY Encryption Key Wallet 権限監査 SEC_CASE_SENSITIVE_LOGONパラメータ ユーザパスワードのビューに関する権限 接続クライアントの制御 ネットワーク接続に関する初期化パラメータ 特権ユーザの監査 失効したユーザアクセス制限されたオブジェクト SQLNET のバナー OSロールに関する初期化パラメータ ⑥ファイングレイン・アクセス制御 デフォルトパスワードのユーザ DBMS_SCHEDULER, 権限管理者の監査 UTL_FILE_DIR データベース・リスナーの設定 Data Redaction DBMS_SYS_SQL,DBMS_BACKUP_RESTOREパッケジ SQLNET.ALLOWED_LOGON_VERSION_SERVER アカウント管理者の監査 トリガー Virtual Private Database PUBLICへのシステム権限の付与 Password Verifiers データベース管理者の監査 ⑩OS (Linux/Unixのみ) 無効化された制約 Real Application Security PUBLICへのロールの付与 ユーザ・プロファイル データベース接続時の監査 外部プロシージャ Label Security OS認証 PUBLICへ行アクセス権限の付与 無期限パスワード ファイングレイン監査 ディレクトリオブジェクト Transparent Sensitive Data Protection DBAロールの付与 PMONプロセス 無制限のログイン失敗 Unified Audit データベースリンク 強力なロールの付与 EMエージェント・プロセス 複雑なパスワードを強制するファンクション ネットワークアクセス制御 JAVAに関する権限の付与 リスナー・プロセス XMLデータベースアクセス制御 管理者権限(SYSDBA, SYSOPER, SYSBACKUP, SYSDG, SYSKM) ORACLE_HOME Copyright © 2016, Oracle and/or its affiliates. All rights reserved. | 20 セキュリティ要件検討で押さえておくべきポイント データベース・セキュリティ要件整理のポイント 運用監視製品 対応する法規制、ガイドライン 作業端末 AP埋め込み アカウント AP開発 アカウント システム系 データ 業務データ AP運用 アカウント DB管理者 守るべきデータの保護方針 守るべきデータへのアクセス制御 監査・監視項目、監査証跡の管理 監査・監視体制、運用ルール Copyright © 2016, Oracle and/or its affiliates. All rights reserved. | 21 本日の内容 1 セキュリティ対策に向けて 2 セキュリティ要件検討で押さえておくべきポイント 3 セキュリティ導入のPJ計画とは? 4 セキュリティ設計・運用のポイント 5 まとめ Copyright © 2016, Oracle and/or its affiliates. All rights reserved. | 22 セキュリティ導入のPJ計画とは? プロジェクトの進め方がわからないなぁ・・・ 要件検討 プロジェクト検討 設計 / 運用 どこから手をつければいいのかな? プロジェクトの進め方がわからない なぁ・・・ セキュリティ実装や運用ってどうっ ているんだろう? どうやってセキュリティ確保するん だろう? 製品ってどれ使えばいいのかな? セキュリティ設計の妥当性ってどう やって評価するんだろう? セキュリティ設計のイメージがわか ないなぁ・・・ セキュリティインシデントのときに 何をすればいいだろう? 要件で考えればいいことは なんとなくわかった! 次は?? Copyright © 2016, Oracle and/or its affiliates. All rights reserved. | 23 セキュリティ導入のPJ計画とは? セキュリティ実装 プロジェクトフェーズと進め方 計画フェーズ システム化 構想立案 要件定義 フェーズ セキュリティ要 件定義 方式設計/実装 フェーズ インフラ/運用 方式設計 セキュリティ 方式設計 テストフェーズ 実 装 各種セキュリティ 施行における 確認テスト セキュリティ要件定義フェーズ セキュリティ設計 ・ユースケース策定と検討 ・製品実装を考慮したセキュリティ策定 ・セキュリティ運用検討 ・セキュリティ監査レポート設計 ・他製品影響調査 移行フェーズ 運用/保守フェーズ 監査レポート管理 本番環境 セキュリティ施行 インシデント/問題管理 可用性管理 セキュリティ運用見直し セキュリティ基盤導入フェーズ 基盤設計 • アーキテクチャデザイン • 各種設計書作成 • 手順書作成 • 試験計画作成 導入 • 導入作業 • 各種試験立案 実施 Copyright © 2016, Oracle and/or its affiliates. All rights reserved. | 問題解決 運用移管 • 原因分析 ユーザ • 改善案検討 トレーニング • 問題の識別/ 分類 24 セキュリティ導入のPJ計画とは? セキュリティ導入PJ成功のためのポイント プロジェクト体制例 • セキュリティはトップダウン – セキュリティ方針はお客様の役員層からトップダウンで決まる。