#odddtky Oracle DBA & Developer Days 2014 for your Skill 使える実践的なノウハウがここにある 進化する脅威 増加する内部から の情報漏えいから効果的に守るセキュリティ対策とは 日本オラクル株式会社 製品戦略統括本部プロダクトマーケティング本部大

進化する脅威、増加する内部から

の情報漏えいから効果的に守る

セキュリティ対策とは

日本オラクル株式会社

製品戦略統括本部

プロダクトマーケティング本部 大澤 清吾

製品戦略統括本部

Oracle DBA & Developer Days 2014

for your

Skill

使える実践的なノウハウがここにある

•

以下の事項は、弊社の一般的な製品の方向性に関する概要を説明する

ものです。また、情報提供を唯一の目的とするものであり、いかなる契約

にも組み込むことはできません。以下の事項は、マテリアルやコード、機

能を提供することをコミットメント（確約）するものではないため、購買決定

を行う際の判断材料になさらないで下さい。オラクル製品に関して記載さ

れている機能の開発、リリースおよび時期については、弊社の裁量により

決定されます。

OracleとJavaは、Oracle Corporation 及びその子会社、関連会社の米国及びその他の国における登録商標です。

文中の社名、商品名等は各社の商標または登録商標である場合があります。

脅威の変化

～量的、質的に劇的に変化しているセキュリティ犯罪

2001年～

2001年～

2005年～

2011年～

クライアント

セキュリティ

ネットワーク

セキュリティ

ワーム型攻撃

(Nimda, CodeRed など)

ネットワーク型攻撃

DoS等の不正アクセス攻撃

データベースセキュリティ

標的型攻撃/

遠隔操作ウィルス

アプリケーション

セキュリティ

アプリケーションの脆弱性を攻撃

(SQLインジェクション攻撃等)

情報資産

インシデント件数の増加、

増加する内部犯行

内部：

21

%

(外部：58%)

内部：

33

%

(外部：38%)

内部：

24

%

(外部：53%)

内部：

37

%

(外部：35%)

（2011）

インシデント数

損害金額

（2012）

出典： JPCERT/CC インシデント報告対応レポート

[2014年1月1日～2014年3月31日]

出典：CERT 2011/ 2012 Cyber Security Watch Survey

内部犯行

_{に加え、”標的型攻撃”による}

データの重要度は

同じではない

GOLD

BRONZE

SILVER

PLATINUM

機密性の高い

情報

社内秘

ビジネスの

取引情報,

発注情報…

コンプライアンス

対応

PII, PCI,

PHI, J-SOX…

機密ではない

社内ポータル,

組織情報,

テスト・開発

システム

SECURITY

PART OF OUR DNA

Immediate Focus On

SECURE DATA

• 1977 年からビジネス・スタート

• 最初の顧客は CIA

• 現在は、マーケットのリーダー

• グローバルで1500名超の体制

• 各国の軍用システムで多く採用

世界の国家防衛と治安維持を支える

オラクルの確かな技術力

NATO 28ヶ国中24ヶ国

オラクル製品を採用

EU各国国防機関

オラクル製品を採用

世界トップ２０国家機関

オラクル製品を採用

全米50州政府

オラクル製品を採用

全15米国中央省庁

オラクル製品を採用

世界トップ20都市

オラクル製品を採用

セキュリティ対策の現状 -

入口・出口対策が中心

-標的型攻撃により OSアカウ

ントを乗っ取られ、正当な

ユーザーになりすまして侵入

権限を持つユーザーによる

内部犯行

新たに見つかった未対策の

脆弱性を突いた攻撃

セキュリティに関しては入

口・出口対策が中心

残存しているIDを使用して

不正アクセス

盗まれたIDを奪取して、本人

になりすまして不正アクセス

•

データベース自体が保護されていないため、侵入を許すとデータの盗難・改ざん・破壊が容易に行われてしまう

リスクベース認証による、本

人確認の強化

DBアクセス監査ログを取得し、ア

クセスを監視し違反の早期発見

権限分掌によりDB管理者と言え

どデータにアクセスできないよう

にし、社内犯行を防ぐ

データ暗号化により、標的型攻撃

等により不正にOSアカウントを取

得したユーザーからデータを保護

人事イベントと連動したID/

権限情報の即時変更,削除

•

資産を守るためのセキュリティ対策

–

変化する脅威と変わらない資産

•

バランスのとれたセキュリティ対策

–

特定のレイヤだけではなく、複数のレイヤで資産を防御

–

発見的統制と予防的統制のバランス

セキュリティ対策のあるべき姿 多層防御

-Audit Vault and

Database Firewall (DB監査)

Oracle Database Vault

(DB権限分掌)

Transparent Data Encryption(暗号化)

Data Redaction, Virtual Private DB

(本番データの不可視化、伏字化)

Data Masking and Subsetting

(テスト・開発環境のデータ伏字化)

Access Management

(強固な認証)

Oracle Key Vault

(DB鍵管理)

セキュリティに関連するOracle製品

Identity Governance

(ID管理)

