oracle dba & developer days 2014 進化する脅威、増加する内部 … ·...

進化する脅威、増加する内部からの情報漏えいから効果的に守るセキュリティ対策とは

日本オラクル株式会社

製品戦略統括本部プロダクトマーケティング本部大澤清吾

製品戦略統括本部データベースエンジニアリング本部福田知彦

Copyright © 2014, Oracle and/or its affiliates. All rights reserved.

Oracle DBA & Developer Days 2014for your Skill

使える実践的なノウハウがここにある

#odddtky

Copyright © 2014 Oracle and/or its affiliates. All rights reserved. |

•以下の事項は、弊社の一般的な製品の方向性に関する概要を説明するものです。また、情報提供を唯一の目的とするものであり、いかなる契約にも組み込むことはできません。以下の事項は、マテリアルやコード、機能を提供することをコミットメント（確約）するものではないため、購買決定を行う際の判断材料になさらないで下さい。オラクル製品に関して記載されている機能の開発、リリースおよび時期については、弊社の裁量により決定されます。

3

OracleとJavaは、Oracle Corporation 及びその子会社、関連会社の米国及びその他の国における登録商標です。文中の社名、商品名等は各社の商標または登録商標である場合があります。

Copyright © 2014 Oracle and/or its affiliates. All rights reserved. | 4

脅威の変化～量的、質的に劇的に変化しているセキュリティ犯罪

Copyright © 2014, Oracle and/or its affiliates. All rights reserved. |

2001年～

2001年～

2005年～

2011年～

クライアントセキュリティ

ネットワークセキュリティ

ワーム型攻撃(Nimda, CodeRedなど)

ネットワーク型攻撃DoS等の不正アクセス攻撃

データベースセキュリティ

標的型攻撃/遠隔操作ウィルス

アプリケーションセキュリティ

アプリケーションの脆弱性を攻撃(SQLインジェクション攻撃等)

情報資産

90年代～内部犯行


Oracle Public 5

インシデント件数の増加、増加する内部犯行

5Copyright © 2014, Oracle and/or its affiliates. All rights reserved. |

内部：21%(外部：58%)

内部：33%(外部：38%)

内部：24%(外部：53%)

内部：37%(外部：35%)

（2011）

インシデント数

損害金額

（2012）

出典： JPCERT/CC インシデント報告対応レポート[2014年1月1日～2014年3月31日]

出典：CERT 2011/ 2012 Cyber Security Watch Survey

内部犯行に加え、”標的型攻撃”による内部ネットワーク経由での情報窃盗も増加


データの重要度は同じではない

GOLDBRONZE

SILVER

PLATINUM

機密性の高い情報売上情報,M&A, 特許情報, ソースコード…

社内秘ビジネスの取引情報,発注情報…

コンプライアンス対応PII, PCI,PHI, J-SOX…

機密ではない社内ポータル,組織情報,テスト・開発システム


SECURITYPART OF OUR DNA

Immediate Focus On SECURE DATA

• 1977年からビジネス・スタート• 最初の顧客は CIA• 現在は、マーケットのリーダー• グローバルで1500名超の体制• 各国の軍用システムで多く採用

7


世界の国家防衛と治安維持を支えるオラクルの確かな技術力

8

NATO 28ヶ国中24ヶ国オラクル製品を採用

EU各国国防機関オラクル製品を採用

世界トップ２０国家機関オラクル製品を採用

全米50州政府オラクル製品を採用

全15米国中央省庁オラクル製品を採用

世界トップ20都市オラクル製品を採用


セキュリティ対策の現状 - 入口・出口対策が中心 -

9

標的型攻撃により OSアカウ

ントを乗っ取られ、正当なユーザーになりすまして侵入

権限を持つユーザーによる

内部犯行

新たに見つかった未対策の脆弱性を突いた攻撃

セキュリティに関しては入口・出口対策が中心

残存しているIDを使用して不正アクセス

盗まれたIDを奪取して、本人になりすまして不正アクセス

• データベース自体が保護されていないため、侵入を許すとデータの盗難・改ざん・破壊が容易に行われてしまう


リスクベース認証による、本人確認の強化

DBアクセス監査ログを取得し、アクセスを監視し違反の早期発見

権限分掌によりDB管理者と言え

どデータにアクセスできないようにし、社内犯行を防ぐ

データ暗号化により、標的型攻撃等により不正にOSアカウントを取得したユーザーからデータを保護

データアクセスに必要な鍵を適切に保管する

人事イベントと連動したID/権限情報の即時変更,削除

• 資産を守るためのセキュリティ対策

– 変化する脅威と変わらない資産

• バランスのとれたセキュリティ対策

– 特定のレイヤだけではなく、複数のレイヤで資産を防御

– 発見的統制と予防的統制のバランス

セキュリティ対策のあるべき姿 -多層防御 -


Audit Vault and

Database Firewall (DB監査)

