情報はいつ、どこから流出するのか？ - 情報漏えい対策

<Insert Picture Here>

日本オラクル株式会社

情報漏えい対策～情報はいつ、どこから流出するのか？

Copyright© 2011, Oracle. All rights reserved.

以下の事項は、弊社の一般的な製品の方向性に関する概要を説明するものです。また、情報提供を唯一の目的とするものであり、いかなる契約にも組み込むことはできません。以下の事項は、マテリアルやコード、機能を提供することをコミットメント（確約）するものではないため、購買決定を行う際の判断材料になさらないで下さい。オラクル製品に関して記載されている機能の開発、リリースおよび時期については、弊社の裁量により決定されます。

OracleとJavaは、Oracle Corporation 及びその子会社、関連会社の米国及びその他の国における登録商標です。文中の社名、商品名等は各社の商標または登録商標である場合があります。

2


情報漏えいによる企業被害

①情報漏えい事故は継続的に発生している

②情報漏えい事故の8割は内部からの漏洩

③内部からの漏洩の多くは人為的原因

④機密情報・人事情報の漏洩はビジネス存続の危機へとつながる

出典：「2009年情報セキュリティインシデントに関する調査報告書」NPO日本ネットワークセキュリティ安全協会

表個人情報漏えいインシデント概要データ

図.情報漏えい件数の推移

漏えい人数 572 万1,498 人

インシデント件数 1,539 件

想定損害賠償総額 3,890 億4,289 万円

一件あたりの漏えい人数 3,924 人

一件あたり平均想定損害賠償額 2 億6,683 万円

一人当たり平均想定損害賠償額 4 万9,961 円

57

366

1032 993864

1373

1539

0

200

400

600

800

1000

1200

1400

1600

1800

2003 2004 2005 2006 2007 2008 2009

3


2009年度インシデント・トップ10

• 業種は「金融業，保険業」「公務」が多い。「電気・ガス・熱供給・水道業」や「情報通信業」といった特に個人情報の適正な取り扱いを確保すべき業種からも発生

• 原因としては、2008 年と同様に「管理ミス」が登場する一方で、内部犯罪・内部不正行為や不正アクセスが増加

4

出典：「2009年情報セキュリティインシデントに関する調査報告書」NPO日本ネットワークセキュリティ安全協会

表インシデント・トップ10


情報セキュリティインシデントの経験

5

社員が紛失や誤送信する確率は、携帯電話で20%、PCとUSBが約10%、EmailとFAXが約70%

出典：「情報セキュリティインシデントに関する調査報告書～発生確率編～」NPO日本ネットワークセキュリティ安全協会

図：情報セキュリティ・インシデントの経験者数と割合

Copyright© 2011, Oracle. All rights reserved. 6

機密情報漏えいの発生要因

管理ミス（例：誤廃棄）

内部犯罪・内部不正行為

不正アクセス

紛失・盗難

意識不足、対策不備

ケアレスミス

悪意・恨み・金銭目的

ルールの欠落

ヒューマンエラー

権限の「悪用」

原因発生要因

誤操作、手違い、ミス

インシデント削減傾向

（意識向上、対策普及）

対応状況

対策が必要

対策が必要


どこで情報漏洩が起こるのか

バックアップメディアを盗む

管理者権限所有者が不正を行う

IDを入手して堂々と不正を行う

データ横取りや不正プログラムを実行する

データ抽出、印刷

一括持ち出し

不正売却

メディアがセキュアに保全されていない

バックアップメディアデータベース業務アプリケーションネットワーク、プログラム

リモート環境

SYS ユーザなら何でもできてしまう

IDの棚卸や削除・変更に手が回っていない

日々変化する外部からの攻撃に対応しきれない

このような行為が行われたことに気が付いていない

いざとなったとき、所在をつきとめられ

ない、取り戻せない

結果として

情報漏洩の原因

欠落した対策

Niko icon

Licensed Under: Creative Commons Attribution-Noncommercial-No Derivative Works 3.0 License Author: tRiBaLmArKiNgS

