日常業務に潜む不正アクセス!
~内部情報漏えいのリスクと最新対策術~
会社紹介
内部情報漏えい被害の現状
データ・セキュリティの必要性と弊社のアプローチ
DB・Fileセキュリティ・ソリューション
質疑応答
アジェンダ
IMPERVA社
事業 データ・セキュリティ製品の開発・販売
設立 2002年(2011年11月 NYSE上場)
本社 米国カリフォルニア州Redwood City
CEO & President
Shlomo Kramer(シュロモ・クレイマー)
CTO Amichai Shulman(アミカイ・シュルマン) 従業員数 500名+
日本法人 2007年3月設立
Japan General Manager 長坂 美宏 実績: 60カ国以上での展開 2,000社、数千を超えるサイトを保護 世界的な金融データ・サービス会社 世界的な電気通信会社 世界的なコンピュータ・ハードウェア会社 米国商業銀行 150を超える政府機関や部署 2007 2008 2009 2010 2011 H1'11 H1'12 Revenue ($M) 3
内部情報漏えい被害の現状
発生時期 被害内容 2013年2月 スカパーJSATのサーバやPC等17台がウイルスへ感染、取引先情報や技術情報が流出した可能性 2012年11月 ジブラルタ生命保険を退職した社員や代理店の保険販売員計19人の不正行為によりが顧客情報が流出 2012年7月 NTTドコモの携帯電話顧客情報(約3万件)が派遣社員の不正行為により流出 2011年11月 総務省の職員用PC23台がウイルス感染、外部へ情報が流出 2010年10月 ルーク19が運営するオンライン・サービスの会員個人情報(約47万件)が派遣社員の不正行為により流出 2009年1月 三菱た顧客情報は約UFJ証券会社の顧客情報(約5万件)と企業情報(約122万件)が148万件) 正社員の不正行為により流出(持ち出され
近年の主な内部情報漏えい被害
内部情報漏えい被害により、企業が受ける損失
ブランド・イメージ低下 社会的信用の失墜 株価の下落 データ漏えい対策費用 損害賠償費用 顧客離れ内部情報漏えい被害の現状
内部情報漏えい被害の傾向 内部情報漏えいの犯行者 元社員 元派遣やパートナー企業の元社員 遠隔操作系の不正プログラムに感染した社員のPC 2次被害の確率(2次被害の例:漏えいした個人情報等を悪用した詐欺)* 元社員等による情報漏えいの場合 52.4% 不正プログラムによる情報漏えいの場合 50.0% Winny/Shareへの情報漏えいの場合 5.0% 紛失・盗難による情報漏えいの場合 4.1% *出展:独立行政法人 情報処理推進機構 情報漏えいインシデント対応方策に関する調査報告書 元社員等による内部情報漏えいは情報セキュリティ以外に企業の内 情や全社員のモラル等を疑われてしまうため、外部からの不正アク セスよりも、社会や顧客へ与えるインパクトは非常に大きい! 5データ・セキュリティの必要性
日々、様々なユーザが、様々なデータを利用しています
不正アクセス サービス妨害 正規アクセス データ不正抽出 管理アクセス 業務アクセス 外部ユーザ お客様 悪意あるユーザ ハッカー 内部ユーザ 従業員 スタッフ・パートナー 悪意あるユーザ 7IMPERVA社のアプローチ
外部ユーザ お客様 悪意あるユーザ ハッカー 内部ユーザ 従業員 スタッフ・パートナー 悪意あるユーザ 攻撃防御 バーチャルパッチ レピュテーション制御 アクセス監査 権限管理 アクセス制御ビジネスの原動力であるデータを内外の様々な脅威から守る
SecureSphere Data Security SolutionsIMPERVA社のアプローチ
SecureSphere 製品ラインアップ
外部ユーザ お客様 スタッフ、パートナー ハッカー 内部ユーザ 従業員 悪意あるユーザ 危険性のあるユーザ 攻撃防御 バーチャルパッチ レピュテーション制御 アクセス監査 権限管理 アクセス制御 データベース・セキュリティ データベースアクセスを監査し、攻撃に 対するリアルタイム防御を提供する ファイル・セキュリティ 非構造化データに対する監査・防御 及び権限管理を実現する Webアプリケーション セキュリティ レピュテーション防御・相関攻撃検 証に基づいて、大規模なWeb攻 撃を迅速に検知・防御する 9Fileセキュリティ for SharePoint Fileセキュリティ 管理サーバ (MX) Database セキュリティ Web Application Firewall インターネット Imperva Agent Imperva Agent Native Audit 内部ユーザ
WAF & DDoS Protection Enterprise branch offices
レポート Web サーバ File サーバ NAS データベース IMPERVA社のアプローチ
SecureSphere 製品の導入構成例
DB・Fileセキュリティ・ソリューション
内部情報漏えい対策はお済ですか?