設計を 行う上で必ずセキュリティ強度vs運用の容易さ等のSIerだけでは決めら れない検討項目が必ず発生する。実装案検討段階からお客様のセキュリ ティ担当者との密な連携、定期的なレビューを行うことが重要となる。 • 関係者・部署または各担当との連携が重要 – ユースケースなどインフラチームでは出せない情報があり、アプリ開発 チームや運用設計チーム等の関係者を巻き込んで進めることが重要であ る。またはその連携体制を作成・維持できることも重要である。 セキュリティ アセスメント • セキュリティ要件は都度見直す必要がある – 最低ラインを明確にしておく必要がある( 「誰が何を実施したか」を特定 できる発見的統制など) – 要件定義は作成するが、スモール・スタートを目指す (ポリシー策定、 監査) 要件 – セキュリティの脅威は急速に進化する。常に一定のセキュリティレベル を保つため、定期的にセキュリティポリシーを見直すことが必要である。 • 統制内容に関する落とし所 監査部門 お客様 システム部門 実装案 お客様 セキュリティ担当者 お客様 アプリ担当者 Copyright © 2016, Oracle and/or its affiliates. All rights reserved. | 重要 SIer (セキュリティ 製品担当) 25 セキュリティ導入のPJ計画とは? 製品ってどれを使えばいいのかな? 要件検討 プロジェクト検討 設計 / 運用 どこから手をつければいいのかな? プロジェクトの進め方がわからない なぁ・・・ セキュリティ実装や運用ってどうっ ているんだろう? どうやってセキュリティ確保するん だろう? 製品ってどれ使えばいいのかな? セキュリティ設計の妥当性ってどう やって評価するんだろう? セキュリティ設計のイメージがわか ないなぁ・・・ セキュリティインシデントのときに 何をすればいいだろう? で、肝心の実現するための 方法は?? Copyright © 2016, Oracle and/or its affiliates. All rights reserved. | 26 セキュリティ導入のPJ計画とは? 製品とは? セキュリティに対する 優先度(Awareness) 対応すべき法律、ガイドライン等のコンプラ イアンス要件の確認 セキュリティに対する 難易度(Difficulty) ベストプラクティスに準拠した設定・運用 データベースへのアクセス制御 (最小権限の原則の実施) 監査設計(標準機能) 強靭な セキュリティ 開発環境向けセキュリティ向上 セキュリティに対する 強度(Strength) 重要なデータの暗号化 データベースアクティビティ検知 Copyright © 2016, Oracle and/or its affiliates. All rights reserved. | 27 セキュリティ導入のPJ計画とは? オラクルが提供するセキュリティソリューション(製品ラインナップ) ③ Data Redaction 機密データ伏字化 ユーザー ④ Label Security Virtual Private DB データアクセス制御 アプリ ケーション DB ⑥ Database Firewall 不正SQL検知 イベント ⑤ Database Vault DB管理者 職務分掌 ② Data Masking データマスキング アラート ① Transparent Data Encryption データ暗号化 レポート ポリシー ⑥ Audit Vault 証跡管理 監査ログ & イベントログ OS & データベース ストレージ Copyright © 2016, Oracle and/or its affiliates. All rights reserved. | ディレクトリ カスタム 28 セキュリティ導入のPJ計画とは? オラクルが提供するセキュリティソリューション(機能概要) 機能名 脅威 機能 概要 使途 ① Transparent Data Encryption ② Data Masking Pack ③ Data Redaction ④ Label Security/ Virtual Private Database ⑤ Database Vault ⑥ Audit Vault and Database Firewall 内部不正の 正規利用者の 正規利用者の業務 DB管理者によるデー データファイル、バック 開発・テスト環境デー 追跡、影響範囲の 業務を逸脱した不適 を逸脱した不適切ア タ奪取 アップデータの奪取 タの奪取 調査不可能 切アクセス クセス 既存のアプリケーションに 開発・テスト環境の実 変更なく、透過的に本 データのマスキング(伏 番、バックアップデータを 字化) 暗号化 ステージ環境を用意する ことなくExport時にマスキ ングデータを生成 特定の表への参照範囲 特定の表への行・列レ を列レベルで制限。 ベルでのより厳密なアク セス制御を実現 この機能は、データベース 内で実施されるため、アプ リケーション側からは透過 的に利用可能。 本番データ、バックアップ テスト、開発環境の情報 参照時における ファイルに含まれる情報 を保護 列レベルでの伏字化 を保護 DB管理者の業務データ DB、OSなどのログをもれ アクセスを制御。 なく取得。 特定のDB設定やパス 定常的なレポートと不 ワード変更、業務データ 正なアクセスを検知。 の閲覧等を制限する 証跡を改ざん・削除さ れないようログを保全 データベース管理者の DB、OSなど、 参照、更新時における 職務分掌 網羅的な監査証跡の 行・列レベルでのアクセ 業務データにアクセスさ 取得、管理 ス制御 せない Copyright © 2016, Oracle and/or its affiliates. All rights reserved. | 29 本日の内容 1 セキュリティ対策に向けて 2 セキュリティ要件検討で押さえておくべきポイント 3 セキュリティ導入のPJ計画とは? 4 セキュリティ設計・運用のポイント 5 まとめ Copyright © 2016, Oracle and/or its affiliates. All rights reserved. | 30 セキュリティ設計・運用のポイント セキュリティ実装や運用ってどうやっているんだろう? 要件検討 設計 / 運用 プロジェクト検討 どこから手をつければいいのかな? プロジェクトの進め方がわからない なぁ・・・ セキュリティ実装や運用ってどうっ ているんだろう? どうやってセキュリティ確保するん だろう? 製品ってどれ使えばいいのかな? セキュリティ設計の妥当性ってどう やって評価するんだろう? セキュリティ設計のイメージがわか ないなぁ・・・ セキュリティインシデントのときに 何をすればいいだろう? なるほどね、しっかりと 考えて作らないとね! さて、その方法は?? Copyright © 2016, Oracle and/or its affiliates. All rights reserved. | 31 セキュリティ対策に使用する製品 リスク それに対する解決策 予防的 OS管理者権限による DBのファイルの持出 データ暗号化 DB管理者権限により DB上の全データを参照・改竄 DB管理者の権限分割、 アクセス制御 アプリケーションが管理する 全てのデータを参照・改竄 一般ユーザの権限分割、 アクセス制御 発見的 不正アクセスが検知できず、 第3者からの指摘で発覚する 監査・監視による 不正アクセスの早期発見 Copyright © 2016, Oracle and/or its affiliates. All rights reserved. | 使用する製品 Transparent Data Encryption(TDE) Database Vault Audit Vault and Database Firewall (AVDF) 32 セキュリティ設計・運用のポイント 重要データ暗号化のポイント ネットワーク 通信 暗号化 盗聴 データ バックアップ 暗号化 暗号化 ファイル 参照 攻撃者 バックアップ メディア メディア 持ち出し 多層防御におけるデータ層の最後の砦 として、ワークファクター※を稼ぐ 使用する暗号アルゴリズム 暗号化の実装範囲 暗号鍵の管理 暗号化への移行方式 ※「ワークファクター」とはある暗号システムを 破るための時間, 手間, リソースの推定値 Copyright © 2016, Oracle and/or its affiliates. All rights reserved. | 33 セキュリティ設計・運用のポイント 重要データ暗号化のポイント 従来の表領域暗号化方式 • 既存の表領域を暗号化するためには、以下の3つの方法が可能 – Data Pumpによる表のエクスポート・インポート – ALTER TABLE ~ MOVE TABLESPACEコマンドによる表の移動 – 表のオンライン再定義 (DBMS_REDEFINITION)による表の移動 例)Data Pumpによる 移行手順 非暗号化表領域 noenc_tbl 暗号化表領域 enc_tbl PEOPLE表 エクスポート インポート Copyright © 2016, Oracle and/or its affiliates. All rights reserved. | 34 セキュリティ設計・運用のポイント 重要データ暗号化のポイント Offline Encryption Conversion • 12.2の新機能 Offline Encryption Conversionが11.2.0.4と12.1.0.2にバックポート • ALTER DATABASE DATAFILE ~ ENCRYPT コマンドでデータファイルの暗号化が可能 • データベースのmount時、または、表領域のオフライン時に実行 • 実行時に追加のディスク領域は必要なし • 暗号アルゴリズムは、AES128 • SYSTEM, SYSAUX, UNDO, TEMP表領域は、暗号化することはできない • 既存の表領域を暗号化する場合の手間と時間が大幅に短縮 • 2016年7月から、11.2.0.4 、12.1.0.2用のパッチとして提供開始 Copyright © 2016, Oracle and/or its affiliates. All rights reserved. | 35 セキュリティ設計・運用のポイント 職務分掌と最小権限の原則におけるポイント 最小権限 適切なアクセス 業務ユーザ 認証・認可され、かつ適切な権限を付与 された業務ユーザによるデータアクセス が最適なセキュリティの状態と言える。 適切な権限付与 業務データ システム系 データ 不要なアクセスは制限 DB管理者 データベースに関する管理において業務 データにアクセスする必要がないため、 システム系データのみアクセスする。 Copyright © 2016, Oracle and/or its affiliates. All rights reserved. | 36 セキュリティ設計・運用のポイント 職務分掌と最小権限の原則におけるポイント 職務分掌 エンドユーザおよび緊急対応ユーザのみ が業務データへアクセスが可能である。 利用OK エンドユーザ 運用作業で使用するDBユーザ(特権ユー ザを含む)に対して、業務データを一切 参照 / 更新できないようにアクセス制御 を施行する。 パスワード変更などDBアカウント管理を 行うユーザに対して、データベース管理者 が単独で作業を行えないように接続を制御 する。 利用NG データベース 管理者 利用NG 業務データ セキュリティ 管理者 Copyright © 2016, Oracle and/or its affiliates. All rights reserved. | 37 セキュリティ設計・運用のポイント アクセス制御のポイント アクセスパスの制限 DB管理者が全権限を保持し、 必須とされるアクセス制御設計ポイント 性善説で運用している データベースレベルでのアクセス制限により 柔軟なアクセス制御の実現 適切なアクセス 業務ユーザ 業務データ システム系 データ 認可端末 (アプリ) アクセス制限 認可端末 (運用) そもそもの不要なデータベースアクセス を禁止する。 DBユーザと端末の組み合わせによる柔軟 なアクセス制限を実施する。 未認可端末 Copyright © 2016, Oracle and/or its affiliates. All rights reserved. | 38 セキュリティ設計・運用のポイント 監査・監視のポイント インシデント検知のための監査 インシデント検知のための監査に求められるポイント 監視と監査が一体となったインシデント検知の仕組み 適切な監査の範囲を設定してログの書き 込みオーバーヘッドを抑えられているか 監査証跡 インシデントの検知と監査証跡の定期分 析によりプロアクティブにもリアクティ ブにも対応できる仕組みがあるか 定期分析 リアルタイム 通知 セキュリティ 検知・検出 管理者 監査ログの完全性(改ざんからの保護) Copyright © 2016, Oracle and/or its affiliates. All rights reserved. | 39 セキュリティ設計・運用のポイント 凡例 監査・監視のポイント ネットワーク接続 ローカル接続 分割取得のアプローチ [ローカル(データベース)でのオペレーション] データベースで監査設定、監査証跡取得 DBサーバ セキュリティ 管理者 システムデータ 