機密情報漏えい対策の最新事情...マイナンバー時代の最新データセキュリティ...
TRANSCRIPT
マイナンバー時代の最新データセキュリティ
機密情報漏えい対策の最新事情
NTT ソフトウェア株式会社 https://www.ntts.co.jp/ copyrightⒸ2016,NTT Software Corporation
マイナンバー時代の最新データセキュリティ 機密情報漏えい対策の最新事情
はじめに
1
はじめに
Databaseに保存されるデータを守る必要性
企業が事業を行う上で厳重に管理すべき「経営情報」、「顧客情報」、「社内守秘情報」は、現在で
は紙ベースではなく、参照/更新が容易な Database に電子的に格納されることが多くなってきまし
た。これは企業のすばやい経営判断や、在庫管理、顧客営業活動を行うために避けて通れないプロセ
スです。
一方、Database 内のデータが漏えいした場合の企業へのダメージは、「信用失墜、ブランドイメージ
低下」、「企業競争力の源泉喪失」、「顧客からの損害賠償請求」等、甚大です。
近年は Web サービスとの関連で、Web サーバから Database への不正アクセスによる情報漏えいが注
目されていますが、Web サーバの防御だけでは Database 内のデータを守ることはできません。
また、新たに「マイナンバー」という、絶対に漏えいが許されない情報が Database に追加されるこ
とが分かっています。
本稿では、Database からの情報漏えいの事例と、それを防御する DatabaseFirewall の仕組みについ
て、紹介をしていきます。
目次 はじめに ....................................................................................................................................... 1
第 1章 Databaseからの情報漏えい ....................................................................................... 2
第 2章 Database Firewallという選択 ................................................................................... 3
まとめ ........................................................................................................................................... 5
NTT ソフトウェア株式会社 https://www.ntts.co.jp/ copyrightⒸ2016,NTT Software Corporation
2
マイナンバー時代の最新データセキュリティ 機密情報漏えい対策の最新事情
第 1 章 Database からの情報漏えい
第 1章
Databaseからの情報漏えい
1. 情報漏えい事例 企業からの個人情報漏えい事件が昨今、新聞紙上を賑わ
せています。記憶に新しいところでは、2014 年に発生し
た通信教育会社の顧客情報漏えい事件があります。企業
にとって競争力の源泉である顧客データが漏えいした場
合に、その企業にどのような影響があるのかを強く意識
させる事件でした。この事件は、Database そのものに脆
弱性はなく、アクセス権限をもった人物がその権限を悪
用して顧客データを持ちだしたというものでした。ここ
から分かることは、Database の脆弱性対策、特権 ID 管
理をしても防げない事例だったということです。
2. 内部不正情報漏えいはほとんどの場合、内部からではなく、外部
からの指摘によって発覚します。なぜでしょうか?それ
は内部で漏えいしたことに気がつかれない場合のみ、情
報漏えいが成功したと言えるからです。情報漏えいの 8
割近くが内部の現職従業員および退職者によって行われ
ていると言われています。
この内部犯行を防ぐためには、情報システムへのアクセ
スログを残し、それが常にチェックされるということを
内部の人間に意識させることが有効であることが、下記
の独立行政法人情報処理推進機構の調査結果からも分か
ります。
社員に聞いた、内部不正への気持ちが低下する対策
順位 割合 内部不正への気持ちが低下する対策 (複数回答)
1 54.2% 社内システムの操作の証拠が残る
2 37.5% 顧客情報などの重要な情報にアクセスした人が監視される (アクセスログの監視等含む)
3 36.2% これまでに同僚が行ったルール違反が発覚し、処罰されたことがある
4 31.6% 社内システムにログインするための ID やパスワードの管理を徹底する
5 31.4% 顧客情報などの重要な情報を持ちだした場合の罰則規定を強化する
出典:独立行政法人情報処理推進機構(IPA)「組織内部者の不正行為によるインシデント調査
調査報告書」https://www.ipa.go.jp/files/000014169.pdf をもとに作成
NTT ソフトウェア株式会社 https://www.ntts.co.jp/ copyrightⒸ2016,NTT Software Corporation
3
マイナンバー時代の最新データセキュリティ 機密情報漏えい対策の最新事情
第 2 章 Database Firewall という選択
第 2章
