CloudWorld Osaka 2018 ダウンロード資料

Copyright © 2018 Oracle and/or its affiliates. All rights reserved.

情報漏洩の原因からみる最後に

データを守るための3つの対策

-アセスメント事例にみる背景とその効果

日本オラクル株式会社

Cloud Platformビジネス推進本部

シニアマネージャー 大澤 清吾

2018年1月26日

Oracle

CloudWorld

Osaka

•

_{以下の事項は、弊社の一般的な製品の方向性に関する概要を説明するもの}

です。また、情報提供を唯一の目的とするものであり、いかなる契約にも組み込

むことはできません。以下の事項は、マテリアルやコード、機能を提供することをコ

ミットメント（確約）するものではないため、購買決定を行う際の判断材料に

なさらないで下さい。オラクル製品に関して記載されている機能の開発、リリース

および時期については、弊社の裁量により決定されます。

Oracle

_{とJavaは、Oracle Corporation 及びその子会社、関連会社の米国及びその他の国における登録商標です。}

文中の社名、商品名等は各社の商標または登録商標である場合があります。

3

昨今のセキュリティトレンド

2017

年の全世界の情報漏洩

件数

70000

万件

内部からのデータ漏えいが

全インシデントに占める割合

69

%

Copyright © 2018 Oracle and/or its affiliates. All rights reserved. |

出典：Verizon データ漏えい/侵害調査報告書 2013

出典：Forrster

EU GDPR

、 PCIDSSで

データ保護対策が必要

SECURITY

PART OF OUR DNA

Immediate Focus On

_{SECURE DATA}

•

_{1977 年からビジネス・スタート}

•

_{最初の顧客は CIA}

•

_{マーケットのリーダー}

•

米国政府の要求に応えるセキュリティ技術

•

_{Oracle Security Software Assurance}

Copyright © 2018, Oracle and/or its affiliates. All rights reserved. |

データベース・セキュリティ対策が

求められるガイドライン

データベース・セキュリティ対策が求められるガイドライン

2016

2017

2018

政府機関等の情報セキュリティ対策のための統一基準群

平成28年度が公開。データベースに関する項目が新設

8/31

EU

一般データ保護規則（GDPR）

EU

の個人データを収集、処理を行う事業者に対して義務が発生

PCIDSS

加盟店(非対面)、加盟店契約会社,カード発行会社の準拠が必要

改正個人情報保護法 全面施行

個人情報や個人符号番号に対する安全管理措置の準拠が必要

3/31

5/30

5/25

2019

今日

Copyright © 2018, Oracle and/or its affiliates. All rights reserved. |

個人を識別

できるもの

個人識別符号

1.

本人の氏名、生年月日、連絡先

（住所・居所・電話番号・メールアドレス）

2.

特定の個人を識別できるメールアドレス

3.

本人の氏名を組み合わせて、個人が特定できる情報

(

職位、所属、クレジット番号、社員番号など)

4.

_{特定の個人を識別できる音声録音情報、映像情報}

クレジットカード

情報

1.

公文書に振られた番号

マイナンバー、パスポート番号、基礎年金番号、

運転免許証の番号、健康保険の被保険者証など

2.

生体情報：DNAや顔、虹彩、歩き方、指紋・掌紋など

1.

カード番号、有効期限、会員名、

サービスコード

具体例

具体例

具体例

7

守るべき情報は非常に多岐にわたる

どんな情報を保護するべきか (国内)

改正個人

情報保護

PCIDSS

個人データ

処理

1.

識別子：氏名、識別番号、位置データ、オンライン識別

子（IPアドレスやクッキー、RFID等）

2.

当該自然人に関する物理的、生理的、遺伝子的、精神

的、経済的、文化的又は社会的アイデンティティに特有

の一つまたは複数の要素。

移転

1.

クレジットカード情報の保存、メールアドレスの収集、顧

客の連絡先詳細の変更、顧客の氏名の開示

2.

上司の従業員業務評価の閲覧、全従業員の氏名や社

内での職務、事業所の住所、

1.

