IT大全より (pdf 100冊) http://www.geocities.jp/ittaizen データベースにおけるセキュリティに つきまして 資料NO.5 一般社団法人 情報処理学会 正会員 腰山 信一 ftks7856@ybb.ne.jp 1 本資料の関連資料は下記をクリックして PDF一覧からお入り下さい。 IT大全 (pdf 100冊) http://www.geocities.jp/ittaizen 目次番号 645番 他 2 管理権限の一極集中によるリスクを回避し、各役割に応じた 権限を持つ複数の管理者によるデータベース管理体制が必要。 日本版SOX法などの法規制に備えた、内部統制の基盤作りが必要 3 データベース管理 データベースの起動/停止など ユーザー・アカウント管理 ユーザの作成・変更、プロファイルの作成・変更、接続の許可 セキュリティ・ポリシー管理 セキュリティポリシーに基くアクセス制御の設定、管理 アプリケーション・データの管理 アプリケーションに紐付く実データの管理、アクセス権限の付与 4 これからのデータベースに求められる要件 今までの Database 権限さえあればデータへの アクセスが可能 一般ユーザ これからのDatabase 権限に加え、複数の条件を 満たす場合のみデータへの アクセスが可能 SELECT権限 INSERT権限 UPDATE権限 DELETE権 限・・・etc. SELECT権限 INSERT権限 UPDATE権限 DELETE権 限・・・etc. ロール (権限規定) セキュリティポリシーにそった複合条 件に基くアクセス制御が必要 条件を満たす場合は アクセス可能 ロール (権限規定) アクセス制御条件 OSユーザ ホスト 条件を満たさない場合 はアクセス不可能 一般ユーザ クライアントのIP ロールを 有効化す るための 条件を評 価 時間 帯曜日・・・etc 様々な条件を柔軟に設定可能で ある事 5 情報の正当性の証明 各種監査ログの取得と保全が必要。 ■ログを取っておくだけではなく活用するフェーズへ ■定期的な傾向分析による不正の早期発見 ユーザのID・権限・ロールの付与プロセスやポリシーを管理す る必要があります。 ■「権限を与えて良い」と誰が承認する のか? ■承認のポリシーとプロセスは可視化さ れているか? ■IDの生成・変更・削除とそれにともなう 承認プロセスは履歴を保持しているか? 6 ID管理基盤(アイデンティティ・マネジメント)によるユーザ・権 限・ ロールの一元管理と履歴の取得 ユーザ(開発 者・部門管理者 など) 管理者 承認・権限設定等 ID・権限の設定 IDの取得申請 付与プロセスの履歴 レポートとして内部統制 評価・監査に利用 7 財務諸表・IT業務処理統制・IT全般統制 IT業務処理統制 財務諸表上の重要な勘定科目(ビジネスプロセス) •網羅性 貸借対照表 損益計算書 資金計算書 注記 その他 •正確性 •妥当性 •承認 業務プロセス・取引のクラス(ビジネスプロセス・行動規範) プロセスB プロセスA •職務の分離 プロセスC 財務アプリケーション(統制の自動化) IT全般統制 アプリケーションA アプリケーションB アプリケーションC •プログラム開発 •プログラム変更 •コンピュータ運用 ID・権限管理のための基盤 データベース オペレーティングシステム ネットワーク •プログラムとデー タへのアクセス •統制環境 8 情報を最も近い場所で守る データベースに対する直接アクセスに関わるリス クはデータベース・セキュリティで最小化を図る必 要があります。(予防的統制を構築する) 開発者 管理者 リスク 業務アプリケーション ミドルウエア データベース 業務処理の情報 業務処理の履歴 エンドユーザ 業務処理統制で実現する範囲 全般統制で実現する範囲 9 データベース・セキュリティに求められるもの IT全般統制の中で「情報の正しさ」を保証する。 –職務分掌に基づいたアクセス・管理権限の最小化を実現する。 –より厳密なアクセスコントロールによってリスクの最小化を図る。 –上記以外の想定できるあらゆるリスクに対して最小化を図る。 監査人に対して「情報が正しい」という証明ができる。 –情報にかかわる変更履歴の取得と保全を行う。 –データベースの管理操作についても履歴の取得と保全を行う。 –履歴をもとにモニタリング(内部統制の要素)を可能にする。 10 データベースに関わる職務分掌 データベース 利用者 開発作業 データベースの起動・ 停止 アプリケー ション管理 •バックアップ・リカバリ ユーザー 利用 •領域・データファイル の拡大 職務分掌 データベース 管理者 •チューニング作業 セキュリティ 管理者 •ユーザと権限の管理 ・ログの管理と分析・レポート 11 本資料の関連資料は下記をクリックして PDF一覧からお入り下さい。 IT大全 (pdf 100冊) http://www.geocities.jp/ittaizen 目次番号 645番 他 12
© Copyright 2024 Paperzz