Database Vault - #odddtky Oracle DBA & Developer Days 2014 for your Skill 使える実践的なノウハウがここにある進化す

データベース管理者に対するアクセス制御

厳密な職務分掌

表（

ADDRBOOK)

セキュリティ管理者

(≠

データベース管理者

)

データベース管理者

Name Phone

羽田千裕

078-3187-5824

渥美政勝

026-4263-2109

稲葉香奈

045-9946-7180

小寺日和

074-9924-8815

管理者ユーザーで

接続

(SYS)

•

情報の暗号化

–

データベースの暗号化

• OS

が不正侵入された際への耐性強化

•

性能劣化は極僅か（過多なシステム投資を抑制）

–

鍵管理の高度化

•

職務分掌（権限の分散）

–

データベース（

DB

）管理者の職務分掌

• A

さん：ユーザ管理

B

さん：権限管理

C

さん：

DB

管理

D

さん：データ管理

– DB

管理者の業務データ・アクセスを遮断

• DB

不正侵入に対する耐性強化

•

よりきめ細やかなアクセス制御

–

アプリケーションユーザの認証強化

– ID

管理の厳密化

–

ユーザからのアクセス制御強化

•

行レベル、列レベルでのアクセス制御

•

情報の伏字化

•

包括的、厳格なシステムログ収集、異常操作の発見＆警告

– DB

への問合せ内容、結果の一括収集・管理・分析

– Web

アプリのユーザと

DB

ユーザを紐付けし、個人

ユーザーを特定した監査

–

全件検索など“通常ありえない操作”を監視

情報保護におけるポイント

ログ取得・監査に求められる要件

課題求められる対策

ログの取得漏れログの改ざん、削除

不正アクセスを早期発見できない

個人の操作を特定できない

監査データの漏れない収集

ログの改ざんや破壊から保護

定期的なログ分析、レポート作成、アラート機能アプリユーザと

DB

ユーザを紐付けし、個人を特定した監査

Oracle Security

製品提供機能

Audit Vault and Database Firewall

WebLogic Server

「接続時にクライアント

ID

を通知」機能

包括的、厳格なシステムログの収集と異常操作の発見＆警告：

Audit Vault and Database Firewall

システムログを集約し一元管理と不正アクセスの早期検知

Audit Vault Server

Block Log Allow Alert Substitute

Database Firewall

Fi re w all Ev en ts

Custom Server

OS, Directory & Custom Audit Log

Agent

Oracle MySQL SYBASE IBM

Microsoft

レポートアラート

ポリシー

Windows

Linux

Solaris

包括的、厳格なシステムログの収集と異常操作の発見＆警告：

Audit Vault and Database Firewall

ログの一元管理・保全

Audit Vault Server

ユーザー

アプリケーション

Block Log Allow Alert Substitute

Database Firewall Server

Fi re w all

のログ

OS,

ディレクトリ独自ログの監査ログ



レンジ＆リスト・パーティショニング

 OLTP

表圧縮

 Database Vault

による特権管理



暗号化

Oracle Database Enterprise Edition 11gR2

SSL

による暗号化通信

Windows Linux Solaris Oracle MySQL SYBASE IBM

Microsoft

Application Database Database Firewall

管理者

Alerts

Audit Vault Server

条件：

イベント時間

IP

アドレス

,

ホスト名エラーコード

ユーザ名

SQL

コマンドなど

包括的、厳格なシステムログの収集と異常操作の発見＆警告：

Audit Vault and Database Firewall

事前定義された条件に基いて即座に通知

Database

アプリケーションサーバー

包括的、厳格なシステムログの収集と異常操作の発見＆警告：

Audit Vault and Database Firewall

アプリユーザと DB ユーザを紐付けし、個人を特定した監査

Web

アプリケーションにおける個人認証

（

Application User ID = user01

）

Database

接続

・

DB

接続ユーザ名＝

ADDRBOOK

・ DB

セッション変数＝

“user01”

アプリケーションユーザー

監査証跡の管理

保全と有効活用 ( アラート、レポート )

表（

ADDRBOOK)

USER01

で接続

アプリケーションサーバー

(

電話帳アプリ

) user01

Name Phone null xxx-xxxx-5824

稲葉香奈

xxx-xxxx-7180

アプリケーションユーザー

アプリケーションユーザーで接続

(ADDRBOOK)

監査証跡

レポートアラート

転送

ドキュメント内 #odddtky Oracle DBA & Developer Days 2014 for your Skill 使える実践的なノウハウがここにある進化する脅威増加する内部からの情報漏えいから効果的に守るセキュリティ対策とは日本オラクル株式会社製品戦略統括本部プロダクトマーケティング本部大 (ページ 54-62)