以下の事項は 弊社の一般的な製品の方向性に関する概要を説明するものです また 情報提供を唯一の目的とするものであり いかなる契約にも組み込むことはできません 以下の事項は マテリアルやコード 機能を提供することをコミットメント ( 確約 ) するものではないため 購買決定を行う際の判断材料になさらな

<Insert Picture Here>

Oracle

Direct Seminar

情報漏えい対策セミナー

～情報はいつ、どこから流出するのか？

以下の事項は、弊社の一般的な製品の方向性に関する概要を説明するも

のです。また、情報提供を唯一の目的とするものであり、いかなる契約にも

組み込むことはできません。以下の事項は、マテリアルやコード、機能を提

供することをコミットメント（確約）するものではないため、購買決定を行う際

の判断材料になさらないで下さい。オラクル製品に関して記載されている

機能の開発、リリースおよび時期については、弊社の裁量により決定され

ます。

OracleとJavaは、Oracle Corporation 及びその子会社、関連会社の米国及びその他の国における登録商標です。文

中の社名、商品名等は各社の商標または登録商標である場合があります。

情報漏えいによる企業被害

① 情報漏えい事故は継続的に発生している

② 情報漏えい事故の

8割は内部からの漏洩

③ 内部からの漏洩の多くは

人為的原因

④ 機密情報・人事情報の漏洩はビジネス存続の危機へとつながる

出典：「2009年情報セキュリティインシデントに関する調査報告書」NPO日本ネットワークセキュリティ安全協会 表 個人情報漏えいインシデント 概要データ 図. 情報漏えい件数の推移

漏えい人数

572 万1,498 人

インシデント件数

1,539 件

想定損害賠償総額

3,890 億4,289 万円

一件あたりの漏えい人数

3,924 人

一件あたり平均想定損害賠償額

2 億6,683 万円

一人当たり平均想定損害賠償額

4 万9,961 円

57 366 1032 ₉₉₃ 864 1373 1539 0 200 400 600 800 1000 1200 1400 1600 1800 2003 2004 2005 2006 2007 2008 2009

2009年度インシデント・トップ10

•

業種は「金融業，保険業」「公務」が多い。「電気・ガス・熱供給・

水道業」や「情報通信業」といった特に個人情報の適正な取り

扱いを確保すべき業種からも発生

•

原因としては、2008 年と同様に「管理ミス」が登場する一方で、

内部犯罪・内部不正行為や不正アクセスが増加

出典：「2009年情報セキュリティインシデントに関する調査報告書」NPO日本ネットワークセキュリティ安全協会 表インシデント・トップ10

情報セキュリティインシデントの経験

社員が紛失や誤送信する確率は、

携帯電話で20%、PCとUSBが約10%、EmailとFAXが約70%

出典：「情報セキュリティインシデントに関する調査報告書～発生確率編～」NPO日本ネットワークセキュリティ安全協会

機密情報漏えいの発生要因

管理ミス （例：誤廃棄）

内部犯罪・内部不正行為

不正アクセス

紛失・盗難

意識不足、対策不備

ケアレスミス

悪意・恨み・金銭目的

ルールの欠落

ヒューマンエラー

権限の「悪用」

原因

発生要因

誤操作、手違い、ミス

インシデント削減傾向

（意識向上、対策普及）

対応状況

対策が必要

対策が必要

どこで情報漏洩が起こるのか

バックアップ

メディアを盗む

管理者権限所有

者が不正を行う

IDを入手して堂々

と不正を行う

データ横取りや

不正プログラム

を実行する

データ抽出、印刷

一括持ち出し

不正売却

メディアが

セキュアに保全

されていない

バックアップメディア

データベース

業務アプリケーション ネットワーク、プログラム

リモート環境

SYS ユーザ

なら何でもできて

しまう

IDの棚卸や

削除・変更に

手が回っていない

日々変化する外

部からの攻撃に

対応しきれない

このような行為が

行われたことに気

が付いていない

いざとなったとき、

所在をつきとめられ

ない、取り戻せない

結

果

と

し

て

情

報

漏

洩

の

原

因

欠

落

し

た

対

策

Niko icon

Licensed Under: Creative Commons Attribution-Noncommercial-No Derivative Works 3.0 License Author: tRiBaLmArKiNgS

