[20171116 三木会] データベースセキュリティガイドラインの要約と個人考察...
TRANSCRIPT
![Page 1: [20171116 三木会] データベースセキュリティガイドラインの要約と個人考察 by 株式会社ミッションアシスト 白石 雅義 氏](https://reader042.vdocuments.pub/reader042/viewer/2022032108/5a6478b97f8b9a4c568b45c9/html5/page/1.jpg)
データベースセキュリティガイドラインの要約と個人考察
株式会社ミッションアシスト
白石 雅義
![Page 2: [20171116 三木会] データベースセキュリティガイドラインの要約と個人考察 by 株式会社ミッションアシスト 白石 雅義 氏](https://reader042.vdocuments.pub/reader042/viewer/2022032108/5a6478b97f8b9a4c568b45c9/html5/page/2.jpg)
■ 自己紹介
白石雅義サーバ、ネットワークミドルウェア少々
関西オープンフォーラム運営委員その他諸々OSSな集まりへ刹那的に参加したり
![Page 3: [20171116 三木会] データベースセキュリティガイドラインの要約と個人考察 by 株式会社ミッションアシスト 白石 雅義 氏](https://reader042.vdocuments.pub/reader042/viewer/2022032108/5a6478b97f8b9a4c568b45c9/html5/page/3.jpg)
■ 自己紹介
データベースセキュリティガイドライン
→ご存知の方居ますか?→もしくはタイトルを見て調べて
事前に見てきた人はいますか?
![Page 4: [20171116 三木会] データベースセキュリティガイドラインの要約と個人考察 by 株式会社ミッションアシスト 白石 雅義 氏](https://reader042.vdocuments.pub/reader042/viewer/2022032108/5a6478b97f8b9a4c568b45c9/html5/page/4.jpg)
■ ガイドライン公開の経緯
さかのぼる事12年前2005年4月全面施行の個人情報保護法が契機となる→「セキュリティ対策を強化している
ものの、情報の格納場所となるデータベースのセキュリティに関する知識や技術を持つ専門家が少ない」
という課題へのアプローチとして団体が発足
![Page 5: [20171116 三木会] データベースセキュリティガイドラインの要約と個人考察 by 株式会社ミッションアシスト 白石 雅義 氏](https://reader042.vdocuments.pub/reader042/viewer/2022032108/5a6478b97f8b9a4c568b45c9/html5/page/5.jpg)
■ ガイドライン公開の経緯
さかのぼる事12年前
2005年4月全面施行の個人情報保護法が契機となる→「セキュリティ対策を強化している
ものの、情報の格納場所となるデータベースのセキュリティに関する知識や技術を持つ専門家が少ない」
![Page 6: [20171116 三木会] データベースセキュリティガイドラインの要約と個人考察 by 株式会社ミッションアシスト 白石 雅義 氏](https://reader042.vdocuments.pub/reader042/viewer/2022032108/5a6478b97f8b9a4c568b45c9/html5/page/6.jpg)
■ ガイドライン公開の経緯
と指摘されていた状況下があった中
2005年2月15日、データベースのセキュリティ分野の高度なデータ保護・管理関する“標準的技術や手法の確立や推進”を目指す目的で「データベースセキュリティコンソーシアム」が発足されてます。
![Page 7: [20171116 三木会] データベースセキュリティガイドラインの要約と個人考察 by 株式会社ミッションアシスト 白石 雅義 氏](https://reader042.vdocuments.pub/reader042/viewer/2022032108/5a6478b97f8b9a4c568b45c9/html5/page/7.jpg)
■ ガイドライン公開の経緯
翌年2006年11月8日"データベースセキュリティコンソーシアム"が「セキュリティ・ポリシーの策定や対策作業の際、実施すべき具体的な内容を提示するデータベースのセキュリティ対策のためのガイドライン」として"データベースセキュリティガイドライン"をWebサイトで公開する運びとなった→2009年に第2.0版が発表されています。
![Page 8: [20171116 三木会] データベースセキュリティガイドラインの要約と個人考察 by 株式会社ミッションアシスト 白石 雅義 氏](https://reader042.vdocuments.pub/reader042/viewer/2022032108/5a6478b97f8b9a4c568b45c9/html5/page/8.jpg)
経済産業省「METI」のサイトにも資料が掲載
http://www.meti.go.jp/policy/netsecurity/secdoc/contents/seccontents_000198.html
![Page 9: [20171116 三木会] データベースセキュリティガイドラインの要約と個人考察 by 株式会社ミッションアシスト 白石 雅義 氏](https://reader042.vdocuments.pub/reader042/viewer/2022032108/5a6478b97f8b9a4c568b45c9/html5/page/9.jpg)
■ で、
今回は2.0版にて提示されている、実施すべき具体的な内容についてのご紹介を行うと共に、2009年以降に必要となっている、差分とも言えるセキュリティ対策について、ガイドラインを読み合わせを行いながらつらつらと自身の所感を述べていきたいと思います
![Page 10: [20171116 三木会] データベースセキュリティガイドラインの要約と個人考察 by 株式会社ミッションアシスト 白石 雅義 氏](https://reader042.vdocuments.pub/reader042/viewer/2022032108/5a6478b97f8b9a4c568b45c9/html5/page/10.jpg)
■ で、
気になった所があれば参加者間で建設的な議論も良いな、と思いますので都度登壇を止めてのご意見も是非お願いしたいです
