Comments
Description
Transcript
資料ダウンロード
クラウド環境における データ・セキュリティ管理 と自動化 日本オラクル株式会社 製品戦略統括本部 プロダクトマーケティング本部 Database & Exadata推進部 担当シニアマネジャー 東 忠範 Copyright © 2015 Oracle and/or its affiliates. All rights reserved. | • 以下の事項は、弊社の一般的な製品の方向性に関する概要を説明する ものです。また、情報提供を唯一の目的とするものであり、いかなる契約 にも組み込むことはできません。以下の事項は、マテリアルやコード、機 能を提供することをコミットメント(確約)するものではないため、購買決定 を行う際の判断材料になさらないで下さい。オラクル製品に関して記載さ れている機能の開発、リリースおよび時期については、弊社の裁量により 決定されます。 OracleとJavaは、Oracle Corporation 及びその子会社、関連会社の米国及びその他の国における登録商標です。 文中の社名、商品名等は各社の商標または登録商標である場合があります。 Copyright © 2015 Oracle and/or its affiliates. All rights reserved. | 2 アジェンダ 1 「防御」「検知」そして「管理」 2 クラウド環境におけるセキュリティ管理 3 コンプライアンス管理 4 エンタープライズ・データ・ガバナンス 5 まとめ Copyright © 2015 Oracle and/or its affiliates. All rights reserved. | 3 1.「防御」「検知」そして「管理」 Copyright © 2015 Oracle and/or its affiliates. All rights reserved. | 4 脅威の変化とセキュリティ対策の変遷 1989 … 2001 ワーム型攻撃 (Nimda/CodeRed・・) ネットワーク型攻撃 (Dos等の不正アクセス攻撃) アプリケーションの脆弱性をついた攻撃 (SQLインジェクション等を利用した攻撃) 標的側攻撃/内部犯行 Copyright © 2015 Oracle and/or its affiliates. All rights reserved. | 5 「防御」と「検知」 ユーザー データアクセス制御 IDライフサイクル管理 防御:外部からの攻撃、侵入や内部の不正なアクセスからシステムの破壊や情報の漏えいを防ぐ! →対策:暗号化、アクセス制御、マスキングなど 機密データ伏字化 DB管理者 職務分 WEBアプリ 掌 ケーション DB 検知:外部からの攻撃、外部、内部からの不正なアクセスなどの兆候、可能性を検知し 異常なパターンに関してはアラートを通知、またアクセスを遮断! →対策:ネットワーク、アプリケーション、監査 不正SQL検知 鍵の集中管理 イベント データマスキング アラート 暗号化 SSO&アクセス制御 管理:定期的に設定内容をチェックし、セキュアな状態であることを確認・保証 レポート ポリシー 証跡管理 監査ログ & イベントログ OS & データベース ストレージ ディレクトリ カスタム Copyright © 2015 Oracle and/or its affiliates. All rights reserved. | Oracle Confidential – Internal/Restricted/Highly Restricted 6 管理の対策例 ①Oracle データディクショナリ保護 データ・ディクショナリの保護を無効 ②監査ファイル保存先 監査ファイルディレクトリのアクセスをOraclesソフト ウェアの所有者およびDBAグループに制限 ③テスト・データの保護 本番データからテストのためにデータを マスク Copyright © 2015 Oracle and/or its affiliates. All rights reserved. | 7 管理不十分な対策例 ①Oracle データディクショナリ保護 データ・ディクショナリの保護を有効 ②監査ファイル保存先 監査ファイルディレクトリのアクセスをパブリック読 取り権限 ③テスト・データの保護 本番データをテストのために抽出しマスク (機密データの不完全な洗い出し?) Copyright © 2015 Oracle and/or its affiliates. All rights reserved. | 8 「防御」「検知」そして「管理」 • 職務分掌(権限の分散) 防御 – データベース(DB)管理者の職務分掌 • Aさん:ユーザ管理 Cさん:DB管理 Bさん:権限管理 Dさん:データ管理 – DB管理者の業務データ・アクセスを遮断 • DB不正侵入に対する耐性強化 -企業のセキュリティ基準の違反をチェック -機密情報の特定 -データベースセキュリティ対策等の対応状況を監査 ・パッチの適用状況、パスワードの変更状況等 ・PCIDSSなどのコンプライアンス対応状況の確認 -企業が管理する全データベースに対して機密情報を検出 • 情報の不可視化 防御 – データベースの暗号化 • OSが不正侵入された際への耐性強化 • 性能劣化は極僅か(過多なシステム投資を抑制) – データの伏字化 • 開発・検証環境におけるデータの伏字化 • 包括的、厳格なシステムログ収集、 異常操作の発見&警告 検知 防御 – 複数のシステムから監査ログを一括収集・管理 • Oracle DB、他社製データベース、OS、他 – DBへの問合せ内容、結果の一括収集・管理・分析 – 全件検索など“通常ありえない操作”を監視 Copyright © 2015 Oracle and/or its affiliates. All rights reserved. | 9 2.