業務データ 監査 監査 証跡 監査 証跡 証跡 意図しない接続 意図しない接続 アプリ開発者 DB管理者 意図しない接続 [ネットワーク経由のオペレーション] FirewallやAPサーバから監査証跡取得 監査 証跡 監査 監査 証跡 監査 証跡 証跡 Copyright © 2016, Oracle and/or its affiliates. All rights reserved. | 40 セキュリティ設計・運用のポイント 監査・監視のポイント 不正なデータアクセスに対する4W1H OS接続 どうやって (HOW) DB接続 OS接続時間 DB接続時間 SELECT PIN, CNAME, TEL, ADDRESS FROM PIN_TABLE WHERE CNAME LIKE ‘A%’ DB切断 OS切断 どこから (WHERE) 誰 / いつ (WHO,WHEN) 誰 / いつ (WHO,WHEN) 何を (WHAT) DB監査 OS監査 誰 / いつ (WHO,WHEN) 監査証跡 2016/10/27 13:45:01 SELECT PIN,CNAME,TEL,ADDRESS FROM PIN_TABLE WHERE C_NAME LIKE……. …………………. Copyright © 2016, Oracle and/or its affiliates. All rights reserved. | 誰 / いつ (WHO,WHEN) 41 セキュリティ設計・運用のポイント 監査・監視のポイント インシデント検知運用の一元化 監査証跡 監査証跡 監査証跡 蓄積 AVDF レポート AVDFログイン・ログアウトレポートサンプル 定期分析 リアルタイム 通知 検知・検出 セキュリティ 管理者 リアルタイム検知と定期レポートから 傾向分析によるインシデント検知運用 Copyright © 2016, Oracle and/or its affiliates. All rights reserved. | 42 セキュリティ設計・運用のポイント セキュリティ設計の妥当性ってどうやって評価するんだろう? 要件検討 設計 / 運用 プロジェクト検討 どこから手をつければいいのかな? プロジェクトの進め方がわからない なぁ・・・ セキュリティ実装や運用ってどうっ ているんだろう? どうやってセキュリティ確保するん だろう? 製品ってどれ使えばいいのかな? セキュリティ設計の妥当性ってどう やって評価するんだろう? セキュリティ設計のイメージがわか ないなぁ・・・ セキュリティインシデントのときに 何をすればいいだろう? おぉー、なんかすごーく わかったような気になって きた!! Copyright © 2016, Oracle and/or its affiliates. All rights reserved. | 43 セキュリティ設計・運用のポイント セキュリティ設計の妥当性 設計の妥当性評価について セキュリティ活動を推進するためDBセキュリティに 対する妥当性が知りたい。設計評価ってできるか? お客様 専門メンバーを参画させて、 美味いサンドイッチはいかがですか? オラクルコンサルタント Copyright © 2016, Oracle and/or its affiliates. All rights reserved. | 44 セキュリティ設計・運用のポイント セキュリティ設計の妥当性(サンドイッチモデルとは?) セキュリティ 専門家 As Is セキュリティ部のミッション 1. 要件作成 2. システムの要件準拠の確認 および是正処置 3. ステコミへの具申 お客様セキュリティ要件 1. 多岐にわたる要件 2. 各種ガイドラインからなる 独自のセキュリティ要件 セキュリ ティ部 要件 To Be セキュリティとしての 専門家配置 専門家不在 セキュリ ティ部 認識のかい離 要件 認識の合意 基盤部のミッション 1. 要件準拠のためのシステム設計 2. セキュリティ部策定の要件準拠 3. 是正処置に対する対応 基盤部 要件順守に向けて疲弊 Copyright © 2016, Oracle and/or its affiliates. All rights reserved. | 基盤部 基盤専 門家 製品実装としての 専門家配置 45 セキュリティ設計・運用のポイント セキュリティインシデントのときのは何をすればいいだろう? 要件検討 設計 / 運用 プロジェクト検討 どこから手をつければいいのかな? プロジェクトの進め方がわからない なぁ・・・ セキュリティ実装や運用ってどうっ ているんだろう? どうやってセキュリティ確保するん だろう? 