顧客情報を保護する マルチデータベース・セキュリティ ... · 2006-03-10 ·...
TRANSCRIPT
1
顧客情報を保護する顧客情報を保護するマルチデータベース・セキュリティ・ソリューションマルチデータベース・セキュリティ・ソリューション
日揮情報ソフトウェア株式会社日揮情報ソフトウェア株式会社
営業本部営業本部 営業推進課営業推進課
板垣板垣 睦伸睦伸
© 2005, All Rights Reserved, J-SYS Software Co.,Ltd. 2
会社概要会社概要
総合エンジニアリング会社 『日揮株式会社』、システムインテグレータ 『日揮情報システム株式会社』のグループ会社
所在地» 本社 :新横浜(神奈川県横浜市)» 東京営業所 :渋谷(東京都渋谷区)
沿革» 1983年7月:日揮株式会社 情報システム部が『日揮情報システム株式会社』として分離独立
» 2000年4月:日揮情報システム株式会社 プロダクト販売本部が『日揮情報ソフトウェア株式会社』として分社
事業内容» ソフトウェアプロダクトの販売
» コンサルティングおよび教育
特長
» DBの設計・開発・運用における長い歴史と実績があり、ノウハウと経験が豊富
» 豊富なノウハウと経験を元に、国内外の優れたツールを交えたソリューションを提供
© 2005, All Rights Reserved, J-SYS Software Co.,Ltd. 3
ライフサイクル・ソリューション・マップライフサイクル・ソリューション・マップ
設計
開発
テスト
運用
データベースライフサイクルソリューション
ERwinModel Manager
ER/Studio
Rapid SQLSQL Debugger
DBArtisan
アプリケーションライフサイクルソリューション
DescribeCocoBase
アプリケーションパフォーマンスソリューション
VERITAS i3
エンタープライズセキュリティソリューション
ER/DataGen
ChakraD’Amo
SQL ForensicLiteSpeed
暗号化 for SQL Server
Webアプリケーションテスト ソリューション
e-TEST Suite
リッチクライアントWebシステム開発ソリューション
Biz/BrowserBiz/Designer
ビジネスプロセスモデリング
AllFusion Process Modeler
ITpearls Process Modeler
EIPソリューション
Coreport
BPMソリューション
Savvion
ER/DataGen
IT資産管理ソリューション
ADM
データインテグレーション
Data Integrator
ITILソリューション
RightNow
XML開発ソリューション
XMLStudio
マイグレーションソリューション
Secure Copy Security Explorer SharePlex
© 2005, All Rights Reserved, J-SYS Software Co.,Ltd. 4
セキュリティは必須セキュリティは必須
データのリスク (米国の調査データより)
データ量は3年ごとに2倍
2001年から2003年でITセキュリティ犯罪は2倍
アタックや不正行為の大半は内部ユーザから(米国では80%が内部から:2002年FBI報告)
データ消失、改ざんの 68%が人間のミスによる
© 2005, All Rights Reserved, J-SYS Software Co.,Ltd. 5
業務利用者
業務利用者
サプライチェーンマネージメント
ERPERP 財務会計 人事/給与
レガシーアプリケーション
システム権限を持つ利用者(DBA, 開発者, IT管理者)
もっとも重要な情報を保存している“データベース”もっとも重要な情報を保存している“データベース”
データベースは常に様々な危険にさらされています
情報破壊情報破壊
情報漏洩情報漏洩
改ざん改ざんDBADBAのミスのミス
開発者のミス開発者のミス
オペレータの入力ミスオペレータの入力ミス
© 2005, All Rights Reserved, J-SYS Software Co.,Ltd. 6
DBMSDBMS固有の危険性固有の危険性
業務利用者
業務利用者
サプライチェーンマネージメント
ERPERP 財務会計 人事/給与
レガシーアプリケーション
システム権限を持つ利用者(DBA, 開発者, IT管理者)
監査証跡はあるか?誰がアクセスしたか?何を変更したか?その値は何であったか?何を参照したか?データ定義やアクセス権限は変更したか?アクセス制限を意図した
とおりに施行しているか?
