Oracle Database セキュリティ診断サービス

狙われないデータベースへの第一歩を踏み出す、脆弱性可視化ソリューション

データベースには、個人情報や技術情報、知的財産などの重要な情報資産が多く格納されています。換金目的で情報を盗み出す情報漏えいやデータの改ざんにより、予期しないダメージを企業が被るケースも多くなっています。その影響はブランドイメージ低下による顧客離れや、対策・補償費、行政指導といった会社の業績や存続も左右する無視できない事態に繋がります。

データベースのセキュリティ対策を考える時、まず最初に行うべきことは現状の把握です。Oracle Database セキュリティ診断サービスは、オンプレミスやクラウドのオラクルデータベースに隠れた脆弱性が存在していないか、短期間に低コストで診断することができます。オラクル社が推奨するセキュリティ設定に基づいた診断結果をご提示し、対策が必要なポイントをご案内します。診断レポートは、10の診断分野で6段階にセキュリティリスクを分類しており、データベースの構成や運用、実装上のリスクを可視化します。「運用しているデータベースのセキュリティレベルを診断したい」、「セキュリティ監査を受けるために第三者によるセキュリティチェックを必要としている」といったお客さまをご支援します。

手薄にしてはいけない、データベース・セキュリティの重要性

データベースは、人目に触れることのないデータセンターの厳重なセキュリティに保護されたサーバーで稼働しています。外部ネットワークから隔離された内部のネットワーク上で稼働していることから、直接データベースにアクセスされる心配がなく、安全であるといった考え方が過去にはありました。しかしながら、昨今の攻撃手段は多様化かつ高度化しており、直接アクセスすることのできないデータベースに対して、アプリケーションサーバなどを経由し、情報漏えいする事件は発生しています。

ネットワークやアプリケーションに強固なセキュリティ対策を講じ、境界防御を徹底することはとても重要ですが、データベースを無防備にしてよいわけではありません。悪意を持った内部犯が無防備なデータベースに直接アクセスできる状態であれば、簡単にデータを盗み出せてしまうからです。守るべき大切なデータの管理方法やアクセスできるユーザーの制御・管理、データベースのセキュリティホールの見直しなどについて、検討する必要があります。

データベースのセキュリティ強化を求める各種ガイドライン

マイナンバー法の施行や個人情報保護法の改訂、内閣サイバーセキュリティセンター(NICS)の発行するセキュリティガイドラインに記述が追加されるなど、データベースのセキュリティ対策は一層求められています。

名称 セキュリティ強化への取り組み 対象
PCIDSS(*1) 2004年 12月 PCI DSS制定 クレジットカードを取り扱う企業
2013年 11月 v3.0にバージョンアップ
暗号化、アクセス制御、監査、マスキング、構成管理が記載
サイバーセキュリティ経営ガイドライン(*2) 2015年 12月 ガイドライン 公開
多層防御と重要データ(データベース、ファイル)への高度な暗号化、アクセス制御、監査が記載
企業の経営者
ITシステムを供給する企業と経営戦略上ITの利活用が不可欠な企業
2017年 11月 攻撃の検知や復旧に関する仕組みの構築を求める記載の追加
政府機関等の情報セキュリティ対策のための統一基準(*3) 2005年 09月 政府機関の情報セキュリティ対策のための統一基準 公開 政府機関
2016年 08月 平成 28年度版公開
データベースの項目が新たに追加。管理者権限分割、アクセス制御、監査・検知、暗号化が記載
官公庁・独立行政法人等
改正個人情報保護法(*4) 2015年 09月 法律が成立・公布 個人情報を保持している事業者業界団体
2016年 11月 ガイドラインが公開
保護するべき個人情報が明確化
通則編にアクセス制御、暗号化、監査・検知、伏字化が記載
改正割賦販売法(*5) 2017年 02月 法律が成立・公布 クレジットカード情報を保持する場合に PCIDSS 対応を求める記載 クレジットカードを取り扱う企業

データベースのセキュリティ強化の第一歩

データベースのセキュリティ対策を考える上で、まず最初に取り掛かるべきは、現状の構成に脆弱性がないか把握することです。運用効率を重視し、強力な権限を一般ユーザーに割り当てたり、社内リソースの不足により、ユーザーの棚卸が長期間できておらず、一時的に作成したテストユーザーや退職した社員のアカウントが放置される。また、ベンダからリリースされるパッチ情報のキャッチアップが追い付かず、必要なセキュリティパッチが適用できていないケースを放置すればするほど、データベースの堅牢性は低下します。