権限の悪用ヒューマンエラー権限の悪用

7


特権ユーザ管理

8


特権ユーザに関する課題

情報システム部責任者

アカウント使用者

• 細かい権限申請が面倒だから、DBA/root権限を使おう・・・

サーバー管理担当者

• 共有アカウントを廃止したいけれど、運用がまわるだろか・・・

• 棚卸の作業が大変・・・

• 情報漏えい対策は十分だろうか・・・

• 各サーバーは、セキュリティポリシーに従っているだろうか・・・

特権ユーザを共有で利用している

特権ユーザ利用の申請ルールが徹底されていない

とりあえずroot権限を与えてしまう

IDの申請・作成・削除に人手を介し作業ミスが発生する

証跡不足により誰が・いつ・何をしたか特定できない

退職者のIDの削除漏れが多い

管理者権限所有者が不正を行う

データベース

SYS ユーザなら何でもできてしまう

9


特権ユーザ(ID)を管理する重要性

10

• 広範囲な操作が可能• プログラムの不正実行が可能

• 機密情報を含むデータの参照が可能

• 重要情報・データの変更（改ざん）が可能

• ID/権限の変更や、特権ユーザ(ID) を作成可能

過失による情報事故やシステム障害発生のリスク

故意による情報漏洩や改ざんなど情報事故のリスク

特権ユーザ管理

特権ユーザ• 開発者

• OS、DB上のユーザ

• システムに影響を及ぼす権限の保持

• 管理・運用者

• システム自体の起動・停止など、最も強い権限を持つアカウント

• root, Administrator、DBAなど

あらゆるリソースの操作が可能な特権ユーザには高いリスクが伴うが、そのリスクを低減できれば効率よくセキュリティレベルをあげることが可能

rootやadministrator、DBAだけではない


特権ユーザ管理ソリューション

ID管理

管理者

監査ログ

配信・棚卸

ワークフロー申請

データベース管理者をアクセス制御

データベース・アクセス制御

特権ユーザのライフサイクル管理

ユーザ

ID管理業務

不正ID検知

Oracle Identity

Manager

会計システム管理者

データベース管理者

ルール1

アクセス時間9:00-18:30

ルール2

IPアドレスXXX,XXX・・

購買システム

会計システム

Oracle Database Vault

監査ログ

Oracle Audit Vault

11


オラクルによる解決策～ Oracle Identity ManagerによるID管理

利用者とIDを連動し自動化されたIDライフサイクル管理

使用申請・承認経路を明確にする標準ワークフロー

棚卸や不正IDチェックなどのセキュリティ対策

IDライフサイクルに関する履歴を自動収集し証拠・証跡の管理

入退出管理

システム

顧客情報管理

システム売上管理

システム

OSアカウント管理

属性・ルールに基づいたグループ化・ポリシー割当て

IDの自動配信と自動削除

配信対象システム

管理者･ID情報の管理

･メンテナンス

ユーザ

・パスワード変更

・申請

ユーザ情報の取得ユーザ情報源泉

監査ログOracle Identity Manager

ID管理


オラクルによる解決策～ Oracle Database Vaultによる管理者のアクセス制御

13

～今までの Oracle Database ～権限さえあればアクセス可能

～ Oracle Database Vault ～条件を満たす場合のみアクセス可能

適切なシステム/オブジェクト権限を含むロール適切なシステム/オブジェクト権限を含むロール

CONNECT ロール制御条件の評価

禁止

許可

CONNECT ロール

セキュリティ・ポリシーに則った複雑な条件に基くアクセス制御条件を満たす場合のみ、システム/オブジェクト権限の行使を許可時刻・曜日・クライアント情報 etc…、複数要素の組合せによる柔軟な条件付け



監査ログ

リアルタイム監視レポート作成

監査ログの収集

監査ポリシーの適用

監査ポリシーの一元管理

Oracle 9i Database R2

複数の監査ソース

監査ログの保全

Oracle Database10g R1/R2

他社DB

SQL Server, DB2,Sybase

Oracle Advanced Security

Database

Vault

Oracle

Partitioning

分析用スキーマ

オープンな分析用スキーマ

通信暗号化効率的なログ管理

監査ログ格納用

Oracle Database

「効率的に」ログ保全「漏れなく」ログ収集「簡単に」ログ分析

Oracle BIとの組合せにより監視、レポーティング、高度な分析が可能また、Oracle以外の監査ログとの組合せも可

強固なセキュリティに保護された専用DBへ監査ログを一箇所に収集し安全かつ効率的に管理

OracleDBや他社DBの監査機能と連携することで既存DBを容易にログ収集対象へ追加

DB監査ログの収集、保全、監視、分析をシームレスに実現する統合監査ログウェアハウス

Oracle Database11g R1

14

オラクルによる解決策～ Oracle Audit Vaultによる監査ログの収集



外部からの不正アクセスへの対策

15


クラウドなどのサービスにおける外部攻撃の課題～なりすまし、SQLインジェクション

データーべース

(Oracle,SQLServer,DB2・・・)