権限の悪用

ヒューマンエラー

特権ユーザに関する課題

情報システム部責任者

アカウント使用者

•

細かい権限申請が面倒だから、

DBA/root権限を使おう・・・

サーバー管理担当者

•

共有アカウントを廃止したいけ

れど、運用がまわるだろか・・・

•

棚卸の作業が大変・・・

•

情報漏えい対策は十分だろうか・・・

•

各サーバーは、セキュリティポリシーに

従っているだろうか・・・

特権ユーザを共有で利用している

特権ユーザ利用の申請ルールが徹底されていない

とりあえずroot権限を与えてしまう

IDの申請・作成・削除に人手を介し作業ミスが発生する

証跡不足により誰が・いつ・何をしたか特定できない

退職者のIDの削除漏れが多い

管理者権限所有

者が不正を行う

データベース

SYS ユーザ

なら何でもできて

しまう

特権ユーザ(ID)を管理する重要性

•

広範囲な操作が可能

•

プログラムの不正実行が可能

•

機密情報を含むデータの参照が可能

•

重要情報・データの変更（改ざん）が可能

•

ID/権限の変更や、特権ユーザ(ID) を作成可能

過失による情報事故やシステム障害発生のリスク

故意による情報漏洩や改ざんなど情報事故のリスク

特権ユーザ管理

特権ユーザ

•

開発者

•

OS、DB上のユーザ

•

システムに影響を及ぼす権限の保持

•

管理・運用者

•

システム自体の起動・停止など、

最も強い権限を持つアカウント

•

root, Administrator、DBAなど

あらゆるリソースの操作が可能な特権ユーザには高いリスクが伴うが、

そのリスクを低減できれば効率よくセキュリティレベルをあげることが可能

rootやadministrator、DBAだけではない

特権ユーザ管理ソリューション

ID管理

管理者

監査ログ

配信・棚卸

ワークフロー

申請

データベース管理者をアクセス制御

データベース・アクセス制御

特権ユーザのライフサイクル管理

ユーザ

ID管理

業務

不正ID検知

Oracle Identity

Manager

会計システム管理者

データベース

管理者

ルール1

アクセス時間

9:00-18:30

ルール2

IPアドレス

XXX,XXX・・

購買

システム

会計

システム

Oracle

Database Vault

監査ログ

オラクルによる解決策

～ Oracle Identity ManagerによるID管理

利用者とIDを連動し自動化されたIDライフサイクル管理

使用申請・承認経路を明確にする標準ワークフロー

棚卸や不正IDチェックなどのセキュリティ対策

IDライフサイクルに関する履歴を自動収集し証拠・証跡の管理

入退出管理

システム

顧客情報管理

システム

売上管理

システム

OSアカウント管理

属性・ルールに基づいた グループ化・ポリシー割当て

IDの自動配信

と自動削除

配信対象システム

管理者 ･ID情報の管理 ･メンテナンス ユーザ ・パスワード変更 ・申請

ユーザ情報の取得

ユーザ情報源泉

監査ログ

Oracle Identity Manager

オラクルによる解決策

～ Oracle Database Vaultによる管理者のアクセス制御

～ 今までの

Oracle Database

～

権限さえあればアクセス可能

～

Oracle Database Vault

～

条件を満たす場合のみアクセス可能

適切なシステム/オブジェクト権限を含むロール

適切なシステム/オブジェクト権限を含むロール

CONNECT ロール

制御条件の評価

禁止

許可

CONNECT ロール



セキュリティ・ポリシーに則った複雑な条件に基くアクセス制御



条件を満たす場合のみ、システム/オブジェクト権限 の行使を許可



時刻・曜日・クライアント情報

etc…、複数要素の組合せによる柔軟な条件付け

データベース・アクセス制御

監査ログ

リアルタイム監視

レポート作成

監査ログの収集

監査ポリシーの適用

監査ポリシーの一元管理

Oracle 9i

Database R2

複

数

の

監

査

ソ

ー

ス

監査ログの保全

Oracle

Database

10g R1/R2

他社DB

SQL Server,

DB2,Sybase

Oracle Advanced Security

Database

Vault

Oracle

Partitioning

分析用

スキーマ

オープンな分析用スキーマ

通信暗号化

_{効率的なログ管理}

監査ログ格納用

Oracle Database

「効率的に」ログ保全

「漏れなく」ログ収集

「簡単に」ログ分析

Oracle BIとの組合せにより

監視、レポーティング、高度な分析が可能

また、Oracle以外の監査ログとの組合せも可

強固なセキュリティに保護された専用DBへ

監査ログを一箇所に収集し

安全かつ効率的に管理

OracleDBや他社DBの監査機能と

連携することで既存DBを容易に

ログ収集対象へ追加

DB監査ログの収集、保全、監視、分析をシームレスに実現する統合監査ログウェアハウス

Oracle

Database

11g R1

オラクルによる解決策

～ Oracle Audit Vaultによる監査ログの収集

クラウドなどのサービスにおける外部攻撃の課題

～ なりすまし、SQLインジェクション

データーべース

(Oracle,SQLServ

er,DB2・・・)

