DB内部不正対策ガイドライン 第1.1.1版
データベースセキュリティコンソーシアム(DBSC)|DB内部不正対策WG
2016年2月4日 第1.1版公開 |2016年2月29日 第1.1.1版公開
- 策定の目的
-
情報に取り囲まれた現代社会において、内部の不正アクセス事件が途絶えることはなく、価値ある情報が格納されているDBおよび関連する内部リソースに対して管理者の意思ひとつで容易にデータが持ち出せることは昨今の事件などから明白である。
マイナンバー法の施行や個人情報保護法改定を控え、企業における情報管理のあり方は、漏えい事件に法的な罰則が見えていることからも、今まさに見直しを迫られている。
DBSCではこれまでDB管理手法のガイドラインや、ログ管理・暗号化といった手法について提示してきたが、直近のDBAへのリサーチ結果から浮き彫りとなったのは、セキュアなDB管理が行き届いておらず、また管理者に対する管理が行き届いていないため、漏えいの事実を第三者(外部)から知らされるという現状とリンクしている。
上記法改正によりDB上の個人情報の取り扱いおよび漏えい時の対応は企業側に重い責任を要する。当WGでは管理者(DBA)の置かれている環境の実情とその改善、機密情報に対する脅威・異変に対する可視化、およびリアルタイムレスポンスを可能とするための手段・運用方法を提示することで、内部不正の誘因に対する対処およびそれを抑制できるDB環境、さらには事件時の影響範囲の特定を可能にする手法を広めることを目的とする。 - 目次
-
1 はじめに
1.1 目的
1.2 本ガイドラインの前提
1.3 語彙の定義
1.4 本ガイドラインに関する注意事項
2 DB内部不正対策概略
3 管理者の誘因
3.1 雇用条件
3.2 職場環境
3.3 幸福度
4 管理者の抑制
4.1 アクセス制御
4.2 認証方式
4.3 管理者の分掌
4.4 暗号化・鍵管理
4.5 DB周辺デバイスの管理
5 運用の実施
5.1 ポリシーの制定
5.2 保全
5.3 監査・監視体制
5.4 監査の実施
6 DB内部不正耐性チェックシート
7 DB内部不正対策マップ
8 DB内部不正対策ガイドライン執筆者
- 報告書ダウンロード
-
・「DB内部不正対策ガイドライン 第1.1.1版」(PDF:6.0MB)
・本成果物は、データベースセキュリティコンソーシアム(DBSC)が公開したものを再掲載しております。
データベースセキュリティWGの他の成果物はこちらからご覧いただけます。>> -
本報告書に関する引用・内容についてのご質問等はフォームからご連絡下さい。
※引用のご連絡に対する承諾通知はご返信しておりませんのでご了承下さい。
