Upload
oracle-fusion-middleware
View
6.247
Download
0
Embed Size (px)
DESCRIPTION
データベースから大量の個人情報漏えい - システム管理者による不正アクセス、情報の持ち出し - 元社員による個人情報の持ち出し・漏えい - 顧客情報を大量に記録したハードディスクを紛失 - 外部からの不正アクセスにより個人情報が流出 - 顧客情報を保存していた会社のノートパソコンが盗難された 社会的に影響が大きいのは 数万件以上の大量の情報漏えい クレジットカード情報など詐欺・脅迫等、 深刻な二次被害が出るおそれのある機密性の高い情報の漏えい
Citation preview
<Insert Picture Here>
如何なる方法でデータベースを守るか
Copyright© 2011, Oracle. All rights reserved. 2
以下の事項は、弊社の一般的な製品の方向性に関する概要を説明するものです。また、情報提供を唯一の目的とするものであり、いかなる契約にも組み込むことはできません。以下の事項は、マテリアルやコード、機能を提供することをコミットメント(確約)するものではないため、購買決定を行う際の判断材料になさらないで下さい。オラクル製品に関して記載されている機能の開発、リリースおよび時期については、弊社の裁量により決定されます。
OracleとJavaは、Oracle Corporation 及びその子会社、関連会社の米国及びその他の国における登録商標です。文中の社名、商品名等は各社の商標または登録商標である場合があります。
Copyright© 2009, Oracle. All rights reserved. 3
システム管理者による不正アクセス、情報の持ち出し
元社員による個人情報の持ち出し・漏えい
顧客情報を大量に記録したハードディスクを紛失
外部からの不正アクセスにより個人情報が流出
顧客情報を保存していた会社のノートパソコンが盗難された
データベースから大量の個人情報漏えい
社会的に影響が大きいのは 数万件以上の大量の情報漏えい クレジットカード情報など詐欺・脅迫等深刻な二次被害が出るおそれのある機密性の高い情報の漏えい
Copyright© 2009, Oracle. All rights reserved. 4
PCIDSS(Payment Card Industry Data Security Standard)
FISC金融機関等コンピュータシステムの安全対策基準
情報保護に関する法律およびガイドライン
データ保護
技28: 蓄積データの漏洩防止策を講ずること
技29: 伝送データの漏洩防止策を講ずること
不正使用防止
技33: 伝送データの改ざん検知策を講ずること
技42: 暗号鍵の保護機能を設けること
カード会員データの保護
要件 3: 保存されたカード会員データを安全に保護すること
要件 4: 公衆ネットワーク上でカード会員データを送信する場合、暗号化すること
個人情報保護法
「個人データの移送・送信時の対策」を実践するために講じることが望まれる手法の例示
移送時における紛失・盗難が生じた際の対策(例えば、媒体に保管されている個人データの暗号化等の秘匿化)
盗聴される可能性のあるネットワークで個人データを送信する際の、個人データの暗号化等の秘匿化
Copyright© 2009, Oracle. All rights reserved. 5
漏洩しては困る情報はデータベースに格納されているという現実に対して
どのような対策をとればよいでしょうか?
