Embed Size (px)
Citation preview
Security Project Accelerator
株式会社インサイトテクノロジー 溝上弘起
リアルタイムアクセス監視で実現する抑止力
Why How What
Why How What
DBA 1,000人に聞きましたデータベースセキュリティコンソーシアム調べ
http://www.db-security.org/report/dbsc_dba_ver1.0.pdf
DBAが関心を持っているリスク
A
B
C
D
E
F
G
H
I
0 150 300 450 600
アプリケーションの脆弱性を突いたSQLインジェクションによる情報漏えい
管理者あるいは悪意を持った内部者による不正操作
バックアップメディアの盗難・紛失
アプリケーションの脆弱性を突いたSQLインジェクションによる情報改ざん
DBMSの脆弱性や設定ミスを悪用した攻撃
DBアカウントに対するパスワード辞書攻撃による不正ログイン
DBMS関連ファイルの改ざんによる情報の改ざん、破壊
内部セグメントにおけるDB通信パケットの盗聴
DBMS内またはDBサーバに対するバックドアの作成
0 150 300 450 600人
将来、データベースに格納されている情報を こっそり売却するかも知れない。Q
将来、データベースに格納されている情報を こっそり売却するかも知れない。Q
65.5%10.4%
13.4%
7.1%3.6%
そう思うややそう思うどちらとも言えないあまりそう思わないそう思わない
日付 会社名 漏洩内容
2014年9月9日 株式会社NTTドコモ法人のお客様に保守運用サービスを提供するためにお預かりしていた、1社1,053名分の社員様の個人宅住所を含む管理情報(法人様名、業務用携帯電話番号、業務用携帯電話のご利用者名、ご住所等)が流出した疑い
2014年9月9日 独立行政法人 交通安全環境研究所過去に当研究所の講演会、フォーラム、およびシンポジウムに当研究所のホームページを通じて参加登録いただいた方の入力情報が、8月15日から26日の12日間、インターネットにおいて検索・閲覧可能になっていたことが判明
2014年8月29日 株式会社南日本放送メール配信サービス「ふるぷりネット」の会員様情報の一部が、外部からの不正アクセスにより漏えいする事案が発生。漏えいしたのは2012年10月31日まで使用していた古いデータベースにあった2万828人の情報で、メールアドレス、郵便番号、電話番号、生年月日、パスワード。
2014年8月25日 株式会社タム・タム 平成 26 年5 月 3 日から同年6月20 日までの期間に、弊社 EC サイトをご利用いただいたお客様のカード情報流出の事実が判明
2014年7月17日独立行政法人新エネルギー・産業技術総合開発機構
個人情報及び事業者の非公開情報の一部が、四国経済産業局を通じて漏えいする事案が発生
2014年7月9日 株式会社ベネッセコーポレーション お客様情報約 760 万件が外部に漏えいしたことが確認。最大約 2,070 万件のお客様情報が漏えいしている可能性
2014年3月4日 ジブラルタ生命保険株式会社 旧エイアイジー・スター生命の保険契約に関するお客さま情報 18 名分の社外への漏えいが判明
情報漏洩の98%のデータは データベースサーバから
出典: Verizon データ漏洩/侵害調査報告書 2012
顧客情報 アクセス権限を持つ人物 名簿業者
情報流出ルート
従業員情報
企業内
社内からのデータアクセスを監視する必要がある
Why How What
DEMOreal-time data access monitoring
顧客情報データベース アクセス権限を持つ人物 名簿業者
情報流出ルート
顧客情報データベース アクセス権限を持つ人物 名簿業者
不正アクセスをリアルタイム検知
ICHIKAWA
顧客情報データベース アクセス権限を持つ人物 名簿業者
不正アクセスをリアルタイム検知
select /* Osaka_seminar */ * from app.customer;
ICHIKAWA
顧客情報データベース アクセス権限を持つ人物 名簿業者
不正アクセスをリアルタイム検知
顧客情報データベース アクセス権限を持つ人物 名簿業者
不正アクセスをリアルタイム検知
顧客情報データベース アクセス権限を持つ人物 名簿業者
不正アクセスをリアルタイム検知して、情報漏洩を防ぐ
内部犯行による情報漏洩をどうやって防ぐ?