個人データを含んだ電子データを EU 域外に送付

具体例

具体例

具体例

EU

域内で取得した「個人データ」を「処理」し、第三国に「移転」を満たすための要件

どんな情報を保護するべきか (EU GDPR)

識別された、または識

別され得る自然人

（「データ主体」）に

関するすべての情報

識別子

個人データ、または個

人データの集合に対

して行われる、

あらゆる単一の作業、

または一連の作業

EU

_{域外の第三国の}

第三者に対して個人

データを閲覧可能に

する行為

Copyright © 2018, Oracle and/or its affiliates. All rights reserved. |

ご参考：GDPR対応のポイント

─

明示的同意取得とデータセキュリティ対策について

各種ガイドラインにおけるデータ・セキュリティ対策の要件の記載

名称

_{セキュリティ強化への取り組み}

_対象

改正個人情報

保護法

2015

_{年9月 ：法律が成立・公布}

2016

年11月：ガイドラインが公開。保護するべき個人情報が明確化。通則編

に、

アクセス制御、暗号化、監査・検知、マスキング

が記載。

個人情報を保持している事

業者、及び業界団体

PCIDSS

2004

2013

年12月：PCI DSS制定

_{年11月：v3.0にバージョンアップ。}

暗号化、アクセス制御、監査、マスキング、構成管理

が記載

クレジットカードを

取り扱う企業

EU

_{一般データ保護}

規則 (GDPR)

1995

_{年10月：EUデータ保護条令が採択}

2016

_{年5月 ：EU GDPRが発布。}

_{暗号化、アクセス制御、監査・検知、}

マスキング

の要件が記載。

EU

_{の個人データを収集、処}

理を行う事業者

政府機関等の情報

セキュリティ対策のた

めの統一基準

2005

年9月 ：政府機関の情報セキュリティ対策のための統一基準 公開

2016

_{年8月 ：平成 28年度版公開。}

_{データベースの項目が新たに追加}

_。

管理者権限分割、アクセス制御、監査・検知、暗号化

が記載

政府機関

官公庁・独立行政法人等

監査・検知

アクセス制御

暗号化・伏字化

Copyright © 2018, Oracle and/or its affiliates. All rights reserved. |

実際に起きている攻撃手法

それぞれのリスクにおける代表的な手法とそのリスク

手法

リスク

対策

物理盗難

Disk

_持出

暗号化

OS

_{管理者の悪用}

OS

_{管理者権限によるDBのファイルの持出}

DB

_{管理者の悪用}

_{管理者権限により全データを参照・改竄}

アクセス制御

アプリ共有DBユーザ悪用 アプリが管理する全データを参照・改竄

アプリユーザ悪用

アプリのユーザーによるデータの参照

リスク

対策

利用証跡の取得漏れ、情報不足

監査・検知

発見的

予防的

Copyright © 2018, Oracle and/or its affiliates. All rights reserved. |

Oracle Database セキュリティ・

リスク・アセスメント

Oracle Database

セキュリティ・リスク・アセスメント

スクリプトとヒアリングを元にリスクを可視化し、推奨する対策と優先対策事項をご提案

1

対象システムを選定し、

スクリプトとヒアリングで、

現在の状況を確認

2

発見したリスクをリストし、

可視化

3

リスクの大きさと

対策実施のコストから

実施優先順位をご提案

4

優先対策事項のご提案

1

2

3

現在の状況をスクリプトとヒアリングで確認

•

ロールや特権の設定状況

•

暗号化、アクセス制御状況

• DB

の初期パラメータの設定

•

アカウントの設定・運用状況

•

監査の設定状況

•

ネットワーク構成

スクリプト

ヒアリング

4

対策実施の優先順位のご提案

優先対策事項のご提案と

_{推奨対策実施による効果の可視化}

発見したリスクの一覧

Copyright © 2018, Oracle and/or its affiliates. All rights reserved. |

リスク軽減のための施策と各種ガイドライン記載事項

名称

セキュリティ強化への取り組み

PCIDSS

2013

年11月：v3.0にバージョンアップ。

暗号化(①)、アクセス制御(②)、監査(③)、

マスキング(①)、構成管理(④)

が記載

政府機関等の情

報セキュリティ対策

のための統一基準

2005

_{年9月：政府機関の情報セキュリティ対策のための統一基準 公開}

2016

年8月：平成 28年度版公開。

データベースの項目が新たに追加

。

管理者権限分割(②,⑤)、アクセス制御(②)、

監査・検知 (③)、暗号化(①)

が記載

改正個人情報

保護法

2015

_{年9月 ：法律が成立・公布}

2016

_{年11月：ガイドラインが公開。保護するべき個人情報が明確化。}

通則編に

アクセス制御(②,⑤)、暗号化(①)、

監査・検知 (③)、伏字化(①)

が記載。

EU

_{一般データ保護}

規則 (GDPR)

1995

年10月：EUデータ保護条令が採択

2016

_{年5月 ：EU GDPRが発布。}

_{暗号化(①)、アクセス制御(②)、}

監査・検知(③)、匿名化・仮名化(①)

