Oracle Japan Security Blog

こんにちは。Oracle Japan Security Blog初登場の浅沼です。
よろしくお願いいたします！

突然ですが、「connect / as sysdba」、意味が分かりますか？
分からない方も、分かる方も、少しだけお時間をください。

3月末決算の企業で、有価証券報告書・内部統制報告書が公開され始めており、一部で「重大な欠陥があった」「内部統制が有効でなかった」旨が公開・報告されています。
このブログをお読みいただいている皆様の勤務先ではどうでしょうか？

いわゆるJ-SOXが適用された初年度の報告であるため、各種メディアでこのことが注目されています。
有効でなかった理由、あるいは重要な欠陥があった理由は各社さまざまですが、

「時間的な制約が大きく、期末日までに欠陥を是正できなかった」
「職務分掌の統制がとれておらず、結果的に有効性を確認できなかった」
というところもあるようです。

情報システム的な視点で見ると、

「内部統制を評価するための工数が予想以上にかかってしまった」
「評価対象システムへのアクセス権限を確認したが、不正が起こり得る状態だった」
ということではないでしょうか。
では、来年も必ずやってくる内部統制の評価を効率的に行い、職務分掌を有効性のある状態で実装するにはどうすればいいのでしょうか？

そこで、Oracle Databaseです。

--------------------------------------------------------------------------------

「いきなり宣伝かよ！」と思われるかもしれませんが、評価対象のシステムで多く利用されているのがOracle Databaseです。これは大変うれしいことであると同時に、責任も重く感じております。

Oracle Databaseに保存され、日々刻々と変化し、定期的に集計される財務関連のデータ。
それらのデータを処理するために必要なデータベースアカウント。
このアカウントを効率的に管理・運用することが、内部統制の評価を効率的に行い、職務分掌の有効性を確保することではないでしょうか？

アカウント管理が面倒だから強い権限を与えていませんか？
共有アカウントを使いまわしていませんか？

オラクルのID管理ソリューションでこの課題を解決できるのです。

「connect / as sysdba」とは、Oracle Databaseにログインするためのコマンドです。
このコマンドでログインするとデータベース自体の起動・停止を含め、財務データの参照、アクセス権の管理までも行うことができます。
もちろん、運用管理上の必要性があってこのコマンドを使うわけですが、意味を理解せず(何かの呪文のように)使っているとしたら、今すぐに対策を打ちましょう。
あるいは、できれば使いたくないけれど現実的にアカウント管理ができないので後ろ髪を引かれつつ使っている方も、対策が必要です。

Oracle Databaseには多くの機能があり、アカウント管理に関する機能も豊富に備わっています。しかし、複数のデータベースアカウントを、複数のデータベースにわたって管理するには、ID管理ソリューションが効きます。

7月7日（七夕ですね）のインターネットセミナーにて、その種明かしをします。

connect / as sysdba からの脱却！
特権アカウント管理から始めるセキュリティ対策
7月7日11:00～12:00

講師は、小職浅沼が務めます。みなさまのご参加、お待ちしております！

こんにちは。今日はOracle OpenWorld Tokyoの話題から少しはなれ、
HP様のセミナーの紹介をさせていただきます。

来る4月17日にHP様の本社（市ヶ谷）にて、「HP Security Day 2009」が開催されます。
弊社もプラチナスポンサーとして参加しており、IDM関連のセッションを行います。

HP Security Day 2009 の詳細は以下の通りです。

- 日程 : 2009年 4月 17日（金）
- 時間 : 10:00～17:20 （受付 09:30～）
- 会場 : 日本HP 市ヶ谷本社 セミナールーム2A、2B、C
- 主催 : 日本ヒューレット・パッカード株式会社
- 詳細 : 日本HP様 HP Security Day 2009 サイト

また、IDM関連のセッションについてですが、
ID管理の簡素化・コスト削減を実現する IDライフサイクル管理システムを実現する
Oracle Identity Manager の紹介致します。

OSやディレクトリサーバなどのサーバ管理者から人事担当者、
企業内セキュリティの担当者の方に関連性のある内容です。
また、HP IceWall SSO を導入済みで、今後内部統制や監査観点で
ID管理を検討されている方も是非お越し下さい。