情報保護における「入口」「出口」対策の限界

98

%

情報はデータベースから盗まれる

84

%

盗まれたID・権限が利用される

•

情報の暗号化

–

データベースの暗号化

•

OSが不正侵入された際への耐性強化

•

性能劣化は極僅か（過多なシステム投資を抑制）

–

鍵管理の高度化

•

職務分掌（権限の分散）

–

データベース（DB）管理者の職務分掌

•

Aさん：ユーザ管理

Bさん：権限管理

Cさん：DB管理

Dさん：データ管理

–

DB管理者の業務データ・アクセスを遮断

•

DB不正侵入に対する耐性強化

•

よりきめ細やかなアクセス制御

–

アプリケーションユーザの認証強化

–

ID管理の厳密化

–

ユーザからのアクセス制御強化

•

行レベル、列レベルでのアクセス制御

•

情報の伏字化

•

包括的、厳格なシステムログ収集、異常操作の

発見＆警告

–

DBへの問合せ内容、結果の一括収集・管理・分析

–

WebアプリのユーザとDBユーザを紐付けし、個人

ユーザーを特定した監査

–

全件検索など“通常ありえない操作”を監視

情報保護におけるポイント

オラクルが提供するセキュリティソリューション

WEBアプリ

ケーション

ユーザー

②

_{Data Redaction}

機密データ伏字化

③

_{Virtual Private DB}

データアクセス制御

①

Transparent

Data Encryption

データ暗号化

⑤

_{Database Vault}

DB管理者 職務分掌

⑦

_{Audit Vault and Database Firewall}

不正SQL検知

レポート

アラート

イベント

⑨

Access Management

SSO＆アクセス制御

⑧

Identity Governance

IDライフサイクル管理

DB

④

Data Masking

and Subsetting

データマスキング

⑥

Key Vault

鍵の集中管理

情報保護においてオラクルがご提供する対応策

製品・機能概要 ご紹介

•

情報の暗号化

–

データベースの暗号化

•

OSが不正侵入された際への耐性強化

•

性能劣化は極僅か（過多なシステム投資を抑制）

–

鍵管理の高度化

•

職務分掌（権限の分散）

–

データベース（DB）管理者の職務分掌

•

Aさん：ユーザ管理

Bさん：権限管理

Cさん：DB管理

Dさん：データ管理

–

DB管理者の業務データ・アクセスを遮断

•

DB不正侵入に対する耐性強化

•

よりきめ細やかなアクセス制御

–

アプリケーションユーザの認証強化

–

ID管理の厳密化

–

ユーザからのアクセス制御強化

•

行レベル、列レベルでのアクセス制御

•

包括的、厳格なシステムログ収集、異常操作の

発見＆警告

–

DBへの問合せ内容、結果の一括収集・管理・分析

–

WebアプリのユーザとDBユーザを紐付けし、個人

ユーザーを特定した監査

情報保護におけるポイント

暗号化に求められる要件

脅威の分類

求められる対策

OSコマンドによるデータ窃取

物理ファイル盗難 （DBファイル）

物理ファイル盗難 （バックアップ）

通信パケット盗聴

暗号鍵の紛失

DBファイルの暗号化

DBファイル/ストレージの

暗号化

バックアップデータの暗号

化

ネットワークの暗号化

暗号鍵の厳密な管理

Transparent Data Encryption

（TDE）

ネットワークの暗号化(※)

Key Vault

Oracle Security製品提供機能

1. アプリケーションの改修なく実装可能

2. CPU内でデータの暗号化/復号化

処理を実行

-

パフォーマンス劣化を防止

データの暗号化

_{：Transparent Data Encryption（TDE）}

性能劣化を極小化した暗号化メカニズム

1

%

3

%

バッチ処理のオーバーヘッド

AES-NI:データ暗号化処理をさらに高速化する暗号化命令セット

強固なセキュリティと高速な処理機能を実現

•

PCI DSSに対応した課金決済プラットフォームを

リニューアル

•

従来、データベース暗号化技術「Oracle

Advanced Security」を導入済

•

今回のリニューアルではOracle Exadataと

Oracle Advanced Securityの組み合わせにより、

強固なセキュリティと高速な処理機能を併せ

もった、より高性能なプラットフォームを実現

データの暗号化

_{： Transparent Data Encryption (TDE)}

事例:ベリトランス様 PCIDSS対応の課金決済プラットフォームを構築

JCB、AMERICAN EXPRESS、

Discover、MasterCard、VISA

よくあるWEBアプリケーションの構成

表（ADDRBOOK)

データベース管理者

Name

Phone

羽田千裕 078-3187-5824

渥美政勝

026-4263-2109

稲葉香奈 045-9946-7180

小寺日和

074-9924-8815

アプリケーション

サーバー

(電話帳アプリ)

アプリケーションユーザー

Name

Phone

羽田千裕 078-3187-5824

渥美政勝

026-4263-2109

稲葉香奈 045-9946-7180

小寺日和

074-9924-8815

管理者ユーザー

で接続 (SYS)

アプリケーション

ユーザーで接続

(ADDRBOOK)

個人ユーザーで

接続

(USER01)