の要件が記載。

技術的施策

①

暗号化・伏字化

②

アクセス制御

_{(権限分掌)}

③

監査・検知

運用面施策

④

セキュアな構成・運用

⑤

アカウント管理

Copyright © 2018, Oracle and/or its affiliates. All rights reserved. | 17

1

_．暗号化

_{：Oracle Advanced Security Transparent Data Encryption（TDE）}

データベースの暗号化 – アプリケーションからは透過的

AES-NI

_無し

AES-NI

_有り

10

_倍の

スループット

暗号化

AES-NI

無し

AES-NI

有り

8

倍の

スループット

復号

1.

_{アプリケーションの改修なく実装可能}

2. CPU

_{内でデータの暗号化/復号}

処理を実行(*)

=>

_{パフォーマンス劣化を防止}

3.

_{既存の表領域をそのまま暗号化する}

新機能提供 (11gR2,12cR1/R2で利用

可)

暗号化処理量

(M

B/

秒

)

高

低

強固なセキュリティと高速な処理機能を実現

•

PCI DSS

に対応した課金決済プラットフォームをリ

ニューアル

•

従来、データベース暗号化技術「Oracle

Advanced Security

」を導入済

•

今回のリニューアルではOracle ExadataとOracle

Advanced Security

の組み合わせにより、強固なセ

キュリティと高速な処理機能を併せもった、より高

性能なプラットフォームを実現

事例:ベリトランス様 PCIDSS対応の課金決済プラットフォームを構築

暗号化

PCI Security Standards Council

AMERICAN EXPRESS

VISA

DISCOVER

Copyright © 2018, Oracle and/or its affiliates. All rights reserved. |

2

_{．アクセス制御:}

Oracle Database Vault

重要情報保護のために必要なシステム管理者の職務分掌

DB

ルールセット

機密情報取扱

事務実施者

一般利用者

セキュリティ

管理者

サーバ

管理者

機密・個人情報

業務データ

DB運用管理情報

ユーザ・アカウント

時刻 =

8:00

_～19:00

曜日 =

月～金

IP

_{アドレス =}

xxxxx

必要に応じてルールを適用し、時間

帯やIPアドレスでアクセスを制限する

それ以外

それ以外

それ以外

それ以外

すべて

DB

管理者

DB

_{管理者であっても、管理}

業務に必要ないデータへの

アクセスを禁止する

DB

_{管理者またはその成りすましによる不正閲覧・改竄、監査証跡削除を抑止し、情報漏洩リスクを最小化します。}

Database Vault

_{はアプリケーションからは透過的であり、アプリーケーションの改修は必須ではありません。}

2

_{．アクセス制御}

: Oracle Database Vault

特権ユーザー管理の強化対策事例：ヤフー様

•

「個人情報を扱うデータベースについては、重要データを暗

号化し、物理的にも隔離された専用のセキュアルームから

しかアクセスできないようになっています。当然ながら、24時

間365日しっかりと監視も行われています」と語るのは、シス

テム統括本部 インフラ技術本部 インフラ技術2部 DBMS

技術リーダーの尾崎弘宗氏。

•

セキュアルームからのみのアクセスで、さらには24時間の厳

重な監視がなされていても、データベース管理をする立場

のエンジニアであれば、データベースにアクセス可能なユー

ザー権限を持っている。

•

管理者であれば管理者権限という「特権」を持っているの

で、機密情報にもアクセスできるのは当たり前だろう。しかし

ながら、しっかりとした監視体制を敷きながら、

「管理者はア

クセスできる」という事実そのものが、Yahoo!JAPANでは

問題だというのだ。

アクセス制御

Copyright © 2018, Oracle and/or its affiliates. All rights reserved. | 21

3

_{．監査・検知}

_{：標準監査機能, Oracle Audit Vault and Database Firewall}

網羅的なログ取得と取得したログの集約・一元管理

•

_{一般ユーザに対する監査}

→

_標準監査

•

_{対象をより詳細に絞った監査→ ファイングレイン監査}

• DBA

_{の行動監査}

→ DBA

_監査

•

_{統合的な新しい監査(12c~) → Unified Auditing}

監査ログ

_レポート

アラート

ポリシー

各DBが取得したログを集約・一元管理

Oracle Audit Vault and Database Firewall

オラクルデータベースが提供する監査機能

ファイングレイン監査

Oracle Audit Vault and Database Firewall

