顧客情報を保護するマルチデータベース・セキュリティ ... · 2006-03-10 ·...

1

顧客情報を保護する顧客情報を保護するマルチデータベース・セキュリティ・ソリューションマルチデータベース・セキュリティ・ソリューション

日揮情報ソフトウェア株式会社日揮情報ソフトウェア株式会社

営業本部営業本部営業推進課営業推進課

板垣板垣睦伸睦伸

© 2005, All Rights Reserved, J-SYS Software Co.,Ltd. 2

会社概要会社概要

総合エンジニアリング会社『日揮株式会社』、システムインテグレータ『日揮情報システム株式会社』のグループ会社

所在地» 本社：新横浜(神奈川県横浜市)» 東京営業所：渋谷(東京都渋谷区)

沿革» 1983年7月：日揮株式会社情報システム部が『日揮情報システム株式会社』として分離独立

» 2000年4月：日揮情報システム株式会社プロダクト販売本部が『日揮情報ソフトウェア株式会社』として分社

事業内容» ソフトウェアプロダクトの販売

» コンサルティングおよび教育

特長

» DBの設計・開発・運用における長い歴史と実績があり、ノウハウと経験が豊富

» 豊富なノウハウと経験を元に、国内外の優れたツールを交えたソリューションを提供


ライフサイクル・ソリューション・マップライフサイクル・ソリューション・マップ

設計

開発

テスト

運用

データベースライフサイクルソリューション

ERwinModel Manager

ER/Studio

Rapid SQLSQL Debugger

DBArtisan

アプリケーションライフサイクルソリューション

DescribeCocoBase

アプリケーションパフォーマンスソリューション

VERITAS i3

エンタープライズセキュリティソリューション

ER/DataGen

ChakraD’Amo

SQL ForensicLiteSpeed

暗号化 for SQL Server

Webアプリケーションテストソリューション

e-TEST Suite

リッチクライアントWebシステム開発ソリューション

Biz/BrowserBiz/Designer

ビジネスプロセスモデリング

AllFusion Process Modeler

ITpearls Process Modeler

EIPソリューション

Coreport

BPMソリューション

Savvion

ER/DataGen

IT資産管理ソリューション

ADM

データインテグレーション

Data Integrator

ITILソリューション

RightNow

XML開発ソリューション

XMLStudio

マイグレーションソリューション

Secure Copy Security Explorer SharePlex


セキュリティは必須セキュリティは必須

データのリスク（米国の調査データより）

データ量は3年ごとに2倍

2001年から2003年でITセキュリティ犯罪は2倍

アタックや不正行為の大半は内部ユーザから（米国では80％が内部から：2002年FBI報告）

データ消失、改ざんの 68%が人間のミスによる


業務利用者

業務利用者

サプライチェーンマネージメント

ERPERP 財務会計人事/給与

レガシーアプリケーション

システム権限を持つ利用者（DBA, 開発者, IT管理者）

もっとも重要な情報を保存している“データベース”もっとも重要な情報を保存している“データベース”