情報資産

※概念図

攻撃者

情報

漏洩

盗んだID・

パスワード

SQL

インジェクション

不正

アクセス

データ横取りや

不正プログラム

を実行する

ネットワーク、プログラム

リモート環境

日々変化する外

部からの攻撃に対

応しきれない

WEBサーバー

アプリケーションの

実行環境

•

アプリケーションとデータベースの中間に位置し、ネットワーク上からSQL文を

収集・解析する。

•

モニタリング：収集したSQL情報をログとして記録・管理・レポーティングを

行う（監査ツールの用途として使用）

•

ブロッキング：SQLを解析し、危険と判断されるものはブロックまたは

警告することで、内部不正・外部攻撃からデータベースを保護する



透過的



動作しているアプリケーション及びデータベースの変更を必要としない



高いパフォーマンス



アプリケーション・データベース間のトランザクション処理への影響はごくわずか



正確な検知



高精度なSQL文法レベルの解析により、誤検知なく不正なSQLのみブロック

Policies

Built-in

Reports

Alerts

Custom

_Reports

Applications

Block

Log

Allow

Alert

Substitute

Oracle Database Firewall

～ 防御のファースト・ライン

Management

Server

In-Line

Blocking/ Monitoring

HA構成

Inbound

SQL Traffic

Out-of-Band

Monitoring

Management

Server

Policy

Analyzer

Oracle Database Firewall

～ アーキテクチャ

•

モニタリングのみの場合は、スイッチのSPAN Portを使用したOut of Band

構成

•

ブロッキングの場合は、アプリケーション - データベース間にIn-Lineに配置

•

H/A構成のサポート

•

サポート対象のデータベース

Oracle Database 8i～11g、SQL Server 2000・2005・2008、IBM DB2 for LUW 9.x、

Sybase ASE 、SQL Anywhere

Oracle Database Firewall

～ Webコンソール

過去にどれくらい

怪しいSQLがあったか？

不正なSQLとして

ブロックしたことを警告

ネットワーク・トラフィック

の履歴

SQLインジェクション対策

Oracle Database Firewall

～ SQLインジェクション例

SELECT null,null,null,null,null,prod_name FROM PRODUCTS WHERE

1=2 union select null,table_name,null,null,null,null from user_tables

SQLインジェクションのSQLを5W1Hの

要素でモニタリング

Oracle Adaptive Access Manager

～ なりすまし、フィッシング被害から情報を守る

認証キーパッドや多要素認証による認証強化

携帯電話やメールを利用したワンタイムパスワードによる本人確認の強化

リスクのリアルタイム分析による不正行為の防止

多要素認証

デバイス

位置

日時

アクティビティ

リスクベース認証

リスクをスコア

偽サイトに

誘導するE-mail

盗んだID・

パスワード

悪意を持ったユーザ

ワンタイム

パスワード

認証

キーバッド

なりすまし対策

Oracle Adaptive Access Manager

～キーロガー等の攻撃への対策

•

Webアクセスに対する認証（本人確認）をより強固に

Oracle Adaptive Access Manager

インターネットバンキング

（個人の資産情報）

インターネット証券、金融商品

（個人の株式、保険）

•

バーチャル認証デバイス

•

キーボード入力をしなくて済む

•

ユーザによるカスタマイズが可能

•

表示形式がランダムに変更される

認証キーパッド群

ログイン画面

ユーザＩＤ

パスワード

セキュリティ強度

低

強

利用者

なりすまし対策

Oracle Adaptive Access Manager

～盗まれたIDを不正利用されないための仕組み

•

リアルタイム分析によって即座に不正アクセスをシャットアウト

オンライン

システム

デバイスのフィンガープリント

・Cookie

・デバイスのID番号

所在のフィンガープリント

・IPアドレス

・物理的/地理的な所在情報

処理フローのフィンガープリント

・URL、時間、パターン認識

履歴データ

・ユーザ、デバイス、

所在、フロー履歴

収集

アクション

アクセス拒否

アクセス許可

警告

第二認証要求

Oracle Adaptive Access Manager

によるリアルタイム分析

① IDを

盗まれる

② 盗んだIDでアクセス

悪意をもった

犯罪者

正規のユーザで

あればアクセスを許可

③ 分析した結果、アクセス拒否

フィッシング

サイト

正規の利用者

フィッシングメール

なりすまし対策

紛失・盗難の年間発生確率

•

1 年間に紛失・盗難、または紛失しそうになる会社員の確率