Oracle Database Vault

(DB権限分掌)

Transparent Data Encryption(暗号化)Data Redaction, Virtual Private DB(本番データの不可視化、伏字化)Data Masking and Subsetting(テスト・開発環境のデータ伏字化)

Access Management

(強固な認証)

Oracle Key Vault

(DB鍵管理)

セキュリティに関連するOracle製品

Identity Governance

(ID管理)


情報保護における「入口」「出口」対策の限界

98% 情報はデータベースから盗まれる

84% 盗まれたID・権限が利用される

92% 第三者からの指摘で発覚

出展： Verizon DBIR 2012

12


• 情報の暗号化

– データベースの暗号化

• OSが不正侵入された際への耐性強化

• 性能劣化は極僅か（過多なシステム投資を抑制）

– 鍵管理の高度化

• 職務分掌（権限の分散）

– データベース（DB）管理者の職務分掌

• Aさん：ユーザ管理 Bさん：権限管理Cさん：DB管理 Dさん：データ管理

– DB管理者の業務データ・アクセスを遮断

• DB不正侵入に対する耐性強化

13

• よりきめ細やかなアクセス制御

– アプリケーションユーザの認証強化

– ID管理の厳密化

– ユーザからのアクセス制御強化

• 行レベル、列レベルでのアクセス制御

• 情報の伏字化

• 包括的、厳格なシステムログ収集、異常操作の発見＆警告

– DBへの問合せ内容、結果の一括収集・管理・分析

– WebアプリのユーザとDBユーザを紐付けし、個人ユーザーを特定した監査

– 全件検索など“通常ありえない操作”を監視

情報保護におけるポイント


オラクルが提供するセキュリティソリューション

14

WEBアプリケーション

ユーザー

② Data Redaction機密データ伏字化 ③ Virtual Private DB

データアクセス制御

① TransparentData Encryptionデータ暗号化

⑤ Database VaultDB管理者職務分掌

OS & ストレージディレクトリデータベースカスタム

監査ログ & イベントログ

⑦ Audit Vault and Database Firewall不正SQL検知

レポート

アラート

⑦ Audit Vault and Database Firewall証跡管理

ポリシー

イベント

⑨ Access ManagementSSO＆アクセス制御

⑧ Identity GovernanceIDライフサイクル管理

DB

④ Data Maskingand Subsettingデータマスキング

⑥ Key Vault鍵の集中管理


情報保護においてオラクルがご提供する対応策製品・機能概要ご紹介

15












16













暗号化に求められる要件

17

脅威の分類求められる対策

OSコマンドによるデータ窃取

物理ファイル盗難（DBファイル）

物理ファイル盗難（バックアップ）

通信パケット盗聴

暗号鍵の紛失

DBファイルの暗号化

DBファイル/ストレージの暗号化

バックアップデータの暗号化

ネットワークの暗号化

暗号鍵の厳密な管理

Transparent Data Encryption （TDE）

ネットワークの暗号化(※)

Key Vault

Oracle Security製品提供機能

※すべてのエディションで利用可能


1. アプリケーションの改修なく実装可能

2. CPU内でデータの暗号化/復号化処理を実行

-パフォーマンス劣化を防止

18

データの暗号化：Transparent Data Encryption（TDE）

性能劣化を極小化した暗号化メカニズム

1% 3%

バッチ処理のオーバーヘッド

AES-NI:データ暗号化処理をさらに高速化する暗号化命令セット

Intel/SPARCプロセッサの暗号化アクセラレーションによるDB暗号化・復合化


強固なセキュリティと高速な処理機能を実現

• PCI DSSに対応した課金決済プラットフォームをリニューアル

• 従来、データベース暗号化技術「Oracle Advanced Security」を導入済

• 今回のリニューアルではOracle ExadataとOracle Advanced Securityの組み合わせにより、

強固なセキュリティと高速な処理機能を併せもった、より高性能なプラットフォームを実現

データの暗号化： Transparent Data Encryption (TDE)

