INTELLILINK データベースセキュリティ診断サービス for Oracle

狙われないデータベースへの第一歩を踏み出す、脆弱性可視化ソリューション

データベースには、個人情報や技術情報、知的財産などの重要な情報資産が多く格納されています。換金目的で情報を盗み出す情報漏えいやデータの改ざんにより、予期しないダメージを企業が被るケースも多くなっています。その影響はブランドイメージ低下による顧客離れや、対策・補償費、行政指導といった会社の業績や存続も左右する無視できない事態に繋がります。

データベースのセキュリティ対策を考える時、まず最初に行うべきことは現状の把握です。INTELLILINK データベースセキュリティ診断サービス for Oracleは、オンプレミスやクラウドのオラクルデータベースに隠れた脆弱性が存在していないか、短期間に低コストで診断することができます。オラクル社が推奨するセキュリティ設定に基づいた診断結果をご提示し、対策が必要なポイントをご案内します。診断レポートは、10の診断分野で6段階にセキュリティリスクを分類しており、データベースの構成や運用、実装上のリスクを可視化します。「運用しているデータベースのセキュリティレベルを診断したい」、「セキュリティ監査を受けるために第三者によるセキュリティチェックを必要としている」といったお客様をご支援します。

手薄にしてはいけない、データベース・セキュリティの重要性

データベースは、人目に触れることのないデータセンターの厳重なセキュリティに保護されたサーバーで稼働しています。外部ネットワークから隔離された内部のネットワーク上で稼働していることから、直接データベースにアクセスされる心配がなく、安全であるといった考え方が過去にはありました。しかしながら、昨今の攻撃手段は多様化かつ高度化しており、直接アクセスすることのできないデータベースに対して、アプリケーションサーバなどを経由し、情報漏えいする事件は発生しています。

ネットワークやアプリケーションに強固なセキュリティ対策を講じ、境界防御を徹底することはとても重要ですが、データベースを無防備にしてよいわけではありません。悪意を持った内部犯が無防備なデータベースに直接アクセスできる状態であれば、簡単にデータを盗み出せてしまうからです。守るべき大切なデータの管理方法やアクセスできるユーザーの制御・管理、データベースのセキュリティホールの見直しなどについて、検討する必要があります。

データベースのセキュリティ強化を求める各種ガイドライン

マイナンバー法の施行や個人情報保護法の改訂、内閣サイバーセキュリティセンター（NICS）の発行するセキュリティガイドラインに記述が追加されるなど、データベースのセキュリティ対策は一層求められています。

名称	セキュリティ強化への取り組み		対象
PCIDSS^(*1)	2004年 12月	PCI DSS制定	クレジットカードを取り扱う企業
PCIDSS^(*1)	2013年 11月	v3.0にバージョンアップ暗号化、アクセス制御、監査、マスキング、構成管理が記載	クレジットカードを取り扱う企業
サイバーセキュリティ経営ガイドライン^(*2)	2015年 12月	ガイドライン公開多層防御と重要データ（データベース、ファイル）への高度な暗号化、アクセス制御、監査が記載	企業の経営者 ITシステムを供給する企業と経営戦略上ITの利活用が不可欠な企業
サイバーセキュリティ経営ガイドライン^(*2)	2017年 11月	攻撃の検知や復旧に関する仕組みの構築を求める記載の追加	企業の経営者 ITシステムを供給する企業と経営戦略上ITの利活用が不可欠な企業
政府機関等の情報セキュリティ対策のための統一基準^(*3)	2005年 09月	政府機関の情報セキュリティ対策のための統一基準公開	政府機関
政府機関等の情報セキュリティ対策のための統一基準^(*3)	2016年 08月	平成 28年度版公開データベースの項目が新たに追加。管理者権限分割、アクセス制御、監査・検知、暗号化が記載	官公庁・独立行政法人等
改正個人情報保護法^(*4)	2015年 09月	法律が成立・公布	個人情報を保持している事業者業界団体
改正個人情報保護法^(*4)	2016年 11月	ガイドラインが公開保護するべき個人情報が明確化通則編にアクセス制御、暗号化、監査・検知、伏字化が記載	個人情報を保持している事業者業界団体
改正割賦販売法^(*5)	2017年 02月	法律が成立・公布クレジットカード情報を保持する場合に PCIDSS 対応を求める記載	クレジットカードを取り扱う企業