Copyright© 2009, Oracle. All rights reserved. 6
データベースに関わる職務分掌
データベース利用者
データベース管理者
(DBA)
• 開発作業
• アプリケーション管理
• ユーザー利用
• データベースの起動・停止
• バックアップ・リカバリ
• ストレージ管理
• チューニング作業
セキュリティ管理者
• ユーザーと権限の管理
• ログの管理と分析・レポート
職務分掌
DBAはあらゆる操作が行える特権を
持つため、職務分掌の観点から懸念される。
DBAが故意または過失による不正が行えない環境にすることが必要。
特権
Copyright© 2009, Oracle. All rights reserved. 7
データベースを暗号化することで制御できるリスク
Application Disk / OS Backup Media
バックアップネットワーク通信
Ora
cle
OS
/ H
ard
wa
re
Oracle Database
盗聴(スニファ) ファイル直接参照 メディア盗用
データベースのアクセス・コントロールが施行できない部分では
暗号化は不正アクセスに対する有効な解決策
機密データ
機密データ
機密データ
機密データ
権限などのアクセス・コントロールによって
制御可能
暗号化暗号化 暗号化
データベース内でのユーザーによる操作
Copyright© 2009, Oracle. All rights reserved. 8
•業種: 金融業(大手銀行)•業務内容: 業務統合EUC
•対象業務:M&A情報管理、掲示板、印刷依頼、ポータル、座席表、部門業務推進体制管理行員プロフィール管理、業務マニュアル閲覧
■全行イントラネット基盤からユーザ部門専用EUC基盤へ
・既存イントラ基盤の開発基盤が生産性やセキュリティ面で重要業務の稼働環境には適さず、各ユーザ部が個別に開発を行っていたため、ルール面が不徹底であった。
・ユーザ部にて独立した専用のEUC基盤を構築し、銀行のシステムルールを基に管理(開発/保守/運用)を独自で行う ことにより、厳格な運用ルール・セキュリティの徹底とEUC の利点(低コスト、短期開発、高利便性)をバランス良く両 立した。
■先進的な機能を積極的に採用し、PortalによるUI統一・共通部品化、スパイラル型開発による高生産性を実現
お客様概要
背景・課題
機密性の高い顧客情報をオラクルのセキュリティソリューションで保護します。
金融業S社様
Copyright© 2009, Oracle. All rights reserved. 9
~今までの Oracle Database ~DBAに管理権限が集中
~ Oracle Database Vault ~複数の管理者が管理権限を分担
データベースの起動/停止など※実データへのアクセスは不可!
ユーザーの作成/削除※実データへのアクセスは不可!
ユーザー・データの管理、アクセス権の設定
データベースの起動/停止、全ユーザー・データの操作や、セキュリティ設定の変更などあらゆる操作が実行可能
データベース管理者による不正なデータ操作や情報漏えいのリスク!
データベース管理
セキュリティ・ポリシー管理
アプリケーション・データの管理
データベース管理
ユーザー・アカウント管理
アプリケーション・データの管理
ユーザー・アカウント管理
セキュリティの設定/監視※実データへのアクセスは不可!
セキュリティ・ポリシー管理
Database Vault による権限分離
アカウント管理者
セキュリティ管理者
アプリケーション管理者
データベース管理者
データベース管理者
DBAの特権を制御
管理権限を分割し、SYS/SYSTEMへの権限集中によるリスクを回避
Copyright© 2009, Oracle. All rights reserved. 10
Oracle Database Vaultで管理者権限を分離する
データベース・サーバー
サブシステム サブシステムシステム サブシステム
ストレージ
リスク リスク リスク
データベース管理者:停止・起動やバックアップなどの管理業務ができる。ビジネス上の機密データにはアクセスできない。
複数の管理者
ユーザー・アカウント管理者:ユーザーの作成・変更、プロファイル作成・変更などを行う。ビジネス上の機密データにはアクセスできない。
セキュリティ管理者:ポリシーに基づいたアクセス権の設定・管理を行う。ビジネス上の 機密データにはアクセスできない。
アプリケーション管理者:アプリケーションの運用にともなう管理を行う。ビジネス上の機密データには担当アプリケーションの範囲内だけアクセスできる。
Copyright© 2009, Oracle. All rights reserved. 11
月曜~金曜日
9:00~18:00
上述以外の時間帯アルバイトA
192.168.1.100
Oracle Database Vault
データ
ディクショナリ
HRシステム
給与データ
人事部門
データベース管理者(DBA)
Database Vault によるアクセス・コントロール例
192.168.2.150
192.168.1.x からのアクセスのみ許可
時間帯によるアクセス制限
アクセス元による制限
管理者によるデータ・アクセスの制限
Copyright© 2009, Oracle. All rights reserved. 12
Oracle Audit Vaultによるログ
データベース・サーバー
サブシステム サブシステムシステム サブシステム
ストレージ管理者 管理者