Question!
皆様の会社では、いつ、誰から、自社の重要データ へ、どのような操作が行われているかを把握するこ とは、可能でしょうか? また社員の不正を抑止する取り組みや、重要データ への異常なアクセスを検知する仕組みはありますで しょうか?Answer:
「NO」
もし、この問いの答えが「NO」である場合、内部情 報漏えいリスクへの対策をお勧め致します。 • 重要データへのアクセス証跡の保存と全データへのアクセス 制御等を用いた内部情報漏えい防止ソリューションをご提供 します。 IMPERVA社のDB・Fileセキュリティ・ソリューションデータベース・アクセス証跡ログ
いつ 誰が どのテーブルに 何をした
データベースに対する実際のアクセス証跡をログとして保存
ファイル・アクセス証跡ログ
全てのファイルアクセスの可視化 • フォルダ及びファイル • 新規作成・読み込み・書き込み・修正・削除・権限変更 インストール不要 • ファイル・システムのパフォーマンスに影響を与えません 誰が どのファイル どのフォルダ いつアクセス制御違反ログ -アラートログ-
• 違反の内容 (重大度) • イベント時刻 • 送信元 • データベース名 • データベース ユーザ名 • レスポンスレコード数 • SQLクエリ全文 アラート・ログとして記録される項目 15アクセス証跡やアラートをレポーティング
特権ユーザや退職ユーザ等の操作詳細を定期的にレポートし 重要データの不正持ち出しの早期発見・対応に活用
DB・Fileセキュリティ・ソリューション
• ノン・インライン配置 • インライン・ブリッジ配置 IMPERVA SecureSphereアプライアンスの特徴①
柔軟性の高い設置パターン
透過型インラインブリッジ 全てのセキュリティ機能を実現 高いパフォーマンスと低い遅延時間 フェイルオープン・インタフェース ノン-インライン配置 監視用、ゼロネットワーク遅延時間 スイッチ SecureSphere 保護対象サーバ SecureSphereIMPERVA SecureSphereアプライアンスの特徴①
インラインブリッジ設置構成の例
Web サーバ インターネット SecureSphere DB・Fileセキュリティ SecureSphere 管理サーバ(MX) Imperva Agent 内部ユーザ 監査 セキュリティ(防御) アーカイブ ログ分析 レポート FTP SCP 主に「アクセス制御」目的で導入されるお客様向けの構成 ハードウェア障害時はFail Open機能により、ネットワーク断の回避も可能 19 保護対象 サーバ群 管理者 ユーザIMPERVA SecureSphereアプライアンスの特徴①
ノンインライン設置構成の例
Web サーバ インターネット SecureSphere DB・Fileセキュリティ SecureSphere 管理サーバ(MX) アーカイブ ログ分析 レポート FTP SCP スイッチのミラーポート等からパケットをコピーし、弊社アプライアンスへ転送 主に「アラート」・「アクセス証跡の保存」目的で導入されるお客様向けの構成 監査 セキュリティ(アラート) 内部ユーザ 管理者 ユーザ 保護対象 サーバ群 Imperva AgentDB・Fileセキュリティ・ソリューション
IMPERVA SecureSphereアプライアンスの特徴②
最新のアーキテクチャ
-
他社製品との比較
-
アクセスモニタリング タイプ ベンダ 主な優位点 主な弱点 a. ネットワーク型 (パケットキャプチャ) Chakra サーバの性能に影響を与えない Firewall機能を提供可能 完全な権限分掌が可能 ローカルアクセスをアクセス証跡取得や アクセス制御ができない b. エージェント型 PISO LogLogic IBM ローカル・リモート・アクセスのア クセス証跡取得が可能 サーバの性能に影響を与える データへのアクセス方法に依存 c. DB監査ログ取得型 Fortinet Oracle アクセス証跡の取りこぼしがない サーバの性能に影響を与える リアルタイム・アラート、ブロック不可 ログの解析ツールが弱い 異種DBが混在する場合 d. ハイブリッド型 (a+b) IMPERVA Oracle サーバの性能に影響を与えない リアルタイム・アラート・ブロック Firewall機能を提供可能 ローカル・リモート・アクセスの全 てのアクセス証跡取得が可能・基本的にGatewayでアクセス・ログ の取得、セキュリティ対策を行う ・ローカル・アクセスの発生するDB に対してのみAgentでアクセス・ログ の取得、セキュリティ対策を行う ・基本的に全てのDBに対してAgentを インストールすることでアクセス・ロ グの取得、セキュリティ対策を行う 内部情報漏えい対策を検討する上で、サーバの処理能力の維持は非常に重要なポイントです。 