scsk Intro guardium - SCSK株式会社 · Netezza MySQL Infomix SYBASE PostgreSQL TERADATA NoSQL Hadoop,etc

SCSK株式会社

データベースセキュリティー&監査ソリューションIBM Security Guardium のご紹介

Copyright(c) SCSK Corporation - 1 -

背景・課題：増加する内部不正による情報流出1

データベース監査ツール：Guardiumとは？2

製品導入事例3


内部犯行による個人情報流出事件とその影響

近年、ますます複雑化する内部役職員による不正行為。それ自体による損失のみならず、お客様への影響、企業ブランドイメージの毀損、事後処理に係るコストの肥大化、など負の波及効果が経営上での大きな足枷となっています。

会社（発生年）不正事件内容／種類原因経営上のインパクト

国内通信教育会社（2014年）

個人情報流出

2,000万件以上が流出しほぼ全てが業者に売却された

再委託先に割当てられたＩＤとパスワードで顧客データベースに不正アクセス、顧客情報を抜き出した。

顧客が漏洩に気づき通知したことで発覚。漏洩から発覚まで半年を要した。

顧客：不正勧誘会社：公表日株価ストップ安、信用喪失、全顧客に500円の商品券送付

社員：逮捕

国内証券会社（2009年）

個人情報流出

150万件が流出し一部が業者に売却された

管理職が同僚のＩＤとパスワードで顧客データベースに不正アクセス、顧客情報を抜き出した。

顧客：不正勧誘会社：業務改善命令社員：懲戒解雇

外資保険会社（2009年）

個人情報流出懸念

最大13万件の流出可能性

当該保険会社に2,850件の問い合わせ

2009年9月4日、クレジットカード番号を含む顧客情報流出問題の調査状況について「外部からの侵入による情報流出の可能性は極めて低い」とし、内部関係者が関与しているとの見通しを示した。

顧客：カードの不正使用会社：不明社員：不明

出典：IBM社の調査、企業の公開ニュースリリースより抜粋

＜表：内部不正事件の一例＞


例：内部犯行による個人情報流出事件

企業A社(個人情報を保有)

顧客情報データベース

ステップ1顧客情報を保持し

サービスを提供

委託先(保守管理再委託)

再委託先従業員

持出

ステップ2データベースのアク

セス権限を持つ従業員が不正に

個人情報を持出し、外部に流出

企業B社

漏洩

ステップ3流出した顧客情報を使用しDM送付

漏洩発覚までの流れ

A社顧客

DM送付

ステップ4A社に登録した

情報でDMが届いたことから

発覚

事件内容と経緯

・データベースにある個人情報2,070万件のうち、760万件の漏洩を確認

・同データベースを保守管理を再委託された企業の正規アクセス権限をもつ保守要員が情報を閲覧、データを取得

・登録データが他社で利用されていることに気がついた顧客からの問い合わせが相次ぎ、漏洩が発覚

漏洩した情報と経過

• 氏名、住所、電話番号、子供の生年月日、性別を含む

• 1世帯あたり1件とカウントされており、少なくとも保護者1名と子供1名が含まれる

• 持ち出し後、漏洩事実が発覚したのは約半年後

事業への影響

• 情報管理の安全性が確認されるまで、新顧客獲得の営業活動停止

• 株価への影響（漏洩公表の当日、ストップ安）

• 信用喪失、二次被害の可能性も

• 200億の原資を準備し、お詫びを検討

出典： 2014年7月1７日時点の新聞、ニュースリリースでの公開情報より抜粋


内部犯行による漏洩事件の考察と有効な解決策

有用な対策

原因

問題ポイント

データベースから個人情報が大量漏洩

漏洩発覚まで長時間が経過

管理者、委託先付与IDは、個人情報テーブルへの

アクセス権限を有している

ログは取得していたが、

不正アクセス時に

検知できる仕組みがない

「管理者は不正をしない」前提、DB特権アカウントの対策レベルが低い

・DB特権アカウントのアクセス監視は必須・不正操作発生時、特に即時通知する仕組みが有用



データベース監査ツール： Guardiumとは？2

製品導入事例3


企業におけるセキュリティー対策全般から見たデータベース監査とは？～DBへの不正アクセス対策は多層防御が必要～

データベース監査

特権ユーザー/ローカルコンソール一般端末

IPS/FW/WAF

社内端末

Webアプリ

外部からの侵入を防ぐ対策侵入後or内部犯行の対策

OS、ネットワーク Webアプリ階層データベース

SQLインジェクション、脆弱性をついた攻撃、ブルーとフォースアタック、DDoSなど

SQLインジェクション、ブルートフォースアタッ

ク

脅威侵入者による不正アクセス、特権ユーザーによる不正アクセス、想定外のSQLの発行、DBへのブルート

フォース

パッチの適用

アクセスの制限(Firewall)