クラウド環境におけるセキュリティ管理 Copyright © 2015 Oracle and/or its affiliates. All rights reserved. | 10 Database as a Serviceへの進化 従来型のサイロ化 されたシステム群 標準化された プラットフォーム 統合された プラットフォーム サービス・デリバリ プラットフォーム Enterprise Cloud プ ラットフォーム リソースの物理構成に 依存 専属的で、かつ異機種 環境である 静的で、分断された環境 である 標準化されたハードウェ アおよびソフトウェアのス タックを選定してある 標準デプロイメント構成が 定義されている データベース・サービスと サービス・レベルのカタロ グが定義されている 共有化され、セキュアな 集中データ基盤 動的な最適化とリソース 管理が実装されている 自動化されたシステム管 理が可能である オン・デマンドで、かつ各 レイヤーごとにセルフ・ サービスを提供 迅速なサービスの伸縮性 と自動化の仕組みを持つ リソース使用量を計測し、 自動コスト配分、課金の 仕組みを実装している 十分に動的で統一された リソース・プールを活用し たサービス提供 クラウド・サービスの仲介 セキュアで、ハイブリッド なクラウド・サービス間の 統合 (ベンダー、パート ナーなど) Standardized Consolidated Private DBaaS Siloed リスクの低下 運用費用の低下 設備投資費用の低下 より高い敏捷性 Copyright © 2015 Oracle and/or its affiliates. All rights reserved. | Federated DBaaS 十分な最適化 11 Oracle Cloudの基本理念 DEVELOP AND DEPLOY ANYWHERE On-Premises • 同一のプロダクト • 同一のアーキテクチャ • 同一のスタンダード Cloud オンプレミスとクラウドの間での双方向の可搬性を実現 (既存資産を生かした透過的なワークロード移行が可能) Copyright © 2015 Oracle and/or its affiliates. All rights reserved. | 12 Oracle Database Cloud Service Database as a Service 専有された完全なデータベース・インスタンス Database Cloud Service Virtual Image VM + DB + 完全なプロビジョニング VM + DB + Diskイメージ • 他社のクラウド・サービスと同様 • DBファイルはディスクに展開済 • オンプレ仮想環境と同じ • • • • • バックアップ/リカバリ自動化 パッチ適用、アップグレード自動化 Data Guard設定可能 モニタリング、管理用ポータル ローカルな管理コンソール • エディション:SE1 または EE、リリース:12.1.0.2 または 11.2.0.4の選択 • EEについて High Performance (大部分のオプション), EE Extreme Perf (全て のオプション)のオプションバンドル • Oracle Linux 6.4 環境 • オンデマンドでStorage & Compute リソースの適用 • ネットワーク、VM、OSの完全な分離、完全な SQL*Net access • SSH アクセスによるVM root 権限ベースの管理 Copyright © 2015 Oracle and/or its affiliates. All rights reserved. | 13 3.コンプライアンス管理 Copyright © 2015 Oracle and/or its affiliates. All rights reserved. | 14 具体例 ②監査ファイル保存先 ① Oracle データディクショナリ保護 ① Oracle データディクショナリ保護を有効にしている。 説明:データ・ディクショナリの保護が有効であることを確認します。 重大度: クリティカル 理由:ANYシステム権限を持つユーザーはデータ・ディクショナリにアクセスできます。その結果、これらのユー ザーのアカウントが、データへの不正なアクセスの取得に利用されます。 ②監査ファイルディレクトリのアクセスをパブリック読取り権限を付与にしています 説明: 監査ファイル・ディレクトリへのアクセスがOracleソフトウェア・セットの所有者とDBAグループに制限されてい ることを確認します。 重大度: クリティカル 理由: AUDIT_FILE_DEST初期化パラメータは、Oracleの監査機能により作成される監査ファイルのディレクトリを指 定します。このディレクトリに対するパブリック読取り権限を付与すると、起動、停止および優先接続のログ情報な どの重要な情報が公開される可能性があります。 Copyright © 2015 Oracle and/or its affiliates. All rights reserved. | 15 コンプライアンス管理 ダッシュボード • オラクル提供の豊富なコンテンツによるDB設定の 自動評価 – 約300のコンプライアンスルール – 約23のコンプライアンス標準 – セキュリティ上の推奨やベストプラクティス – ルール等はセルフアップデート機能を通じて更新可能 • 評価結果は「スコア」として自動算出 スコア-の履歴 • スコアの過去履歴も保存 • ルール違反の詳細情報 違反の詳細 – 違反の詳細 – 推奨される解決方法 – My Oracle Supportのナレッジとのリンク Copyright © 2015 Oracle and/or its affiliates. All rights reserved. | 16 コンプライアンス管理の3階層 • コンプライアンス・フレームワーク コンプライアンス・ フレームワーク – コンプライアンス・スタンダードの集合 – ターゲットタイプをまたいで総合評価 – 各項目を業界標準のフレームワーク(PCI, COBIT, HIPAA, CIS, STIG, etc) に即して評価、スコアリング • コンプライアンス・スタンダード コンプライアンス管理者 セキュリティ監査担当者 – コンプライアンス・ルールの集合 (ex. RAC DB向け基本的セキュリティ構成) – ターゲットタイプごとに総合評価 • コンプライアンス・ルール – 個別のチェック項目 – ターゲットタイプごとに定義 – 各項目への「違反」をチェック DBA、システム管理者、 ITマネージャー コンプライアンス・ スタンダード コンプライアンス・ ルール Copyright © 2015 Oracle and/or its affiliates. All rights reserved. | 17 Copyright © 2015 Oracle and/or its affiliates. All rights reserved. | コンプライアンス標準(定義がプリセット) Oracle Database環境の基本的なセキュリティ構成 定義済みOracleデータベースの コンプライアンス標準 (抜粋) 基本的なセキュリティ構成 構成のベストプラクティス 高度なセキュリティ構成 Oracle Database環境のベスト・プラクティス設定 パッチ適用可能な構成 記憶域のベスト・プラクティス -Oracle RACデータベース標準 -自動ストレージ管理標準 -Oracleリスナー標準 -PDB標準 Copyright © 2015 Oracle and/or its affiliates. All rights reserved. | 18 コンプライアンス・フレームワーク(PCIDSS プリセット) 章 PCIDSS3.0の要件(抜粋) 2 セキュアなネットワークおよび システムの構築と維持 3 カード会員データの保護 6 脆弱性管理プログラムの整 備 7 強固なアクセス制御手法の 導入 8 システム・コンポーネントに対 するアクセスの識別と認証 Copyright © 2015 Oracle and/or its affiliates. All rights reserved. | 19 コンプライアンス・ダッシュボード Copyright © 2015 Oracle and/or its affiliates. All rights reserved. | 20 CSC社による事例(Oracle OpenWorld講演より) 手作業によるDBのセキュリティチェックは大変 EMを利用して自動化 87.5% 自動化による効果は、 工数削減だけはなく違反に 対して通知できること!! Copyright © 2015 Oracle and/or its affiliates. All rights reserved. | 21 注意点 -コンプライアンス・フレームワーク(例えばPCIDSS)は、業界に特化したコンプライアン ス(監査)を全てカバーするものではありません。 (データベースの構成、セキュリティ設定に関する項目に限ります) -また、各企業様の業界や会社の基準となる監査項目は、各企業様にてご確認くださ い。 Copyright © 2015 Oracle and/or its affiliates. All rights reserved. | 22 4.