Upload
oracle-fusion-middleware
View
1.870
Download
3
Embed Size (px)
DESCRIPTION
情報がさまざまな媒体や経路で伝搬する現代において、情報漏えい事故の報道が、あとを絶ちません。また、SQLインジェクション攻撃や不正に入手したアカウント情報を利用したなりすまし、フィッシング詐欺など外部から攻撃手法も日々変化しています。本セミナーでは、情報保護について日頃課題となることが多い点について解説し、それらを効率的な解決に導くためのソリューションをご紹介します。
Citation preview
<Insert Picture Here>
日本オラクル株式会社
情報漏えい対策~情報はいつ、どこから流出するのか?
Copyright© 2011, Oracle. All rights reserved.
以下の事項は、弊社の一般的な製品の方向性に関する概要を説明するものです。また、情報提供を唯一の目的とするものであり、いかなる契約にも組み込むことはできません。以下の事項は、マテリアルやコード、機能を提供することをコミットメント(確約)するものではないため、購買決定を行う際の判断材料になさらないで下さい。オラクル製品に関して記載されている機能の開発、リリースおよび時期については、弊社の裁量により決定されます。
OracleとJavaは、Oracle Corporation 及びその子会社、関連会社の米国及びその他の国における登録商標です。文中の社名、商品名等は各社の商標または登録商標である場合があります。
2
Copyright© 2011, Oracle. All rights reserved.
情報漏えいによる企業被害
①情報漏えい事故は継続的に発生している
②情報漏えい事故の8割は内部からの漏洩
③内部からの漏洩の多くは人為的原因
④機密情報・人事情報の漏洩はビジネス存続の危機へとつながる
出典:「2009年情報セキュリティインシデントに関する調査報告書」NPO日本ネットワークセキュリティ安全協会
表 個人情報漏えいインシデント 概要データ
図.情報漏えい件数の推移
漏えい人数 572 万1,498 人
インシデント件数 1,539 件
想定損害賠償総額 3,890 億4,289 万円
一件あたりの漏えい人数 3,924 人
一件あたり平均想定損害賠償額 2 億6,683 万円
一人当たり平均想定損害賠償額 4 万9,961 円
57
366
1032 993864
1373
1539
0
200
400
600
800
1000
1200
1400
1600
1800
2003 2004 2005 2006 2007 2008 2009
3
Copyright© 2011, Oracle. All rights reserved.
2009年度インシデント・トップ10
• 業種は「金融業,保険業」「公務」が多い。「電気・ガス・熱供給・水道業」や「情報通信業」といった特に個人情報の適正な取り扱いを確保すべき業種からも発生
• 原因としては、2008 年と同様に「管理ミス」が登場する一方で、内部犯罪・内部不正行為や不正アクセスが増加
4
出典:「2009年情報セキュリティインシデントに関する調査報告書」NPO日本ネットワークセキュリティ安全協会
表インシデント・トップ10
Copyright© 2011, Oracle. All rights reserved.
情報セキュリティインシデントの経験
5
社員が紛失や誤送信する確率は、携帯電話で20%、PCとUSBが約10%、EmailとFAXが約70%
出典:「情報セキュリティインシデントに関する調査報告書~発生確率編~」NPO日本ネットワークセキュリティ安全協会
図:情報セキュリティ・インシデントの経験者数と割合
Copyright© 2011, Oracle. All rights reserved. 6
機密情報漏えいの発生要因
管理ミス (例:誤廃棄)
内部犯罪・内部不正行為
不正アクセス
紛失・盗難
意識不足、対策不備
ケアレスミス
悪意・恨み・金銭目的
ルールの欠落
ヒューマンエラー
権限の「悪用」
原因 発生要因
誤操作、手違い、ミス
インシデント削減傾向
(意識向上、対策普及)
対応状況
対策が必要
対策が必要
Copyright© 2011, Oracle. All rights reserved.