・特定の行・列・レコード単位で監査条件を絞り込み、

定義した操作(参照、更新、削除、追加)でログ取得

・実行したSQL文も記録される

→漏洩範囲の特定に使える

・利用者を特定した監査取得が可能

・オラクルほか他社のデータベース製品およびOSなどのログを

一括収集、管理

・収集したログをレポート・アラートし、不正な操作の早期検知

・暗号化、特権管理により証跡を改竄、削除されないよう保全

マイナンバー対応を機に顧客情報管理基盤を多層防御のアプローチで構築

「利便性」と「セキュリティ強化」を両立することで新規顧客の獲得が増加

顧客事例：

楽天証券

様

暗号化

監査・検知



「Oracle Advanced Security」により、

マイナンバーや

個人情報関連をすべて暗号化



「Oracle Database Vault」により、特権ユーザーの

アクセス制御/職務分掌

により外部からの脅威に対

応。また、

相互監視による牽制効果により

内部不正への対策をより強化



「Oracle Audit Vault and Database Firewall」により、

データベース内での不正アクセスおよび暗号鍵な

どOSが管理するファイルの監査・監視

を実現



_{Oracle Consulting}

から提供された知見とノウハウを

活用することで

最小限の開発期間で高度な

セキュリティ基盤

を構築

アクセス制御

DB

_{アクセス制御、暗号化、監査で}

高セキュアな個人情報管理を6カ月で実現

Copyright © 2018, Oracle and/or its affiliates. All rights reserved. | 23

データ保護対策事例：バンダイ様

EC

サイト“プレミアムバンダイ ”をOracle Exadataで刷新し、会員の個人情報を

高度なセキュリティで保護、グローバル展開も見据えた処理性能向上を実現

DBサーバ性能、個人情報保護強化の課題を

Oracle Exadataとデータベースセキュリティ製品で解決

大幅な性能向上

-

バッチ処理：

•

21

_{分→2分39秒（会員情報洗い替え処理）}

•

57

_{分38秒→8分29秒（会員受注集計処理）}

-

平均処理性能

•

10

_{倍以上に向上 (45.4[TPS]→488[TPS])}

個人情報保護強化

-

_{Oracle Advanced Security}

による

データの暗号化

-

Oracle Database Vault

による

管理者によるアクセスを厳密

にコントロールを実現

-

Oracle Audit Vault and Database Firewall

で

監査・監視

し、

Oracle Data Masking and Subsetting

_で

_{テスト環境を保護}

監査・検知

データベースを中心にセキュリティ対策を実装することのメリット

保護するデータの種類、対象システム数

コスト

コスト

アプリケーション側での実装

データベース側の実装

アプリの

改修

アプリの

改修

H/W

_増強

アプリの

改修

アプリの

改修

データベース

に実装

H/W

_増強

保護するデータの種類、対象システム数

保護すべき

データ

個人情報

マイナンバー 個人符号番号 制御情報

対象追加

対象追加

対象追加

将来的には

大きな

コストメリット

今後保護するべきデータはますます増加する事が予想される。データベース側で実装する事で、

個人情報

マイナンバー 個人符号番号 制御情報

Copyright © 2018, Oracle and/or its affiliates. All rights reserved. |

それぞれのリスクにおける代表的な手法とそのリスク

手法

リスク

対策

製品

特長

物理盗難

Disk持出

暗号化

Advanced Security・アプリケーションの改修なく設定で実装可能

・パフォーマンス劣化を極小化

OS管理者の

悪用

OS管理者権限による

DBのファイルの持出

DB管理者の

悪用

管理者権限によりDB上の

全データを参照・改竄

アクセス制御

Database Vault ・DB管理者でも、機密情報へのアクセス禁止

・時間帯やIPアドレスで不正アクセスを制限

アプリ共有DB

ユーザ悪用

全データを参照・改竄

アプリが管理する

アプリ

ユーザ悪用

アプリのユーザーによる

データの参照

Management

Identity

・多要素認証による不正アクセスの防止

・不要ユーザ削除によるリスク軽減

リスク

対策

製品

特長

利用証跡の取得漏れ、

情報不足

監査・検知

Database Firewall

Audit Vault and

・DBへの問合せ内容の一括収集/管理/分析

・取得したログの保全

・Oracle, 他社DB, OSの監査ログも一括収集

予防的

発見的

オラクルであれば、既存のシステムへの影響を極小化して実装可能。短期間での実装、対策コストの削減が可能

今さら？今こそ！データベースセキュリティ (@IT)

それぞれのトピック毎にわかりやすく解説

1.