エンタープライズ・データ・ガバナンス Copyright © 2015 Oracle and/or its affiliates. All rights reserved. | 23 具体例 テスト・データの保護 本番データからテスト・データをマスクして利用していたが、一部、個人情報がある表を見落とし、 マスク対象から外れ、生のデータを外部(社内)の担当者に渡していた。 なぜ、そのような事が起こるのか? 新しくシステムが変更またはシステムが追加され再度テストを実施することになった。 しかし、システムが多いこと表や列が多く存在したことにより見落としてしまった Oracle データディクショナリ保護 Copyright © 2015 Oracle and/or its affiliates. All rights reserved. | 24 エンタープライズ・データ・ガバナンス 管理対象の全データベースの機密データ・個人情報を識別し対策可能 Oracle Enterprise Manager 12c ① センシティブ データベース ㊙ ㊙ メタ・データ Meta-data 検出 Discovery スキャン Scan 結果 Results 検証用DB 開発用DB HR ② アプリケーション データ・モデル 生産DB ㊙ User Review データ Data Discovery 検出 CRM 研修用DB 企業内に散在する情報の中から 保護すべき機密情報を特定 • エンタープライズ·データ·ガバナンス機能を使用すると、管理対象データベースに機密データや 個人情報など保護すべきデータがどこのテーブル・カラムに含まれるかを特定可能 • Oracle Database Security製品と連携し、セキュリティ対策を実施。 Copyright © 2015 Oracle and/or its affiliates. All rights reserved. | 25 データの検出方法 メタデータ検出 & データ検出 メタデータ検出 メタデータ検出 • ディクショナリをスキャンして機密列を検出 (複数データベースを一括スキャン可能) Sensitive Sensitive Tables Columns Application Data Signatures Protection • 監視資格証明(dbsnmp)を使用 • 検索対象: • 表名と列名 • パッケージアプリケーションを検出するための 「Application signatures 」 データ検出 • セキュリティ的に保護されたオブジェクト(TDE等) 暗号化 データ検出 • データサンプリングを行い、正規表現を用いて データ・リダク ション さまざまな機密データを検索(カード番号, 電話番号等) • データベース資格証明を使用 Data・ Masking • データベース単位でスキャン実行 Copyright © 2015 Oracle and/or its affiliates. All rights reserved. | 26 DEMO Enterprise Data Governance Copyright © 2015 Oracle and/or its affiliates. All rights reserved. | 27 [参考]データのマスキング Copyright © 2015 Oracle and/or its affiliates. All rights reserved. | 28 データ・マスキング・サブセッティング・パック • 正確なテストを行うためには、以下の条件でテストすることが望ましい – 本番と同様のデータ量/質/データ間の相互関連 – 本番と同様のデータベース構成(パラメータ、索引など) • このためには、本番データをテストデータとして使用するのが最適 • ただし、個人情報等をそのまま使用すると漏洩のリスクを伴うため、個人 を特定できない形にマスクする必要がある • ランダムなマスキングでは不十分で、以下を考慮しなければならない。 – 主キー、一意性、参照整合性等の制約やカーディナリティーの保持 – マスク処理の性能とマスク後の処理性能 Copyright © 2015 Oracle and/or its affiliates. All rights reserved. | 29 データ伏字化 : Data Masking and Subsetting Pack 機密情報の伏字化、抽出(開発環境、検証環境) 本番環境 NAME SALARY AGUILAR 50135.56 BENSON 35789.89 CHANDRA 60765.23 DONNER 103456.82 開発・検証環境 01001011001010100100100100100100100 10100101100101010010010010010010010 01 01001011001010100100100100100100100 1 NAME SALARY AGUILAR 35676.24 CHANDRA 76546.89 抽出 伏字化 • 集中管理 | データベース内でデータを抽出・伏字化。複数のデータベースへ反映可能。 • 容易 | 各種クレジットカードの伏字化定義のテンプレートをご用意。 