どこで情報漏洩が起こるのか
バックアップメディアを盗む
管理者権限所有者が不正を行う
IDを入手して堂々と不正を行う
データ横取りや不正プログラムを実行する
データ抽出、印刷
一括持ち出し
不正売却
メディアがセキュアに保全されていない
バックアップメディア データベース 業務アプリケーション ネットワーク、プログラム
リモート環境
SYS ユーザなら何でもできてしまう
IDの棚卸や削除・変更に手が回っていない
日々変化する外部からの攻撃に対応しきれない
このような行為が行われたことに気が付いていない
いざとなったとき、所在をつきとめられ
ない、取り戻せない
結果として
情報漏洩の原因
欠落した対策
Niko icon
Licensed Under: Creative Commons Attribution-Noncommercial-No Derivative Works 3.0 License Author: tRiBaLmArKiNgS
権限の悪用 ヒューマンエラー権限の悪用
7
Copyright© 2011, Oracle. All rights reserved.
特権ユーザ管理
8
Copyright© 2011, Oracle. All rights reserved.
特権ユーザに関する課題
情報システム部責任者
アカウント使用者
• 細かい権限申請が面倒だから、DBA/root権限を使おう・・・
サーバー管理担当者
• 共有アカウントを廃止したいけれど、運用がまわるだろか・・・
• 棚卸の作業が大変・・・
• 情報漏えい対策は十分だろうか・・・
• 各サーバーは、セキュリティポリシーに従っているだろうか・・・
特権ユーザを共有で利用している
特権ユーザ利用の申請ルールが徹底されていない
とりあえずroot権限を与えてしまう
IDの申請・作成・削除に人手を介し作業ミスが発生する
証跡不足により誰が・いつ・何をしたか特定できない
退職者のIDの削除漏れが多い
管理者権限所有者が不正を行う
データベース
SYS ユーザなら何でもできてしまう
9
Copyright© 2011, Oracle. All rights reserved.
特権ユーザ(ID)を管理する重要性
10
• 広範囲な操作が可能• プログラムの不正実行が可能
• 機密情報を含むデータの参照が可能
• 重要情報・データの変更(改ざん)が可能
• ID/権限の変更や、特権ユーザ(ID) を作成可能
過失による情報事故やシステム障害発生のリスク
故意による情報漏洩や改ざんなど情報事故のリスク
特権ユーザ管理
特権ユーザ• 開発者
• OS、DB上のユーザ
• システムに影響を及ぼす権限の保持
• 管理・運用者
• システム自体の起動・停止など、最も強い権限を持つアカウント
• root, Administrator、DBAなど
あらゆるリソースの操作が可能な特権ユーザには高いリスクが伴うが、そのリスクを低減できれば効率よくセキュリティレベルをあげることが可能
rootやadministrator、DBAだけではない
Copyright© 2011, Oracle. All rights reserved.
特権ユーザ管理ソリューション
ID管理
管理者
監査ログ
配信・棚卸
ワークフロー申請
データベース管理者をアクセス制御
データベース・アクセス制御
特権ユーザのライフサイクル管理
ユーザ
ID管理業務
不正ID検知
Oracle Identity
Manager
会計システム管理者
データベース管理者
ルール1
アクセス時間9:00-18:30
ルール2
IPアドレスXXX,XXX・・
購買システム
会計システム
Oracle Database Vault
監査ログ
Oracle Audit Vault
11
Copyright© 2011, Oracle. All rights reserved. 12
オラクルによる解決策~ Oracle Identity ManagerによるID管理
利用者とIDを連動し自動化されたIDライフサイクル管理
使用申請・承認経路を明確にする標準ワークフロー
棚卸や不正IDチェックなどのセキュリティ対策
IDライフサイクルに関する履歴を自動収集し証拠・証跡の管理
入退出管理
システム
顧客情報管理
システム売上管理
システム
OSアカウント管理
属性・ルールに基づいたグループ化・ポリシー割当て
IDの自動配信と自動削除
配信対象システム
管理者・ID情報の管理
・メンテナンス
ユーザ
・パスワード変更
・申請
ユーザ情報の取得ユーザ情報源泉
監査ログOracle Identity Manager
ID管理
Copyright© 2011, Oracle. All rights reserved.