14:20～15:10

コストを抑えて最大限の効果を得るためのアイデンティティ管理
～Oracle Identity ManagerによるIDライフサイクル管理システム

Oracle Identity Managerは企業で使われているアプリケーションや、DBなどのインフラストラクチャに対するユーザーの追加、更新、削除プロセスを自動化し、ID管理の簡素化・コスト削減を推進する、「統合IDライフサイクル管理製品」です。
IDライフサイクル管理プロセスの監査証跡を保持・保全することで、各アプリケーション内アカウントの棚卸や監査で求められるレポーティングなど、各種法令に対して、きめ細かく且つ簡単に対応することができます。本セッションでは現在までの顧客導入事例をもとに、世界規模で豊富な実績を誇るオラクルのID管理ソリューションと、導入による効果をご紹介します。

是非お時間ある方お越し下さい。

こんにちは。Oracle OpenWorld Tokyoまであと13日になりました。
DBセキュリティ関連のセッションは前回に紹介したのですが、今回は有料で参加できる開発者向けイベント「Oracle Develop」にもセキュリティ関連のセッションがありますので2つ紹介します。
プログラミングとセキュリティはお互いに密接な関係ですのでとても興味深いテーマのセッションです。

14:30～15:30
同時通訳
有料

Oracle Advanced SecurityによるセキュアなJavaアプリ開発のベストプラクティス

このプレゼンテーションは2部構成となっています。第1部は、Oracle Java Database Connectivity（Oracle JDBC）ドライバの使用に関するベスト・プラクティスの概要です。このプレゼンテーションで紹介するすベスト・プラクティスは、パフォーマンスとメモリ・フットプリントの改善につながる効率性の高いJDBCコードの開発にお役立てできることでしょう。
また、第2部では、潜在的なセキュリティの問題について取り上げ、セキュアなアプリケーション開発のためのベスト・プラクティスについて説明します。

オラクル・コーポレーション
Kuassi Mensah

16:00～17:00
同時通訳
有料

エキスパートが教えるSQLインジェクションに負けないPL/SQLプログラミング

"SQL injection"をGoogleで検索すると、300万件ものヒットがあります。このトピックがいかに多くの人の関心をそそり、妄信的な不安感をかきたてるものであるかをうかがい知ることができます。このセッションでは、SQLインジェクションについてわかりやすく説明するとともに、SQLインジェクションに耐性のあるPL/SQLプログラムを記述する明快な方法をお教えします。まずは、SQLインジェクションのなんたるかを知らなければ、回避できるはずもありません。そこで、このセッションではSQLインジェクションの詳しい解説から始めます。解説を通して、SQLインジェクションが起こり得るのは、実行時に作成されたSQL文をPL/SQLサブプログラムで実行する場合だけであるということがわかってくるでしょう。
この点が理解できれば、SQL インジェクションを避けるには、PL/SQLのコンパイル時にテキストが確定しているSQL文だけが実行されるようにすることが最善の方法であることは誰の目にも明らかです。こうしたことから、このプレゼンテーションでは、SQL文を動的生成が必要になる要件シナリオを中心に取り上げていきます。ただし、このような要件シナリオは、多くのプログラマが考えるよりもずっと少なく、コンパイル時に確定したSQL文のテキストを使用することで十分に対応できる場合が多いのも事実です。
そのため、コンパイル時にSQL文を確定するシナリオについてもいくつか説明します。そのほか、SQL文の動的生成がどうしても必要となる、比較的珍しいシナリオへの対応についても触れておきます。これにより、このような状況下でインジェクションへの耐性を保証するルールについて理解することができます。これらのルールに従うことは驚くほど簡単です。そのうえ、プログラマが見逃しがちな極端なケースにおいても、インジェクションが起きないことを確認できるというおまけもあることを考えれば、インジェクション対策として学んでおいて損はありません。

オラクル・コーポレーション
Bryn Llewellyn

セッションの参加申し込みは以下のサイトから登録ができます。招待コードは「3736」です。
http://www.oracle.co.jp/openworld/2009/register/registration.html

こんにちは。今日はOracle OpenWorld TokyoのIDM関連の展示ブースについて紹介します。

IDMの展示ブースは2つあります。「不正アクセスから情報を守れ！アクセス管理ソリューション」と「コストを削減！IDライフサイクル管理」です。リスクベースのアクセス制御ソリューション新製品Oracle Adaptive Access Managerと、おなじみのID情報管理ソリューションOracle Identity Managerを紹介しています。