リスク リスク リスク リスク
ログの収集Database
Vault
Oracle Partitioning
Oracle Audit Vault
リスク リスク リスク
監査ログの保全
分析・レポーティング
ユーザ別に管理:
セキュリティ対策
内部統制監査用
監視・警告
リスクの高い操作に対して迅速に警告
Copyright© 2008, Oracle. All rights reserved. 13
データベースの暗号化Oracle Advanced Security(ASO)
暗号鍵管理メカニズムを備えた効率的なデータ暗号化が可能既存アプリケーションには影響を与えない透過的な動作
データ・ファイルの暗号化(TDE)
ネットワークの暗号化
バックアップの暗号化
Copyright© 2008, Oracle. All rights reserved. 14
ASO: 通信の暗号化
Oracleクライアント
Webクライアント
Oracle Database
APサーバー
クライアント~データベース間の暗号化
データベース・リンクの暗号化
APサーバー~データベース間の暗号化
HTTPS
データベース・サーバーのすべての通信データを暗号化し通信経路の盗聴による情報漏えいを防止
Oracleネイティブ暗号化とSSLを利用可能
Copyright© 2008, Oracle. All rights reserved. 15
Wallet
マスター鍵
列暗号鍵
サーバープロセス
暗号化 (Encrypt)復号 (Decrypt)
ディクショナリ
ASO: データ・ファイルの暗号化
TDE(Transparent Data Encryption) 表の列単位でデータに対して暗号化を設定(Oracle 11gの場合、表領域単位での暗号化も可能)
暗号化/復号処理はサーバー・プロセスが自動的に実行
通常のSQLでデータを操作可能→ 既存のアプリケーションを暗号化に合わせて改修する必要なし
CA5W%O=[N'E
:N,af_Iff1F
@YPA"79A+¥O
平文データ
暗号化データ
データ・ファイル解読不可能
解読可能
Copyright© 2008, Oracle. All rights reserved. 16
ASO: バックアップの暗号化
~hRL
EIYO
z%)G
bcM2
t=|ov
1O=81
:S{X
'3^J
U<oi
RMAN>BACKUP DATABASE;
RMAN>RESTORE DATABASE;
RMANバックアップセット
解読不可能
Recovery
Manager
データファイルオンライン
REDOログ・ファイル
アーカイブREDOログ・ファイル制御ファイル
SPFILE
Wallet
マスター鍵
暗号化 (Encrypt)復号 (Decrypt)
RMANチャネル(サーバープロセス)パスワード
RMANバックアップセットを暗号化/復号
Walletマスター鍵、パスワード、またはその両方を使用して暗号鍵を暗号化/復号
Walletを使用すれば、バックアップ時の暗号化とリストア時の復号が透過的に行われる
暗号鍵
Enterprise
Manager
Copyright© 2009, Oracle. All rights reserved.
Oracle データベース・セキュリティ
Label Security
アクセス・コントロール
Enterprise Manager
Configuration Management
監査ログ収集・管理を行う
Audit Vault
Total Recall
モニタリング
暗号化/マスキング
DB管理も職務分掌SYSを無力化 !
情報漏えい対策の特効薬 !
SQLインジェクションに負けないDBを作る !
テスト環境から本番データを排除 !
J-SOX/内部統制に準拠 !
構成管理&変更管理
特権ユーザを管理する
Database Vault
暗号化で情報を守る
Advanced Security
セキュアなテスト環境を構築
Data Masking
Copyright© 2009, Oracle. All rights reserved. 18
http://www.oracle.co.jp/inq_pl/INQUIRY/quest?rid=28
Oracle Direct 検索
あなたにいちばん近いオラクル
Oracle Directまずはお問合せください
Web問い合わせフォーム フリーダイヤル
専用お問い合わせフォームにてご相談内容を承ります。
※フォームの入力には、Oracle Direct Seminar申込時と同じログインが必要となります。
※こちらから詳細確認のお電話を差し上げる場合がありますので、ご登録されている連絡先が最新のものになっているか、ご確認下さい。
0120-155-096
※月曜~金曜 9:00~12:00、13:00~18:00
(祝日および年末年始除く)
システムの検討・構築から運用まで、ITプロジェクト全般の相談窓口としてご支援いたします。
システム構成やライセンス/購入方法などお気軽にお問い合わせ下さい。
Copyright© 2009, Oracle. All rights reserved. 19
OTN×ダイセミ でスキルアップ!!
※OTN掲示版は、基本的にOracleユーザー有志からの回答となるため100%回答があるとは限りません。
ただ、過去の履歴を見ると、質問の大多数に関してなんらかの回答が書き込まれております。
Oracle Technology Network(OTN)を御活用下さい。
・一般的な技術問題解決方法などを知りたい!