事例:ベリトランス様 PCIDSS対応の課金決済プラットフォームを構築

JCB、AMERICAN EXPRESS、

Discover、MasterCard、VISA


よくあるWEBアプリケーションの構成

21

表（ADDRBOOK) データベース管理者

Name Phone

羽田千裕 078-3187-5824

渥美政勝 026-4263-2109

稲葉香奈 045-9946-7180

小寺日和 074-9924-8815

アプリケーションサーバー

(電話帳アプリ)

アプリケーションユーザー

Name Phone

羽田千裕 078-3187-5824

渥美政勝 026-4263-2109

稲葉香奈 045-9946-7180

小寺日和 074-9924-8815

管理者ユーザーで接続 (SYS)

アプリケーションユーザーで接続(ADDRBOOK)

個人ユーザーで接続(USER01)


OS権限を持ったシステム管理者に対する参照制限格納データの暗号化を行っていない場合

22

表（ADDRBOOK)

平文で見える！

データファイル

データベース管理者

Name Phone

羽田千裕 078-3187-5824

渥美政勝 026-4263-2109

稲葉香奈 045-9946-7180

小寺日和 074-9924-8815




Name Phone

羽田千裕 078-3187-5824

渥美政勝 026-4263-2109

稲葉香奈 045-9946-7180

小寺日和 074-9924-8815





OS権限を持ったシステム管理者に対する参照制限格納データの暗号化を実施

23

表（ADDRBOOK)

暗号化され見えない！

データベース管理者(セキュリティ管理者)

Transparent Data Encryption


Name Phone

羽田千裕 078-3187-5824

渥美政勝 026-4263-2109

稲葉香奈 045-9946-7180

小寺日和 074-9924-8815




Name Phone

羽田千裕 078-3187-5824

渥美政勝 026-4263-2109

稲葉香奈 045-9946-7180

小寺日和 074-9924-8815



データファイル



暗号鍵の管理： Key Vault

鍵管理の課題

管理

• 暗号鍵とウォレットの急増

• 許可された暗号鍵の共有

• 暗号鍵の有効期限、保管期限、回復

• 鍵の保護と鍵を保存するファイル

規制

• 鍵と暗号化されたデータの物理的な分離

• 暗号鍵の定期的な更新

• 鍵の監視と監査

• 鍵と暗号化データの長期間に渡る保持

24



暗号鍵の一元管理を実現

• 公開鍵、秘密鍵、Oracle Wallets、Javaキーストア他の集中管理

• Oracle製品への最適化(データベース、ミドルウェア、OS)