情報資産

※概念図

攻撃者

情報漏洩

盗んだID・パスワード

SQLインジェクション

不正アクセスデータ横取りや

不正プログラムを実行する

ネットワーク、プログラム

リモート環境

日々変化する外部からの攻撃に対応しきれない

WEBサーバー

アプリケーションの実行環境

16


• アプリケーションとデータベースの中間に位置し、ネットワーク上からSQL文を収集・解析する。

• モニタリング：収集したSQL情報をログとして記録・管理・レポーティングを行う（監査ツールの用途として使用）

• ブロッキング：SQLを解析し、危険と判断されるものはブロックまたは警告することで、内部不正・外部攻撃からデータベースを保護する

Oracle Database Firewall

17

SQLインジェクション対策


透過的

動作しているアプリケーション及びデータベースの変更を必要としない

高いパフォーマンス

アプリケーション・データベース間のトランザクション処理への影響はごくわずか

正確な検知

高精度なSQL文法レベルの解析により、誤検知なく不正なSQLのみブロック

PoliciesBuilt-inReports

AlertsCustomReports

ApplicationsBlock

Log

Allow

Alert

Substitute

Oracle Database Firewall～防御のファースト・ライン

18



Management

Server

In-Line

Blocking/ Monitoring

HA構成

Inbound

SQL Traffic

Out-of-Band

Monitoring

Management

Server

Policy

Analyzer

Oracle Database Firewall～アーキテクチャ

19

• モニタリングのみの場合は、スイッチのSPAN Portを使用したOut of Band

構成

• ブロッキングの場合は、アプリケーション -データベース間にIn-Lineに配置

• H/A構成のサポート

• サポート対象のデータベースOracle Database 8i～11g、SQL Server 2000・2005・2008、IBM DB2 for LUW 9.x、Sybase ASE 、SQL Anywhere