・セミナ資料など技術コンテンツがほしい!
一般的技術問題解決にはOTN掲示版の
「ミドルウェア」をご活用ください
http://forums.oracle.com/forums/main.jspa?categoryID=484
過去のセミナ資料、動画コンテンツはOTNの
「OTNセミナー オンデマンド コンテンツ」へ
http://www.oracle.com/technetwork/jp/testcontent/index-086873-ja.html
※ダイセミ事務局にダイセミ資料を請求頂いても、お受けできない可能性がございますので予めご了承ください。
ダイセミ資料はOTNコンテンツ オン デマンドか、セミナ実施時間内にダウンロード頂くようお願い致します。
Copyright© 2009, Oracle. All rights reserved. 20
OTNセミナー オンデマンド コンテンツダイセミで実施された技術コンテンツを動画で配信中!!
ダイセミのライブ感はそのままに、お好きな時間で受講頂けます。
※掲載のコンテンツ内容は予告なく変更になる可能性があります。
期間限定での配信コンテンツも含まれております。お早めにダウンロード頂くことをお勧めいたします。
OTN オンデマンド
最新情報つぶやき中
OracleMiddle_jp・人気コンテンツは?
・お勧め情報
・公開予告 など
Copyright© 2009, Oracle. All rights reserved. 21
Oracle エンジニアのための技術情報サイト
オラクルエンジニア通信http://blogs.oracle.com/oracle4engineer/
• 技術資料• ダイセミの過去資料や製品ホワイトペーパー、スキルアップ資料などを多様な方法で検索できます
• キーワード検索、レベル別、カテゴリ別、製品・機能別
• コラム
• オラクル製品に関する技術コラムを毎週お届けします
• 決してニッチではなく、誰もが明日から使える技術の「あ、そうだったんだ!」をお届けします こんな資料が人気です
6か月ぶりに資料ダウンロードランキングの首位が交代!新王者はOracle Database構築資料でした。
データベースの性能管理手法について、Statspack派もEnterprise Manager派も目からウロコの技術特集公開中
オラクルエンジニア通信
最新情報つぶやき中
oracletechnetjp
Copyright© 2009, Oracle. All rights reserved. 22
■パフォーマンス診断サービス•Webシステム ボトルネック診断サービス
•データベースパフォーマンス診断サービス
オラクル社のエンジニアが 直接ご支援しますお気軽にご活用ください!
オラクル 無償支援 検索
NEW■システム構成診断サービス•Oracle Database構成相談サービス
•サーバー統合支援サービス
•仮想化アセスメントサービス
•メインフレーム資産活用相談サービス
•BI EEアセスメントサービス
•簡易業務診断サービス
■バージョンアップ支援サービス•Oracle Databaseバージョンアップ支援サービス
•Weblogic Serverバージョンアップ支援サービス
•Oracle Developer/2000(Froms/Reports)Webアップグレード相談サービス
■移行支援サービス•SQL Serverからの移行支援サービス
•DB2からの移行支援サービス
•Sybaseからの移行支援サービス
•MySQLからの移行支援サービス
•Postgre SQLからの移行支援サービス
•Accessからの移行支援サービス
•Oracle Application ServerからWeblogicへ移行支援サービス
ITプロジェクト全般に渡る無償支援サービス
Oracle Direct Conciergeサービス
NEW
NEW
Copyright© 2009, Oracle. All rights reserved. 23
インストールすることなく、すぐに体験いただけます
製品無償評価サービス
http://www.oracle.com/jp/direct/services/didemo-195748-ja.html
Web問い合わせフォーム「ダイデモ」をキーワードに検索することで申し込みホームページにアクセスできます
提供シナリオ一例
・データベースチューニング
・アプリケーション性能・負荷検証
・無停止アップグレード
・Webシステム障害解析
1日5組限定!
※サービスご提供には事前予約が必要です
• サービスご提供までの流れ1. お問合せフォームより「製品評価サービス希望」と必要事項を明記し送信下さい
2. 弊社より接続方法手順書およびハンズオン手順書を送付致します
3. 当日は、弊社サーバー環境でインターネット越しに製品を体感頂けます
Copyright© 2009, Oracle. All rights reserved.
Copyright© 2009, Oracle. All rights reserved. 25