• 業界標準であるOASIS KMIPプロトコルのサポート

25



Oracle Key Vaultアーキテクチャ概要

26

スタンバイ

管理コンソール, アラート, レポート

バックアップ

= 資格情報

= Oracle Wallet

= パスワード= Javaキーストア

= 公開鍵証明書

データベース

サーバー

ミドルウェア












27













データベースのアクセス制御に求められる要件

28

脅威の分類求められる対策

なりすまし

残存している退職者IDや共有IDを悪用

一般ユーザによる過大な可視性による不正取得

管理者権限の悪用

操作ミス

ユーザ認証の強化

人事イベントと連動したID管理と共有IDの厳密管理

端末、ユーザ毎にデータアクセス範囲を限定

データベース管理者の職務分掌

実施可能なコマンドを制御

Database Vault


Identity Governance

Access Management

Data Redaction,Virtual Private Database


アプリケーションユーザの認証強化: Access Management

ユーザの認証とアクセス制御に対応し、ポリシー管理・監視を集約

• マルチ・デバイス対応 | PCからモバイル（スマートフォン、タブレット端末）まで

• 様々な認証強化機能 | ワンタイム・パスワード（OTP）から、証明書、リスクベース認証まで

• 業界標準プロトコル対応 | HTTP、RESTから、SAML、OpenID、OAuthまで

29

シングル・サインオンなりすまし対策モバイル対応ソーシャル、クラウド連携

少人数のセキュリティ担当


アプリケーションユーザの認証強化: Access Management

ユーザの認証とアクセス制御に対応し、ポリシー管理・監視を集約

30

なりすまし検知・リスクベース認証

ログインID認証データ

ロケーション行為の妥当性

Time-Based One Time Password (TOTP) ソリューションを利用した認証

1. 保護されたURLにアクセス

2. ログイン画面にユーザ名とパスワード入力

3. ワンタイムパスワード入力

4. ログイン成功

Google Authenticator

マルチデバイス


ID管理の厳密化: Identity Governance

特権 / 共有アカウントの利用を厳格化

• 豊富なコネクタ | OS、DB、LDAPから業務パッケージまで豊富な接続テンプレートを提供

• 変更反映の自動化 | 入退社等の人事イベントと連携したリアルタイムなID登録・改廃を実施

• 権限違反の検出 | 属性単位の変更まで把握でき、不正な権限登録・改ざんを検出

31

サービス

基盤

人事データ会社・組織の違い（本社、グループ会社、JV・関係会社）

役割の違い（マネジメント、ユーザ、運用）

雇用契約の違い（正社員、派遣・契約社員）

プロファイル管理

パスワード管理

権限管理

システム連携

マスタ連携

違反検出

レポート

特権ユーザ管理


ID管理の厳密化: Identity Governance (Privileged Account Manager)

特権 / 共有アカウントの利用を厳格化

• 集中管理 |データベース、OS、LDAPの共有アカウントのパスワード払い出し、OSセッション貸し出し

• 利用者・操作の特定 |共有アカウント利用履歴、セッション貸し出し時に発行したコマンド履歴の取得

• 申請の厳格化 |申請・承認フローによる管理

32

特権・共有アカウントで対象OSにSSH接続

セッション貸し出し

ユーザー OS

個人アカウントでPrivileged Account ManagerにSSH接続

実行したコマンド履歴管理も可能

パスワード貸し出し


データベース・アクセス制御機能対応製品一覧

33

一般特権表単位行単位列単位参照更新 DDL 返し値

Virtual PrivateDatabase ○ - - ○ ○ ○ ○ - Null

Data Redaction ○ - - - ○ ○ - -固定値/ランダム

/一部伏字/正規表現

Database Vault ○ ○ ○ - - ○ ○ ○ エラー

誰がアクセスどこにアクセスどんな操作どんな応答


行レベル、列レベルでのアクセス制御: Virtual Private database

属性情報に応じたポリシーを設定し、行レベルでアクセス制御

• データベース・ユーザが不正に別のユーザのデータを参照・操作する可能性を排除

• ユーザごとに異なるアクセス制御ポリシーを適用

• アプリケーション・ロジックのVIEWと、アクセス制御ポリシーを分離

SELECT * FROM orderWHERE customer = 'CLARK';

CLARKが問い合わせた場合

SELECT * FROM orderWHERE customer = 'SCOTT';

SCOTTが問い合わせた場合

SELECT * FROM order;

CLARK 300 06/03/17

SCOTT 20 05/09/11

SCOTT 450 05/11/07

CUSTOMER QTY CREDIT_CARD

CLARK 125 06/02/04

SCOTT 310 06/01/26

CLARK 90 05/12/15

ORDER表

ユーザーの属性情報に応じて、SQLが内部的に書き換える

34


データの伏字化、列レベルでのアクセス制御: Data Redaction

機密情報に対する閲覧制御の集中管理

• 集中管理 |データベース内でリアルタイムにデータを伏字化。複数のアプリケーションへ反映。

• 透過的 |既存アプリケーションの変更不要。

• 厳密 | ユーザー、クライアント情報（IPアドレス、言語、他）、時間を組み合わせポリシー設定。

クレジットカード番号

4451-2172-9841-43685106-8395-2095-59387830-0032-0294-1827

クレジットカード番号

4451-2172-9841-4368

XXXX-XXXX-XXXX-4368

契約部門

コールセンタ

35


アプリケーションユーザーの認証強固な多要素認証など様々な認証メソッドでのシングルサインオン

37

表（ADDRBOOK)アプリケーションサーバー



Name Phone

羽田千裕 078-3187-5824

渥美政勝 026-4263-2109

稲葉香奈 045-9946-7180

小寺日和 074-9924-8815



Access Management

ワンタイムパスワード(OTP)は、Oracle Mobile AuthenticatorやGoogle Authenticatorなどのモバイルアプリからオフラインでも取得可能

Oracle Mobile Authenticator

ユーザー名/パスワードによる認証後に、さらにワンタイムパスワード(OTP)による多段認証(多要素認証)を製品機能で実現可能

1段目(パスワード) 2段目(OTP)


(参考)アプリケーションユーザー名をデータベースサーバーに通知WebLogic Serverの「接続時にクライアントIDを通知」機能

38




Name Phone

羽田千裕 078-3187-5824

渥美政勝 026-4263-2109

稲葉香奈 045-9946-7180

小寺日和 074-9924-8815



通常はデータベースへの接続には、個人ユーザー名は利用されないため、データベースは実際のエンドユーザーが誰だがわからないが、WebLogicの「接続時にクライアントIDを通知」機能を利用することで個人ユーザー名をデータベースに伝播し、アクセス制御や監査に利用可能