Copyright © 2015 Oracle and/or its affiliates. All rights reserved. | 30 マスキング・ツールでどこまでできるか? • 機密性の高い情報を不可逆な形式でマスキング – 個人情報、家族関係、クレジットカード情報等 • 多様なマスキングをサポート – 固定数値/文字列、ランダム桁数、ランダム数値/文字列 /日付、配列リスト 、シャッフル、置換、表の列の値等 • 主キー / 一意性 / 参照整合性等の制約を自動検知し、 制約を保持 • 画面で簡単にマスキングの設定、適用が可能 テストデータベース 本番データベース NAME CREDIT_ID 鈴木 太郎 203-33-3234 40,000 佐藤 秀治 323-22-2943 60,000 LAST_NAME SALARY マスキング CREDIT_ID SALARY 南野 勝 111—23-1111 60,000 山本 和人 222-34-1345 40,000 Copyright © 2015 Oracle and/or its affiliates. All rights reserved. | 31 5.まとめ Copyright © 2015 Oracle and/or its affiliates. All rights reserved. | 32 「防御」「検知」そして「管理」 • 職務分掌(権限の分散) 防御 – データベース(DB)管理者の職務分掌 • Aさん:ユーザ管理 Cさん:DB管理 Bさん:権限管理 Dさん:データ管理 – DB管理者の業務データ・アクセスを遮断 • DB不正侵入に対する耐性強化 -企業のセキュリティ基準の違反をチェック -機密情報の特定 -データベースセキュリティ対策等の対応状況を監査 ・パッチの適用状況、パスワードの変更状況等 ・PCIDSSなどのコンプライアンス対応状況の確認 -企業が管理する全データベースに対して機密情報を検出 • 情報の不可視化 防御 – データベースの暗号化 • OSが不正侵入された際への耐性強化 • 性能劣化は極僅か(過多なシステム投資を抑制) – データの伏字化 • 開発・検証環境におけるデータの伏字化 • 包括的、厳格なシステムログ収集、 異常操作の発見&警告 検知 防御 – 複数のシステムから監査ログを一括収集・管理 • Oracle DB、他社製データベース、OS、他 – DBへの問合せ内容、結果の一括収集・管理・分析 – 全件検索など“通常ありえない操作”を監視 Copyright © 2015 Oracle and/or its affiliates. All rights reserved. | 33 Database Lifecycle Management Pack 構築からメンテナンスまで、ライフサイクル全体にわたり DB構成の一元管理とセキュア化、作業の自動化を推進 構成管理・構成の差分チェック パッチ適用 DBオブジェクトの管理・同期 テスト環境のプロビジョニング セキュリティリスクの自動チェック コンプライアンス管理 Enterprise Data Governance Copyright © 2015 Oracle and/or its affiliates. All rights reserved. | 34 オラクルが提供するセキュリティソリューション ⑦ Identity Governance IDライフサイクル管理 ユーザー ④ Virtual Private DB データアクセス制御 ⑩Database Lifecycle Management Pack 機密情報の検出とコンプライアンス管理 ③ Data Redaction 機密データ伏字化 WEBアプリ ケーション ⑤ Database Vault DB管理者 職務分掌 DB ⑥ Audit Vault and Database Firewall ⑧ Key Vault 不正SQL検知 鍵の集中管理 イベント ② Data Masking and ① Transparent Data Encryption Subsetting アラート データ暗号化 データマスキング ⑨ Access Management SSO&アクセス制御 レポート 監査ログ & イベントログ ⑥ Audit Vault and Database Firewall データベース 証跡管理 ポリシー OS & ストレージ Copyright © 2015 Oracle and/or its affiliates. All rights reserved. | ディレクトリ カスタム 35 ご質問・ご相談等ございましたら、終了後もお受けしております あなたにいちばん近いオラクル Oracle Direct 0120-155-096 (平日9:00-12:00 / 13:00-18:00) http://www.oracle.com/jp/direct/index.html Oracle Direct 検索 各種無償支援サービスもございます。 Copyright © 2015 Oracle and/or its affiliates. All rights reserved. | 36 Copyright © 2015 Oracle and/or its affiliates. All rights reserved. |