Oracle Database Firewall～Webコンソール

過去にどれくらい怪しいSQLがあったか？

不正なSQLとしてブロックしたことを警告

ネットワーク・トラフィックの履歴

20



Oracle Database Firewall～ SQLインジェクション例

21

SELECT null,null,null,null,null,prod_name FROM PRODUCTS WHERE

1=2 union select null,table_name,null,null,null,null from user_tables

SQLインジェクションのSQLを5W1Hの要素でモニタリング



Oracle Adaptive Access Manager～なりすまし、フィッシング被害から情報を守る

認証キーパッドや多要素認証による認証強化

携帯電話やメールを利用したワンタイムパスワードによる本人確認の強化

リスクのリアルタイム分析による不正行為の防止

多要素認証

デバイス位置日時アクティビティ

リスクベース認証リスクをスコア

偽サイトに誘導するE-mail

盗んだID・パスワード

悪意を持ったユーザ

ワンタイムパスワード

認証キーバッド

22

なりすまし対策


Oracle Adaptive Access Manager～キーロガー等の攻撃への対策

• Webアクセスに対する認証（本人確認）をより強固に

Oracle Adaptive Access Manager

インターネットバンキング（個人の資産情報）

インターネット証券、金融商品（個人の株式、保険）

• バーチャル認証デバイス

• キーボード入力をしなくて済む

• ユーザによるカスタマイズが可能

• 表示形式がランダムに変更される

認証キーパッド群ログイン画面

ユーザＩＤ

パスワード

セキュリティ強度低強

23

利用者



Oracle Adaptive Access Manager～盗まれたIDを不正利用されないための仕組み

• リアルタイム分析によって即座に不正アクセスをシャットアウト

24

オンラインシステム

デバイスのフィンガープリント・Cookie

・デバイスのID番号

所在のフィンガープリント・IPアドレス・物理的/地理的な所在情報

処理フローのフィンガープリント

・URL、時間、パターン認識

履歴データ・ユーザ、デバイス、所在、フロー履歴

収集

アクション

アクセス拒否

アクセス許可

警告

第二認証要求

Oracle Adaptive Access Manager

によるリアルタイム分析

① IDを盗まれる

②盗んだIDでアクセス

悪意をもった犯罪者

正規のユーザであればアクセスを許可 ③分析した結果、アクセス拒否

フィッシング

サイト

正規の利用者フィッシングメール



ファイル形式のデータ流出への対策

25


紛失・盗難の年間発生確率

• 1 年間に紛失・盗難、または紛失しそうになる会社員の確率• 携帯電話、パソコンやUSBメモリ：4～6%

• 電子メールやFAX： 40%

26

※ アンケート回答者は、直近の情報セキュリティ・インシデントの発生年を回答している。2009 年と2010年の両方の年に電子メール、FAX を誤送信した人は、2010 年を選択している。したがって、2010 年と比べて、2009 年の誤送信の発生確率が特別に低いわけではない。

出典：「情報セキュリティインシデントに関する調査報告書～発生確率編～」NPO日本ネットワークセキュリティ安全協会


ファイル形式の情報を守るクライアントセキュリティ～ Oracle Information Rights Management

社内や社外に配布されるファイルと、ファイルに納められた重要な情報を、

改ざん、不正利用、複製、流用、盗難、流出、漏えいなどのリスクから守る。

ファイルサーバー

データベースからのレポート

社員の文書や電子メール

サーバーで自動的にシールして

デスクトップ上でシールして

または

操作を制御

利用者の利便性を損なわず

所在を追跡操作を記録権限を剥奪

シール＝暗号化とセキュリティ設定の付与

27


暗号化セキュリティ設定保護された文書

• AES 128

• AES 256

• Oracle IRMサーバー情報

• セキュリティ設定内容

Oracle IRMで保護することで安心

28


Oracle IRM はファイルを物理的に保護（シール）することで、

下記のことを可能にする製品です。

Oracle IRM特長

アクセス権の管理ファイルがどこにあっても、権限を持つ人だけがファイルを開けます。

1

操作権の管理ファイルを開いた人の権限に応じて印刷、編集、コピー、保存などの操作を制限します。

2

参照期間の管理指定した時間が経過した後、または即時にファイルを開けないようにします。

3

操作履歴の管理ファイルに対する操作を記録し、サーバー上で集約することで、利用者の活動状況を管理します。

4

29


Oracle Security Solution Webサイト

30

>>> oracle.co.jp/security


(参考資料) オラクルのセキュリティソリューション製品

• 企業のセキュリティソリューションを支援するためのソフトウェアおよび機能を提供しており、世界中で多くの実績を持っています。

情報セキュリティ対策

アイデンティティ（ID）管理

LDAP IDライフサイクル管理

認証・アクセス制御（アクセス管理）

統合型認証・アクセス制御連携型認証（フェデレーション）

Oracle Internet Directory

Oracle Virtual Directory

Oracle Directory Server EE

Oracle Identity Manager Oracle Access Manager Oracle Identity Federation

Oracle STS/Fedlet

職務分掌、ロール管理 Windows環境のシングル・サインオン認証・アクセス制御の強化

Oracle Identity

Analytics

Oracle Enterprise Single Sign-On Suite Plus Oracle Adaptive Access Manager

Oracle Entitlements Server

データ・セキュリティの強化

Oracle Advanced Security

Oracle Database Vault

Oracle Label Security

Oracle Audit Vault

Oracle Data Masking

Enterprise User Security

アプリケーション・セキュリティ

Oracle WebLogic Security （OPSS）

電子文書の取扱いに関するセキュリティの強化

Oracle Universal Content ManagementOracle Information Rights Management

31

Oracle Universal Records Management


OTN×ダイセミでスキルアップ!!

※OTN掲示版は、基本的にOracleユーザ有志からの回答となるため100%回答があるとは限りません。ただ、過去の履歴を見ると、質問の大多数に関してなんらかの回答が書き込まれております。

Oracle Technology Network(OTN)を御活用下さい。

・一般的な技術問題解決方法などを知りたい！・セミナ資料など技術コンテンツがほしい！

一般的技術問題解決にはOTN掲示版の

「ミドルウェア」をご活用ください

http://forums.oracle.com/forums/main.jspa?categoryID=484

過去のセミナ資料、動画コンテンツはOTNの

「OTNセミナーオンデマンドコンテンツ」へ

http://www.oracle.com/technetwork/jp/ondemand/index.html

※ダイセミ事務局にダイセミ資料を請求頂いても、お受けできない可能性がございますので予めご了承ください。ダイセミ資料はOTNコンテンツオンデマンドか、セミナ実施時間内にダウンロード頂くようお願い致します。


OTNセミナーオンデマンドコンテンツダイセミで実施された技術コンテンツを動画で配信中!!

