...

資料ダウンロード

by user

on
Category: Documents
6

views

Report

Comments

Transcript

資料ダウンロード
クラウド環境における
データ・セキュリティ管理
と自動化
日本オラクル株式会社
製品戦略統括本部
プロダクトマーケティング本部
Database & Exadata推進部
担当シニアマネジャー
東 忠範
Copyright © 2015 Oracle and/or its affiliates. All rights reserved. |
• 以下の事項は、弊社の一般的な製品の方向性に関する概要を説明する
ものです。また、情報提供を唯一の目的とするものであり、いかなる契約
にも組み込むことはできません。以下の事項は、マテリアルやコード、機
能を提供することをコミットメント(確約)するものではないため、購買決定
を行う際の判断材料になさらないで下さい。オラクル製品に関して記載さ
れている機能の開発、リリースおよび時期については、弊社の裁量により
決定されます。
OracleとJavaは、Oracle Corporation 及びその子会社、関連会社の米国及びその他の国における登録商標です。
文中の社名、商品名等は各社の商標または登録商標である場合があります。
Copyright © 2015 Oracle and/or its affiliates. All rights reserved. |
2
アジェンダ
1
「防御」「検知」そして「管理」
2
クラウド環境におけるセキュリティ管理
3
コンプライアンス管理
4
エンタープライズ・データ・ガバナンス
5
まとめ
Copyright © 2015 Oracle and/or its affiliates. All rights reserved. |
3
1.「防御」「検知」そして「管理」
Copyright © 2015 Oracle and/or its affiliates. All rights reserved. |
4
脅威の変化とセキュリティ対策の変遷
1989
…
2001
ワーム型攻撃
(Nimda/CodeRed・・)
ネットワーク型攻撃
(Dos等の不正アクセス攻撃)
アプリケーションの脆弱性をついた攻撃
(SQLインジェクション等を利用した攻撃)
標的側攻撃/内部犯行
Copyright © 2015 Oracle and/or its affiliates. All rights reserved. |
5
「防御」と「検知」
ユーザー
データアクセス制御
IDライフサイクル管理
防御:外部からの攻撃、侵入や内部の不正なアクセスからシステムの破壊や情報の漏えいを防ぐ!
→対策:暗号化、アクセス制御、マスキングなど
機密データ伏字化
DB管理者 職務分
WEBアプリ
掌
ケーション
DB
検知:外部からの攻撃、外部、内部からの不正なアクセスなどの兆候、可能性を検知し
異常なパターンに関してはアラートを通知、またアクセスを遮断!
→対策:ネットワーク、アプリケーション、監査
不正SQL検知
鍵の集中管理
イベント
データマスキング
アラート
暗号化
SSO&アクセス制御
管理:定期的に設定内容をチェックし、セキュアな状態であることを確認・保証
レポート
ポリシー
証跡管理
監査ログ &
イベントログ
OS &
データベース ストレージ
ディレクトリ
カスタム
Copyright © 2015 Oracle and/or its affiliates. All rights reserved. | Oracle Confidential – Internal/Restricted/Highly Restricted
6
管理の対策例
①Oracle データディクショナリ保護
データ・ディクショナリの保護を無効
②監査ファイル保存先
監査ファイルディレクトリのアクセスをOraclesソフト
ウェアの所有者およびDBAグループに制限
③テスト・データの保護
本番データからテストのためにデータを
マスク
Copyright © 2015 Oracle and/or its affiliates. All rights reserved. |
7
管理不十分な対策例
①Oracle データディクショナリ保護
データ・ディクショナリの保護を有効
②監査ファイル保存先
監査ファイルディレクトリのアクセスをパブリック読
取り権限
③テスト・データの保護
本番データをテストのために抽出しマスク
(機密データの不完全な洗い出し?)