当日は、IDMのスペシャリスト達が待機していますので、Oracle Adaptive Access Manager、Oracle Identity Managerのことはもちろん、それ以外のOracleのIDMソリューション製品の話でも、ID管理で現在お困りのことでも、「こんなことがしたいんだけどできないかなぁ」という相談・雑談でも、どんな些細なことでもお気軽にお声掛けください。
ブースでは、実機によるデモも行います。実際に動いている製品を確認したい方も是非ブースまでお越しください。
展示ブースの場所は以下のマップから確認できます。

また、ブースの展示は4月23日(木)、4月24日(金)の2日間です。4月22日(水)はブースの展示はございませんのでご注意ください。また、4月24日(金)には内部統制からOIM開発手法までさまざまなIDM関連のセミナーもございます。こちらにも是非ご参加ください。

こんにちは。今日は、Oracle OpenWorld Tokyo のIDM関連のセッションを紹介します。
もちろん、DB Security 同様にセッションだけではなく、実際に製品に触れることができる展示ブースも用意していますので、こちらの詳細は後日アップします。

今回のIDM関連のセッションは4月24日(金)に行います。
内容は、内部統制に関するセッション、Oracle Identity Manager を利用した事例紹介、製品の開発手法のセッション、3月24日に新たに出荷された リスクベースのセキュリティ対策ソリューションOracle Adaptive Access Manager の紹介など見所盛りだくさんですので、お時間ある方は是非参加ください。

4月24日(金)　11:30～12:20

内部統制報告制度　2年目の課題は効率化

内部統制報告制度を経験した多くのユーザーは、この業務を毎年同じように続けていてはいけないと感じているはずです。2年目以降の課題は、明らかに内部統制評価業務の効率化となります。本セッションでは、効率化のポイントと効率化のための手法の例をご紹介します。

監査法人トーマツ
エンタープライズ リスク サービス部
パートナー
丸山 満彦 氏

4月24日(金)　12:50～13:40
同時通訳

セキュリティ対策最前線 - オンライン詐欺と戦う・怪しい動きを見つけ出す

近年、ECサイトやオンラインバンク、オークションサイトなどにおける「なりすまし」詐欺などの被害が増加しています。その手口はますます多様化・巧妙化する一方で、ユーザー側の対策や注意喚起だけでは、もはや防ぎきれるものではありません。本セッションでは、IDやパスワードの盗難を防ぐ認証強化と、万一盗まれてしまった場合であっても被害を防止・最小化できる、リスクベースのセキュリティ対策ソリューションOracle Adaptive Access Managerをご紹介します。

オラクル・コーポレーション
製品管理
バイス・プレジデント
トーマス・ヴァルゲーゼ

4月24日(金)　14:10～15:00
事例

グローバル・エンジニアリングにおける人と情報アクセスの管理

世界規模で行なわれるプラント建設のエンジニアリング遂行では、自社の役職員だけでなく、顧客やパートナ、海外のリソースを対象とした情報共有の仕組みを構築しなければなりません。そのために通信、サーバやアプリケーションの利用環境の整備が必要となりますが、その際の情報アクセス管理の前提としてユーザの管理（Identity管理）が重要です。千代田化工建設では、OIM（Oracle Identity Manager）を使ってID管理システムを再構築しました。その事例に基づき、エンジニアリング会社が必要とするID管理の背景についてお話しします。

千代田化工建設株式会社
ＩＴマネージメントセンター
センター長
増川 順一 氏

ＩＴエンジニアリング株式会社
取締役常務執行役員
加藤 亨 氏

4月24日(金)　15:30～16:20

システム開発でもコスト削減！Oracle Identity Managerの有効な開発手法

Oracle Identity Manager(OIM)は、J2EE技術の基盤の上に構築された、柔軟かつ強力なID管理ソリューションです。その革新的なデザインにより、システム開発のコストを削減することができます。日本でもOIMのメンテナンス開発がおこなわれており、日々品質改善に取り組んでいます。本セッションでは、開発エンジニアがOIMの各レイヤーでの動作、内部での処理過程、公開APIでのコーディングなどを解説しながら、コスト削減に効く開発手法を伝授します。

日本オラクル株式会社
システム事業統括本部 - Sustaining Engineering
プリンシパルエンジニア
本田 伊織

セッションの参加申し込みは以下のサイトから登録ができます。
http://www.oracle.co.jp/openworld/2009/register/registration.html
登録時の「招待コード」には「2461」と入力して下さい。