Database Firewallという選択
1. Databaseからの情報漏えい対策これまで、Database からの情報漏えいを引き起こす内部
不正の事例と、その対策方針について解説しました。も
ちろん Database からの情報漏えい対策として、
Database の脆弱性対策、Database にアクセスできる特
権 ID 管理の重要性は変わりません。しかし、脆弱性対
策、特権 ID 管理だけでは情報漏えい対策として不十分な
のも明らかです。
一方、Database のアクセスログは取得するだけではな
く、常にチェックをすることが必要です。先の情報漏え
い事件でも、企業側は Database のアクセスログを取得し
ていましたが、アクセスログを改ざんできる権限を犯人
に与えていたことが、事件が発覚しなかった理由の1つ
と考えられています。
2. マイナンバー運用対策 来年から本格運用が予定されているマイナンバーは、特
定個人情報保護委員会が定めたガイドラインで「技術的
安全管理措置」として、次の 4 点を求めています。
下記項目の全てをシステムで防御するには、「外部から
の不正アクセス等の防止」を WAF や IPS/IDS で、その
他の項目を Database 本体で防衛する必要があります。
技術的安全管理措置
項目 概要 (ガイドライン引用)
a アクセス制御
情報システムを使用して個人番号関係事務又は個人番号利用事務を行う場合、事務取扱
担当者及び当該事務で取り扱う特定個人情報ファイルの範囲を限定するために、適切な
アクセス制御を行う。
b アクセス者の識別と認証 特定個人情報等を取り扱う情報システムは、事務取扱担当者が正当なアクセス権を有す
る者であることを、識別した結果に基づき認証する。
c 外部からの不正アクセス等の防止 情報システムを外部からの不正アクセス又は不正ソフトウェアから保護する仕組みを導
入し、適切に運用する。
d 情報漏えい等の防止 特定個人情報等をインターネット等により外部に送信する場合、通信経路における情報
漏えい等を防止するための措置を講ずる。
出典:「特定個人情報の適正な取扱いに関するガイドライン(事業者編)」(特定個人情報保護委員会)
http://www.ppc.go.jp/files/pdf/261211guideline2.pdf をもとに作成
NTT ソフトウェア株式会社 https://www.ntts.co.jp/ copyrightⒸ2016,NTT Software Corporation
4
マイナンバー時代の最新データセキュリティ 機密情報漏えい対策の最新事情
第 2 章 Database Firewall という選択
3. Database FirewallとはDatabase の情報漏えい対策として、アクセスログを常時
監視して情報漏えいに該当するアクセスを発見後、直ち
にアクセスを遮断し、漏えいを未然に防ぐことが重要で
す。また今後、マイナンバー運用対策として、特定個人
情報保護委員会が提示した 4 項目に対応することが必要
です。
これらの対策を行えるのが、Database Firewall です。
以前から Database Firewall という製品は存在していま
したが、Database のログを適切に監視する(不要な警報
を出さない)、処理速度低下を起こさない(サービス品
質低下防止)、不正アクセスを防止する、という点から
は満足のいく製品ではありませんでした。
しかし近年の機器処理性能の向上と、アクセスログ監視
能力の進化により、これらの欠点は解消されました。
企業が Database に蓄積する情報が飛躍的に重要となった
現代では、Database Firewall もその利用価値が大きくな
ったと言えます。
Database Firewall の役割
監査
保存 アクセスログ(クエリ+レスポンス)を記録
「いつ」「誰が」「どの DB に」「何をした」
検索
分析
監査すべき項目を絞り込んでの検索
アクセス傾向分析
セキュリティ
検知
(アラート)
(防御)
不正アクセスの発生を検知しアラートを発行、
もしくは防御する
NTT ソフトウェア株式会社 https://www.ntts.co.jp/ copyrightⒸ2016,NTT Software Corporation
5
マイナンバー時代の最新データセキュリティ 機密情報漏えい対策の最新事情
まとめ
まとめ
Database から守るべき情報が漏えいし、外部からそれを指摘されるという事態は、企業にとっては悪
夢です。Database からの情報漏えい対策として、Database Firewall の導入を検討することも企業の
情報防衛手段の1つの選択肢になります。
NTTソフトウェアのオンプレミス型WAF製品「TrustShelter/WAF」は、Database Firewall機能をもつ、
「Imperva SecureSphere」を利用しています。
本資料または「TrustShelter」へのお問い合わせはこちら
NTT ソフトウェア株式会社
〒108-8202 東京都港区港南 2-16-4 品川グランドセントラルタワー17 階
TEL 03-5782-7342 FAX 03-5782-7221
E-Mail [email protected]
製品 URL https://www.ntts.co.jp/products/trustshelter/
URL https://www.ntts.co.jp/
TrustShelter は NTT ソフトウェア株式会社の登録商標です。 本文書に記載の製品・サービス等の固有名詞は、各社の商標または登録商標です。