Access Management


(参考)アプリケーションユーザー名をデータベースサーバーに通知設定例と標準監査証跡への出力例

39

「接続時にクライアントIDを通知」の設定例(データソースの設定)

↓監査証跡にアプリケーションユーザー名だけでなく、個人ユーザー名が出力されている例

←


USER01で接続

行レベルのアクセス制御ユーザーの属性で参照できる行を制御

40


(電話帳アプリ)user01

Name Phone

羽田千裕 078-3187-5824

稲葉香奈 045-9946-7180

Name Phone

渥美政勝 026-4263-2109

小寺日和 074-9924-8815


user02


Virtual Private Database

user label

user01 10

user02 20

ユーザー属性

アプリケーションから通知されたクライアントID情報をもとに、別途定義したユーザーの属性情報と、アクセス対象表のデータを比較して、アプリケーションユーザーごとに参照できるデータ(行)を制限するためのアクセス制御ポリシーをデータベース側に設定。今回はユーザーごとに参照できるデータをlabelという属性で保持し、この属性情報とADDRBOOK表のlabel列を比較して行レベルのアクセス制御を設定

label

10

20

10

20



ユーザーのアクセス権限の変更すべてのアプリケーションのID、アクセス権限情報を一元管理、プロビジョニング

41

USER01で接続



Name Phone

羽田千裕 078-3187-5824

稲葉香奈 045-9946-7180


user02

Identity Governance(Identity Manager)

シングルサインオンのユーザーIDとアクセス制御ポリシーのためのユーザー属性情報を一元管理。設定はWEB画面から可能。多段ワークフローによるアカウント申請や、対象システムのアカウントの棚卸し、コンプライアンスのためのアカウント情報監査レポート出力も可能。

label

10

20

10

20

user label

user01 10

user02 10

user02 20

ユーザー属性

Name Phone

羽田千裕 078-3187-5824

渥美政勝 026-4263-2109

稲葉香奈 045-9946-7180

小寺日和 074-9924-8815

プロビジョニングVirtual Private Database


user labeluser02 10


列レベルのアクセス制御行データの属性で参照できる列を制御

42

USER01で接続



Name Phone

null 078-3187-5824

稲葉香奈 045-9946-7180


user02

Name Phone

null 078-3187-5824

渥美政勝 026-4263-2109

稲葉香奈 045-9946-7180

小寺日和 074-9924-8815

flag

T

null

null

null

各行の属性情報をもとに、特定の属性の行の指定した列の参照を制限するためのアクセス制御ポリシーをデータベース側に設定。今回はflag列にTと格納されている行のName列は参照されないような列レベルのアクセス制御を設定。たとえば著名人や重要な行の特定の列は参照させないようなアクセス制御を実現。

Virtual Private Database




機密データの一部伏字化データの一部だけを伏字化

43

USER01で接続



Name Phone

null xxx-xxxx-5824

稲葉香奈 xxx-xxxx-7180


user02

Name Phone

null xxx-xxxx-5824

渥美政勝 xxx-xxxx-2109


小寺日和 xxx-xxxx-8815

Data Redaction


列レベルのアクセス制御では、アクセスか許可されていない列のデータ全体が参照できなくなる(nullが戻る)が、列のデータの一部だけを伏字化することも可能。たとえばカード番号の下4けたは本人確認のために利用するがカード番号全体は安全のために参照できないようにすることが可能。



データの伏字化 : Data Masking and Subsetting

機密情報の伏字化、抽出（開発環境、検証環境）

NAME SALARY

AGUILAR 35676.24

CHANDRA 76546.89

010010110010101001001001001001001001010010110010101001001001001001001001010010110010101001001001001001001001