![Page 11: [20171116 三木会] データベースセキュリティガイドラインの要約と個人考察 by 株式会社ミッションアシスト 白石 雅義 氏](https://reader042.vdocuments.pub/reader042/viewer/2022032108/5a6478b97f8b9a4c568b45c9/html5/page/11.jpg)
■ 今ガイドラインの有効利用
1.社内規定への取り込み→「原則、今に準ずるものとする」と社内規定に
盛り込む事で追加検討の策定に専念できる
※ ただし今ガイドラインについて、営利/非営利を問わず引用元として明記する必要あり
※ 免責事項にある「GL利用による損害発生において責任を追わない」に対する理解も必要
![Page 12: [20171116 三木会] データベースセキュリティガイドラインの要約と個人考察 by 株式会社ミッションアシスト 白石 雅義 氏](https://reader042.vdocuments.pub/reader042/viewer/2022032108/5a6478b97f8b9a4c568b45c9/html5/page/12.jpg)
■ガイドライン各章説明
第1章 はじめに → 目的やガイドラインについて1.1 目的1.2 本ガイドラインの前提1.3 本ガイドラインに関する注意事項1.4 本ガイドラインの改定にあたり
![Page 13: [20171116 三木会] データベースセキュリティガイドラインの要約と個人考察 by 株式会社ミッションアシスト 白石 雅義 氏](https://reader042.vdocuments.pub/reader042/viewer/2022032108/5a6478b97f8b9a4c568b45c9/html5/page/13.jpg)
■ガイドライン各章説明
第2章 全体のセキュリティ対策におけるDBセキュリティの位置付け
→ 全体構成のセキュリティの位置付けや意義
2.1 想定システムモデル2.2 全体のセキュリティ対策の概要2.3 DBセキュリティの位置付け、対象範囲2.4 DBセキュリティに関係する要素の定義
![Page 14: [20171116 三木会] データベースセキュリティガイドラインの要約と個人考察 by 株式会社ミッションアシスト 白石 雅義 氏](https://reader042.vdocuments.pub/reader042/viewer/2022032108/5a6478b97f8b9a4c568b45c9/html5/page/14.jpg)
■ガイドライン各章説明
第2章 全体のセキュリティ対策におけるDBセキュリティの位置付け
2.4.1 脅威の定義2.4.2 登場人物の定義2.4.3 DBに関係する情報資産の定義2.4.4 情報資産の重み付けの定義2.4.5 手口の定義2.4.6 不正アクションの定義2.4.7 脅威の一覧
![Page 15: [20171116 三木会] データベースセキュリティガイドラインの要約と個人考察 by 株式会社ミッションアシスト 白石 雅義 氏](https://reader042.vdocuments.pub/reader042/viewer/2022032108/5a6478b97f8b9a4c568b45c9/html5/page/15.jpg)
■ガイドライン各章説明
第3章 基本方針の策定→ ポリシー策定と人的対策
3.1 DBセキュリティポリシーの策定3.1.1 重要情報の定義3.1.2 リスク分析3.1.3 アカウント管理ポリシー3.1.4 ログの取得ポリシー
3.2 人的対策3.2.1 啓発/規約
![Page 16: [20171116 三木会] データベースセキュリティガイドラインの要約と個人考察 by 株式会社ミッションアシスト 白石 雅義 氏](https://reader042.vdocuments.pub/reader042/viewer/2022032108/5a6478b97f8b9a4c568b45c9/html5/page/16.jpg)
■ガイドライン各章説明
第4章 DBセキュリティ対策→ データベースに対策すべき提言
4.1 防御系のセキュリティ対策4.1.1 初期設定4.1.2 認証4.1.3 アクセスコントロール4.1.4 暗号化4.1.5 外部媒体の利用制御4.1.6 その他
![Page 17: [20171116 三木会] データベースセキュリティガイドラインの要約と個人考察 by 株式会社ミッションアシスト 白石 雅義 氏](https://reader042.vdocuments.pub/reader042/viewer/2022032108/5a6478b97f8b9a4c568b45c9/html5/page/17.jpg)
■ガイドライン各章説明
第4章 DBセキュリティ対策
4.2 検知、追跡系のDBセキュリティ対策4.2.1 ログの管理4.2.2 不正アクセス検知4.2.3 ログの分析
![Page 18: [20171116 三木会] データベースセキュリティガイドラインの要約と個人考察 by 株式会社ミッションアシスト 白石 雅義 氏](https://reader042.vdocuments.pub/reader042/viewer/2022032108/5a6478b97f8b9a4c568b45c9/html5/page/18.jpg)
■ 今ガイドラインの有効利用
2.現場レベルのセキュリティ対策項目の検討材料→ 新規のセキュリティ対策を打ち立てる必要性
ある草案材料として
![Page 19: [20171116 三木会] データベースセキュリティガイドラインの要約と個人考察 by 株式会社ミッションアシスト 白石 雅義 氏](https://reader042.vdocuments.pub/reader042/viewer/2022032108/5a6478b97f8b9a4c568b45c9/html5/page/19.jpg)
■追加考察
・継続的な検討と改善の必要性・今大丈夫でもちょっと先は危ういという認識・データ(Date)を置くベース(BASE)で、という認識・最後は人であるという事
![Page 20: [20171116 三木会] データベースセキュリティガイドラインの要約と個人考察 by 株式会社ミッションアシスト 白石 雅義 氏](https://reader042.vdocuments.pub/reader042/viewer/2022032108/5a6478b97f8b9a4c568b45c9/html5/page/20.jpg)
ご清聴ありがとうございました [email protected]@missionassist.co.jp