攻撃の検出（IPS、IDS）

アプリケーションの修正、機能の作り込み

対応策

アクセス監視

攻撃の検出 (個人情報テーブル、SQLエラー、過度のログインエラー)

外部ネットワーク内部ネットワーク

データベース層での対応が必要

データベースサーバー不正侵入者


DBMSDBMS

故意・過失による、不正なDB利用やDB管理

通常のDB利用やDB管理

正常操作

不正操作

1.ログの記録

2.アラート（警告）

3.集計・レポート監査担当者

メールなど

Guardium

エージェントエージェント

1.DBアクセス監視・記録

3.監査対応レポートテンプレート

レポート

PDF/ブラウザなど

2.リアルタイムセキュリティー

データベースアクセスの監査およびリアルタイム監視ソリューションです。

１．個人情報漏洩対策：作業者のデータベース操作内容をリアルタイムでチェック、不正な操作はアラートを発行– 情報漏えいしたデータの90％以上がデータベースサーバから。Guardiumはデータベースサーバそのものをリアルタイムでガードいたします。

２．DB監査業務対応：DB操作内容詳細はアクセスログとして保管し、監査レポートに対応– Guardiumは監査機関からも高評価を受けております。監査、規制がより厳密な欧米各国における金融業界で多くご使用いただいています。

３．マイナンバー対応：番号法ガイドラインの安全管理措置の中で留意すべき点は、ログ管理・アクセス制御– 事務取扱担当者の情報システム利用状況（ログイン実績、アクセスログ等）の記録やアラート、個人情報ファイルに対するアクセス制御を実現します。

Guardiumとは？

Guardium システムイメージ <特徴>• 貴社運用環境に合わせた不正アクセスのポリシー設定が可能• ワークフロー機能によりDB監視業務、レポートの運用定型化が可能• 既存DBサーバーを変更せずに導入が可能• グローバルはもちろん、日本国内での実績も多数 (日本国内 120社以上)


Guardiumに対する第三者評価

• Forrester社：グローバルで最も優れたDB監査・セキュリティー製品と評価

• ITR社：国内出荷金額でNo.1と評価


Guardiumの特長

対応データベース（抜粋）

DB2OracleMS SQL ServerDB2 for ZNetezzaMySQLInfomixSYBASEPostgreSQLTERADATA NoSQLHadoop,etc ..

• 豊富なレポーティング機能– テンプレート90種類以上を装備– 簡単に作成できるツール提供

• DBAから独立したプラットフォーム– 専用アプライアンス側でログ保管– ログ改ざんからの保護

• マルチプラットフォーム対応– 多数のDBMSやOSをサポート– 統合、一元管理

• 専用アプライアンス + ソフトウェアエージェント– 最小限のインパクト（データベースサーバーの負荷は最小限）– リアルタイムアラート & ブロック

DBサーバ

Guardiumエージェント

Guardium 専用アプライアンス

Guardium基本構成


・シンプルな構成

専用アプライアンス・・・内蔵OS、DBレベルの直接ログイン不可。即時利用可能

エージェント・・・ローカル＋リモートアクセス両方を監視。DB監査機能はOFFで使用

エージェントから送付されたアクセス内容をCollectorで解析、アクション（ログ取得、アラート発行、遮断）発動

・DBサーバへの負荷はCPU使用率1～3％

・DBサーバ環境のネットワーク設定変更は不要

・大規模環境、金融系などのシビアなDBサーバ環境での運用実績

専用アプライアンス + ソフトウェアエージェント構成

アラート

ブロック

セキュリティー・ポリシー

インベントリー・データ → SQL 構成体をログに記録

セールス・データ → 完全な SQL をログに記録

機密データ → アラート

不明ユーザー → 遮断

ログコレクター内データベース

LOGIN USER ...SELECT... FROM ...CREATE TABLE …INSERT …DELETE ....