• 集中管理 |データベース内でデータを抽出・伏字化。複数のデータベースへ反映可能。

• 透過的 |既存アプリケーションの変更不要。

• 容易 | 各種クレジットカードの伏字化定義のテンプレートをご用意。

抽出伏字化

NAME SALARY

AGUILAR 50135.56

BENSON 35789.89

CHANDRA 60765.23

DONNER 103456.82

本番環境開発・検証環境

44












45













データベース・アクセス制御機能対応製品一覧

46

一般特権表単位行単位列単位参照更新 DDL 返し値

Virtual PrivateDatabase ○ - - ○ ○ ○ ○ - Null

Data Redaction ○ - - - ○ ○ - -固定値/ランダム

/一部伏字/正規表現

Database Vault ○ ○ ○ - - ○ ○ ○ エラー

誰がアクセスどこにアクセスどんな操作どんな応答


顧客システム担当

47

職務分掌されていない場合

顧客情報

人事情報

運用管理

人事システム担当



セキュリティエリア（物理対策）を実施後

顧客情報

人事情報

運用管理




セキュリティエリア一般エリア




物理対策を実施しても、データベース管理者は重要データにアクセス可能


システム的に職務分掌の対策を実施後

顧客情報

人事情報

運用管理




セキュリティエリア一般エリア




物理セキュリティとシステム的な職務分掌の組み合わせが重要


職務分掌（権限の分散）: Database Vault

重要情報保護のために必要なシステム管理者の職務分掌

アプリケーション

select * from finance.customers

• 職務分掌 |特権ユーザ（SYS, DBA権限）であっても情報にはアクセスさせない

• 透過的 |既存アプリケーションの変更不要, 12c Multitenant Architecture対応

• 厳密 | ユーザー、クライアント情報（IPアドレス、言語、他）、時間を組み合わせポリシー設定

管理者（特権ユーザ）

人事情報

顧客情報

財務情報

50



DBA管理者の権限を分掌～今までの Oracle Database ～

DBAに管理権限が集中～ Oracle Database Vault ～

複数の管理者が管理権限を分割

データベースの起動/停止など※実データへのアクセスは不可！

ユーザーの作成/削除※実データへのアクセスは不可！

ユーザー・データの管理、アクセス権の設定

データベースの起動/停止、全ユーザー・データの操作や、セキュリティ設定の変更等あらゆる操作が実行可能

データベース管理

セキュリティ・ポリシー管理

アプリケーション・データの管理

データベース管理

ユーザー・アカウント管理

アプリケーション・データの管理

ユーザー・アカウント管理

セキュリティの設定/監視※実データへのアクセスは不可！

セキュリティ・ポリシー管理

アカウント管理者

セキュリティ管理者

アプリケーション管理者



DBAの特権を制御

管理権限を分割し、SYS/SYSTEMへの権限集中によるリスクを回避

データベース管理者による不正なデータ操作や情報漏えいのリスク

51



厳密な権限＆ルールの設定により不正アクセスを遮断

ルール１(アクセス元)

IP Address: 192.168.1.XXX

APP Name: JDBC

アプリケーション用ルール

ルール１(アクセス元)

IP Address: 192.168.1.201

DB User: ADMIN01

ルール2 (時間)

09:00～19:00

開発者用ルール

select * from crm.customer

09:00～19:00の間

開発者

顧客領域

表- Customer- Order索引プロシージャ


管理者

顧客領域:

認可

顧客領域:

認可

顧客領域:

非認可



19:00～9:00の間


52


データベース管理者に対するアクセス制御厳密な職務分掌

54

表（ADDRBOOK)

セキュリティ管理者(≠ データベース管理者)


Name Phone

羽田千裕 078-3187-5824

渥美政勝 026-4263-2109

稲葉香奈 045-9946-7180

小寺日和 074-9924-8815


Database Vault

USER01で接続



Name Phone

null xxx-xxxx-5824



user02

Name Phone

null xxx-xxxx-5824

渥美政勝 xxx-xxxx-2109


小寺日和 xxx-xxxx-8815

見えない！

今までアプリケーションから(一般ユーザーから)のアクセスに対するアクセス制御方法を紹介したが、これらの設定はデータベース管理者がおこなうため、これらのアクセス制御は設定者であるデータベース管理者はバイパス可能。厳密な職務分掌を設定すると、データベース管理、セキュリティ管理、アカウント管理、アプリケーションデータの管理を別のユーザーに分割できるので、たとえデータベース管理者といえど、アプリケーションデータを絶対に参照できない設定が可能

レルム(保護領域)