OS権限を持ったシステム管理者に対する参照制限

格納データの暗号化を行っていない場合

表（ADDRBOOK)

平文で見える！

データベース管理者

Name

Phone

羽田千裕 078-3187-5824

渥美政勝

026-4263-2109

稲葉香奈 045-9946-7180

小寺日和

074-9924-8815

アプリケーション

サーバー

(電話帳アプリ)

アプリケーションユーザー

Name

Phone

羽田千裕 078-3187-5824

渥美政勝

026-4263-2109

稲葉香奈 045-9946-7180

小寺日和

074-9924-8815

管理者ユーザー

で接続 (SYS)

アプリケーション

ユーザーで接続

(ADDRBOOK)

個人ユーザーで

接続

(USER01)

OS権限を持ったシステム管理者に対する参照制限

格納データの暗号化を実施

表（ADDRBOOK)

暗号化され

見えない！

データベース管理者

(セキュリティ管理者)

Transparent Data Encryption

データベース管理者

Name

Phone

羽田千裕 078-3187-5824

渥美政勝

026-4263-2109

稲葉香奈 045-9946-7180

小寺日和

074-9924-8815

アプリケーション

サーバー

(電話帳アプリ)

アプリケーションユーザー

Name

Phone

羽田千裕 078-3187-5824

渥美政勝

026-4263-2109

稲葉香奈 045-9946-7180

小寺日和

074-9924-8815

管理者ユーザー

で接続 (SYS)

アプリケーション

ユーザーで接続

(ADDRBOOK)

データファイル

個人ユーザーで

接続

(USER01)

暗号鍵の管理

_{： Key Vault}

鍵管理の課題

管理

• 暗号鍵とウォレットの急増

• 許可された暗号鍵の共有

• 暗号鍵の有効期限、保管期限、回復

規制

• 鍵と暗号化されたデータの物理的な分離

• 暗号鍵の定期的な更新

• 鍵の監視と監査

暗号鍵の管理

_{： Key Vault}

暗号鍵の一元管理を実現

•

公開鍵、秘密鍵、Oracle Wallets、Javaキーストア他の集中管理

•

Oracle製品への最適化(データベース、ミドルウェア、OS)

暗号鍵の管理

_{： Key Vault}

Oracle Key Vaultアーキテクチャ概要

スタンバイ

管理コンソール,

アラート, レポート

バックアップ

データベース

サーバー

ミドルウェア

•

情報の暗号化

–

データベースの暗号化

•

OSが不正侵入された際への耐性強化

•

性能劣化は極僅か（過多なシステム投資を抑制）

–

鍵管理の高度化

•

職務分掌（権限の分散）

–

データベース（DB）管理者の職務分掌

•

Aさん：ユーザ管理

Bさん：権限管理

Cさん：DB管理

Dさん：データ管理

–

DB管理者の業務データ・アクセスを遮断

•

DB不正侵入に対する耐性強化

•

よりきめ細やかなアクセス制御

–

アプリケーションユーザの認証強化

–

ID管理の厳密化

–

ユーザからのアクセス制御強化

•

行レベル、列レベルでのアクセス制御

•

情報の伏字化

•

包括的、厳格なシステムログ収集、異常操作の

発見＆警告

–

DBへの問合せ内容、結果の一括収集・管理・分析

–

WebアプリのユーザとDBユーザを紐付けし、個人

ユーザーを特定した監査

–

全件検索など“通常ありえない操作”を監視

情報保護におけるポイント

データベースのアクセス制御に求められる要件

脅威の分類

求められる対策

なりすまし

残存している退職者IDや共有ID

を悪用

一般ユーザによる過大な可視性

による不正取得

管理者権限の悪用

操作ミス

ユーザ認証の強化

人事イベントと連動したID

管理と共有IDの厳密管理

端末、ユーザ毎にデータ

アクセス範囲を限定

データベース管理者の職

務分掌

実施可能なコマンドを制

Database Vault

Oracle Security製品提供機能

Identity Governance

Access Management

Data Redaction,

アプリケーションユーザの認証強化

_{: Access Management}

ユーザの認証とアクセス制御に対応し、ポリシー管理・監視を集約

•

マルチ・デバイス対応 |

PCからモバイル（スマートフォン、タブレット端末）まで

•

様々な認証強化機能 |

ワンタイム・パスワード（OTP）から、証明書、リスクベース認証まで

•

業界標準プロトコル対応 |

HTTP、RESTから、SAML、OpenID、OAuthまで

シングル・サインオン

なりすまし対策

モバイル対応

ソーシャル、クラウド連携

少人数の

セキュリティ担当

アプリケーションユーザの認証強化

_{: Access Management}

ユーザの認証とアクセス制御に対応し、ポリシー管理・監視を集約

なりすまし検知・リスクベース認証

ログインID

認証データ

ロケーション



_{Time-Based One Time Password}

(TOTP) ソリューションを利用した認証

1.

保護されたURLにアクセス

2.

ログイン画面にユーザ名とパスワード入力

3.