Copyright © 2015 Oracle and/or its affiliates. All rights reserved. |
8
「防御」「検知」そして「管理」
• 職務分掌(権限の分散)
防御
– データベース(DB)管理者の職務分掌
• Aさん:ユーザ管理
Cさん:DB管理
Bさん:権限管理
Dさん:データ管理
– DB管理者の業務データ・アクセスを遮断
• DB不正侵入に対する耐性強化
-企業のセキュリティ基準の違反をチェック
-機密情報の特定
-データベースセキュリティ対策等の対応状況を監査
・パッチの適用状況、パスワードの変更状況等
・PCIDSSなどのコンプライアンス対応状況の確認
-企業が管理する全データベースに対して機密情報を検出
• 情報の不可視化
防御
– データベースの暗号化
• OSが不正侵入された際への耐性強化
• 性能劣化は極僅か(過多なシステム投資を抑制)
– データの伏字化
• 開発・検証環境におけるデータの伏字化
• 包括的、厳格なシステムログ収集、
異常操作の発見&警告
検知
防御
– 複数のシステムから監査ログを一括収集・管理
• Oracle DB、他社製データベース、OS、他
– DBへの問合せ内容、結果の一括収集・管理・分析
– 全件検索など“通常ありえない操作”を監視
Copyright © 2015 Oracle and/or its affiliates. All rights reserved. |
9
2.クラウド環境におけるセキュリティ管理
Copyright © 2015 Oracle and/or its affiliates. All rights reserved. |
10
Database as a Serviceへの進化
従来型のサイロ化
されたシステム群
標準化された
プラットフォーム
統合された
プラットフォーム
サービス・デリバリ
プラットフォーム
Enterprise Cloud プ
ラットフォーム
 リソースの物理構成に
依存
 専属的で、かつ異機種
環境である
 静的で、分断された環境
である
 標準化されたハードウェ
アおよびソフトウェアのス
タックを選定してある
 標準デプロイメント構成が
定義されている
 データベース・サービスと
サービス・レベルのカタロ
グが定義されている
 共有化され、セキュアな
集中データ基盤
 動的な最適化とリソース
管理が実装されている
 自動化されたシステム管
理が可能である
 オン・デマンドで、かつ各
レイヤーごとにセルフ・
サービスを提供
 迅速なサービスの伸縮性
と自動化の仕組みを持つ
 リソース使用量を計測し、
自動コスト配分、課金の
仕組みを実装している
 十分に動的で統一された
リソース・プールを活用し
たサービス提供
 クラウド・サービスの仲介
 セキュアで、ハイブリッド
なクラウド・サービス間の
統合 (ベンダー、パート
ナーなど)
Standardized
Consolidated
Private DBaaS
Siloed
リスクの低下
運用費用の低下
設備投資費用の低下
より高い敏捷性
Copyright © 2015 Oracle and/or its affiliates. All rights reserved. |
Federated DBaaS
十分な最適化
11
Oracle Cloudの基本理念
DEVELOP AND DEPLOY ANYWHERE
On-Premises
• 同一のプロダクト
• 同一のアーキテクチャ
• 同一のスタンダード
Cloud
オンプレミスとクラウドの間での双方向の可搬性を実現
(既存資産を生かした透過的なワークロード移行が可能)
Copyright © 2015 Oracle and/or its affiliates. All rights reserved. |
12
Oracle Database Cloud Service
Database as a Service
専有された完全なデータベース・インスタンス
Database Cloud Service
Virtual Image
VM + DB + 完全なプロビジョニング
VM + DB + Diskイメージ
• 他社のクラウド・サービスと同様
• DBファイルはディスクに展開済
• オンプレ仮想環境と同じ
•
•
•
•
•
バックアップ/リカバリ自動化
パッチ適用、アップグレード自動化
Data Guard設定可能
モニタリング、管理用ポータル
ローカルな管理コンソール
• エディション:SE1 または EE、リリース:12.1.0.2 または 11.2.0.4の選択
• EEについて High Performance (大部分のオプション), EE Extreme Perf (全て
のオプション)のオプションバンドル
• Oracle Linux 6.4 環境
• オンデマンドでStorage & Compute リソースの適用
• ネットワーク、VM、OSの完全な分離、完全な SQL*Net access
• SSH アクセスによるVM root 権限ベースの管理