1. 課題 2. 解決方法
1. 課題
1. 課題 情報システム部門のエンジニアは 業務上、高権限のID(特権ID)が必要なため 重要情報にアクセス可能
=
• ユーザからのアクセス: リスクなし– アプリケーション上で個人IDを発行しアクセスが制御されている
• 悪意のあるアクセス: リスク中– SQL Injectionやクロスサイトスクリプティングによる攻撃
• 特権IDの利用: リスク大
– メンテナンス作業などを実施する都合上、全てのデータに対してアクセス権限を持っている
– マスタデータの更新作業時に意図しない変更などをしてしまう
– IDを共有しておりアクセス元の個人が特定できない
– クレジット情報などをPCにダウンロードして作業している
アプリケーションを介したデータアクセス 情報システム部門からのアクセス
DBAPUser DBA
2. 解決方法 特権IDをどのように管理するか?=
1. 特権IDの精査
2. ログモニタリング×
- 業務で必要な権限を精査し、必要最低限の権限を与える
- プログラム、データの変更が可能なIDは都度貸出とする
- 情報システム部門保有ID以外に、システム導入時に設定
されたIDを精査し、利用を厳格に管理・制限する
- 特権ID及び高権限ID利用の前後で作業内容の確認を
行い、修正ミスや未承認の更新がないことを確認
- 特権IDの操作ログを取得し、定期的にレビューする
- 貸出期間外でのログインを検知・監視する
1. 特権IDの精査
2. ログモニタリング×
- 業務で必要な権限を精査し、必要最低限の権限を与える
- プログラム、データの変更が可能なIDは都度貸出とする
- 情報システム部門保有ID以外に、システム導入時に設定
されたIDを精査し、利用を厳格に管理・制限する
- 特権ID及び高権限ID利用の前後で作業内容の確認を
行い、修正ミスや未承認の更新がないことを確認
- 特権IDの操作ログを取得し、定期的にレビューする
- 貸出期間外でのログインを検知・監視する
Q
9.1%
26.9%
27.2%
36.8% はい「一部だけ」はいいいえわからない
データベースの操作履歴・アクセス履歴を ログとして取得していますか?
ログ取得/ログ監査 だけでは不十分
リアルタイムに監視する仕組みが… 内部不正アクセスを抑制し 情報漏洩を防ぐ
Why How What
データベースセキュリティ製品
Database Activity Monitoring
3,200+ installedOracle, SQL Server, Symfoware
17%
4%
7%
10%
27%
35% PISO製品A製品B製品C製品Dその他
2014年度 データベース監査系ツール出荷金額別シェア
出展: 情報セキュリティソリューション市場の現状と将来展望2012 ミック経済研究所
-メガバンクM社-大手生命保険会社H社-証券会社R社-株式会社マネーパートナーズ
-大手キャリアN社-株式会社NTTぷらら-株式会社ケイ・オプティコム
-大手製造メーカーP社-大手製造メーカーT社-東芝テック株式会社-NECパーソナルコンピューター株式会社
-郵便事業会社J社-省庁B
-大手ガス会社O社-東邦ガス情報システム株式会社
-大手旅客会社J社-テレビ放送会社N社-大手飲料メーカS社-大手流通会社K社-大手流通会社S社-株式会社リクルート-白銅株式会社-株式会社ピーチ・ジョン
PISO 導入企業 7年連続国内シェア NO.1
金融
通信
公共
その他
製造
DBAPUser DBA
PISO Agent
1. ログ取得
2. ログ検索 3. 警告
PISO 基本機能
ログ管理サーバ
データベースセキュリティ製品のトレンド
DatabaseAuditing
DatabaseActivity
Monitoring
ログ監査 リアルタイム監視
Database Activity Monitoring とは