ワンタイムパスワード入力

マルチ

デバイス

ID管理の厳密化

: Identity Governance

特権 / 共有アカウントの利用を厳格化

•

豊富なコネクタ

_{| OS、DB、LDAPから業務パッケージまで豊富な接続テンプレートを提供}

•

変更反映の自動化

_{| 入退社等の人事イベントと連携したリアルタイムなID登録・改廃を実施}

•

権限違反の検出

_{| 属性単位の変更まで把握でき、不正な権限登録・改ざんを検出}

サービス

基盤

人事データ

会社・組織

の違い

（本社、グループ会社、JV・関係会社）

役割

の違い

（マネジメント、ユーザ、運用）

雇用契約

の違い

（正社員、派遣・契約社員）

プロファイル管理

パスワード管理

権限管理

システム連携

マスタ連携

違反検出

レポート

特権ユーザ管理

ID管理の厳密化

: Identity Governance (Privileged Account Manager)

特権 / 共有アカウントの利用を厳格化

•

集中管理 |

データベース、OS、LDAPの共有アカウントのパスワード払い出し、OSセッション貸し出し

•

利用者・操作の特定 |

共有アカウント利用履歴、セッション貸し出し時に発行したコマンド履歴の取得

特権・共有アカウントで

対象OSにSSH接続

セッション貸し出し

ユーザー

OS

個人アカウントで

Privileged Account

ManagerにSSH接続

実行したコマンド履歴管理も可能

パスワード貸し出し

データベース・アクセス制御機能 対応製品一覧

一般

特権

表単位 行単位 列単位

参照

更新

_DDL

返し値

Virtual Private

Database

○

-

-

○

○

○

○

-

Null

Data Redaction

○

-

-

-

○

○

-

-固定値/ランダム

/一部伏字/

正規表現

Database Vault

○

○

○

-

-

○

○

○

エラー

誰がアクセス

どこにアクセス

どんな操作

どんな応答

行レベル、列レベルでのアクセス制御

_{: Virtual Private database}

属性情報に応じたポリシーを設定し、行レベルでアクセス制御

•

データベース・ユーザが不正に別のユーザのデータを参照・操作する可能性を排除

•

ユーザごとに異なるアクセス制御ポリシーを適用

SELECT * FROM order

WHERE customer = 'CLARK';

CLARK

が

問い合わせた場合

SELECT * FROM order

WHERE customer = 'SCOTT';

SCOTT

が

問い合わせた場合

SELECT * FROM order;

CLARK

300

06/03/17

SCOTT

20

05/09/11

SCOTT

450

05/11/07

CUSTOMER

QTY

CREDIT_CARD

CLARK

125

06/02/04

SCOTT

310

06/01/26

CLARK

90

05/12/15

ORDER表

ユーザーの属性情報に応じて、

SQLが内部的に書き換える

データの伏字化、列レベルでのアクセス制御

_{: Data Redaction}

機密情報に対する閲覧制御の集中管理

•

集中管理

_|

データベース内でリアルタイムにデータを伏字化。複数のアプリケーションへ反映。

•

透過的

_|

既存アプリケーションの変更不要。

•

厳密

_|

_{ユーザー、クライアント情報（IPアドレス、言語、他）、時間を組み合わせポリシー設定。}

クレジットカード番号

4451-2172-9841-4368

5106-8395-2095-5938

7830-0032-0294-1827

クレジットカード番号

4451-2172-9841-4368

XXXX-XXXX-XXXX-4368

契約部門

コールセンタ

アプリケーションユーザーの認証

強固な多要素認証など様々な認証メソッドでのシングルサインオン

表（ADDRBOOK)

アプリケーション

サーバー

(電話帳アプリ)

アプリケーションユーザー

Name

Phone

羽田千裕 078-3187-5824

渥美政勝

026-4263-2109

稲葉香奈 045-9946-7180

小寺日和

074-9924-8815

アプリケーション

ユーザーで接続

(ADDRBOOK)

個人ユーザーで

接続

(USER01)

Access Management

ワンタイムパスワード(OTP)は、

Oracle Mobile Authenticatorや

Google Authenticatorなどの

モバイルアプリからオフラインで

も取得可能

ユーザー名/パスワードによる認

証後に、さらにワンタイムパス

ワード(OTP)による多段認証(多要

素認証)を製品機能で実現可能

1段目(パスワード)

2段目(OTP)

(参考) アプリケーションユーザー名をデータベースサーバーに通知

WebLogic Serverの「接続時にクライアントIDを通知」機能

表（ADDRBOOK)

アプリケーション

サーバー

(電話帳アプリ)

アプリケーションユーザー

Name

Phone

羽田千裕 078-3187-5824

渥美政勝

026-4263-2109

稲葉香奈 045-9946-7180

小寺日和

074-9924-8815

アプリケーション

ユーザーで接続

(ADDRBOOK)

個人ユーザーで

接続

(USER01)

通常はデータベースへの接続

には、個人ユーザー名は利用

されないため、データベースは

実際のエンドユーザーが誰だ

がわからないが、WebLogicの

「接続時にクライアントIDを通

知」機能を利用することで個人

ユーザー名をデータベースに

個人ユーザーで

接続

(USER01)

