⑤ DB データベースにおける

IT大全より (pdf 100冊)
http://www.geocities.jp/ittaizen
データベースにおけるセキュリティに
つきまして
資料NO.5
一般社団法人
情報処理学会 正会員
腰山 信一
ftks7856@ybb.ne.jp
1
本資料の関連資料は下記をクリックして
PDF一覧からお入り下さい。
IT大全 (pdf 100冊)
http://www.geocities.jp/ittaizen
目次番号 645番 他
2
管理権限の一極集中によるリスクを回避し、各役割に応じた
権限を持つ複数の管理者によるデータベース管理体制が必要。
日本版SOX法などの法規制に備えた、内部統制の基盤作りが必要
3
データベース管理
データベースの起動/停止など
ユーザー・アカウント管理
ユーザの作成・変更、プロファイルの作成・変更、接続の許可
セキュリティ・ポリシー管理
セキュリティポリシーに基くアクセス制御の設定、管理
アプリケーション・データの管理
アプリケーションに紐付く実データの管理、アクセス権限の付与
4
これからのデータベースに求められる要件
今までの Database
権限さえあればデータへの
アクセスが可能
一般ユーザ
これからのDatabase
権限に加え、複数の条件を
満たす場合のみデータへの
アクセスが可能
SELECT権限
INSERT権限
UPDATE権限
DELETE権
限・・・etc.
SELECT権限
INSERT権限
UPDATE権限
DELETE権
限・・・etc.
ロール
(権限規定)
セキュリティポリシーにそった複合条
件に基くアクセス制御が必要
条件を満たす場合は
アクセス可能
ロール
(権限規定)
アクセス制御条件
OSユーザ
ホスト
条件を満たさない場合
はアクセス不可能
一般ユーザ
クライアントのIP
ロールを
有効化す
るための
条件を評
価
時間
帯曜日・・・etc
様々な条件を柔軟に設定可能で
ある事
5
情報の正当性の証明
各種監査ログの取得と保全が必要。
■ログを取っておくだけではなく活用するフェーズへ
■定期的な傾向分析による不正の早期発見
ユーザのID・権限・ロールの付与プロセスやポリシーを管理す
る必要があります。
■「権限を与えて良い」と誰が承認する
のか?
■承認のポリシーとプロセスは可視化さ
れているか?
■IDの生成・変更・削除とそれにともなう
承認プロセスは履歴を保持しているか?
6
ID管理基盤(アイデンティティ・マネジメント)によるユーザ・権
限・
ロールの一元管理と履歴の取得
ユーザ(開発
者・部門管理者
など)
管理者
承認・権限設定等
ID・権限の設定
IDの取得申請
付与プロセスの履歴
レポートとして内部統制
評価・監査に利用
7
財務諸表・IT業務処理統制・IT全般統制
IT業務処理統制
財務諸表上の重要な勘定科目(ビジネスプロセス)
•網羅性
貸借対照表
損益計算書
資金計算書
注記
その他
•正確性
•妥当性
•承認
業務プロセス・取引のクラス(ビジネスプロセス・行動規範)
プロセスB
プロセスA
•職務の分離
プロセスC
財務アプリケーション(統制の自動化)
IT全般統制
アプリケーションA
アプリケーションB
アプリケーションC
•プログラム開発
•プログラム変更
•コンピュータ運用
ID・権限管理のための基盤
データベース
オペレーティングシステム
ネットワーク
•プログラムとデー
タへのアクセス
•統制環境
8
情報を最も近い場所で守る
データベースに対する直接アクセスに関わるリス
クはデータベース・セキュリティで最小化を図る必
要があります。(予防的統制を構築する)
開発者
管理者
リスク
業務アプリケーション
ミドルウエア
データベース
業務処理の情報
業務処理の履歴
エンドユーザ
業務処理統制で実現する範囲
全般統制で実現する範囲
9
データベース・セキュリティに求められるもの
IT全般統制の中で「情報の正しさ」を保証する。
–職務分掌に基づいたアクセス・管理権限の最小化を実現する。
–より厳密なアクセスコントロールによってリスクの最小化を図る。
–上記以外の想定できるあらゆるリスクに対して最小化を図る。
監査人に対して「情報が正しい」という証明ができる。
–情報にかかわる変更履歴の取得と保全を行う。
–データベースの管理操作についても履歴の取得と保全を行う。
–履歴をもとにモニタリング(内部統制の要素)を可能にする。
10
データベースに関わる職務分掌
データベース
利用者
開発作業
データベースの起動・
停止
アプリケー
ション管理
•バックアップ・リカバリ
ユーザー
利用
•領域・データファイル
の拡大
職務分掌
データベース
管理者
•チューニング作業
セキュリティ
管理者
•ユーザと権限の管理
・ログの管理と分析・レポート
11
本資料の関連資料は下記をクリックして
PDF一覧からお入り下さい。
IT大全 (pdf 100冊)
http://www.geocities.jp/ittaizen
目次番号 645番 他
12