Copyright © 2015 Oracle and/or its affiliates. All rights reserved. |
13
3.コンプライアンス管理
Copyright © 2015 Oracle and/or its affiliates. All rights reserved. |
14
具体例
②監査ファイル保存先
① Oracle データディクショナリ保護
① Oracle データディクショナリ保護を有効にしている。
説明:データ・ディクショナリの保護が有効であることを確認します。
重大度: クリティカル
理由:ANYシステム権限を持つユーザーはデータ・ディクショナリにアクセスできます。その結果、これらのユー
ザーのアカウントが、データへの不正なアクセスの取得に利用されます。
②監査ファイルディレクトリのアクセスをパブリック読取り権限を付与にしています
説明: 監査ファイル・ディレクトリへのアクセスがOracleソフトウェア・セットの所有者とDBAグループに制限されてい
ることを確認します。
重大度: クリティカル
理由: AUDIT_FILE_DEST初期化パラメータは、Oracleの監査機能により作成される監査ファイルのディレクトリを指
定します。このディレクトリに対するパブリック読取り権限を付与すると、起動、停止および優先接続のログ情報な
どの重要な情報が公開される可能性があります。
Copyright © 2015 Oracle and/or its affiliates. All rights reserved. |
15
コンプライアンス管理
ダッシュボード
• オラクル提供の豊富なコンテンツによるDB設定の
自動評価
– 約300のコンプライアンスルール
– 約23のコンプライアンス標準
– セキュリティ上の推奨やベストプラクティス
– ルール等はセルフアップデート機能を通じて更新可能
• 評価結果は「スコア」として自動算出
スコア-の履歴
• スコアの過去履歴も保存
• ルール違反の詳細情報
違反の詳細
– 違反の詳細
– 推奨される解決方法
– My Oracle Supportのナレッジとのリンク
Copyright © 2015 Oracle and/or its affiliates. All rights reserved. |
16
コンプライアンス管理の3階層
• コンプライアンス・フレームワーク
コンプライアンス・
フレームワーク
– コンプライアンス・スタンダードの集合
– ターゲットタイプをまたいで総合評価
– 各項目を業界標準のフレームワーク(PCI, COBIT,
HIPAA, CIS, STIG, etc) に即して評価、スコアリング
• コンプライアンス・スタンダード
コンプライアンス管理者
セキュリティ監査担当者
– コンプライアンス・ルールの集合
(ex. RAC DB向け基本的セキュリティ構成)
– ターゲットタイプごとに総合評価
• コンプライアンス・ルール
– 個別のチェック項目
– ターゲットタイプごとに定義
– 各項目への「違反」をチェック
DBA、システム管理者、
ITマネージャー
コンプライアンス・
スタンダード
コンプライアンス・
ルール
Copyright © 2015 Oracle and/or its affiliates. All rights reserved. | 17 Copyright © 2015 Oracle and/or its affiliates. All rights reserved. |
コンプライアンス標準(定義がプリセット)
Oracle Database環境の基本的なセキュリティ構成
定義済みOracleデータベースの
コンプライアンス標準
(抜粋)
基本的なセキュリティ構成
構成のベストプラクティス
高度なセキュリティ構成
Oracle Database環境のベスト・プラクティス設定
パッチ適用可能な構成
記憶域のベスト・プラクティス
-Oracle RACデータベース標準
-自動ストレージ管理標準
-Oracleリスナー標準
-PDB標準
Copyright © 2015 Oracle and/or its affiliates. All rights reserved. |
18
コンプライアンス・フレームワーク(PCIDSS プリセット)
章
PCIDSS3.0の要件(抜粋)
2
セキュアなネットワークおよび
システムの構築と維持
3
カード会員データの保護
6
脆弱性管理プログラムの整
備
7
強固なアクセス制御手法の
導入
8
システム・コンポーネントに対
するアクセスの識別と認証
Copyright © 2015 Oracle and/or its affiliates. All rights reserved. |
19
コンプライアンス・ダッシュボード
Copyright © 2015 Oracle and/or its affiliates. All rights reserved. |
20
CSC社による事例(Oracle OpenWorld講演より)
手作業によるDBのセキュリティチェックは大変
EMを利用して自動化
87.5%
自動化による効果は、
工数削減だけはなく違反に
対して通知できること!!