こんにちは。明日で4月ですね。ということは、Oracle OpenWorld Tokyoまであと22日になりました。
DBセキュリティ関連のセッションも多く用意していますので紹介します。
もちろん、セッションだけではなく、実際に製品に触れることができる展示ブースも用意しています。

4月22日(水)　11:30～12:20

内部統制、モニタリングとITにおける監査ログ

金融商品取引法が施行され、多数の企業が内部統制報告制度の適用2年目を迎えます。内部統制対策のため利用される各種システムのログは、統制のモニタリングや、リスクを管理する発見的統制などをおこなうために重要な役割を果たします。本セッションでは2年目以降、内部統制や監査に対応するためのログ統合、管理をどのようにおこなうべきか、監査対応のコストを削減するためのオラクルによる解決策は何かなどをご紹介します。

日本オラクル株式会社
システム事業統括本部
担当ディレクター
北野 晴人

4月22日(水)　12:50～13:40
同時通訳

セキュアなソフトウェアを開発・提供するプログラム「OSSA」

オラクルでは安全な製品を開発・提供するため “Oracle Software Security Assurance”を過去数年にわたって実施してきました。“Oracle Secure Coding Standards”や脆弱性に対するパッチ提供のためのCPU（Critical Patch Update）などを通じ、オラクル製品のライフサイクル全体をよりセキュアにすることで、複雑化するセキュリティ脅威からお客様を保護する、オラクル社内における取組みをご紹介します。

オラクル・コーポレーション
サービスマーケティング
ディレクター
エリック・モーリス

4月22日(水)　14:10～15:0
同時通訳

法制度対応とデータベースに対するコントロール

日米SOX法やPCIDSSといった各種法制度の要求事項はますます多様化し、これらに対応するためのテクノロジーが求められています。コンプライアンスのためには厳密なアクセスコントロールや職務分掌が特に重要で、高い権限をもつユーザーの機密情報に対するアクセスを制限する必要があります。特に機密情報が格納されているデータベースでは、これらの要件を確実に満たすことが求められます。本セッションでは、法制度に対応するためのアクセスコントロールや職務分掌をどのように実現するか、オラクルのテクノロジーとその実際をご紹介します。

オラクル・コーポレーション
製品管理
プリンシパルプロダクトマネジャー
カマル・テベイリー

セッションの参加申し込みは以下のサイトから登録ができます。
http://www.oracle.co.jp/openworld/2009/register/registration.html
登録時の「招待コード」には「3736」と入力していただけるとうれしいです。
明日はIDM関連のセッションを紹介します。

Oracleの提供するIdM製品を「IDライフサイクル管理」、「アクセス制御管理」、「管理ディレクトリ」の3つソリューションの観点から紹介していきます。

3回目は「IDライフサイクル管理」のソリューション製品として、
Oracle Identity Manager
と
Oracle Role Manager
を紹介します。

Oracle Identity Manager (以下 OIM )は、IDライフサイクルを管理する製品です。特徴として、各システムで利用するID情報そのものを一元化するのではなく、利用者がどのシステムに対してどのような権限をもつアカウントであるべきか、というマスタ情報のみを持っていることです。
OIM はそれぞれのシステムに対してアカウントと権限情報の配信を行います。すべてのシステムのアカウントや権限の設定は OIM に一元管理されます。OIM 上でのすべての変更操作はログとして残るため、誰が／いつ／どのシステムに／どのような権限を持っていたかなどの監査レポートの作成か容易になります。
さらに、既に各システム上から削除されてしまっているユーザーに関しても、OIM 側では変更管理ログを残しているので、過去にどのようなユーザーがいて、どのような権限を持っていたかを調べることができます。

Oracle Role Manager (以下 ORM )は、権限の集合であるロール（役割）のライフサイクルを管理する製品です。利用者に与える権限は、部署、役職、勤務地、プロジェクトなどさまざまなものに紐付きます。
これらの権限付与を手作業で行っていたのでは、非常にコストがかかるし、権限のつけ忘れ、部署移動に伴う変更時に権限の消し忘れなどのミスの可能性が大きくなります。
ORM を利用して権限管理を行うことで、部署移動時などに迅速で正しい権限が付与できるようになります。

Oracleの提供するIdM製品を「IDライフサイクル管理」、「アクセス制御管理」、「管理ディレクトリ」の3つソリューションの観点から紹介していきます。

今回は「管理ディレクトリ」ソリューションの製品として、
Oracle Internet Directory
と
Oracle Virtual Directory
を紹介します。

