oracle database security...oracle database security assessment tool （dbsat）...

Copyright © 2018, Oracle and/or its affiliates.All rights reserved.

Oracle Database SecurityAssessment Toolハッカーに先を越される前に、自社のセキュリティを評価する

Pedro Lopes製品マネージャーOracle Databaseセキュリティ

セキュリティ分野の全体的なトレンド

Copyright © 2018, Oracle and/or its affiliates.All rights reserved. 3

• データ侵害の拡大および大胆化

– 新たなターゲット：データ収集企業、金融会計企業、漏洩侵害調査企業、セキュリティ企業、政府、および機密データを取り扱うすべての企業

– 新たなターゲットのタイプ：データベース、デバイス、クラウドなど

• データ侵害被害額の超高額化– 毎年、ITセキュリティに800億ドルが費やされているが、実際の被害額は1兆ドル超

– データ侵害による平均被害額は735万ドル、盗まれたレコードあたり225ドル– 被害者、ブランド、、およびビジネスに取り換えしのつかないダメージ

• 課題– 多くの企業は、自らの脆弱さや、保持している機密データの種類を把握していない

– セキュリティ・スキルの深刻な不足、ハッカーの専門性や自動処理に歯が立たない

進化する規制の現状

CDPL

CLPPL

APDPL

APP

NZPA

SAECTA

MPDPL

MDPA

EU GDPR Ru DPA

Th OIA

Si PDPA

APPICh GDPL

IT Act HK PDPO

Art. 5

GLBA

HIPAA

Patriot Act

PIPEDA

CIP

NY DFS500

FOIPPA

PCI

48州のデータ・プライバシー法


結局は、データがすべて


データベース内の機密データデータは金なり


ハッカーはこんなことを考えている

どのデータベースに手を出せるか

データは暗号化されているか

デフォルトのパスワードを使っているユーザーはいるか

特権ユーザーは誰か、どのように攻撃したらいいか

どんなデータがあるのか、それは貴重なデータか

このデータベースのバージョンに脆弱性はあるか

どのようなセキュリティ管理が行われているか

データに急いでアクセスし、終わり次第去るにはどうしたらいいか

自分は追跡されているか


内部関係者/部外者

データベース管理者（DBA）はこんなことを考えているどこから手を付ける?何に注意する? スキルは? 時間は?

使用しているデータベースはセキュアに構成されているか

機密データはどこにあるのか

機密データにアクセスできるのは誰か

どんなセキュリティ管理/ポリシーが適用されているのか

データベース・セキュリティ・チームは存在するか

どんな欠陥を探せばいいのか分かっているか分析

するための時間が確保されているか

何から取り掛かるべきか、リスクは何か


お試しください


Oracle DatabaseSecurity Assessment Tool

Oracle Database Security Assessment Tool（DBSAT）ハッカーに先を越される前に、自社のセキュリティ・プロファイルを評価する

• 自社のデータベースの安全性（脆弱性）を把握する

– 全体的なセキュリティの現状を報告する

– ユーザー、エンタイトルメント、リスクについて調べる

– 機密データを検出する

• 実用的な評価レポート

– サマリーと詳細情報

– 優先順位付けされた推奨事項

– EU GDPRおよびCISベンチマークとの紐付け

• スタンドアロンの軽量なツール：迅速で、簡単

• 現在Oracleをご使用のお客様に無償提供

データベースはセキュアに構成さ

れているか?

ユーザーは?エンタイトルメントは?

どんな機密データを

保持しているか?


1. セキュリティ構成• データ暗号化

• 監査ポリシー

• ファイングレイン・アクセス制御

• データベースとリスナーの構成

• OSファイル権限

• セキュリティ・パッチ

2. ユーザーとエンタイトルメント• ユーザー・アカウント、権限、ロール

3. 機密データ• どのような種類か、どこにあるか、どれほどあるか

Oracle DBSATのチェック対象は?

Oracle Database 10g以降が対象


データベース・セキュリティ評価レポートセキュリティ構成ステータス、ユーザーとそのエンタイトルメント

DBSATCollectorの実行

DBSATReporterの実行

評価結果

レポートの精査

HTML

Excel

テキスト


評価結果の分析

評価結果の詳細


Evaluate、Advisory、Pass、Low Risk、Medium Risk、High Riskのいずれか

関連する

可能性がある規制

評価結果のカテゴリ

根拠と推奨事項

規制との紐付け

ユースケース：データベースはセキュアに構成されているか?評価結果のサマリー表示、優先度別


ユースケース：ユーザーとそのエンタイトルメントは?DBAロール（直接または間接付与）のあるユーザー

間接的な付与


ユーザーDEBRAはロールAPP_ROLE経由でDBAロールを間接的に付与されている

ユースケース：機密データの検出何を、どこに、どのくらい持っているかを把握する

データベース接続機密カテゴリリスクのレベルリストの適用/除外

構成パラメータのレビュー/編集

機密タイプのパターンのレビュー/編集

DBSATDiscovererの実行

レポートの精査

追加設定不要なタイプ

列の名前/コメント検索用に独自のタイプを追加

[BIRTHDATE]COL_NAME_PATTERN = DOB|BIRTH.*DATE|DATE.*BIRTHCOL_COMMENT_PATTERN = ¥bDOB¥b|Birth.*Date|Date.*Birth SENSITIVE_CATEGORY = PII-Linked - Birth Details

より細かく調整


レポート：どのような機密データを、どのくらい保持しているか?機密データの状況のサマリー

* 機密データが含まれる一意のテーブル数** 機密データが含まれる一意の行数


レポート：どのテーブルに、どれくらいの機密データが含まれているか?テーブルのサマリー


ユースケース：どの列に、どれくらいの機密データが含まれているか?機密データのある列の詳細


EU GDPR順守の推進


• Oracle Database内の機密データおよび個人データの検出

– PII、健康状態のデータ、職歴のデータ、ITデータなど

–宗教、支持政党、労働組合のメンバーシップ、犯罪歴、人種など

• 評価結果のGDPR条項/前文への紐付け

• リスクにさらされる可能性を評価することによる、

早期のデータ保護の影響評価（DPIA）

• コンプライアンスに役立つ可能性のあるセキュリティ管理機能の推奨

まとめ：Oracle DBSAT


• ハッカーに先を越される前に、データベースの現在のセキュリティ状態を迅速に評価する

• 機密データを特定して、リスクと適切なセキュリティ管理を見極める

• 効果が証明されているベスト・プラクティスを使用して、リスクへの露出を減らす

• EU GDPRや他の規制の順守を推進する

• Oracle Database 10g、11g、12c、18cをサポート

• オラクルのお客様には追加費用なしで提供

• すぐにデプロイして使用できる

• 現在公開中!

今すぐダウンロードしてください

– OTNのページ

–ソーシャル・ネットワークでは#DBSATをご利用ください


http://www.oracle.com/technetwork/database/security/dbsat.html

オラクルの情報を発信しています

/OracleDatabase#DBSAT

/OracleSecurity blogs.oracle.com/ SecurityInsideOut

Oracle Database Insider /Oracle/database

/OracleLearning

oracle.com/database/security oracle.com/technetwork/database/security


oracle database security...oracle database security assessment tool （dbsat）...

Documents