1. 管理者のアクティビティおよび、"SELECT" トランザクションを含む、すべてのデータベースアクティビティの監視、監査ができること。ツールは、DML, DDL, DCL, TCLのすべてのSQLトランザクションを記録できること。
2. 上記アクティビティをセキュアに監視対象データベースの外部に記録できること
3. 複数のデータベースシステムのアクティビティを集めることができる。ツールは、Oracle, SQL Serverなどの複数のデータベースをサポートし、異なるデータベースのSQLの差異を標準化することができる
4.データベース管理者と職務の分掌ができる。監査には、データベース管理者のアクティビティを監視することが含まれるため、ツールはデータベース管理者がアクセスでき、設定変更やログの改変ができてはならない。
5.ポリシー違反のアクセスに対してアラートをあげられること。ツールは、アクティビティを記録するだけでは不十分であり、ルールベースでのリアルタイムの監視機能を提供する必要がある。(例えば、「データベース管理者がクレジットカード情報に対して5件以上のSELECTクエリを発行した場合にリアルタイムでアラートをあげる」といった機能を提供する必要がある)
Database Activity Monitoring とは
1. 管理者のアクティビティおよび、"SELECT" トランザクションを含む、すべてのデータベースアクティビティの監視、監査ができること。ツールは、DML, DDL, DCL, TCLのすべてのSQLトランザクションを記録できること。
2. 上記アクティビティをセキュアに監視対象データベースの外部に記録できること
3. 複数のデータベースシステムのアクティビティを集めることができる。ツールは、Oracle, SQL Serverなどの複数のデータベースをサポートし、異なるデータベースのSQLの差異を標準化することができる
4.データベース管理者と職務の分掌ができる。監査には、データベース管理者のアクティビティを監視することが含まれるため、ツールはデータベース管理者がアクセスでき、設定変更やログの改変ができてはならない。
5.ポリシー違反のアクセスに対してアラートをあげられること。ツールは、アクティビティを記録するだけでは不十分であり、ルールベースでのリアルタイムの監視機能を提供する必要がある。(例えば、「データベース管理者がクレジットカード情報に対して5件以上のSELECTクエリを発行した場合にリアルタイムでアラートをあげる」といった機能を提供する必要がある)
PISOが満たす要件は・・・?
Database Activity Monitoring とは
1. 管理者のアクティビティおよび、"SELECT" トランザクションを含む、すべてのデータベースアクティビティの監視、監査ができること。ツールは、DML, DDL, DCL, TCLのすべてのSQLトランザクションを記録できること。
2. 上記アクティビティをセキュアに監視対象データベースの外部に記録できること
3. 複数のデータベースシステムのアクティビティを集めることができる。ツールは、Oracle, SQL Serverなどの複数のデータベースをサポートし、異なるデータベースのSQLの差異を標準化することができる
4.データベース管理者と職務の分掌ができる。監査には、データベース管理者のアクティビティを監視することが含まれるため、ツールはデータベース管理者がアクセスでき、設定変更やログの改変ができてはならない。
5.ポリシー違反のアクセスに対してアラートをあげられること。ツールは、アクティビティを記録するだけでは不十分であり、ルールベースでのリアルタイムの監視機能を提供する必要がある。(例えば、「データベース管理者がクレジットカード情報に対して5件以上のSELECTクエリを発行した場合にリアルタイムでアラートをあげる」といった機能を提供する必要がある)
PISOが満たす要件は・・・?