55













ログ取得・監査に求められる要件

56

課題求められる対策

ログの取得漏れ

ログの改ざん、削除

不正アクセスを早期発見できない

個人の操作を特定できない

監査データの漏れない収集

ログの改ざんや破壊から保護

定期的なログ分析、レポート作成、アラート機能

アプリユーザとDBユーザを紐付けし、個人を特定した監査


Audit Vault and Database Firewall

WebLogic Server「接続時にクライアントIDを通知」機能


包括的、厳格なシステムログの収集と異常操作の発見＆警告：Audit Vault and Database Firewall

システムログを集約し一元管理と不正アクセスの早期検知

Audit Vault Server

Block

Log

Allow

Alert

Substitute

Database Firewall

Fire

wal

l Ev

ents

Custom Server

OS, Directory & Custom Audit Log

Agent

OracleMySQLSYBASEIBMMicrosoft

レポート

アラート

ポリシー

WindowsLinuxSolaris

57



ログの一元管理・保全

Audit Vault Server

ユーザー

アプリケーションBlock

LogAllow

AlertSubstitute

Database Firewall Server

Fire

wal

l のログ

OS, ディレクトリ独自ログの監査ログ

レンジ＆リスト・パーティショニング

OLTP表圧縮

Database Vault による特権管理

暗号化

Oracle Database Enterprise Edition 11gR2

SSLによる暗号化通信

取得したログはAudit Vault Serverにセキュアに転送され、効率的に保全ソフトウェアアプライアンスのため、Audit Vault Serverの構成は設定済

WindowsLinuxSolaris

OracleMySQLSYBASEIBMMicrosoft

58


Application DatabaseDatabase Firewall

管理者

Alerts

Audit Vault Server

条件：イベント時間IPアドレス, ホスト名エラーコードユーザ名SQLコマンドなど


事前定義された条件に基いて即座に通知

59


Databaseアプリケーションサーバー


アプリユーザとDBユーザを紐付けし、個人を特定した監査

60

Webアプリケーションにおける個人認証（Application User ID = user01） Database接続

・ DB接続ユーザ名＝ ADDRBOOK・ DBセッション変数＝ “user01”



監査証跡の管理保全と有効活用(アラート、レポート)

62

表（ADDRBOOK)

USER01で接続



Name Phone

null xxx-xxxx-5824




監査証跡レポート

アラート

転送

Audit Vault

通常データベースサーバーに保存される監査証跡を保全のために別のサーバーにほぼリアルタイムで転送。怪しい監査証跡があった場合にはリアルタイムのアラートが可能。また、PCI-DSSなどのコンプライアンス要件を満たすための監査レポートの定期的に自動生成も可能