オラクルによる解決策~ Oracle Database Vaultによる管理者のアクセス制御
13
~今までの Oracle Database ~権限さえあればアクセス可能
~ Oracle Database Vault ~条件を満たす場合のみアクセス可能
適切なシステム/オブジェクト権限を含むロール 適切なシステム/オブジェクト権限を含むロール
CONNECT ロール制御条件の評価
禁止
許可
CONNECT ロール
セキュリティ・ポリシーに則った複雑な条件に基くアクセス制御 条件を満たす場合のみ、システム/オブジェクト権限 の行使を許可 時刻・曜日・クライアント情報 etc…、複数要素の組合せによる柔軟な条件付け
データベース・アクセス制御
Copyright© 2011, Oracle. All rights reserved.
監査ログ
リアルタイム監視レポート作成
監査ログの収集
監査ポリシーの適用
監査ポリシーの一元管理
Oracle 9i Database R2
複数の監査ソース
監査ログの保全
Oracle Database10g R1/R2
他社DB
SQL Server, DB2,Sybase
Oracle Advanced Security
Database
Vault
Oracle
Partitioning
分析用スキーマ
オープンな分析用スキーマ
通信暗号化 効率的なログ管理
監査ログ格納用
Oracle Database
「効率的に」ログ保全「漏れなく」ログ収集 「簡単に」ログ分析
Oracle BIとの組合せにより監視、レポーティング、高度な分析が可能また、Oracle以外の監査ログとの組合せも可
強固なセキュリティに保護された専用DBへ監査ログを一箇所に収集し安全かつ効率的に管理
OracleDBや他社DBの監査機能と連携することで既存DBを容易にログ収集対象へ追加
DB監査ログの収集、保全、監視、分析をシームレスに実現する統合監査ログウェアハウス
Oracle Database11g R1
14
オラクルによる解決策~ Oracle Audit Vaultによる監査ログの収集
データベース・アクセス制御
Copyright© 2011, Oracle. All rights reserved.
外部からの不正アクセスへの対策
15
Copyright© 2011, Oracle. All rights reserved.
クラウドなどのサービスにおける外部攻撃の課題~なりすまし、SQLインジェクション
データーべース
(Oracle,SQLServer,DB2・・・)
情報資産
※概念図
攻撃者
情報漏洩
盗んだID・パスワード
SQLインジェクション
不正アクセス データ横取りや
不正プログラムを実行する
ネットワーク、プログラム
リモート環境
日々変化する外部からの攻撃に対応しきれない
WEBサーバー
アプリケーションの実行環境
16
Copyright© 2011, Oracle. All rights reserved.
• アプリケーションとデータベースの中間に位置し、ネットワーク上からSQL文を収集・解析する。
• モニタリング:収集したSQL情報をログとして記録・管理・レポーティングを行う(監査ツールの用途として使用)
• ブロッキング:SQLを解析し、危険と判断されるものはブロックまたは警告することで、内部不正・外部攻撃からデータベースを保護する
Oracle Database Firewall
17
SQLインジェクション対策
Copyright© 2011, Oracle. All rights reserved.
透過的
動作しているアプリケーション及びデータベースの変更を必要としない
高いパフォーマンス
アプリケーション・データベース間のトランザクション処理への影響はごくわずか
正確な検知
高精度なSQL文法レベルの解析により、誤検知なく不正なSQLのみブロック
PoliciesBuilt-inReports
AlertsCustomReports
ApplicationsBlock
Log
Allow
Alert
Substitute
Oracle Database Firewall~防御のファースト・ライン
18
SQLインジェクション対策
Copyright© 2011, Oracle. All rights reserved.
Management
Server
In-Line
Blocking/ Monitoring
HA構成
Inbound
SQL Traffic
Out-of-Band
Monitoring
Management
Server
Policy
Analyzer
Oracle Database Firewall~アーキテクチャ
19
• モニタリングのみの場合は、スイッチのSPAN Portを使用したOut of Band
構成
• ブロッキングの場合は、アプリケーション -データベース間にIn-Lineに配置
• H/A構成のサポート
• サポート対象のデータベースOracle Database 8i~11g、SQL Server 2000・2005・2008、IBM DB2 for LUW 9.x、Sybase ASE 、SQL Anywhere
SQLインジェクション対策
Copyright© 2011, Oracle. All rights reserved.