Database Activity Monitoring
特徴
ベネッセの内部関係者による情報漏えい事件があってからあちらこちらで「緊急セミナー」が開催されるようになった。思い起こせば、個人情報保護法の施行前後でマスコミによる情報漏えい事件報道が相次ぎ、個人情報の保護の気運が高まった。それ以来のビッグウェーブが来ているようだ。情報性キュリティ関連銘柄の株価は軒並み上昇している。 ご存じの通り、ベネッセ事件では、業務委託されていたSEが事件を起こしたとして、業務委託の是非やIT業界の下請け構造に対する批判などが行われている。 一方で、これを機にUSB接続機器のセキュリティに対する見直しも活性化しはじめた。「単なる外部記憶媒体の制御では不足!」「デバイスとして無効化をしなければならない!」などという意見が声高に叫ばれるようになったのだ。
連日の報道や緊急セミナーの影響で、経営者たちも「ウチは大丈夫なのか?」と不安を募らせているところも少なくない。これを受け、内部情報漏えい対策を行わなければ、という機運が瞬間風速的に高まり、緊急セミナーが開かれ、私のような者が招聘されて講演をする…。
連載 ≫ S&J三輪信雄のCTOニューズレター “ログ取得・分析”という抑止力―ベネッセ事件に寄せて 三輪 信雄(総務省最高情報セキュリティアドバイザー) [著] 2014年09月08日
(http://enterprisezine.jp/iti/detail/6133)
ベネッセのセキュリティ対策は平均以上 さて、ベネッセ事件と同様の事件を想定して再発防止を検討するのであれば、ベネッセ事件の際に行われていたセキュリティ対策は「最低ライン」となるだろう。
ベネッセ事件後、私は、かなりの数のメディア取材を受けてきた。そのたびに、「セキュリティ対策は十分ではないものの、一定程度のレベルにはあったと思われる。むしろそのレベルにはない企業がとても多く、再発が予想される。」とコメントしては、記者たちにがっかりされてきたものだ。たぶん、取材側としては、「セキュリティ対策に重大な欠陥があった」というコメントを期待していたのだ。
たとえば、数ヶ月前のSQL文を含むログなどについては、調査ができた。また、すり抜けられたもののUSB外部記憶媒体の制限などの基本的な対策はとられていた。最近、大企業のシステム部門と意見交換する機会があったが、「あそこはそれなりだったよね」と話すくらい、ベネッセのセキュリティは「そこそこ」できていたほうなのだ。
連載 ≫ S&J三輪信雄のCTOニューズレター “ログ取得・分析”という抑止力―ベネッセ事件に寄せて 三輪 信雄 [著] 2014年09月08日
これまでにセキュリティ専門家が提唱している対策は、だいたい、以下の通りである。
・アクセス権減の細分化 ・業務委託先の管理の強化 ・外部記憶媒体の制限の強化 ・ログの収集と監査
これらは理論的に正しい。正しいのだが、実際にやってみるとなると、そうは簡単にいか
ない。特にログの収集は大変な課題だ。実際に、DBへのアクセスのSQL文をすべて収集、というだけでも実装できない組織が多いだろう。というのも、秒間数千~数万のログを安定して収集し続けるシステムは、数億円に上ることもあるからだ。
連載 ≫ S&J三輪信雄のCTOニューズレター “ログ取得・分析”という抑止力―ベネッセ事件に寄せて 三輪 信雄 [著] 2014年09月08日
PISOなら300万円~の投資で、秒間数千~数万のログを安定して収集可能。
1
「見つかると思っていなかった」を今後に生かす
金融機関においては、当たり前と思われている対策であっても、それ以外の企業では当たり前ではない。システムが大規模になるにつれて、パフォーマンスと安定性を確保するために
は、「ログの取得」は後回しにされることが多い。なぜなら、ログを取得するとシステムが重くなったり、不安定になったり、ディスク容量を圧迫するからだ。