Access Management

(参考) アプリケーションユーザー名をデータベースサーバーに通知

設定例と標準監査証跡への出力例

「接続時にクライアントIDを通知」の設定例

(データソースの設定)

↓

監査証跡にアプリケーションユーザー名だけ

でなく、個人ユーザー名が出力されている例

←

USER01で接続

行レベルのアクセス制御

ユーザーの属性で参照できる行を制御

表（ADDRBOOK)

アプリケーション

サーバー

(電話帳アプリ)

user01

Name

Phone

羽田千裕 078-3187-5824

稲葉香奈 045-9946-7180

Name

Phone

渥美政勝

026-4263-2109

小寺日和

074-9924-8815

アプリケーションユーザー

user02

データベース管理者

(セキュリティ管理者)

Virtual Private Database

user

label

user01

10

user02

20

ユーザー属性

アプリケーションから通知されたクライアントID情報をもとに、別途定義し

たユーザーの属性情報と、アクセス対象表のデータを比較して、アプリ

ケーションユーザーごとに参照できるデータ(行)を制限するためのアクセ

label

10

20

10

20

アプリケーション

ユーザーで接続

(ADDRBOOK)

ユーザーのアクセス権限の変更

すべてのアプリケーションのID、アクセス権限情報を一元管理、プロビジョニング

USER01で接続

表（ADDRBOOK)

アプリケーション

サーバー

(電話帳アプリ)

user01

Name

Phone

羽田千裕 078-3187-5824

稲葉香奈 045-9946-7180

アプリケーションユーザー

user02

Identity Governance

シングルサインオンのユーザーIDとアクセス制御

ポリシーのためのユーザー属性情報を一元管理。

設定はWEB画面から可能。多段ワークフローに

よるアカウント申請や、対象システムのアカウント

の棚卸し、コンプライアンスのためのアカウント情

報監査レポート出力も可能。

label

10

20

10

20

user

label

user01

10

user02

10

user02

20

ユーザー属性

Name

Phone

羽田千裕 078-3187-5824

渥美政勝

026-4263-2109

稲葉香奈 045-9946-7180

小寺日和

074-9924-8815

プロビジョニング

Virtual Private Database

アプリケーション

ユーザーで接続

(ADDRBOOK)

user

label

列レベルのアクセス制御

行データの属性で参照できる列を制御

USER01で接続

表（ADDRBOOK)

アプリケーション

サーバー

(電話帳アプリ)

user01

Name

Phone

null

078-3187-5824

稲葉香奈 045-9946-7180

アプリケーションユーザー

user02

Name

Phone

null

078-3187-5824

渥美政勝

026-4263-2109

flag

T

null

null

null

各行の属性情報をもとに、特定の属性の行の指定した列の参照を

制限するためのアクセス制御ポリシーをデータベース側に設定。今

Virtual Private Database

データベース管理者

(セキュリティ管理者)

アプリケーション

ユーザーで接続

(ADDRBOOK)

機密データの一部伏字化

データの一部だけを伏字化

USER01で接続

表（ADDRBOOK)

アプリケーション

サーバー

(電話帳アプリ)

user01

Name

Phone

null

xxx-xxxx-5824

稲葉香奈

xxx-xxxx-7180

アプリケーションユーザー

user02

Name

Phone

null

xxx-xxxx-5824

渥美政勝

xxx-xxxx-2109

稲葉香奈

xxx-xxxx-7180

小寺日和

xxx-xxxx-8815

Data Redaction

データベース管理者

(セキュリティ管理者)

列レベルのアクセス制御では、アクセスか許可されていない列の

データ全体が参照できなくなる(nullが戻る)が、列のデータの一部だ

けを伏字化することも可能。たとえばカード番号の下4けたは本人

確認のために利用するがカード番号全体は安全のために参照でき

ないようにすることが可能。

アプリケーション

ユーザーで接続

(ADDRBOOK)