•

携帯電話、パソコンやUSBメモリ：4～6%

•

電子メールやFAX： 40%

※ アンケート回答者は、直近の情報セキュリティ・インシデントの発生年を回答している。2009 年

と2010年の両方の年に電子メール、FAX を誤送信した人は、2010 年を選択している。した

がって、2010 年と比べて、2009 年の誤送信の発生確率が特別に低いわけではない。

出典：「情報セキュリティインシデントに関する調査報告書～発生確率編～」NPO日本ネットワークセキュリティ安全協会

ファイル形式の情報を守るクライアントセキュリティ

～ Oracle

I

nformation

R

ights

M

anagement

社内や社外に配布されるファイルと、ファイルに納められた重要な情報を、

改ざん、不正利用、複製、流用、盗難、流出、漏えいなどのリスクから守る。

ファイルサーバー データベースからの レポート 社員の文書や電子メール

サーバーで自動的に

シール

して

デスクトップ上で

シール

して

または

操作を制御

利用者の利便性を損なわず

所在を追跡

操作を記録

権限を剥奪

シール＝ 暗号化とセキュリティ設定の付与

暗号化

セキュリティ設定

保護された文書

• AES 128

• AES 256

• Oracle IRM

サーバー情報

• セキュリティ設

定内容

Oracle IRMで保護することで安心

Oracle IRM はファイルを物理的に保護（シール）することで、

下記のことを可能にする製品です。

Oracle IRM 特長

アクセス権の管理

ファイルがどこにあっても、権限を持つ人だけがファイルを開けます。

1

操作権の管理

ファイルを開いた人の権限に応じて印刷、編集、コピー、保存などの操作を制限します。

2

参照期間の管理

指定した時間が経過した後、または即時にファイルを開けないようにします。

3

操作履歴の管理

ファイルに対する操作を記録し、サーバー上で集約することで、利用者の活動状況を管理します。

4

Oracle Security Solution Webサイト

(参考資料) オラクルのセキュリティソリューション製品

•

企業のセキュリティソリューションを支援するためのソフトウェアおよび機能

を提供しており、世界中で多くの実績を持っています。

情報セキュリティ対策

アイデンティティ（ID）管理

LDAP

IDライフサイクル管理

認証・アクセス制御（アクセス管理）

統合型認証・アクセス制御

連携型認証（フェデレーション）

Oracle Internet Directory

Oracle Virtual Directory

Oracle Directory Server EE

Oracle Identity Manager

Oracle Access Manager

Oracle Identity Federation

Oracle STS/Fedlet

職務分掌、ロール管理 Windows環境のシングル・サインオン

認証・アクセス制御の強化

Oracle Identity

Analytics

Oracle Enterprise Single Sign-On Suite Plus

Oracle Adaptive Access Manager

Oracle Entitlements Server

データ・セキュリティの強化

Oracle Advanced Security

Oracle Database Vault

Oracle Label Security

Oracle Audit Vault

Oracle Data Masking

Enterprise User Security

アプリケーション・セキュリティ

Oracle WebLogic Security （OPSS）

電子文書の取扱いに関するセキュリティの強化

Oracle Universal Content Management

Oracle Information Rights Management

Oracle Universal Records Management

OTN×ダイセミ でスキルアップ!!

※OTN掲示版は、基本的にOracleユーザ有志からの回答となるため100%回答があるとは限りません。

ただ、過去の履歴を見ると、質問の大多数に関してなんらかの回答が書き込まれております。

Oracle Technology Network(OTN)

を御活用下さい。

・一般的な技術問題解決方法などを知りたい！

・セミナ資料など技術コンテンツがほしい！

一般的技術問題解決にはOTN掲示版の

「データベース一般」

をご活用ください

http://forums.oracle.com/forums/main.jspa?categoryID=484

過去のセミナ資料、動画コンテンツはOTNの

「OTNセミナー オンデマンド コンテンツ」

へ

http://www.oracle.com/technetwork/jp/ondemand/index.html

※ダイセミ事務局にダイセミ資料を請求頂いても、お受けできない可能性がございますので予めご了承ください。

ダイセミ資料はOTNコンテンツ オン デマンドか、セミナ実施時間内にダウンロード頂くようお願い致します。

OTNセミナー オンデマンド コンテンツ

ダイセミで実施された技術コンテンツを動画で配信中!!