パフォーマンスやログのディスク容量は深刻な問題だ。ログを収集するための処理は、ディスクアクセスを伴うので敬遠される。ディスク容量は、たいていの場合、もともとのDBよりも大きくなる。たとえば、1行のログが200バイトとして、1秒間に5000件のアクセスがあるとすると、1日では約80GBになり、検索のためのインデックス等を考慮すると200GB程度になる。1ヶ月では約6TBにもなり、1年では約140Tにもなる。これだけでも数千万円以上のシステム投資が伴うことがわかるだろう。
連載 ≫ S&J三輪信雄のCTOニューズレター “ログ取得・分析”という抑止力―ベネッセ事件に寄せて 三輪 信雄 [著] 2014年09月08日
PISOなら・・・性能面への問題を考慮する必要がなく、ディスク容量も圧迫しない。
PISOなら・・・ 同じSQLは重複排除される。200バイトのSQLが100万回実行されても、蓄積ログは200バイトのまま。
2
3
このように、ログを収集して監査しましょう、と涼しげに話すことは簡単だが、実際やってみるのはすごく大変なのである。収集するだけでも大きなシステム投資なのに、その監査にはさらにコストが上乗せされる。さらにやっかいなことに、そのログ監査をできる人員の確保が極めて困難なのである。
内部犯行を監査するのだから、内部監査部門が行うべき? しかし、内部監査部門は、書類の監査は出来るものの、ログという膨大なデータベースの監査を行うという技術的なスキルが
不足しているだろう。特に内部犯行においては、「今犯罪が行われた」というイベントが発生しにくい。通常のアクセスであるのか、犯行であるのか、について明確に判断することは難しいだろう。あからさまに SELECT * FROM のようなSQL文ならまだしも、パターンマッチングでの用意な抽出は難しい。
ベネッセ事件においての最大のキーワードは「見つかると思っていなかった」だと思う。借金がある事情がある場合、1回の犯行だけでなく繰り返す傾向にあることは歴史が物語るところだ。見つかる、と思っていればその犯行は防げる、あるいは極小化できる可能性が高い。
連載 ≫ S&J三輪信雄のCTOニューズレター “ログ取得・分析”という抑止力―ベネッセ事件に寄せて 三輪 信雄 [著] 2014年09月08日
PISOなら・・・SQLの処理件数が取得できるため、情報漏洩の危険性の高いアクセスは簡単に、SQLの実行中に検知できる。
4
つまり、抑止力の発揮、は大きな防止策になるのだ。抑止力を発揮するためには、常に監視されているという雰囲気をかもし出すことが重要だ。「監視しています」という張り紙だけでなく、ちょっとした操作を行った際に「不正操作監視センター」から問い合わせの連絡がある、ということが日常的になることで「悪いことをすれば見つかる」という雰囲気をかもし出すことが出来るようになるのだ。
そのためにも、ログの取得と分析は欠かせないのである。確かに、少し前までは膨大なログの収集には、高額なシステムが必要であった。しかし、今ではビッグデータ解析の技術の進歩により、OSSを活用した全文検索を含む膨大なログの高速な収集が可能になってきている(手前味噌ですが、S&Jでも、OSSをベースに膨大なログの収集システム(SOC Engine)を開発して提供しています)。
今後、ログ収集の機運の急速な高まりとともに、以前「統合ログ」と呼ばれていたものが進化し、安価で高速なログ収集/検索システムが次々に登場してくるだろう。その次に課題になるのは、監視を行う要員の確保や体制の構築となる。いま流行りのCSIRTである。次回は、CSIRTについて書いてみたい。
連載 ≫ S&J三輪信雄のCTOニューズレター “ログ取得・分析”という抑止力―ベネッセ事件に寄せて 三輪 信雄 [著] 2014年09月08日
PISOのお客様にもそうおっしゃっていただいています⭐
5
特徴
Direct Memory Access Technologyデータベース性能に影響なく、大量にSQL情報を取得する
DBサーバ
ログ管理サーバ
Deduplicate SQL textSQLを学習し、同じSQLを1レコードで管理することで、蓄積ログ量を最小化する
Auto log maintenancen日前のデータは自動でオフライン化、ファイル圧縮