ダイセミのライブ感はそのままに、お好きな時間で受講頂けます。

※掲載のコンテンツ内容は予告なく変更になる可能性があります。期間限定での配信コンテンツも含まれております。お早めにダウンロード頂くことをお勧めいたします。

最新情報つぶやき中

OracleMiddle_jp

・人気コンテンツは？

・お勧め情報

・公開予告など

OTN トップページ http://www.oracle.com/technetwork/jp/index.html

ページ左「基本リンク」＞「OTN セミナーオンデマンド」

http://www.oracle.com/technetwork/jp/index.html


Oracle エンジニアのための技術情報サイト

オラクルエンジニア通信http://blogs.oracle.com/oracle4engineer/

• 技術資料

• ダイセミの過去資料や製品ホワイトペーパー、スキルアップ資料などを多様な方法で検索できます

• キーワード検索、レベル別、カテゴリ別、製品・機能別

• コラム

• オラクル製品に関する技術コラムを毎週お届けします

• 決してニッチではなく、誰もが明日から使える技術の「あ、そうだったんだ！」をお届けします

こんな資料が人気です

6か月ぶりに資料ダウンロードランキングの首位が交代！新王者はOracle Database構築資料でした。

データベースの性能管理手法について、Statspack派もEnterprise Manager派も目からウロコの技術特集公開中

オラクルエンジニア通信

最新情報つぶやき中

oracletechnetjp

http://blogs.oracle.com/oracle4engineer/


■パフォーマンス診断サービス

•Webシステムボトルネック診断サービス

•データベースパフォーマンス診断サービス

オラクル社のエンジニアが直接ご支援しますお気軽にご活用ください!

オラクル無償支援検索

NEW

■システム構成診断サービス

•Oracle Database構成相談サービス

•サーバー統合支援サービス

•仮想化アセスメントサービス

•メインフレーム資産活用相談サービス

•BI EEアセスメントサービス

•簡易業務診断サービス

■バージョンアップ支援サービス

•Oracle Databaseバージョンアップ支援サービス

•Weblogic Serverバージョンアップ支援サービス

•Oracle Developer/2000(Froms/Reports)

Webアップグレード相談サービス

■移行支援サービス

•SQL Serverからの移行支援サービス

•DB2からの移行支援サービス

•Sybaseからの移行支援サービス

•MySQLからの移行支援サービス

•Postgre SQLからの移行支援サービス

•Accessからの移行支援サービス

•Oracle Application ServerからWeblogicへ移行支援サービス

ITプロジェクト全般に渡る無償支援サービス

Oracle Direct Conciergeサービス

NEW

NEW


インストールすることなく、すぐに体験いただけます

製品無償評価サービス

http://www.oracle.com/jp/direct/services/didemo-195748-ja.html

Web問い合わせフォーム「ダイデモ」をキーワードに検索することで申し込みホームページにアクセスできます

提供シナリオ一例

・データベースチューニング

・アプリケーション性能・負荷検証

・無停止アップグレード

・Webシステム障害解析

1日5組限定！

※サービスご提供には事前予約が必要です

• サービスご提供までの流れ

1. お問合せフォームより「製品評価サービス希望」と必要事項を明記し送信下さい

2. 弊社より接続方法手順書およびハンズオン手順書を送付致します

3. 当日は、弊社サーバー環境でインターネット越しに製品を体感頂けます







http://www.oracle.com/jp/direct/inquiry-form-182185-ja.html

Oracle Direct 検索

あなたにいちばん近いオラクル

Oracle Directまずはお問合せください

Web問い合わせフォームフリーダイヤル

専用お問い合わせフォームにてご相談内容を承ります。

※こちらから詳細確認のお電話を差し上げる場合がありますので、ご登録されている連絡先が最新のものになっているか、ご確認下さい。

0120－155－096

※月曜~金曜 9:00~12:00、13:00~18:00

（祝日および年末年始除く）

システムの検討・構築から運用まで、ITプロジェクト全般の相談窓口としてご支援いたします。

システム構成やライセンス/購入方法などお気軽にお問い合わせ下さい。


Copyright© 2011, Oracle. All rights reserved.39