ダイセミのライブ感はそのままに、お好きな時間で受講頂けます。

※掲載のコンテンツ内容は予告なく変更になる可能性があります。

期間限定での配信コンテンツも含まれております。お早めにダウンロード頂くことをお勧めいたします。

最新情報つぶやき中

oracletechnetjp

・人気コンテンツは？

・お勧め情報

・公開予告

など

OTN トップページ

http://www.oracle.com/technetwork/jp/index.html

ページ左「基本リンク」＞「OTN セミナー オンデマンド」

Oracle エンジニアのための技術情報サイト

オラクルエンジニア通信

http://blogs.oracle.com/oracle4engineer/

•

技術資料

•

ダイセミの過去資料や製品ホワイト

ペーパー、スキルアップ資料などを

多様な方法で検索できます

•

キーワード検索、レベル別、カテゴ

リ別、製品・機能別

•

コラム

•

オラクル製品に関する技術コラムを

毎週お届けします

•

決してニッチではなく、誰もが明日

から使える技術の「あ、そうだったん

だ！」をお届けします

こんな資料が人気です



6か月ぶりに資料ダウンロードランキングの首位が交代！

新王者はOracle Database構築資料

でした。



データベースの

性能管理手法

について、Statspack派も

Enterprise Manager派も目からウロコの技術特集公開中

オラクルエンジニア通信

最新情報つぶやき中

oracletechnetjp

Oracle Databaseの価格ご存知ですか？

問題：

Oracle Databaseの最小構成はいくらでしょうか？

ヒント：

Oracle Standard Edition Oneを

5Named User Plus(指名ユーザ) というのが最小構成です。

問題：

Real Applications Clusters(RAC) Optionはいくらでしょうか？

ヒント：

RACはOracle Database Enterprise EditionのOptionです。

①

②

答えはこちら

_{↓ ログイン不要の簡単見積もり}

■

パフォーマンス診断サービス

•

Webシステム ボトルネック診断サービス

•

データベースパフォーマンス 診断サービス

オラクル社のエンジニアが 直接ご支援します

お気軽にご活用ください!

オラクル 無償支援

検索

NEW

■

システム構成診断サービス

•

Oracle Database構成相談サービス

•

サーバー統合支援サービス

•

仮想化アセスメントサービス

•

メインフレーム資産活用相談サービス

•

BI EEアセスメントサービス

•

簡易業務診断サービス

■

バージョンアップ支援サービス

•

Oracle Databaseバージョンアップ支援サービス

•

Weblogic Serverバージョンアップ支援サービス

•

Oracle Developer/2000(Froms/Reports)

Webアップグレード相談サービス

■

移行支援サービス

•

SQL Serverからの移行支援サービス

•

DB2からの移行支援サービス

•

Sybaseからの移行支援サービス

•

MySQLからの移行支援サービス

•

Postgre SQLからの移行支援サービス

•

Accessからの移行支援サービス

•

Oracle Application ServerからWeblogicへ

移行支援サービス

ITプロジェクト全般に渡る無償支援サービス

Oracle Direct Conciergeサービス

NEW

NEW

インストールすることなく、すぐに体験いただけます

製品無償評価サービス

http://www.oracle.com/jp/direct/services/didemo-195748-ja.html

Web問い合わせフォーム

「

ダイデモ

」をキーワードに検索することで申し込みホームページにアクセスできます

提供シナリオ一例

・データベースチューニング

・アプリケーション性能・負荷検証

・無停止アップグレード

・Webシステム障害解析

1日5組限定！

※サービスご提供には事前予約が必要です

サービスご提供までの流れ

1.

お問合せフォームより「製品評価サービス希望」と必要事項を明記し送信下さい

2.

弊社より接続方法手順書およびハンズオン手順書を送付致します

3.

当日は、弊社サーバー環境でインターネット越しに製品を体感頂けます

http://www.oracle.com/jp/direct/inquiry-form-182185-ja.html

Oracle Direct

検索

あなたにいちばん近いオラクル

Oracle

Direct

まずはお問合せください

Web問い合わせフォーム

フリーダイヤル

専用お問い合わせフォームにてご相談内容を承ります。

※こちらから詳細確認のお電話を差し上げる場合がありますので、ご登録さ

れている連絡先が最新のものになっているか、ご確認下さい

。

0120－155－096

※月曜~金曜 9:00~12:00、13:00~18:00

（祝日および年末年始除く）

システムの検討・構築から運用まで、ITプロジェクト全般の相談窓口としてご支援いたします。

システム構成やライセンス/購入方法などお気軽にお問い合わせ下さい。