蓄積ログ量
時間
Deduplicate SQL textSQLを学習し、同じSQLを1レコードで管理することで、蓄積ログ量を最小化する
Auto log maintenancen日前のデータは自動でオフライン化、ファイル圧縮
蓄積ログ量
時間
他社製品の場合
Deduplicate SQL textSQLを学習し、同じSQLを1レコードで管理することで、蓄積ログ量を最小化する
Auto log maintenancen日前のデータは自動でオフライン化、ファイル圧縮
蓄積ログ量
時間
他社製品の場合
PISOの場合
リアルタイムアクセス監視で 不正アクセスを抑止する
さいごに もうひとつ
マイナンバー •個人番号(12桁):住民登録している全ての人(給与所得者 5000万人) •法人番号(13桁):全ての法人、約500万社
企業義務 •税、社会保障の手続きでマイナンバー制度に対応すること •全ての従業員とその家族のマイナンバーを収集・管理すること •マイナンバーの管理には厳しい規則に従う必要がある(違反した場合は罰則対象)
安全管理 •個人番号は重要個人情報と位置づけ、厳格な安全管理を義務付ける •漏洩などの違反行為には、懲役罰を含む非常に厳しい罰則の対象とする •最高刑:懲役4年及び200万円以下の罰金 •職員が違反行為を行った企業などの団体そのものも罰する
マイナンバー制度
マイナンバー •個人番号(12桁):住民登録している全ての人(給与所得者 5000万人) •法人番号(13桁):全ての法人、約500万社
企業義務 •税、社会保障の手続きでマイナンバー制度に対応すること •全ての従業員とその家族のマイナンバーを収集・管理すること •マイナンバーの管理には厳しい規則に従う必要がある(違反した場合は罰則対象)
安全管理 •個人番号は重要個人情報と位置づけ、厳格な安全管理を義務付ける •漏洩などの違反行為には、懲役罰を含む非常に厳しい罰則の対象とする •最高刑:懲役4年及び200万円以下の罰金 •職員が違反行為を行った企業などの団体そのものも罰する
マイナンバー制度
(1)基本方針の策定 特定個人情報等の適正な取扱いについて組織として取り組むための基本方針を策定する
(2)取扱規程等の見直し等 個人番号を取扱う業務を整理し、取扱いの範囲、担当者の明確化、取扱規程等の見直し等を実施する
(3)組織的安全管理措置 組織体制の整備、取扱規程等に基づく運用、取扱状況を確認する手段の整備、情報漏えい等事案に対応 する体制の整備、取扱状況の把握及び安全管理措置の見直し
(5)物理的安全管理措置 特定個人情報等を取り扱う区域の管理、機器及び電子媒体等の盗難等の防止、電子媒体等の 取扱いにおける漏えい等の防止、個人番号の削除、機器及び電子媒体等の廃棄
(4)人的安全管理措置 事務取扱担当者の監督、事務取扱担当者の教育
(6)技術的安全管理措置 アクセス制御、アクセス者の識別と認証、不正アクセス等の防止、情報漏えい等の防止
特定個人情報に関する安全管理措置(内閣府・特定個人情報保護委員会)(P51) http://www.cao.go.jp/bangouseido/ppc/guideline/pdf/261218guideline.pdf安全管理
アクセス制御 特定個人情報ファイルの範囲を限定するために、適切なアクセス制御を行う
アクセス者の識別と認証 特定個人情報ファイルの範囲を限定するために、適切なアクセス制御を行う
不正アクセス等の防止 不正アクセス又は不正ソフトウェアから保護する仕組みを導入し、適切に運用する 情報提供ネットワークシステム等の接続規程等が示す安全管理措置を遵守する
技術的安全管理措置
措置例: 情報システム及び機器にセキュリティ対策ソフトウェア等(ウイルス対策ソフトウェア等)を導入する ログ等の分析を定期的に行い、不正アクセス等を検知する
2015 autumn
カラムベースでのデータ暗号化とアクセスコントロール重要データが格納されているカラムを暗号化 特権ユーザアクセスからデータを保護する