© 2005, All Rights Reserved, J-SYS Software Co.,Ltd. 7
米国金融機関の内部犯行事例米国金融機関の内部犯行事例
ユーザが顧客の個人情報にアクセス、 SB1386 に違反‐ 会社は全顧客に告知
セキュリティポリシーに反するデータアクセス
DBA が不正にデータを閲覧
FBIから罰則措置, 控訴に失敗証拠、痕跡の欠如監査証跡に記録がない不正行為
顧客口座リストを入手企業機密情報の漏洩ユーザが不正なデータ収集SQLクエリを走らせる
勝手に顧客の資金を振替個人情報漏洩、金融詐欺ユーザが顧客の個人情報を閲覧
ユーザは数億円を流用金融詐欺ユーザが違法なトランザクションプロセスを走らせる
会社はSEC 監査に不合格になり、罰則が科せられた不正な金融取引行為利用者が承認なしに“by hand” で金融取引データを変更
ユーザが給与および健康記録にアクセス、企業の個人情報保護義務に違反
追跡できないあらゆる不正行為が可能DBA が不正にアクセス権限を変更
財務担当役員は偽造財務データについて立証;会社は悪徳業者にゆすられる
会社は誤ったデータで業務を遂行DBA が不正にデータ変更
事業への影響悪影響脅威
© 2005, All Rights Reserved, J-SYS Software Co.,Ltd. 8
監査システムのユーザと管理者は?監査専門の組織と職能
DBAの作業の延長線ではない
監査システムは、独立したアプリケーションシステム監査システムは、独立したアプリケーションシステム
業務利用者
業務利用者
サプライチェーンマネージメント
ERPERP 財務会計 人事/給与
レガシーアプリケーション
システム権限を持つ利用者(DBA, 開発者, IT管理者)
業務利用者
業務利用者
サプライチェーンマネージメント
ERPERP 財務会計 人事/給与
レガシーアプリケーション
システム権限を持つ利用者(DBA, 開発者, IT管理者)
監査システム
挙動の記録
DBベンダーが提供するロギング機能は使えるか?パフォーマンスへの高い負荷
DBAが運用管理者にならざるを得ない →ポリシー違反
継続的な監査証跡管理システムを自前に開発しなければならない
© 2005, All Rights Reserved, J-SYS Software Co.,Ltd. 9
データベースセキュリティ監査システムデータベースセキュリティ監査システム
監査専門組織内部のDBAからは隔離された監査組織を確立
セキュリティポリシー客観的に判断されたセキュリティポリシーの確立
ツールによるデータベースセキュリティシステムDBMS機能でのセキュリティは有効か?