Oracle Database Firewall~Webコンソール
過去にどれくらい怪しいSQLがあったか?
不正なSQLとしてブロックしたことを警告
ネットワーク・トラフィックの履歴
20
SQLインジェクション対策
Copyright© 2011, Oracle. All rights reserved.
Oracle Database Firewall~ SQLインジェクション例
21
SELECT null,null,null,null,null,prod_name FROM PRODUCTS WHERE
1=2 union select null,table_name,null,null,null,null from user_tables
SQLインジェクションのSQLを5W1Hの要素でモニタリング
SQLインジェクション対策
Copyright© 2011, Oracle. All rights reserved.
Oracle Adaptive Access Manager~なりすまし、フィッシング被害から情報を守る
認証キーパッドや多要素認証による認証強化
携帯電話やメールを利用したワンタイムパスワードによる本人確認の強化
リスクのリアルタイム分析による不正行為の防止
多要素認証
デバイス位置日時アクティビティ
リスクベース認証リスクをスコア
偽サイトに誘導するE-mail
盗んだID・パスワード
悪意を持ったユーザ
ワンタイムパスワード
認証キーバッド
22
なりすまし対策
Copyright© 2011, Oracle. All rights reserved.
Oracle Adaptive Access Manager~キーロガー等の攻撃への対策
• Webアクセスに対する認証(本人確認)をより強固に
Oracle Adaptive Access Manager
インターネットバンキング(個人の資産情報)
インターネット証券、金融商品(個人の株式、保険)
• バーチャル認証デバイス
• キーボード入力をしなくて済む
• ユーザによるカスタマイズが可能
• 表示形式がランダムに変更される
認証キーパッド群ログイン画面
ユーザID
パスワード
セキュリティ強度低 強
23
利用者
なりすまし対策
Copyright© 2011, Oracle. All rights reserved.
Oracle Adaptive Access Manager~盗まれたIDを不正利用されないための仕組み
• リアルタイム分析によって即座に不正アクセスをシャットアウト
24
オンラインシステム
デバイスのフィンガープリント・Cookie
・デバイスのID番号
所在のフィンガープリント・IPアドレス・物理的/地理的な所在情報
処理フローのフィンガープリント
・URL、時間、パターン認識
履歴データ・ユーザ、デバイス、所在、フロー履歴
収集
アクション
アクセス拒否
アクセス許可
警告
第二認証要求
Oracle Adaptive Access Manager
によるリアルタイム分析
① IDを盗まれる
②盗んだIDでアクセス
悪意をもった犯罪者
正規のユーザであればアクセスを許可 ③分析した結果、アクセス拒否
フィッシング
サイト
正規の利用者フィッシングメール
なりすまし対策
Copyright© 2011, Oracle. All rights reserved.
ファイル形式のデータ流出への対策
25
Copyright© 2011, Oracle. All rights reserved.
紛失・盗難の年間発生確率
• 1 年間に紛失・盗難、または紛失しそうになる会社員の確率• 携帯電話、パソコンやUSBメモリ:4~6%
• 電子メールやFAX: 40%
26
※ アンケート回答者は、直近の情報セキュリティ・インシデントの発生年を回答している。2009 年と2010年の両方の年に電子メール、FAX を誤送信した人は、2010 年を選択している。したがって、2010 年と比べて、2009 年の誤送信の発生確率が特別に低いわけではない。
出典:「情報セキュリティインシデントに関する調査報告書~発生確率編~」NPO日本ネットワークセキュリティ安全協会
Copyright© 2011, Oracle. All rights reserved.