_{なぜ、今「データベースセキュリティ」なのか──}

安全なデータベースに必要な「5つ」の基本

2.

_{なぜ、データベースセキュリティが必要か─}

─

_{企業の対策率「たった20％」の現状}

3.

_{「講じなければならない」ならば話は別}

データベースセキュリティが「各種ガイドライン」に記載され始めている事実

4.

_{データベースセキュリティに求められる「3つの軸」とコストの最小化}

5.

_{データベース暗号化が必要な「理由」と「3大方式」を理解する}

6.

_{データベースの暗号化、まず「何を、どのように」実施すべきか}

7.

Oracle Database

_{の「透過的データ暗号化機能」とは何か}

8.

Oracle Database

_{のさまざまなデータ、通信暗号化機能をマスターする}

9.

_{安全なデータベース運用、設定は具体的にどうすればいいのか（セキュリティ}

関連の初期化パラメーター一覧付き）

ご参考：データベースセキュリティ対策の関連情報

データベースセキュリティ・ブログ

(

データベース・セキュリティナビ)

本日ご紹介した内容のより詳細な情報をご紹介



基本的な考え方、テーマ毎の解説



アセスメントツール等

「データベース セキュリティ」で検索

https://blogs.oracle.com/sec/

Copyright © 2018, Oracle and/or its affiliates. All rights reserved. 27 27

Oracle Management and Security Solution

Azure

O365

box

Amazon

G Suite

Slack

Oracle

AP

サーバー DB

FW

PC

オンプレミス

統合セキュリティ分析

統合IT運用分析

クラウド利用監視

(CASB)

ID

・アクセス管理

ログ収集・分析

インフラ運用監視

アプリケーション・

クラウド

データベースセキュリティ

データベース

セキュリティ

Advanced Security

透過的なデータベースの暗号化

Key Vault

暗号鍵の安全かつ確実な管理

Database Vault

データベースの特権ユーザ（DBA）の権限分離

Data Masking and Subsetting

開発・検証環境における機密情報の伏字化

Audit Vault and Database Firewall

DB

、OSなど、 網羅的な監査証跡の取得、管理

ID

・アクセス管理

Identity Management

様々なアプリケーションへのID管理・アクセス管理の統合

Identity Cloud Service

✔

クラウド型のID管理(IDaaS)によるID管理・認証統合

クラウド利用監視 CASB Cloud Service

✔

クラウド上のユーザー行動の可視化とポリシー違反の検知

統合セキュリティ

分析

Security Monitoring and Analytics Cloud Service

_✔

_{あらゆる運用データの相関分析とセキュリティ脅威の可視化}

Configuration and Compliance Cloud Service

_✔

IT

アセスメント自動化によるシステム脆弱化の防止

ログ収集・分析

Log Analytics Cloud Service

✔

あらゆるIT環境のログ収集・分析と問題点の可視化

アプリケーション・

インフラ運用監視

Application Performance Monitoring Cloud Service

_✔

_{アプリケーション性能とユーザー体験を可視化し問題点の発見}

Infrastructure Monitoring Cloud Service

_✔

IT

インフラストラクチャ全体の稼働状況監視

Orchestration Cloud Service

_✔

_{オンプレ・クラウドのタスク実行とアクションの自動化}

Copyright © 2018, Oracle and/or its affiliates. All rights reserved. | 29 Copyright © 2018, Oracle and/or its affiliates. All rights reserved. |

ご参考：新しい4つのカタログ

Oracle

Security

Solution

GDPR

_{対応のポイント}

─

_{明示的同意取得とデータ}

セキュリティ対策について

技術・人・プロセスの連携で

高度なセキュリティを実現する

Oracle Cloud Platform

クラウドセキュリティに必須のソ

リューションCloud Access Security

Broker

_{（CASB）導入のポイント}

クラウド時代の運用管理と

セキュリティ対策の最適解

(

_{カタログ)}

技術・人・プロセスの連携で高度なセキュリティを実現する

Oracle Cloud Platform

Copyright © 2018, Oracle and/or its affiliates. All rights reserved. |

クラウドセキュリティに必須のソリューション

Cloud Access Security Broker

（CASB）導入のポイント

Copyright © 2018, Oracle and/or its affiliates. All rights reserved. | 33

Oracle Digital

_{は、オラクル製品の導入をご検討いただく際の総合窓口。}

電話とインターネットによるダイレクトなコニュニケーションで、どんなお問い合わせにもすばやく対応します。

もちろん、無償。どんなことでも、ご相談ください。