oracle database security...oracle database security assessment tool (dbsat)...
TRANSCRIPT
Copyright © 2018, Oracle and/or its affiliates.All rights reserved.
Oracle Database SecurityAssessment Toolハッカーに先を越される前に、自社のセキュリティを評価する
Pedro Lopes製品マネージャーOracle Databaseセキュリティ
セキュリティ分野の全体的なトレンド
Copyright © 2018, Oracle and/or its affiliates.All rights reserved. 3
• データ侵害の拡大および大胆化
– 新たなターゲット:データ収集企業、金融会計企業、漏洩侵害調査企業、セキュリティ企業、政府、および機密データを取り扱うすべての企業
– 新たなターゲットのタイプ:データベース、デバイス、クラウドなど
• データ侵害被害額の超高額化– 毎年、ITセキュリティに800億ドルが費やされているが、実際の被害額は1兆ドル超
– データ侵害による平均被害額は735万ドル、盗まれたレコードあたり225ドル– 被害者、ブランド、、およびビジネスに取り換えしのつかないダメージ
• 課題– 多くの企業は、自らの脆弱さや、保持している機密データの種類を把握していない
– セキュリティ・スキルの深刻な不足、ハッカーの専門性や自動処理に歯が立たない
進化する規制の現状
CDPL
CLPPL
APDPL
APP
NZPA
SAECTA
MPDPL
MDPA
EU GDPR Ru DPA
Th OIA
Si PDPA
APPICh GDPL
IT Act HK PDPO
Art. 5
GLBA
HIPAA
Patriot Act
PIPEDA
CIP
NY DFS500
FOIPPA
PCI
48州のデータ・プライバシー法
Copyright © 2018, Oracle and/or its affiliates.All rights reserved. 4
結局は、データがすべて
Copyright © 2018, Oracle and/or its affiliates.All rights reserved. 5
データベース内の機密データデータは金なり
Copyright © 2018, Oracle and/or its affiliates.All rights reserved. 6
ハッカーはこんなことを考えている
どのデータベースに手を出せるか
データは暗号化されているか
デフォルトのパスワードを使っているユーザーはいるか
特権ユーザーは誰か、どのように攻撃したらいいか
どんなデータがあるのか、それは貴重なデータか
このデータベースのバージョンに脆弱性はあるか
どのようなセキュリティ管理が行われているか
データに急いでアクセスし、終わり次第去るにはどうしたらいいか
自分は追跡されているか
Copyright © 2018, Oracle and/or its affiliates.All rights reserved. 7
内部関係者/部外者
データベース管理者(DBA)はこんなことを考えているどこから手を付ける?何に注意する? スキルは? 時間は?
使用しているデータベースはセキュアに構成されているか
機密データはどこにあるのか
機密データにアクセスできるのは誰か
どんなセキュリティ管理/ポリシーが適用されているのか
データベース・セキュリティ・チームは存在するか
どんな欠陥を探せばいいのか分かっているか分析
するための時間が確保されているか
何から取り掛かるべきか、リスクは何か
Copyright © 2018, Oracle and/or its affiliates.All rights reserved. 8
お試しください
Copyright © 2018, Oracle and/or its affiliates.All rights reserved. 9
Oracle DatabaseSecurity Assessment Tool
Oracle Database Security Assessment Tool(DBSAT)ハッカーに先を越される前に、自社のセキュリティ・プロファイルを評価する
• 自社のデータベースの安全性(脆弱性)を把握する
– 全体的なセキュリティの現状を報告する
– ユーザー、エンタイトルメント、リスクについて調べる
– 機密データを検出する
• 実用的な評価レポート
– サマリーと詳細情報
– 優先順位付けされた推奨事項
– EU GDPRおよびCISベンチマークとの紐付け
• スタンドアロンの軽量なツール:迅速で、簡単
• 現在Oracleをご使用のお客様に無償提供
データベースはセキュアに構成さ
れているか?
ユーザーは?エンタイトルメントは?
どんな機密データを
保持しているか?
Copyright © 2018, Oracle and/or its affiliates.All rights reserved. 10
1. セキュリティ構成• データ暗号化
• 監査ポリシー
• ファイングレイン・アクセス制御
• データベースとリスナーの構成
• OSファイル権限
• セキュリティ・パッチ
2. ユーザーとエンタイトルメント• ユーザー・アカウント、権限、ロール
3. 機密データ• どのような種類か、どこにあるか、どれほどあるか
Oracle DBSATのチェック対象は?