Copyright © 2015 Oracle and/or its affiliates. All rights reserved. |
21
注意点
-コンプライアンス・フレームワーク(例えばPCIDSS)は、業界に特化したコンプライアン
ス(監査)を全てカバーするものではありません。
(データベースの構成、セキュリティ設定に関する項目に限ります)
-また、各企業様の業界や会社の基準となる監査項目は、各企業様にてご確認くださ
い。
Copyright © 2015 Oracle and/or its affiliates. All rights reserved. |
22
4.エンタープライズ・データ・ガバナンス
Copyright © 2015 Oracle and/or its affiliates. All rights reserved. |
23
具体例
テスト・データの保護
本番データからテスト・データをマスクして利用していたが、一部、個人情報がある表を見落とし、
マスク対象から外れ、生のデータを外部(社内)の担当者に渡していた。
なぜ、そのような事が起こるのか?
新しくシステムが変更またはシステムが追加され再度テストを実施することになった。
しかし、システムが多いこと表や列が多く存在したことにより見落としてしまった
Oracle データディクショナリ保護
Copyright © 2015 Oracle and/or its affiliates. All rights reserved. |
24
エンタープライズ・データ・ガバナンス
管理対象の全データベースの機密データ・個人情報を識別し対策可能
Oracle Enterprise Manager 12c
①
センシティブ
データベース
㊙
㊙
メタ・データ
Meta-data
検出
Discovery
スキャン
Scan
結果
Results
検証用DB
開発用DB
HR
②
アプリケーション
データ・モデル
生産DB
㊙
User
Review
データ
Data
Discovery
検出
CRM
研修用DB
企業内に散在する情報の中から
保護すべき機密情報を特定
• エンタープライズ·データ·ガバナンス機能を使用すると、管理対象データベースに機密データや
個人情報など保護すべきデータがどこのテーブル・カラムに含まれるかを特定可能
• Oracle Database Security製品と連携し、セキュリティ対策を実施。
Copyright © 2015 Oracle and/or its affiliates. All rights reserved. |
25
データの検出方法
メタデータ検出 & データ検出
 メタデータ検出
メタデータ検出
• ディクショナリをスキャンして機密列を検出
(複数データベースを一括スキャン可能)
Sensitive
Sensitive Tables
Columns Application
Data Signatures
Protection
• 監視資格証明(dbsnmp)を使用
• 検索対象:
• 表名と列名
• パッケージアプリケーションを検出するための
「Application signatures 」
データ検出
• セキュリティ的に保護されたオブジェクト(TDE等)
暗号化
 データ検出
• データサンプリングを行い、正規表現を用いて
データ・リダク
ション
さまざまな機密データを検索(カード番号, 電話番号等)
• データベース資格証明を使用
Data・
Masking
• データベース単位でスキャン実行
Copyright © 2015 Oracle and/or its affiliates. All rights reserved. |
26
DEMO
Enterprise Data Governance
Copyright © 2015 Oracle and/or its affiliates. All rights reserved. |
27
[参考]データのマスキング
Copyright © 2015 Oracle and/or its affiliates. All rights reserved. |
28
データ・マスキング・サブセッティング・パック
• 正確なテストを行うためには、以下の条件でテストすることが望ましい
– 本番と同様のデータ量/質/データ間の相互関連
– 本番と同様のデータベース構成(パラメータ、索引など)
• このためには、本番データをテストデータとして使用するのが最適
• ただし、個人情報等をそのまま使用すると漏洩のリスクを伴うため、個人
を特定できない形にマスクする必要がある
• ランダムなマスキングでは不十分で、以下を考慮しなければならない。
– 主キー、一意性、参照整合性等の制約やカーディナリティーの保持
– マスク処理の性能とマスク後の処理性能
Copyright © 2015 Oracle and/or its affiliates. All rights reserved. |
29
データ伏字化 : Data Masking and Subsetting Pack
機密情報の伏字化、抽出(開発環境、検証環境)
本番環境
NAME
SALARY
AGUILAR
50135.56
BENSON
35789.89
CHANDRA 60765.23
DONNER 103456.82
開発・検証環境
01001011001010100100100100100100100
10100101100101010010010010010010010
01
01001011001010100100100100100100100
1
NAME
SALARY
AGUILAR
35676.24
CHANDRA 76546.89
抽出
伏字化
•
集中管理
| データベース内でデータを抽出・伏字化。複数のデータベースへ反映可能。
•
容易
| 各種クレジットカードの伏字化定義のテンプレートをご用意。
Copyright © 2015 Oracle and/or its affiliates. All rights reserved. |
30
マスキング・ツールでどこまでできるか?