データの伏字化

_{: Data Masking and Subsetting}

機密情報の伏字化、抽出（開発環境、検証環境）

NAME

SALARY

AGUILAR

35676.24

CHANDRA 76546.89

01001011001010100100100100100100100

10100101100101010010010010010010010

01

01001011001010100100100100100100100

1

•

集中管理

_|

データベース内でデータを抽出・伏字化。複数のデータベースへ反映可能。

•

透過的

_|

既存アプリケーションの変更不要。

抽出

伏字化

NAME

SALARY

AGUILAR 50135.56

BENSON

35789.89

CHANDRA 60765.23

DONNER 103456.82

本番環境

開発・検証環境

•

情報の暗号化

–

データベースの暗号化

•

OSが不正侵入された際への耐性強化

•

性能劣化は極僅か（過多なシステム投資を抑制）

–

鍵管理の高度化

•

職務分掌（権限の分散）

–

データベース（DB）管理者の職務分掌

•

Aさん：ユーザ管理

Bさん：権限管理

Cさん：DB管理

Dさん：データ管理

–

DB管理者の業務データ・アクセスを遮断

•

DB不正侵入に対する耐性強化

•

よりきめ細やかなアクセス制御

–

アプリケーションユーザの認証強化

–

ID管理の厳密化

–

ユーザからのアクセス制御強化

•

行レベル、列レベルでのアクセス制御

•

情報の伏字化

•

包括的、厳格なシステムログ収集、異常操作の

発見＆警告

–

DBへの問合せ内容、結果の一括収集・管理・分析

–

WebアプリのユーザとDBユーザを紐付けし、個人

ユーザーを特定した監査

–

全件検索など“通常ありえない操作”を監視

情報保護におけるポイント

データベース・アクセス制御機能 対応製品一覧

一般

特権

表単位 行単位 列単位

参照

更新

_DDL

返し値

Virtual Private

Database

○

-

-

○

○

○

○

-

Null

Data Redaction

○

-

-

-

○

○

-

-固定値/ランダム

/一部伏字/

正規表現

Database Vault

○

○

○

-

-

○

○

○

エラー

誰がアクセス

どこにアクセス

どんな操作

どんな応答

顧客システム担当

職務分掌されていない場合

顧客情報

人事情報

運用管理

人事システム担当

データベース管理者

セキュリティエリア（物理対策）を実施後

顧客情報

人事情報

運用管理

顧客システム担当

人事システム担当

データベース管理者

セキュリティエリア

一般エリア

顧客システム担当

人事システム担当

データベース管理者

システム的に職務分掌の対策を実施後

顧客情報

人事情報

運用管理

顧客システム担当

人事システム担当

データベース管理者

セキュリティエリア

一般エリア

顧客システム担当

人事システム担当

データベース管理者

物理セキュリティとシステム的な職務分掌の組み合わせが重要

職務分掌（権限の分散）

_{: Database Vault}

重要情報保護のために必要なシステム管理者の職務分掌

アプリケーション

select * from

finance.customers

•

職務分掌

_|

_{特権ユーザ（SYS, DBA権限）であっても情報にはアクセスさせない}

•

透過的

_|

_{既存アプリケーションの変更不要, 12c Multitenant Architecture対応}

管理者

（特権ユーザ）

人事情報

顧客情報

財務情報

職務分掌（権限の分散）

_{: Database Vault}

DBA管理者の権限を分掌

～ 今までの

_{Oracle Database}

～

DBAに管理権限が集中

～

_{Oracle Database Vault}

～

複数の管理者が管理権限を分割

データベースの起動/停止 など

※実データへのアクセスは不可！

ユーザーの作成/削除

※実データへのアクセスは不可！

ユーザー・データの管理、

アクセス権の設定

データベースの起動/停止、全ユーザー・データの操作

や、セキュリティ設定の変更等あらゆる操作が実行可能

データベース管理

セキュリティ・ポリシー管理

アプリケーション・データの管理

データベース管理

ユーザー・アカウント管理

アプリケーション・データの管理

ユーザー・アカウント管理

セキュリティの設定/監視

※実データへのアクセスは不可！

セキュリティ・ポリシー管理

アカウント

管理者

セキュリティ

管理者

アプリケーション

管理者

データベース

管理者

データベース

管理者



_{DBAの特権を制御}

 管理権限を分割し、SYS/SYSTEM

への権限集中によるリスクを回避

データベース管理者による

不正なデータ操作や情報漏えいのリスク

職務分掌（権限の分散）

_{: Database Vault}

厳密な権限＆ルールの設定により不正アクセスを遮断

ルール１(アクセス元)

IP Address: 192.168.1.XXX

APP Name: JDBC

アプリケーション用ルール

ルール１(アクセス元)

IP Address: 192.168.1.201

DB User: ADMIN01

ルール2 (時間)

09:00～19:00

開発者用ルール

select * from crm.customer

09:00～19:00の間

開発者

顧客領域

表

- Customer

- Order

索引

プロシージャ

アプリケーションユー

ザー

顧客領域:

認可

顧客領域:

認可

select * from crm.customer

select * from crm.customer

データベース管理者に対するアクセス制御

厳密な職務分掌

表（ADDRBOOK)

セキュリティ管理者

(≠ データベース管理者)

データベース管理者

Name

Phone

羽田千裕 078-3187-5824

渥美政勝

026-4263-2109

稲葉香奈 045-9946-7180

小寺日和

074-9924-8815

管理者ユーザー

で

接続 (SYS)

Database Vault

USER01で接続

アプリケーション

サーバー

(電話帳アプリ)

user01

Name

Phone

null

xxx-xxxx-5824

稲葉香奈 xxx-xxxx-7180

アプリケーションユーザー

user02

Name

Phone

null

xxx-xxxx-5824

渥美政勝 xxx-xxxx-2109

見えない！

今までアプリケーションから(一般ユーザーから)のアクセスに対するアクセス制御方

法を紹介したが、これらの設定はデータベース管理者がおこなうため、これらのアク

セス制御は設定者であるデータベース管理者はバイパス可能。

レルム(保護領域)

アプリケーション

ユーザーで接続

(ADDRBOOK)