事例:T-Mobile様オラクルと他DBに格納した顧客データを保護

脅威をモニタリング

• 3500万人以上の加入者の機密情報を保護

• SQLインジェクションを含む、データベースの脅威をモニタリング

• 内部関係者、外部からの脅威を防御

• 数時間で提供

• 侵害されたアカウントを保護


情報保護におけるポイント～データを識別しセキュアな管理を実現～

セキュアな設定と監査

セキュアなデータ保護

セキュアなアクセス

ブロッキングと厳密なアクセス制御

BRONZE GOLDSILVER PLATINUM

•セキュリティ設定の実施と定期的なパッチ適用•監査ログの一括収集・管理

•データの暗号化•データの伏字化•通信の暗号化•より強固な認証

•不正なSQLからの防御•ラベルベースでの行レベルアクセス制御•データベース管理者の

職務・権限の分散•鍵と証明書の一元管理


オラクルが提供するセキュリティソリューション

65

WEBアプリケーション

ユーザー

② Data Redaction機密データ伏字化 ③ Virtual Private DB

データアクセス制御

① TransparentData Encryptionデータ暗号化

⑤ Database VaultDB管理者職務分掌

OS & ストレージディレクトリデータベースカスタム

監査ログ & イベントログ

⑦ Audit Vault and Database Firewall不正SQL検知

レポート

アラート

⑦ Audit Vault and Database Firewall証跡管理

ポリシー

イベント

⑨ Access ManagementSSO＆アクセス制御

⑧ Identity GovernanceIDライフサイクル管理

DB

④ Data Maskingand Subsettingデータマスキング

⑥ Key Vault鍵の集中管理


ご参考：オラクルがご提供するセキュリティ・ソリューション機能概要

機能名①

Transparent Data Encryption

②Data Redaction

③Virtual Private

Database

④Data Masking and

Subsetting

⑤Database Vault

⑥Key Vault

⑦Audit Vault and

Database Firewall

⑧Identity

Governance

⑨Access

Management

脅威データファイル、バックアップデータの奪取

正規利用者の

業務を逸脱した不適切アクセス

正規利用者の業務を逸脱した不適切アクセス

開発・テスト環境データの奪取

DB管理者によるデータ奪取

暗号鍵の紛失内部不正の

追跡、影響範囲の調査不可能

共有特権ユーザIDを使用した不正アクセス

Webシステムに対する不正アクセス

機能概要

既存のアプリケーションに変更なく、透過的に本番、バックアップデータを暗号化

特定の表への参照範囲を列レベルで制限。

この機能は、データベース内で実施されるため、アプリケーション側からは透過的に利用可能。

特定の表への行・列レベルでのより厳密なアクセス制御を実現

開発・テスト環境の実データのマスキング（伏字化）

ステージ環境を用意することなくExport時にマスキングデータを生成

DB管理者の業務

データアクセスを制御。

特定のDB設定やパ

スワード変更、業務データの閲覧等を制限する

公開鍵、秘密鍵、Oracle Wallets、Javaキーストア他の集中管理

Oracle製品 (データ

ベース、ミドルウェア、OS)の鍵を一元管理

DB、OSなどのログをもれなく取得。

定常的なレポートと不正なアクセスを検知。

証跡を改ざん・削除されないようログを保全

人事情報と連動したID/権限の作成・

変更・削除の自動実施

DBやOSなどの特権

アカウントに対して申請ベースでワンタイムパスワードの発行し、利用者を限定。コマンド履歴を取得し操作を取得

Webアプリケーショ

ンの認証一元化と部署・役職に応じたアクセス制御の実現

多段要素認証によるなりすましを防止

使途本番データ、バックアップファイルに含まれる情報を保護

参照時における列レベルでの伏字化

参照、更新時における行・列レベルでのアクセス制御

テスト、開発環境の情報を保護

データベース管理者の職務分掌

業務データにアクセスさせない

暗号化した本番、バックアップデータの暗号鍵を管理、保全

DB、OSなど、

網羅的な監査証跡の取得、管理

個人ID管理の厳格化

OS, DBなどの共有特権ID管理、監査の厳格化

Webアプリケーションの認証と

より厳密なアクセス制御

66


Oracle Database 12cおすすめ研修コース

67

Oracle Database 12c: セキュリティ

概要このコースでは、認証、権限とロールの管理に加えて、Oracle Label Security、データベース暗号化、およびOracle Data Reductionなどを使用した機密データの保護する方法を説明します。また統合監査やファイングレイン監査を構成する方法について説明します。講義と演習を通じてデータベースへのアクセスを保護し

機密性を高める方法を習得できます。

学習項目

セキュリティ要件について

セキュリティ・ソリューションの選択

基本的なデータベース・セキュリティ

ネットワーク・サービスの保護

ユーザーのBasic認証と厳密認証の使用

グローバル・ユーザー認証の使用

プロキシ認証の使用

権限とロールの使用

権限分析の使用 (12c新機能)

アプリケーション・コンテキストの使用

仮想プライベート・データベースの実装

Oracle Label Security の使用

データ・リダクション (12c新機能)

データ・マスキングの使用

透過的機密データ保護の使用 (12c新機能)

暗号化の概念とソリューション

DBMS_CRYPTO パッケージを使用した暗号化

透過的データ暗号化の使用

データベース・ストーレジのセキュリティ

統合監査の使用 (12c新機能)

ファイングレイン監査の使用

コース日数 5 日間【トレーニングキャンパス赤坂】 2015/1/19-23

Oracle Database 12c: Database Vault

概要このコースでは、Oracle Database Vaultを有効化し、レルム、ルール·セット、コマンド·ルール、セキュア・アプリケーション・ロールを用いてデータベース・インスタンスのセキュリティを管理する方法を説明します。また、レポートや監視を使用してセキュリティ違反行為をチェックする方法について説明します。講義と演習と

通じてOracle Database Vault が提供する強力なセキュリティ統制のための機能の活用方法を習得できます。

学習項目

Database Vaultの概要

Database Vaultの構成

権限の分析 (12c 新機能)

レルムの構成

ルール・セットの定義

コマンド・ルールの構成

ルール・セットの拡張

セキュア・アプリケーション・ロールの構成

Database Vaultレポートによる監査

ベスト・プラクティスの実装

コース日数 2 日間【トレーニングキャンパス赤坂】 2014/12/18-19

詳細は Oracle University Webサイトにてご確認ください。

http://education.oracle.com/pls/web_prod-plq-dad/db_pages.getCourseDesc?dc=D58682JP10

oracle dba & developer days 2014 進化する脅威、増加する内部 … ·...

Documents