[20171116 三木会] データベースセキュリティガイドラインの要約と個人考察...
TRANSCRIPT
■ ガイドライン公開の経緯
さかのぼる事12年前2005年4月全面施行の個人情報保護法が契機となる→「セキュリティ対策を強化している
ものの、情報の格納場所となるデータベースのセキュリティに関する知識や技術を持つ専門家が少ない」
という課題へのアプローチとして団体が発足
■ ガイドライン公開の経緯
さかのぼる事12年前
2005年4月全面施行の個人情報保護法が契機となる→「セキュリティ対策を強化している
ものの、情報の格納場所となるデータベースのセキュリティに関する知識や技術を持つ専門家が少ない」
■ ガイドライン公開の経緯
と指摘されていた状況下があった中
2005年2月15日、データベースのセキュリティ分野の高度なデータ保護・管理関する“標準的技術や手法の確立や推進”を目指す目的で「データベースセキュリティコンソーシアム」が発足されてます。
■ ガイドライン公開の経緯
翌年2006年11月8日"データベースセキュリティコンソーシアム"が「セキュリティ・ポリシーの策定や対策作業の際、実施すべき具体的な内容を提示するデータベースのセキュリティ対策のためのガイドライン」として"データベースセキュリティガイドライン"をWebサイトで公開する運びとなった→2009年に第2.0版が発表されています。
経済産業省「METI」のサイトにも資料が掲載
http://www.meti.go.jp/policy/netsecurity/secdoc/contents/seccontents_000198.html
■ で、
今回は2.0版にて提示されている、実施すべき具体的な内容についてのご紹介を行うと共に、2009年以降に必要となっている、差分とも言えるセキュリティ対策について、ガイドラインを読み合わせを行いながらつらつらと自身の所感を述べていきたいと思います
■ 今ガイドラインの有効利用
1.社内規定への取り込み→「原則、今に準ずるものとする」と社内規定に
盛り込む事で追加検討の策定に専念できる
※ ただし今ガイドラインについて、営利/非営利を問わず引用元として明記する必要あり
※ 免責事項にある「GL利用による損害発生において責任を追わない」に対する理解も必要
■ガイドライン各章説明
第2章 全体のセキュリティ対策におけるDBセキュリティの位置付け
→ 全体構成のセキュリティの位置付けや意義
2.1 想定システムモデル2.2 全体のセキュリティ対策の概要2.3 DBセキュリティの位置付け、対象範囲2.4 DBセキュリティに関係する要素の定義
■ガイドライン各章説明
第2章 全体のセキュリティ対策におけるDBセキュリティの位置付け
2.4.1 脅威の定義2.4.2 登場人物の定義2.4.3 DBに関係する情報資産の定義2.4.4 情報資産の重み付けの定義2.4.5 手口の定義2.4.6 不正アクションの定義2.4.7 脅威の一覧
■ガイドライン各章説明
第3章 基本方針の策定→ ポリシー策定と人的対策
3.1 DBセキュリティポリシーの策定3.1.1 重要情報の定義3.1.2 リスク分析3.1.3 アカウント管理ポリシー3.1.4 ログの取得ポリシー
3.2 人的対策3.2.1 啓発/規約
■ガイドライン各章説明
第4章 DBセキュリティ対策→ データベースに対策すべき提言
4.1 防御系のセキュリティ対策4.1.1 初期設定4.1.2 認証4.1.3 アクセスコントロール4.1.4 暗号化4.1.5 外部媒体の利用制御4.1.6 その他
ご清聴ありがとうございました [email protected]@missionassist.co.jp