•

情報の暗号化

–

データベースの暗号化

•

OSが不正侵入された際への耐性強化

•

性能劣化は極僅か（過多なシステム投資を抑制）

–

鍵管理の高度化

•

職務分掌（権限の分散）

–

データベース（DB）管理者の職務分掌

•

Aさん：ユーザ管理

Bさん：権限管理

Cさん：DB管理

Dさん：データ管理

–

DB管理者の業務データ・アクセスを遮断

•

DB不正侵入に対する耐性強化

•

よりきめ細やかなアクセス制御

–

アプリケーションユーザの認証強化

–

ID管理の厳密化

–

ユーザからのアクセス制御強化

•

行レベル、列レベルでのアクセス制御

•

情報の伏字化

•

包括的、厳格なシステムログ収集、異常操作の

発見＆警告

–

DBへの問合せ内容、結果の一括収集・管理・分析

–

WebアプリのユーザとDBユーザを紐付けし、個人

ユーザーを特定した監査

–

全件検索など“通常ありえない操作”を監視

情報保護におけるポイント

ログ取得・監査に求められる要件

課題

求められる対策

ログの取得漏れ

ログの改ざん、削除

不正アクセスを早期発見できな

い

個人の操作を特定できない

監査データの漏れない収

集

ログの改ざんや破壊から

保護

定期的なログ分析、レ

ポート作成、アラート機能

アプリユーザとDBユーザ

を紐付けし、個人を特定し

た監査

Oracle Security製品提供機能

Audit Vault and Database

Firewall

WebLogic Server

包括的、厳格なシステムログの収集と異常操作の発見＆警告

_{：Audit Vault and Database Firewall}

システムログを集約し一元管理と不正アクセスの早期検知

Audit Vault Server

Block

Log

Allow

Alert

Substitute

Database Firewall

Fi

re

w

all

Ev

en

ts

Custom Server

OS, Directory & Custom

Audit Log

Agent

Oracle

MySQL

SYBASE

IBM

Microsoft

レポート

アラート

ポリシー

Windows

Linux

Solaris

包括的、厳格なシステムログの収集と異常操作の発見＆警告

_{：Audit Vault and Database Firewall}

ログの一元管理・保全

Audit Vault Server

ユーザー

アプリケーション

Block

Log

Allow

Alert

Substitute

Database Firewall Server

Fi

re

w

all

のログ

OS, ディレクトリ

独自ログの監査ログ



レンジ＆リスト・パーティショニング



_{OLTP表圧縮}



_{Database Vault による特権管理}



暗号化

Oracle Database Enterprise Edition 11gR2

SSLによる暗号化通信

Windows

Linux

Solaris

Oracle

MySQL

SYBASE

IBM

Microsoft

Application

Database

Database

Firewall

管理者

Alerts

Audit Vault Server

条件：

イベント時間

IPアドレス, ホスト名

エラーコード

ユーザ名

SQLコマンドなど

包括的、厳格なシステムログの収集と異常操作の発見＆警告

_{：Audit Vault and Database Firewall}

Database

アプリケーション

サーバー

包括的、厳格なシステムログの収集と異常操作の発見＆警告

_{：Audit Vault and Database Firewall}

アプリユーザとDBユーザを紐付けし、個人を特定した監査

Webアプリケーションにおける個人認証

（Application User ID = user01）

Database接続

・ DB接続ユーザ名 ＝

ADDRBOOK

・

DBセッション変数 ＝

“user01”

監査証跡の管理

保全と有効活用(アラート、レポート)

表（ADDRBOOK)

USER01で接続

アプリケーション

サーバー

(電話帳アプリ)

user01

Name

Phone

null

xxx-xxxx-5824

稲葉香奈 xxx-xxxx-7180

アプリケーションユーザー

アプリケーション

ユーザーで接続

(ADDRBOOK)