DBサーバー

[アクション発動イメージ]

Guardium Collector


GuardiumによるDB不正操作監視イメージ

DBサーバ

アクセス情報をリアルタイム送付

監査ポリシーにてチェック・アラートを発行・アクセスログを保管


Guardium 管理サーバ

システム作業者による個人情報へのアクセス

コマンド操作

DBからの応答

セキュリティ担当者

!

アラート通知・メール・シスログ転送・SNMP Trap

監査ポリシーアクセスログ

アクセスログ確認

・DBサーバのGuardiumエージェントが、アクセス情報を取得。DBネイティブの監査機能は不使用・データベースへのアクセス内容を管理サーバで即時チェック、不正な操作にはアラート発行・ネットワークの構成変更、DBサーバの設定変更は不要・管理サーバに保管されたアクセスログは改ざん不可

アクセス情報を即時管理サーバに

送付

アラート通知を受け即時対応が可能

ポリシーによる不正アクセス確認

保管されたログの改ざんは不可


監視、ログ保管のルール条件とアクション定義

Who（どこから）

指定サーバから

指定クライアントからすべてのサーバから or

Where（どこに）

すべてのDBユーザから指定DBユーザから

or

すべてのDB指定のDB

指定DB以外or

すべてのテーブル/カラム

指定のテーブル

指定のカラムor

How（どのように）すべてのコマンド

指定のコマンドor

When（いつ） 24×365

Weekday

or Weekend

業務時間外

条件設定例

What（

何を

する

か）

アクション設定

条件一致時にログを保管する。

条件一致時にログを無視する。

など

条件一致時にアラートする。

指定クライアント以外から

「どのような条件において、どのようなアクションを行うか」の情報を元に設定します。

すべてのアプリケーション指定のアプリケーション

or

指定DBユーザ以外から

指定のアプリケーション以外

指定のコマンド以外

指定のテーブル以外


取得可能なログデータ

DB種類を問わず、監査に有用となるデータベースアクセスログを適切な粒度で取得

クライアントIPクライアントホストクライアント OSクライアントポート

サーバIPサーバポートサーバホスト

SQLコマンド項目オブジェクト命令DDLDMLDCL

DB ユーザ名DB バージョンDB 種類DB プロトコルDB エラー

TTLログインログアウト

ネットワークプロトコルサーバOSタイムスタンプ使用プログラム

【クライアント側情報】

【DBサーバ側情報】

Guardium 管理サーバ

必要なログデータの保管

DBログイン、SQL発行

（例）特権ユーザーによるローカルアクセス

エージェントがコピー、管理サーバへ送付

【SQL関連情報】

アクセスログ

検査エンジンによる監視、不正チェック

収集可能な情報（抜粋）


取得ログのセキュアな運用

[内部ログ＆バックアップファイル保護]

Guardium 専用サーバー

ログ

バックアップ実施

ログアーカイブ

Protect !Protect !