対策を行った結果、サーバの処理能力を低下させてサービス自体の品質低下をまねくことは本末転倒です。 その為、対策はサーバのリソース使用は最小限に抑え、サービス品質の低下を発生させないアーキテクチャが求められます。 Agent Gateway DBへの 負荷が高い ローカル アクセス Agent Agent Agent Gateway ローカル アクセス IMPERVA SecureSphereアプライアンスの特徴②
最新のアーキテクチャ
-
他社製品との比較
-
ハイブリッド型 エージェント型 23DB・Fileセキュリティ・ソリューション
IMPERVA SecureSphereアプライアンスの特徴③
柔軟なセキュリティポリシーと監査ポリシー
データへの全アクセス アクセス制御機能 アクセス証跡 データに対するアクセスや 特権ユーザによるアクセスを ロギング データに対するアクセスを モニタリングし、不正・異常 アクセスを検知 25データへの全アクセス IMPERVA SecureSphereアプライアンスの特徴③
柔軟なセキュリティポリシーと監査ポリシー
アクセス制御機能 アクセス証跡 ・重要なデータに対する アクセスをロギング ・特権ユーザによる アクセスをロギング 全てのデータに対する アクセスをモニタリングし、 不正・異常アクセスを検知 既存の他社製品では監査対象データに限定したモニタリ 弊社の内部情報漏えい防止ソ リューションは【セキュリティポリ シー】機能で実現します。 全てのアクセスの中から条件に一致する、不正・ 異常アクセスを検知し、リアルタイムに通知また は防御します。 弊社の内部情報漏えい防止ソ リューションは【監査ポリシー】機 能で実現します。 全てのアクセスの中から重要なデータへのアクセ スや特権ユーザのアクセスをロギングします。IMPERVA SecureSphereアプライアンスの特徴③
アクセス証跡とアクセス制御機能の設計思想における比較
27 ・アクセス証跡とアクセス制御機能 の対象を分けることができる 【アクセス証跡】 ⇒監査対象データに対するアクセス、 特権ユーザによるアクセスログ等を 記録 【アクセス制御機能】 ⇒全てのデータに対するアクセスを モニタリング ・データベースへの全アクセスにアク セス証跡とアクセス制御機能を設定 【アクセス証跡・アクセス制御機能】 ⇒データベースへの全アクセスに対す るアクセス、特権ユーザによるアクセ スログ等を記録及びアクセスをモニタ リング ・アクセス証跡を適用するアクセスを 限定し、その限定された範囲内でアク セス制御機能も設定 【アクセス証跡・アクセス制御機能】 ⇒センシティブデータに対するアクセ ス、特権ユーザによるアクセスログ等 を記録及びアクセスをモニタリング 内部情報漏えい対策を検討し実現する上で、各機能の適用範囲の設計思想は非常に重要です。 この対策を行う上で、データの保護対象範囲を決めることは基本とされております。その為、保護対象範囲外のデータ までアクセス証跡収集してしまうと、証跡の検索や分析、レポートの精度と効率が低下してしまいます。 また、不正アクセスを試みる際、攻撃者は調査行為として存在しないテーブルにアクセスをしてくることがあります。アクセ ス制御機能を働かせる対象を限定してしまうと、こういった不正行為に気づくことができません。 アクセス証跡 アクセス制御機能 セキュリティ機能 含むアクセス証跡 対象外 アクセス制御機能 含むアクセス証跡 IMPERVA A社 B社
内部情報漏えいのリスク・マネジメント
データへのアクセス状況を把握し、管理・運用することが重要です
社員への抑止力強化・・・・アクセス証跡の取得とレポートによる定期監査
早期検知・防御・・・・アクセス制御による異常なアクセスのアラートやブロック
内部情報漏えい対策のポイント
サービスを提供するシステムへ、影響を与えない事
過不足なく、データへのアクセス状況の管理・運用が出来る事
管理者等へリアルタイムに異常なアクセスを検知し通知出来る事総括
29
ありがとうございました
株式会社
Imperva Japan
お問い合わせ先
Email: Info_jp@imperva.com