監査証跡

レポート

アラート

転送

Audit Vault

通常データベースサーバーに保存される監査証跡を保全

のために別のサーバーにほぼリアルタイムで転送。怪しい

監査証跡があった場合にはリアルタイムのアラートが可能。

包括的、厳格なシステムログの収集と異常操作の発見＆警告

_{：Audit Vault and Database Firewall}

事例:T-Mobile様 オラクルと他DBに格納した顧客データを保護

脅威をモニタリング

•

3500万人以上の加入者の機密情報を保護

•

SQLインジェクションを含む、データベースの脅

威をモニタリング

•

内部関係者、外部からの脅威を防御

•

数時間で提供

•

侵害されたアカウントを保護

情報保護におけるポイント

～データを識別し

セキュアな管理を実現

～

セキュアなデータ保護

セキュアなアクセス

ブロッキングと

厳密なアクセス制御

BRONZE

SILVER

GOLD

PLATINUM

• セキュリティ設定の実施と

定期的なパッチ適用

• 監査ログの一括収集・管理

•データの暗号化

•データの伏字化

•通信の暗号化

•より強固な認証

• 不正なSQLからの防御

• ラベルベースでの

行レベルアクセス制御

• データベース管理者の

職務・権限の分散

• 鍵と証明書の一元管理

オラクルが提供するセキュリティソリューション

WEBアプリ

ケーション

ユーザー

②

_{Data Redaction}

機密データ伏字化

③

_{Virtual Private DB}

データアクセス制御

①

Transparent

Data Encryption

データ暗号化

⑤

_{Database Vault}

DB管理者 職務分掌

OS &

ディレクトリ

データベース

カスタム

監査ログ &

イベントログ

⑦

_{Audit Vault and Database Firewall}

不正SQL検知

レポート

アラート

⑦

Audit Vault and Database Firewall

ポリシー

イベント

⑨

Access Management

SSO＆アクセス制御

⑧

Identity Governance

IDライフサイクル管理

DB

④

Data Masking

and Subsetting

データマスキング

⑥

Key Vault

鍵の集中管理

ご参考：オラクルがご提供するセキュリティ・ソリューション機能概要

機能名

①

Transparent Data

Encryption

②

Data Redaction

③

Virtual Private

Database

④

Data Masking and

Subsetting

⑤

Database Vault

⑥

Key Vault

⑦

Audit Vault and

Database Firewall

⑧

Identity

Governance

⑨

Access

Management

脅威

データファイル、

バックアップデー

タの奪取

正規利用者の

業務を逸脱した不

適切アクセス

正規利用者の業務

を逸脱した不適切

アクセス

開発・テスト環境

データの奪取

DB管理者による

データ奪取

暗号鍵の紛失

内部不正の

追跡、影響範囲

の調査不可能

共有特権ユーザ

IDを使用した不正

アクセス

Webシステムに対

する不正アクセス

機能

概要

既存のアプリケー

ションに変更なく、

透過的に本番、

バックアップデータ

を暗号化

特定の表への参照

範囲を列レベルで制

限。

この機能は、データ

ベース内で実施され

るため、アプリケー

ション側からは透過

的に利用可能。

特定の表への行・列

レベルでのより厳密

なアクセス制御を実

現

開発・テスト環境の

実データのマスキン

グ（伏字化）

ステージ環境を用

意することなく

Export時にマスキン

グデータを生成

DB管理者の業務

データアクセスを制

御。

特定のDB設定やパ

スワード変更、業務

データの閲覧等を

制限する

公開鍵、秘密鍵、

Oracle Wallets、

Javaキーストア他の

集中管理

Oracle製品 (データ

ベース、ミドルウェ

ア、OS)の鍵を一元

管理

DB、OSなどのログ

をもれなく取得。

定常的なレポートと

不正なアクセスを検

知。

証跡を改ざん・削除

されないようログを

保全

人事情報と連動し

たID/権限の作成・

変更・削除の自動

実施

DBやOSなどの特権

アカウントに対して

申請ベースでワンタ

イムパスワードの

発行し、利用者を限

定。コマンド履歴を

取得し操作を取得

Webアプリケーショ

ンの認証一元化と

部署・役職に応じた

アクセス制御の実

現

多段要素認証によ

るなりすましを防止

データベース管理

暗号化した本番、

個人ID管理の

厳格化

Webアプリケーショ

Oracle Database 12c おすすめ研修コース

Oracle Database 12c: セキュリティ

概要

このコースでは、認証、権限とロールの管理に加えて、Oracle Label Security、データベース暗号化、およびOracle Data Reductionなどを使用した機密データの保

護する方法を説明します。また統合監査やファイングレイン監査を構成する方法について説明します。講義と演習を通じてデータベースへのアクセスを保護し

機密性を高める方法を習得できます。

学習項目

 セキュリティ要件について  セキュリティ・ソリューションの選択  基本的なデータベース・セキュリティ  ネットワーク・サービスの保護  ユーザーのBasic認証と厳密認証の使用  グローバル・ユーザー認証の使用  プロキシ認証の使用  権限とロールの使用  権限分析の使用(12c新機能)  アプリケーション・コンテキストの使用  仮想プライベート・データベースの実装  Oracle Label Security の使用

 データ・リダクション(12c新機能)  データ・マスキングの使用  透過的機密データ保護の使用(12c新機能)  暗号化の概念とソリューション  DBMS_CRYPTO パッケージを使用した暗号化  透過的データ暗号化の使用  データベース・ストーレジのセキュリティ  統合監査の使用(12c新機能)  ファイングレイン監査の使用

コース日数

5 日間 【トレーニングキャンパス赤坂】 2015/1/19-23

Oracle Database 12c: Database Vault

概要

このコースでは、Oracle Database Vaultを有効化し、 レルム、ルール·セット、コマンド·ルール、セキュア・アプリケーション・ロールを用いてデータベース・インスタ

ンスのセキュリティを管理する方法を説明します。 また、レポートや監視を使用してセキュリティ違反行為をチェックする方法について説明します。講義と演習と

通じてOracle Database Vault が提供する強力なセキュリティ統制のための機能の活用方法を習得できます。

学習項目

 Database Vaultの概要  Database Vaultの構成  権限の分析(12c 新機能)  レルムの構成  ルール・セットの定義  コマンド・ルールの構成  ルール・セットの拡張  セキュア・アプリケーション・ロールの構成  Database Vaultレポートによる監査  ベスト・プラクティスの実装

コース日数

2 日間 【トレーニングキャンパス赤坂】 2014/12/18-19