システムに対する負荷が高い
設定ミスの可能性
設定を行えるのはDBAなので客観性に欠ける
定期的なログの分析ログを分析して不正アクセスを調査
分析結果を利用して新しいポリシーの作成
© 2005, All Rights Reserved, J-SYS Software Co.,Ltd. 10
データベースセキュリティツールの機能データベースセキュリティツールの機能
データベースのアクセスコントロール
監査ログを残しアラートを上げることによる抑止
既存システムに影響を与えないセキュリティ
システム変更を最小限に抑える
システムに対しての負荷を与えない
再起動を必要としない
© 2005, All Rights Reserved, J-SYS Software Co.,Ltd. 11
Database LogDatabase Logging Toolging Tool
Chakraシステムへの負荷は0%データベースへの全アクセスをロギング
不正アクセスがあった場合にはアラート
© 2005, All Rights Reserved, J-SYS Software Co.,Ltd. 12
Switch
SystemSystem構成図構成図
OracleOracle
DB2DB2
DBDBアクセス監査アクセス監査
SQL ServerSQL Server
アクセスログ監査・分析
CPU負荷なし
DBの負荷なし
メモリ使用量増加なし
サーバサイドの
エージェントは不要
© 2005, All Rights Reserved, J-SYS Software Co.,Ltd. 13
不正なアクセスを検知・防御不正なアクセスを検知・防御
リアルタイムでデータベースへの全アクセスをモニタリング
誰が、何時、何処からアクセスしているのか
アプリケーションは何か
実行しているSQL文は何か
» DML、DDL、DCL、Stored Procedure
» SQL文にキーワードが含まれるか
» バインド変数も取れる
何行結果を取り出したのか
レスポンスの劣化はないか
© 2005, All Rights Reserved, J-SYS Software Co.,Ltd. 14
不正なアクセスを検知・防御不正なアクセスを検知・防御
問題のある場合はアラートを生成
ポップアップ メッセージ・アラートメッセージ
メール
セッションの切断
任意のプログラム実行
© 2005, All Rights Reserved, J-SYS Software Co.,Ltd. 15
アラートの設定アラートの設定
会員テーブルに対する会員テーブルに対する Query Query の結果行数がの結果行数が10001000行以上行以上
オンライン時間帯以外に特定テーブルに対してアクセスオンライン時間帯以外に特定テーブルに対してアクセス
DBA DBA が「会員」テーブルにアクセス(不正な参照、改ざん等)が「会員」テーブルにアクセス(不正な参照、改ざん等)
Grant Grant 文や文や Create Synonym Create Synonym などの通常運用以外のなどの通常運用以外のDDLDDL
© 2005, All Rights Reserved, J-SYS Software Co.,Ltd. 16
Ver3 HighlightVer3 Highlight
OracleOracleに加え、に加え、IBM DB2 UDB, Microsoft SQL Server,SybaseIBM DB2 UDB, Microsoft SQL Server,Sybaseをサポートをサポート
レポート機能の充実レポート機能の充実
クライアントはクライアントはWEBWEBブラウザを使用ブラウザを使用
リモートアクセス(リモートアクセス(TELNET/FTP/RTELNET/FTP/R--cmdcmd)のモニタリングとアラート)のモニタリングとアラート
SQLSQLの実行結果のデータ、の実行結果のデータ、TELNETTELNETの結果もロギング可能の結果もロギング可能
LinuxLinuxプラットフォームのサポートプラットフォームのサポート
© 2005, All Rights Reserved, J-SYS Software Co.,Ltd. 17
サポートサポートDBMSDBMS
Oracle7.3.4, 8.0, 8i, 9i, 9iR2, 10g
DB2UDB for Linux, Windows, Unix V6, V7, V8
MS SQL Server6.5, 7.0, 20002005(サポート予定)
Sybase Adaptive Server Enterprise(ASE)Sybase IQ
© 2005, All Rights Reserved, J-SYS Software Co.,Ltd. 24
パフォーマンスに影響を与えない
すぐに使えて導入効果はその日から
データベースセキュリティリアルタイム監視・ログ保存・アラート・防御
Chakra Chakra でデータベースセキュリティでデータベースセキュリティ
© 2005, All Rights Reserved, J-SYS Software Co.,Ltd. 25
お問合せお問合せ
URL:
Homepage :http://www.jsys-products.com/» 弊社案内及び取扱製品のご案内
J’s PORTAL :https://jsys-soft.biz/coreport» 弊社取扱製品に関わる技術情報を提供するポータルサイト
メールアドレス
(03)5778-0262
© 2005, All Rights Reserved, J-SYS Software Co.,Ltd. 26
お問い合わせ先お問い合わせ先
〒150-0002東京都渋谷区渋谷3-9-9 東京建物渋谷ビルTEL : 03-5778-0262FAX : 03-5778-0265E-Mail : [email protected]
http://jsys-soft.biz/coreport
http://www.jsys-products.com/