製品ってどれ使えばいいのかな? セキュリティ設計の妥当性ってどう やって評価するんだろう? セキュリティ設計のイメージがわか ないなぁ・・・ セキュリティインシデントのときに 何をすればいいだろう? なるほどね、セキュリティ 実現するには関係者の協力 は必須だな! でも・・・、 Copyright © 2016, Oracle and/or its affiliates. All rights reserved. | 46 セキュリティ設計・運用のポイント セキュリティ・インシデント発生による影響 Webサーバ APサーバ DBサーバ 検 知 攻撃者 保 全 原 因 特 定 応 急 処 置 復 旧 Web/APサーバーへの攻撃 内部不正による漏洩 サービス停止時間 報告 セキュリティ・インシデントは通常のシステム障害よりも 業務影響、サービス影響が長時間におよぶ可能性がある 報告 指示 セキュリティ 指示 管理者 経営陣 CIO/CISO Copyright © 2016, Oracle and/or its affiliates. All rights reserved. | 47 セキュリティ設計・運用のポイント 調査に向けた対応準備 時間 PC インシデント発生時期 Application 調査が必要な期間 Database • 調査のために保全すべき情報が整理されているか • レイヤーごとに横断して分析できるか • いつまでの時点に遡れるか整理されているか イベントログ レジストリ バックアップ サーバ・APのログイン履歴 操作履歴 アプリケーションログ 監査ログ AWR、セッション情報 DB/ClusterのAlertログ DBバックアップ OS ログイン履歴 システムログ OS監査ログ HW 管理機能へのログイン履歴 HW異常通知イベント NW 通信ログ 設定情報 Copyright © 2016, Oracle and/or its affiliates. All rights reserved. | 48 セキュリティ設計・運用のポイント 要件検討 設計 / 運用 プロジェクト検討 どこから手をつければいいのかな? プロジェクトの進め方がわからない なぁ・・・ セキュリティ実装や運用ってどうっ ているんだろう? どうやってセキュリティ確保するん だろう? 製品ってどれ使えばいいのかな? セキュリティ設計の妥当性ってどう やって評価するんだろう? セキュリティ設計のイメージがわか ないなぁ・・・ セキュリティインシデントのときに 何をすればいいだろう? 全てがわかったわけじゃない けど、セキュリティの設計で やるべきことはわかった! Copyright © 2016, Oracle and/or its affiliates. All rights reserved. | 49 本日の内容 1 セキュリティ対策に向けて 2 セキュリティ要件検討で押さえておくべきポイント 3 セキュリティ導入のPJ計画とは? 4 セキュリティ設計・運用のポイント 5 まとめ Copyright © 2016, Oracle and/or its affiliates. All rights reserved. | 50 まとめ Oracleコンサルティング・サービスについて 利便性を優先してユーザに過剰な権限を与えていませんか? セキュリティ対策で何をやるべきか決まっていますか? データベース管理者が全ての業務データを操作できることを ご存知ですか? ※アクセス制御を実施していない場合 オラクル・コンサルティングにお任せください セキュリティ対応として、何をやるべきか、 どう対応すべきかを早期に対応することができます! Copyright © 2016, Oracle and/or its affiliates. All rights reserved. | 51 まとめ データベースセキュリティの計画・実装もお任せください 計画 実装 お客様の要件を基に データベースのセキュリティポリ シーの策定を支援します 業務への影響を最小限にした データベースセキュリティ機 能・製品の導入を支援します 育成 運用 プロジェクトで役立つデータ ベースセキュリティ製品に関す るトレーニングを実施します データベースセキュリティ機 能・製品を活用するための運 用支援を行うサービスです。 Oracleコンサルティングを利用して、データベースのセキュリティを強化しませんか Copyright © 2016, Oracle and/or its affiliates. All rights reserved. | 52 まとめ Oracleコンサルティング・サービスについて Oracleコンサルティングサービスメニューはデータベースだけではありません! サービス名 支援概要 期間 評価 DBセキュリティ アセスメント 現在の設定に基づき、DBセキュリティで必要となる安全管理措置とのFit& Gapを行います。