• 機密性の高い情報を不可逆な形式でマスキング
– 個人情報、家族関係、クレジットカード情報等
• 多様なマスキングをサポート
– 固定数値/文字列、ランダム桁数、ランダム数値/文字列
/日付、配列リスト 、シャッフル、置換、表の列の値等
• 主キー / 一意性 / 参照整合性等の制約を自動検知し、
制約を保持
• 画面で簡単にマスキングの設定、適用が可能
テストデータベース
本番データベース
NAME
CREDIT_ID
鈴木 太郎
203-33-3234
40,000
佐藤 秀治
323-22-2943
60,000
LAST_NAME
SALARY
マスキング
CREDIT_ID
SALARY
南野 勝
111—23-1111
60,000
山本 和人
222-34-1345
40,000
Copyright © 2015 Oracle and/or its affiliates. All rights reserved. |
31
5.まとめ
Copyright © 2015 Oracle and/or its affiliates. All rights reserved. |
32
「防御」「検知」そして「管理」
• 職務分掌(権限の分散)
防御
– データベース(DB)管理者の職務分掌
• Aさん:ユーザ管理
Cさん:DB管理
Bさん:権限管理
Dさん:データ管理
– DB管理者の業務データ・アクセスを遮断
• DB不正侵入に対する耐性強化
-企業のセキュリティ基準の違反をチェック
-機密情報の特定
-データベースセキュリティ対策等の対応状況を監査
・パッチの適用状況、パスワードの変更状況等
・PCIDSSなどのコンプライアンス対応状況の確認
-企業が管理する全データベースに対して機密情報を検出
• 情報の不可視化
防御
– データベースの暗号化
• OSが不正侵入された際への耐性強化
• 性能劣化は極僅か(過多なシステム投資を抑制)
– データの伏字化
• 開発・検証環境におけるデータの伏字化
• 包括的、厳格なシステムログ収集、
異常操作の発見&警告
検知
防御
– 複数のシステムから監査ログを一括収集・管理
• Oracle DB、他社製データベース、OS、他
– DBへの問合せ内容、結果の一括収集・管理・分析
– 全件検索など“通常ありえない操作”を監視
Copyright © 2015 Oracle and/or its affiliates. All rights reserved. |
33
Database Lifecycle Management Pack
構築からメンテナンスまで、ライフサイクル全体にわたり
DB構成の一元管理とセキュア化、作業の自動化を推進
構成管理・構成の差分チェック
パッチ適用
DBオブジェクトの管理・同期
テスト環境のプロビジョニング
セキュリティリスクの自動チェック
コンプライアンス管理
Enterprise Data Governance
Copyright © 2015 Oracle and/or its affiliates. All rights reserved. |
34
オラクルが提供するセキュリティソリューション
⑦ Identity Governance
IDライフサイクル管理
ユーザー
④ Virtual Private DB
データアクセス制御
⑩Database Lifecycle Management Pack
機密情報の検出とコンプライアンス管理
③ Data Redaction
機密データ伏字化
WEBアプリ
ケーション
⑤ Database Vault
DB管理者 職務分掌
DB
⑥ Audit Vault and Database Firewall
⑧ Key Vault
不正SQL検知
鍵の集中管理
イベント
② Data Masking and ① Transparent
Data Encryption
Subsetting
アラート
データ暗号化
データマスキング
⑨ Access Management
SSO&アクセス制御
レポート
監査ログ &
イベントログ
⑥ Audit Vault and Database Firewall
データベース
証跡管理
ポリシー
OS &
ストレージ
Copyright © 2015 Oracle and/or its affiliates. All rights reserved. |
ディレクトリ
カスタム
35
ご質問・ご相談等ございましたら、終了後もお受けしております
あなたにいちばん近いオラクル
Oracle Direct
0120-155-096
(平日9:00-12:00 / 13:00-18:00)
http://www.oracle.com/jp/direct/index.html
Oracle Direct
検索
各種無償支援サービスもございます。
Copyright © 2015 Oracle and/or its affiliates. All rights reserved. |
36
Copyright © 2015 Oracle and/or its affiliates. All rights reserved. |
Fly UP