ファイル形式の情報を守るクライアントセキュリティ~ Oracle Information Rights Management
社内や社外に配布されるファイルと、ファイルに納められた重要な情報を、
改ざん、不正利用、複製、流用、盗難、流出、漏えいなどのリスクから守る。
ファイルサーバー
データベースからのレポート
社員の文書や電子メール
サーバーで自動的にシールして
デスクトップ上でシールして
または
操作を制御
利用者の利便性を損なわず
所在を追跡 操作を記録 権限を剥奪
シール=暗号化とセキュリティ設定の付与
27
Copyright© 2011, Oracle. All rights reserved.
暗号化 セキュリティ設定 保護された文書
• AES 128
• AES 256
• Oracle IRMサーバー情報
• セキュリティ設定内容
Oracle IRMで保護することで安心
28
Copyright© 2011, Oracle. All rights reserved.
Oracle IRM はファイルを物理的に保護(シール)することで、
下記のことを可能にする製品です。
Oracle IRM特長
アクセス権の管理ファイルがどこにあっても、権限を持つ人だけがファイルを開けます。
1
操作権の管理ファイルを開いた人の権限に応じて印刷、編集、コピー、保存などの操作を制限します。
2
参照期間の管理指定した時間が経過した後、または即時にファイルを開けないようにします。
3
操作履歴の管理ファイルに対する操作を記録し、サーバー上で集約することで、利用者の活動状況を管理します。
4
29
Copyright© 2011, Oracle. All rights reserved.
Oracle Security Solution Webサイト
30
>>> oracle.co.jp/security
Copyright© 2011, Oracle. All rights reserved.
(参考資料) オラクルのセキュリティソリューション製品
• 企業のセキュリティソリューションを支援するためのソフトウェアおよび機能を提供しており、世界中で多くの実績を持っています。
情報セキュリティ対策
アイデンティティ(ID)管理
LDAP IDライフサイクル管理
認証・アクセス制御(アクセス管理)
統合型認証・アクセス制御 連携型認証(フェデレーション)
Oracle Internet Directory
Oracle Virtual Directory
Oracle Directory Server EE
Oracle Identity Manager Oracle Access Manager Oracle Identity Federation
Oracle STS/Fedlet
職務分掌、ロール管理 Windows環境のシングル・サインオン 認証・アクセス制御の強化
Oracle Identity
Analytics
Oracle Enterprise Single Sign-On Suite Plus Oracle Adaptive Access Manager
Oracle Entitlements Server
データ・セキュリティの強化
Oracle Advanced Security
Oracle Database Vault
Oracle Label Security
Oracle Audit Vault
Oracle Data Masking
Enterprise User Security
アプリケーション・セキュリティ
Oracle WebLogic Security (OPSS)
電子文書の取扱いに関するセキュリティの強化
Oracle Universal Content ManagementOracle Information Rights Management
31
Oracle Universal Records Management
Copyright© 2011, Oracle. All rights reserved. 32
OTN×ダイセミ でスキルアップ!!
※OTN掲示版は、基本的にOracleユーザ有志からの回答となるため100%回答があるとは限りません。ただ、過去の履歴を見ると、質問の大多数に関してなんらかの回答が書き込まれております。
Oracle Technology Network(OTN)を御活用下さい。
・一般的な技術問題解決方法などを知りたい!・セミナ資料など技術コンテンツがほしい!
一般的技術問題解決にはOTN掲示版の
「ミドルウェア」をご活用ください
http://forums.oracle.com/forums/main.jspa?categoryID=484
過去のセミナ資料、動画コンテンツはOTNの
「OTNセミナー オンデマンド コンテンツ」へ
http://www.oracle.com/technetwork/jp/ondemand/index.html
※ダイセミ事務局にダイセミ資料を請求頂いても、お受けできない可能性がございますので予めご了承ください。ダイセミ資料はOTNコンテンツ オン デマンドか、セミナ実施時間内にダウンロード頂くようお願い致します。
Copyright© 2011, Oracle. All rights reserved. 33
OTNセミナー オンデマンド コンテンツダイセミで実施された技術コンテンツを動画で配信中!!
ダイセミのライブ感はそのままに、お好きな時間で受講頂けます。
※掲載のコンテンツ内容は予告なく変更になる可能性があります。期間限定での配信コンテンツも含まれております。お早めにダウンロード頂くことをお勧めいたします。
最新情報つぶやき中
OracleMiddle_jp
・人気コンテンツは?