バックアップ（アーカイブ）後のログの保護

バックアップ処理時に暗号化しているため、ログ改ざんは不可能

DBAとセキュリティ担当者との職権分離

監査対象DBと証跡保管場所（Guardium 専用サーバー）を分離、ログの改竄防止と共に、管理側と監査側の職務分離を実現

Database

Guardium 専用サーバー

ログ

アクセスを制限

セキュリティー担当者DB管理者


多種のOS、DBをサポート

マルチプラットフォーム一元化

図.サポートOS・DB

• DB2• Informix• Netezza• IBM BigInsights• Oracle

• HP-UX• Solaris• Windows

• Sybase• Teradata• Oracle Exadata• MySQL• PostgreSQL

• AIX• ｚ/OS• IBM i• Linux (RHEL, SuSE, Ubuntu)• z/Linux

• MariaDB• MongoDB• GreenPlum HD• GreenPlum DB• Hortonｗorks

Aggregator＆

CentralManager

ログ

統合レポート

個別レポートコレクタ毎の詳細レポートは

コレクターより出力

コレクターA,Bの統合レポートは

Aggregatorより出力

エージェントコレクターA

エージェントコレクターB

管理者

Webブラウザ等

CentralManager画面にてルール設定をコレクタに配布リソース状況を一元監視

ルールを配信

ログを集約

参照： http://www-01.ibm.com/support/docview.wss?uid=swg27039049

CentralManager複数コレクタの一元管理、運用（ルール、レポート、Patch適用等）効率化

Aggregator 複数コレクタのログをスケジュール設定に基づき定期収集、統合レポート作成を実施

• Cassandra• SAP HANA• Aster• IMS• VSAM• MS SharePoint

一元管理機能


豊富なレポーティング機能

・サマリ及び詳細レベル、コマンド及びオブジェクト別、エラー別、セッションレベル等、90種以上のテンプレートを標準装備

・ビルダ機能を提供、作成及びカスタマイズは簡単、出力フィルタ設定も自在

・ドリルダウン機能による即時の多角的な状況確認を実現

データベースアクティビティ• 1日あたりのDML実行数• サーバタイプ別セッション• センシティブオブジェクトに対するDMLコマンド実行• クライアントIP別アクティビティ• アクセスしたサーバ

アクティビティの詳細• セッションリスト• クライアントアクティビティサマリ• コマンドリスト• アーカイブ候補

性能• スループット• 長期実行中クエリ

例外• SQLエラー• ポリシー違反• 例外モニタ• ユーザログインの失敗• 例外の数• 退職したユーザのログイン失敗

データベースアドミニストレーション• 管理ユーザのログイン• 定義済みデータベースユーザのログイン• BACKUPコマンド実行• RESTOREコマンド実行

スキーマの変更• DROPコマンド実行• CREATEコマンド実行• ALTERコマンド実行• DDL分布など

図.テンプレートの例

サマリ情報から詳細情報をダブルクリックで確認

ポリシー違反状況を確認


レポート出力＆定義パラメータ例

レポート出力

パラメータ定義


レポート自動送付（ワークフロー）

ワークフローを使用し、各レポートを定期的に監査担当者やユーザに自動送付することも可能

ワークフロー監査プロセスファインダ画面

ワークフロー設定画面


データの長期保管、アーカイブについて

外部ストレージ

FTP, SCP, IBM TSM,EMC Centera, etc.

アーカイブ・バックアップ

自動で定期データアーカイブ

当然ファイルは暗号化済

アーカイブ参照時は

アプライアンスに戻して復号化

レポートをCSVで定期保管することも可能

アーカイブ

バックアップ

Guardium

専用アプライアンス


HA構成、ロードバランシングについて

DBサーバ

DB

STAPBuffer

file

Option1:

常に１，２号機に同時にデータ送信

Option2:

１号機がダウンしている場合は２号機

にデータを送信

Option3: （ロードバランシング）

セッションごとに送信先を変更

（Round Robin）

Buffer fileのサイズを変更することで切替時のデータ

ロストを防ぐことが可能

アプライアンス

１号機

アプライアンス

２号機

Copyright(c) SCSK Corporation

DBサーバ

GuardiumDBアクセス

監視

ログ監視/解析

認証/

アクセス制御

PIM

・ログ収集および監視

・情報インシデント発生時の調査解析

DB不正操作の

監視および通知

必要なユーザにのみアクセス権を付与

申請/承認

DB不正操作ログシステムログ監査ログ(払出し記録)