データベースの脆弱性を診断することで、対策が必要な箇所や、より強化すべき項目を可視化することが大切です。本診断サービスは、ワンショットだけではなく、定期的な診断にも対応しているため、新たに生まれたリスクの早期発見に役立てることができます。

低コスト、短期間にオラクルデータベースのセキュリティを診断

サービス概要
  • オラクルデータベースのセキュリティ状況を調査し、診断レポートを作成します
  • オラクル社の推奨設定に基づき、診断結果と併せて、対策が推奨されるポイントをご提示します
  • お客さまに診断用スクリプトを実行いただき、実行結果と設定ファイルをご返送いただく必要があります
価格 ワンショット30万円 ~
※ RAC構成問わず 1データベースの価格、RAC構成でインスタンス数が4を超える場合はご相談ください
※ 定期的な診断をご希望される場合は、別途ご相談ください
期間 診断用スクリプトの実行結果と設定ファイルのご返送から、5営業日前後

サービスの対象範囲

幅広いDBバージョンに対応

Oracle Database 10gR2 以降
(10.2.0.4以降)

さまざまなOSの種類に対応

Linux, Solaris, HP-UX,AIX, Windows

クラウド環境にも対応

オンプレミス、クラウド
(Oracle Cloud、AWS(RDS除く)等)

※ 本サービスで使用する情報収集スクリプトが、DB の動作する環境で実行可能である必要があります

診断レポート

10の診断分野毎に、オラクル社の推奨構成(値)とのギャップを判定します。ギャップはオラクル社の判定基準に則り、6段階のリスクレベルに分類してご報告します。セキュリティリスクのポイントを可視化することで容易にご確認いただけます。

10の診断分野

# 診断分野 診断項目の概要
1 基本情報 セキュリティパッチ、セキュリティ機能の使用状況
2 ユーザー・アカウント デフォルト表領域、パスワード関連、プロファイル設定
3 権限とロール 強力な管理権限、強力なロール
4 認証制御 特権管理ユーザーの行動制御
5 データ暗号化 透過的データ暗号化
6 FGA制御 アクセス制御の実装
7 監査 監査証跡の設定、監査ポリシー
8 データベース構成 初期化パラメータ、ディクショナリアクセス権
9 NW構成 ネットワーク暗号化、クライアント接続制御
10 OS構成 OS認証、ディレクトリ権限

リスクサマリグラフ

診断の結果、発見したリスクを6つのレベルに分類し、発生件数を集計しています。診断分野ごとに発生したリスク件数については、「リスク分野サマリグラフ」に記載しています。

リスクサマリグラフ

リスク分野サマリグラフ

10の診断分野のそれぞれで発見したリスクを6つのレベルに分類し、発生件数を集計しています。特に優先して、ご確認いただきたい分野については、『注意』 マークがついています。

リスク分野サマリグラフ

※ 上記は診断レポートの一部イメージです。実際のレポートでは、それぞれのリスクについて、より詳細な説明を行っています。

サービスの前提条件

脆弱性に対する対処の実装はご相談ください セキュリティリスクの対策方法の検討、対策の実施については、別途有償で支援します(当社とオラクル保守契約を締結している場合は、 QAはオラクル保守で対応)
※ セキュリティリスクを可視化してレポートしますが、すべてのセキュリティリスクの可視化を保証するものではありません
情報収集スクリプトはお客さまのご都合の良い時にご実行ください お客さま側で当社から提供するスクリプトを実行いただく必要があります
業務データへのアクセスはしない オラクルデータベースのパラメータ情報、ディクショナリ情報を検索(SELECT)し、アウトプットファイルに出力します
※ スクリプト実行時のパフォーマンス影響は、無視可能なレベルです

サービスフロー

  • 1. ヒアリング

    移行対象のデータベースに本サービスが提供可能かヒアリング

  • 2. 環境情報の収集

    現行環境のデータサイズやオブジェクト数、データ件数等について、スクリプトで情報収集

  • 3. 事前打ち合わせ

    移行方法やスケジュール、問題点をお客さまと事前に打ち合わせ

  • 4. 作業準備

    お客さま環境向けの手順を作成

  • 5. リハーサル

    実機でリハーサルを行い、移行作業や正常性のチェック
    (※お客さま側で検証環境の準備が厳しい場合は、ご相談ください)

  • 6. 問題への対処

    リハーサルで生じた問題への対処

お問い合わせ

データベースのセキュリティ対策を考える時、まず最初に行うべきことは現状の把握です。セキュリティ診断で隠れたリスクを可視化しませんか。お気軽にご相談ください。

関連コンテンツ

資料ダウンロード

【紹介資料】Oracle Database セキュリティ診断サービス(PDF:2ページ, 1.38MB)