その結果を基に対応策をご提案させて頂くサービスです。 1ヵ月~ 計画 DBセキュリティ 計画策定支援 DBセキュリティアセスメントの結果とお客様要件に基づいて、DBセキュリ ティの計画策定を行います。 2ヶ月~ DBセキュリティ対応で必要となるDBV,AVDF,ASO,Masking等の導入支援を行います。 実装 運用 DBセキュリティ 製品導入支援 DBセキュリティ 運用支援 サービス名 支援概要 期間 監査強化支援 AVDFの不正アクセスの検知機能や監査レポート機能などを利用して監査の 仕組みを強化します。 2ヶ月~ DBアクセス制御支援 DBVを活用して「ユーザ」に対するアクセス制御を強化します。(DBA権限をも つ管理者の悪用を回避) 2ヶ月~ 機密データ保護支援 ASO, Masking and Subsettings を活用して「データ」に対する保護を強 化します。 2ヶ月~ DBセキュリティ機能・製品を活用するために、セキュリティ設計の改善、監査 設計、監視、レポーティングなどのDBセキュリティの漏えい対応のための運用 支援を行います。 Copyright © 2016, Oracle and/or its affiliates. All rights reserved. | 2ヶ月~ 53 Oracle Database 12c 対応研修コースのご案内 基礎から上級スキルまで。Oracle Database 12c の製品機能を学習できる多彩な研修コースでスキルアップを Gold Silver Oracle Database 12c: ASM 管理 (2日間) Oracle Database 12c: バックアップ・ リカバリ (5日間) Oracle Database 12c: マルチテナント・ アーキテクチャ (2日間) Oracle Database 12c: インストール& アップグレード (2日間) Oracle Database 12c: 管理ネクスト・ ステップ (3日間) Oracle Database 12c: 管理クイック・ スタート (2日間) Bronze Oracle Database 12c: Clusterware 管理 (4日間) Oracle Database 12c: パフォーマンス・ チューニング (5日間) Oracle Database 12c: SQL チューニング ワークショップ (3日間) Oracle Database 12c: 新機能 (5日間) Oracle Database 12c: PL/SQL プログラム 開発 (3日間) データベース設計 (3日間) Oracle Database 12c: 管理ワークショップ (5日間) Oracle Database 12c: SQL 基礎 II (2日間) Oracle Database 12c: Database Vault (2日間) Oracle Database 12c: セキュリティ (5日間) Oracle Database 12c: PL/SQL 基礎 (2日間) Advanced Analytics Option 対応コース Platinum Oracle Database 12c: RAC 管理 (4日間) Oracle R Enterprise エッセンシャルズ (2 日間) Oracle Database 11g: データ・マイニング 手法 (2 日間) Oracle ではじめる 統計入門 (1 日間) Oracle Database 12c: SQL 基礎 I (3日間) ※ Oracle Database 12cR2 対応研修は順次提供予定です。詳しくはオラクルユニバーシティまでお問い合わせください。 Copyright © 2016, Oracle and/or its affiliates. All rights reserved. | 54 Oracle Digitalは、オラクル製品の導入をご検討いただく際の総合窓口。 電話とインターネットによるダイレクトなコニュニケーションで、どんなお問い合わせにもすばやく対応します。 もちろん、無償。どんなことでも、ご相談ください。 Copyright © 2016, Oracle and/or its affiliates. All rights reserved. | 55 Copyright © 2016, Oracle and/or its affiliates. All rights reserved. | 56 Copyright © 2016, Oracle and/or its affiliates. All rights reserved. | 57