データベースは常に様々な危険にさらされています

情報破壊情報破壊

情報漏洩情報漏洩

改ざん改ざんDBADBAのミスのミス

開発者のミス開発者のミス

オペレータの入力ミスオペレータの入力ミス


DBMSDBMS固有の危険性固有の危険性

業務利用者

業務利用者





監査証跡はあるか？誰がアクセスしたか？何を変更したか？その値は何であったか？何を参照したか？データ定義やアクセス権限は変更したか？アクセス制限を意図した

とおりに施行しているか？


米国金融機関の内部犯行事例米国金融機関の内部犯行事例

ユーザが顧客の個人情報にアクセス、 SB1386 に違反‐ 会社は全顧客に告知

セキュリティポリシーに反するデータアクセス

DBA が不正にデータを閲覧

FBIから罰則措置, 控訴に失敗証拠、痕跡の欠如監査証跡に記録がない不正行為

顧客口座リストを入手企業機密情報の漏洩ユーザが不正なデータ収集SQLクエリを走らせる

勝手に顧客の資金を振替個人情報漏洩、金融詐欺ユーザが顧客の個人情報を閲覧

ユーザは数億円を流用金融詐欺ユーザが違法なトランザクションプロセスを走らせる

会社はSEC 監査に不合格になり、罰則が科せられた不正な金融取引行為利用者が承認なしに“by hand” で金融取引データを変更

ユーザが給与および健康記録にアクセス、企業の個人情報保護義務に違反

追跡できないあらゆる不正行為が可能DBA が不正にアクセス権限を変更

財務担当役員は偽造財務データについて立証；会社は悪徳業者にゆすられる

会社は誤ったデータで業務を遂行DBA が不正にデータ変更

事業への影響悪影響脅威


監査システムのユーザと管理者は？監査専門の組織と職能

DBAの作業の延長線ではない

監査システムは、独立したアプリケーションシステム監査システムは、独立したアプリケーションシステム

業務利用者

業務利用者





業務利用者

業務利用者





監査システム

挙動の記録

DBベンダーが提供するロギング機能は使えるか？パフォーマンスへの高い負荷

DBAが運用管理者にならざるを得ない →ポリシー違反

継続的な監査証跡管理システムを自前に開発しなければならない


データベースセキュリティ監査システムデータベースセキュリティ監査システム

監査専門組織内部のDBAからは隔離された監査組織を確立

セキュリティポリシー客観的に判断されたセキュリティポリシーの確立

ツールによるデータベースセキュリティシステムDBMS機能でのセキュリティは有効か？

システムに対する負荷が高い

設定ミスの可能性

設定を行えるのはDBAなので客観性に欠ける

定期的なログの分析ログを分析して不正アクセスを調査

分析結果を利用して新しいポリシーの作成


データベースセキュリティツールの機能データベースセキュリティツールの機能

データベースのアクセスコントロール

監査ログを残しアラートを上げることによる抑止

既存システムに影響を与えないセキュリティ

システム変更を最小限に抑える

システムに対しての負荷を与えない

再起動を必要としない


Database LogDatabase Logging Toolging Tool

Chakraシステムへの負荷は0%データベースへの全アクセスをロギング

不正アクセスがあった場合にはアラート


Switch

SystemSystem構成図構成図

OracleOracle

DB2DB2

DBDBアクセス監査アクセス監査

SQL ServerSQL Server

アクセスログ監査・分析

CPU負荷なし

DBの負荷なし

メモリ使用量増加なし

サーバサイドの

エージェントは不要


不正なアクセスを検知・防御不正なアクセスを検知・防御

リアルタイムでデータベースへの全アクセスをモニタリング

誰が、何時、何処からアクセスしているのか

アプリケーションは何か

実行しているSQL文は何か

» DML、DDL、DCL、Stored Procedure

» SQL文にキーワードが含まれるか

» バインド変数も取れる

何行結果を取り出したのか

レスポンスの劣化はないか


不正なアクセスを検知・防御不正なアクセスを検知・防御

問題のある場合はアラートを生成

ポップアップメッセージ・アラートメッセージ

メール

セッションの切断

任意のプログラム実行


アラートの設定アラートの設定

会員テーブルに対する会員テーブルに対する Query Query の結果行数がの結果行数が10001000行以上行以上

オンライン時間帯以外に特定テーブルに対してアクセスオンライン時間帯以外に特定テーブルに対してアクセス

DBA DBA が「会員」テーブルにアクセス（不正な参照、改ざん等）が「会員」テーブルにアクセス（不正な参照、改ざん等）

Grant Grant 文や文や Create Synonym Create Synonym などの通常運用以外のなどの通常運用以外のDDLDDL


Ver3 HighlightVer3 Highlight

OracleOracleに加え、に加え、IBM DB2 UDB, Microsoft SQL Server,SybaseIBM DB2 UDB, Microsoft SQL Server,Sybaseをサポートをサポート

レポート機能の充実レポート機能の充実

クライアントはクライアントはWEBWEBブラウザを使用ブラウザを使用

リモートアクセス（リモートアクセス（TELNET/FTP/RTELNET/FTP/R--cmdcmd）のモニタリングとアラート）のモニタリングとアラート

SQLSQLの実行結果のデータ、の実行結果のデータ、TELNETTELNETの結果もロギング可能の結果もロギング可能

LinuxLinuxプラットフォームのサポートプラットフォームのサポート


サポートサポートDBMSDBMS

Oracle7.3.4, 8.0, 8i, 9i, 9iR2, 10g

DB2UDB for Linux, Windows, Unix V6, V7, V8

MS SQL Server6.5, 7.0, 20002005（サポート予定）

Sybase Adaptive Server Enterprise(ASE)Sybase IQ


Access MonitorAccess Monitor


Log AnalyzerLog Analyzer


SQLSQL 情報情報


TelnetTelnet ,FTP ,FTP 情報情報


TrendTrend AnalyzerAnalyzer


ReportReport BuilderBuilder


パフォーマンスに影響を与えない

すぐに使えて導入効果はその日から

データベースセキュリティリアルタイム監視・ログ保存・アラート・防御

Chakra Chakra でデータベースセキュリティでデータベースセキュリティ


お問合せお問合せ

URL：

Homepage ：http://www.jsys-products.com/» 弊社案内及び取扱製品のご案内

J’s PORTAL ：https://jsys-soft.biz/coreport» 弊社取扱製品に関わる技術情報を提供するポータルサイト

メールアドレス

[email protected]電話

(03)5778-0262


お問い合わせ先お問い合わせ先

〒150-0002東京都渋谷区渋谷3-9-9 東京建物渋谷ビルTEL ： 03-5778-0262FAX ： 03-5778-0265E-Mail ： [email protected]

http://jsys-soft.biz/coreport

http://www.jsys-products.com/


ありがとうございました。

詳細なデモはブースNo.342まで！

顧客情報を保護する マルチデータベース・セキュリティ ... · 2006-03-10 ·...

Documents

顧客情報を保護するマルチデータベース・セキュリティ ... · 2006-03-10 ·...