Oracle Database 10g以降が対象
Copyright © 2018, Oracle and/or its affiliates.All rights reserved. 11
データベース・セキュリティ評価レポートセキュリティ構成ステータス、ユーザーとそのエンタイトルメント
DBSATCollectorの実行
DBSATReporterの実行
評価結果
レポートの精査
HTML
Excel
テキスト
Copyright © 2018, Oracle and/or its affiliates.All rights reserved. 12
評価結果の分析
評価結果の詳細
Copyright © 2018, Oracle and/or its affiliates.All rights reserved. 13
Evaluate、Advisory、Pass、Low Risk、Medium Risk、High Riskのいずれか
関連する
可能性がある規制
評価結果のカテゴリ
根拠と推奨事項
規制との紐付け
ユースケース:データベースはセキュアに構成されているか?評価結果のサマリー表示、優先度別
Copyright © 2018, Oracle and/or its affiliates.All rights reserved. 14
ユースケース:ユーザーとそのエンタイトルメントは?DBAロール(直接または間接付与)のあるユーザー
間接的な付与
Copyright © 2018, Oracle and/or its affiliates.All rights reserved. 15
ユーザーDEBRAはロールAPP_ROLE経由でDBAロールを間接的に付与されている
ユースケース:機密データの検出何を、どこに、どのくらい持っているかを把握する
データベース接続機密カテゴリリスクのレベルリストの適用/除外
構成パラメータのレビュー/編集
機密タイプのパターンのレビュー/編集
DBSATDiscovererの実行
レポートの精査
追加設定不要なタイプ
列の名前/コメント検索用に独自のタイプを追加
[BIRTHDATE]COL_NAME_PATTERN = DOB|BIRTH.*DATE|DATE.*BIRTHCOL_COMMENT_PATTERN = ¥bDOB¥b|Birth.*Date|Date.*Birth SENSITIVE_CATEGORY = PII-Linked - Birth Details
より細かく調整
Copyright © 2018, Oracle and/or its affiliates.All rights reserved. 17
レポート:どのような機密データを、どのくらい保持しているか?機密データの状況のサマリー
* 機密データが含まれる一意のテーブル数** 機密データが含まれる一意の行数
Copyright © 2018, Oracle and/or its affiliates.All rights reserved. 18
レポート:どのテーブルに、どれくらいの機密データが含まれているか?テーブルのサマリー
Copyright © 2018, Oracle and/or its affiliates.All rights reserved. 19
ユースケース:どの列に、どれくらいの機密データが含まれているか?機密データのある列の詳細
Copyright © 2018, Oracle and/or its affiliates.All rights reserved. 20
EU GDPR順守の推進
Copyright © 2018, Oracle and/or its affiliates.All rights reserved. 21
• Oracle Database内の機密データおよび個人データの検出
– PII、健康状態のデータ、職歴のデータ、ITデータなど
–宗教、支持政党、労働組合のメンバーシップ、犯罪歴、人種など
• 評価結果のGDPR条項/前文への紐付け
• リスクにさらされる可能性を評価することによる、
早期のデータ保護の影響評価(DPIA)
• コンプライアンスに役立つ可能性のあるセキュリティ管理機能の推奨
まとめ:Oracle DBSAT
Copyright © 2018, Oracle and/or its affiliates.All rights reserved. 22
• ハッカーに先を越される前に、データベースの現在のセキュリティ状態を迅速に評価する
• 機密データを特定して、リスクと適切なセキュリティ管理を見極める
• 効果が証明されているベスト・プラクティスを使用して、リスクへの露出を減らす
• EU GDPRや他の規制の順守を推進する
• Oracle Database 10g、11g、12c、18cをサポート
• オラクルのお客様には追加費用なしで提供
• すぐにデプロイして使用できる
• 現在公開中!
今すぐダウンロードしてください
– OTNのページ
–ソーシャル・ネットワークでは#DBSATをご利用ください
Copyright © 2018, Oracle and/or its affiliates.All rights reserved. 23
&Copyright © 2018, Oracle and/or its affiliates.All rights reserved. 24
オラクルの情報を発信しています
/OracleDatabase#DBSAT
/OracleSecurity blogs.oracle.com/ SecurityInsideOut
Oracle Database Insider /Oracle/database
/OracleLearning
oracle.com/database/security oracle.com/technetwork/database/security
Copyright © 2018, Oracle and/or its affiliates.All rights reserved. 25
Copyright © 2018, Oracle and/or its affiliates.All rights reserved. 26