*1: https://www.pcisecuritystandards.org/
*2: https://www.meti.go.jp/policy/netsecurity/mng_guide.html
*3: https://www.nisc.go.jp/active/general/kijun30.html
*4: https://www.ppc.go.jp/personalinfo/
*5: https://www.meti.go.jp/policy/economy/consumer/credit/112kappuhanbaihoukankeishiryou.html

データベースのセキュリティ強化の第一歩

データベースのセキュリティ対策を考える上で、まず最初に取り掛かるべきは、現状の構成に脆弱性がないか把握することです。運用効率を重視し、強力な権限を一般ユーザーに割り当てたり、社内リソースの不足により、ユーザーの棚卸が長期間できておらず、一時的に作成したテストユーザーや退職した社員のアカウントが放置される。また、ベンダからリリースされるパッチ情報のキャッチアップが追い付かず、必要なセキュリティパッチが適用できていないケースを放置すればするほど、データベースの堅牢性は低下します。

データベースの脆弱性を診断することで、対策が必要な箇所や、より強化すべき項目を可視化することが大切です。本診断サービスは、ワンショットだけではなく、定期的な診断にも対応しているため、新たに生まれたリスクの早期発見に役立てることができます。

低コスト、短期間にオラクルデータベースのセキュリティを診断

サービス概要	オラクルデータベースのセキュリティ状況を調査し、診断レポートを作成しますオラクル社の推奨設定に基づき、診断結果と併せて、対策が推奨されるポイントをご提示しますお客さまに診断用スクリプトを実行いただき、実行結果と設定ファイルをご返送いただく必要があります

サービスの対象範囲

幅広いDBバージョンに対応

Oracle Database 10gR2 以降
（10.2.0.4以降）

さまざまなOSの種類に対応

Linux, Solaris, HP-UX,AIX, Windows

クラウド環境にも対応

オンプレミス、クラウド
（Oracle Cloud、AWS(RDS除く)等）

※ 本サービスで使用する情報収集スクリプトが、DB の動作する環境で実行可能である必要があります

診断レポート

10の診断分野毎に、オラクル社の推奨構成（値）とのギャップを判定します。ギャップはオラクル社の判定基準に則り、6段階のリスクレベルに分類してご報告します。セキュリティリスクのポイントを可視化することで容易にご確認いただけます。

10の診断分野

#	診断分野	診断項目の概要
1	基本情報	セキュリティパッチ、セキュリティ機能の使用状況
2	ユーザー・アカウント	デフォルト表領域、パスワード関連、プロファイル設定
3	権限とロール	強力な管理権限、強力なロール
4	認証制御	特権管理ユーザーの行動制御
5	データ暗号化	透過的データ暗号化
6	FGA制御	アクセス制御の実装
7	監査	監査証跡の設定、監査ポリシー
8	データベース構成	初期化パラメータ、ディクショナリアクセス権
9	NW構成	ネットワーク暗号化、クライアント接続制御
10	OS構成	OS認証、ディレクトリ権限

リスクサマリグラフ

診断の結果、発見したリスクを6つのレベルに分類し、発生件数を集計しています。診断分野ごとに発生したリスク件数については、「リスク分野サマリグラフ」に記載しています。

リスクサマリグラフ

リスク分野サマリグラフ

10の診断分野のそれぞれで発見したリスクを6つのレベルに分類し、発生件数を集計しています。特に優先して、ご確認いただきたい分野については、『注意』マークがついています。

リスク分野サマリグラフ

※ 上記は診断レポートの一部イメージです。実際のレポートでは、それぞれのリスクについて、より詳細な説明を行っています。

サービスの前提条件

脆弱性に対する対処の実装はご相談ください	セキュリティリスクの対策方法の検討、対策の実施については、別途有償で支援します（当社とオラクル保守契約を締結している場合は、 QAはオラクル保守で対応） ※ セキュリティリスクを可視化してレポートしますが、すべてのセキュリティリスクの可視化を保証するものではありません
情報収集スクリプトはお客さまのご都合の良い時にご実行ください	お客さま側で当社から提供するスクリプトを実行いただく必要があります
業務データへのアクセスはしない	オラクルデータベースのパラメータ情報、ディクショナリ情報を検索（SELECT）し、アウトプットファイルに出力します ※ スクリプト実行時のパフォーマンス影響は、無視可能なレベルです