・お勧め情報
・公開予告 など
OTN トップページ http://www.oracle.com/technetwork/jp/index.html
ページ左「基本リンク」>「OTN セミナー オンデマンド」
Copyright© 2011, Oracle. All rights reserved. 34
Oracle エンジニアのための技術情報サイト
オラクルエンジニア通信http://blogs.oracle.com/oracle4engineer/
• 技術資料
• ダイセミの過去資料や製品ホワイトペーパー、スキルアップ資料などを多様な方法で検索できます
• キーワード検索、レベル別、カテゴリ別、製品・機能別
• コラム
• オラクル製品に関する技術コラムを毎週お届けします
• 決してニッチではなく、誰もが明日から使える技術の「あ、そうだったんだ!」をお届けします
こんな資料が人気です
6か月ぶりに資料ダウンロードランキングの首位が交代!新王者はOracle Database構築資料でした。
データベースの性能管理手法について、Statspack派もEnterprise Manager派も目からウロコの技術特集公開中
オラクルエンジニア通信
最新情報つぶやき中
oracletechnetjp
Copyright© 2011, Oracle. All rights reserved. 35
■パフォーマンス診断サービス
•Webシステム ボトルネック診断サービス
•データベースパフォーマンス診断サービス
オラクル社のエンジニアが 直接ご支援しますお気軽にご活用ください!
オラクル 無償支援 検索
NEW
■システム構成診断サービス
•Oracle Database構成相談サービス
•サーバー統合支援サービス
•仮想化アセスメントサービス
•メインフレーム資産活用相談サービス
•BI EEアセスメントサービス
•簡易業務診断サービス
■バージョンアップ支援サービス
•Oracle Databaseバージョンアップ支援サービス
•Weblogic Serverバージョンアップ支援サービス
•Oracle Developer/2000(Froms/Reports)
Webアップグレード相談サービス
■移行支援サービス
•SQL Serverからの移行支援サービス
•DB2からの移行支援サービス
•Sybaseからの移行支援サービス
•MySQLからの移行支援サービス
•Postgre SQLからの移行支援サービス
•Accessからの移行支援サービス
•Oracle Application ServerからWeblogicへ移行支援サービス
ITプロジェクト全般に渡る無償支援サービス
Oracle Direct Conciergeサービス
NEW
NEW
Copyright© 2011, Oracle. All rights reserved. 36
インストールすることなく、すぐに体験いただけます
製品無償評価サービス
http://www.oracle.com/jp/direct/services/didemo-195748-ja.html
Web問い合わせフォーム「ダイデモ」をキーワードに検索することで申し込みホームページにアクセスできます
提供シナリオ一例
・データベースチューニング
・アプリケーション性能・負荷検証
・無停止アップグレード
・Webシステム障害解析
1日5組限定!
※サービスご提供には事前予約が必要です
• サービスご提供までの流れ
1. お問合せフォームより「製品評価サービス希望」と必要事項を明記し送信下さい
2. 弊社より接続方法手順書およびハンズオン手順書を送付致します
3. 当日は、弊社サーバー環境でインターネット越しに製品を体感頂けます
Copyright© 2011, Oracle. All rights reserved. 37
http://www.oracle.com/jp/direct/inquiry-form-182185-ja.html
Oracle Direct 検索
あなたにいちばん近いオラクル
Oracle Directまずはお問合せください
Web問い合わせフォーム フリーダイヤル
専用お問い合わせフォームにてご相談内容を承ります。
※こちらから詳細確認のお電話を差し上げる場合がありますので、ご登録されている連絡先が最新のものになっているか、ご確認下さい。
0120-155-096
※月曜~金曜 9:00~12:00、13:00~18:00
(祝日および年末年始除く)
システムの検討・構築から運用まで、ITプロジェクト全般の相談窓口としてご支援いたします。
システム構成やライセンス/購入方法などお気軽にお問い合わせ下さい。
Copyright© 2011, Oracle. All rights reserved.
Copyright© 2011, Oracle. All rights reserved.39