通信ログメール送受信履歴

Netcool OMNIbus

統合監視

SNMP Trap

メール

ユーザ

管理者

SNMP Trap or シスログ連携

他システムとの連携

統合ログ管理製品（QRader、Arcsight、Splunk等）


導入から運用までの流れ

• ヒアリング、要件確認

• システム構成、運用確認

• ポリシー、レポート設計

設計・導入

ポリシー設定

運用状態確認チューニング方針決

定

運用

• 運用状況の確認

• ログ取得ポリシーの拡張→個人情報テーブルを監視→アプライアンス追加

• アラート発生条件の調整

• スキルトランスファー

• 運用状況確認

• ログ取得ポリシーの拡張→DB管理者、個人情報テーブルを監視

• アラート発生条件の調整

• スキルトランスファー

• アプライアンス設置・設定

• S-TAP導入・設定

• レポート設定

• ポリシー設定→DB管理者、個人情報テーブル、ローカルアクセスを監視

• テスト運用開始3ヶ月後

運用開始6ヶ月後

スモールスタートして定期的にポリシーチューニングを実施


アーキテクチャの比較


DBMS標準監査機能 vs Guardium 機能比較



データベース監査ツール：Guardiumとは？2

製品導入事例3


ご採用企業様で多い設定パターン＆監査ポリシー

# 概要条件アクション目的及び詳細

1 ログイン失敗が連続発生時にアラート

・ログイン失敗

・5分間に3回

アラート通知(Mail)

ログイン失敗連続発生は、不正アクセスの可能性もあるため、不正防止観点からセキュリティ管理者に即時アラートを実施

2 既定アプリケーション経由の監視、ログ取得を無視

・DBアカウント（アプリサーバ用）

・アプリケーションサーバIP

不要ログの

無視

既定のアプリケーションからのSQLは定型処理(アプリケーション制御下)のため、ログ取得対象外

3 既定バッチ処理の監視、ログ取得を無視

・DBアカウント（バッチ処理用）

・バッチ実行クライアントIP

不要ログの

無視

バッチ処理は既定処理となるため監視、ログ取得対象外

4 正規クライアント以外のアクセスをアラート

・正規範囲外クライアントIP アラート通知(Mail)

DBへ接続するIPは指定範囲内とされていることが多いため、指定範囲外からのアクセスにアラートを実施

5 DBAによる顧客情報テーブルへのアクセス発生時にアラート

・運用担当者用DBアカウント

・個人情報テーブル


運用担当者の顧客情報テーブルアクセスは漏洩防止観点からセキュリティ管理者に即時アラートを実施

6 SQLエラーが連続発生時にアラート

・SQLエラー

・5分間に3回


SQLエラー連続発生は、不正アクセスの可能性もあるため、不正防止観点からセキュリティ管理者に即時アラートを実施


お客様名業種導入目的対象システム監視台数

A社金融

（銀行）監査対応

顧客情報保護顧客DB 60台

B社金融

（証券）JSOX対応複数 300台

C社金融

（カード）PCIDSS 顧客DB 2台

D社サービス顧客情報保護 DWHシステム 5-10台

E社流通監査対応

顧客情報保護顧客DB 15台

F社公共監査対応顧客DB 10台

Guardium国内導入事例（抜粋）


事例 B社様: 大規模環境での一元管理

• 金融庁検査、JSOX、個人情報保護対応として使用

• 過去は各DBプラットフォームのAudit機能を使用。現在は同機能は全てOFFで使用

• コレクターを一元管理するセントラル・マネージャを使用し、運用はさらに効率化

セントラル・マネージャー

コレクターコレクター

統合ログ管理システム（QRader等）


事例 D社様: 仮想環境の活用

• お客様プライベート・クラウド、VMware ESX上のVMとしてアプライアンスを導入

• 追加H/W導入なしにGuardiumによる監視環境を構築

• 必要なワークロードに応じた柔軟なリソース確保

VM:Oracle

VM:SQLServer

ソフトウェア・アプライアンス

プライベート・クラウドや、IaaS環境におけるクラウド利用者による

データベース保護に利用可能


事例 E社様: 多種DBMS混在環境への対応

• 個人情報保護の対応としてリアルタイム監視を実施

• OSはWindows、Linux、DBはOracle、SQLServer、MySQLが混在

• 各DBMSでの作り込み、設定を避け、共通GUIによる一元管理、レポート表示対応

多種多様な製品（Windows、Linux、Oracle、DB2、SQLServer）

OracleRHEL

MySQLRHEL

OracleWindows

SQLServerWindows


SCSK株式会社プラットフォームソリューション事業部門ＩＴエンジニアリング事業本部ミドルウェア部 (担当：松井、阿波)

TEL ：03-5166-1930 Email:[email protected]

お問い合わせ窓口

【お問い合わせ窓口】


Documents

scsk Intro guardium - SCSK株式会社 · Netezza MySQL Infomix SYBASE PostgreSQL TERADATA NoSQL Hadoop,etc