Oracle Internet Directory (以下 OID )は、LDAPv3 対応のディレクトリです。データの格納はOracle Databaseを利用しているので、大規模なディレクトリでもスケーラビリディが保証でき(実際に10億エントリ規模での負荷テストが行われている)、バックアップなどの運用に関してもデータベースのノウハウが活用できます。

Oracle Virtual Directory (以下 OVD )も、LDAPv3 対応のディレクトリですが、Virtual の名が示すとおり、実データを持たないディレクトリです。OVD は自分ではデータを持たない代わりに、他の LDAP ディレクトリ、データベース、フラットファイルなどの複数のデータソースの情報を、あたかも1つの LDAP ディレクトリに格納されているかのように、仮想的に統合し、LDAP プロトコルを利用してアクセス可能にします。
これにより、既存のID情報の管理プロセスや既存アプリケーションに手を加えず、少ないコストで統合ユーザー情報基盤を作成することが可能です。

電子システムにおけるIdMの意味は一言で言うと「該当システム利用時のIDを適切に管理すること」であり、少し具体的に言うと以下の項目のことです。


- 認証 - IDと利用実体が適切に関連付けられている
- 認可 - IDで必要最小限の機能のみが利用可能な状態にある
- ライフサイクル管理 - IDの作成から更新、廃棄までの管理が適切に行われている


認証は、システムのユーザー(ID)が現実社会の利用者と関連付けされており、かつユーザーが利用者であることが証明されることです。システムへのログイン時のパスワード認証は、これはパスワードという利用者しか知らないフレーズをユーザー名とセットで入力することで、ユーザーと利用者の関連付けを証明します。


認可は、システムのユーザーが特定の操作を行うことが出来るかどうかを定義し、その定義を適用することです。同じシステムを利用する際でも、管理者と一般利用者では実行できる操作が異なりますが、管理者、一般利用者という利用者区分および、それぞれの利用者区分で実行できる操作をきちんと定義し、適切にユーザーにその権限を割り振ることで、必要な操作ができること、不要な操作ができないことを保証するのが認可です。


ライフサイクル管理は、上記の認証／認可の設定が適切に行われてる状態で運用し続けることです。企業に社員が入社した場合は、新しいユーザーアカウントが作成され、その社員の職権に必要なシステムの利用ができる状態になります。部署異動があった場合には、新たに必要なシステムが利用できるようにするだけでなく、今まで利用してきたシステムのうち新しい業務で不要なシステムは利用できない状態にします。社員が退職する場合には、すべてのシステムから確実にユーザーアカウントが物理的、もしくは論理的に削除されます。こういった一連の作業を行うことがライフサイクル管理です。


システムに対してこの作業を行うことは、簡単に見えるかもしれません。ただし、企業にはいくつものシステムがあります。それらすべてのシステムに対して、確実にID管理作業をおこなうのは非常にコストのかかる作業になるために、「企業に複数存在するシステムのID管理をいかに少ないコストで行うか」という課題を解決するのが IdM ソリューションです。
IdM ソリューションは、たとえば以下の3つに分類できます。


- IDライフサイクル管理
- アクセス制御管理
- 管理ディレクトリ


ID ライフサイクル管理は、企業内に存在するすべてのシステムで、同一のセキュリティポリシーを適用して、認証／認可の設定を適切に行われている状態で運用し続けることです。ソリューションの例としては、一元管理されている認証／認可情報を各システムに配信するID情報のプロビジョニング、誰が／どの操作を行う権限を持っているかという権限情報の棚卸のための監査レポートの作成などがあります。


アクセス制御管理は、認証／認可を適切に設定し、その定義を適用することです。ソリューションの例としては、複数のシステムに同一のユーザー名、パスワードでログインできるようにするシングルサインオン、より強固な認証メソッドを提供するバイオメトリック／証明書／マルチファクタ認証／相互認証などがあります。


管理ディレクトリは、認証／認可の設定を適切に保持し、必要に応じて参照／更新する権限情報のメタリポジトリです。ユーザー情報のリポジトリとしてはLDAPv3が標準プロトコルとして有名であり、この標準プロトコルに準拠したディレクトリサービスであれば、多くのシステムから利用可能です。


Oracleでは、上記すべてのソリューションに対応する製品を提供しています。
「IDライフサイクル管理」製品としては、
Oracle Identity Manager
Oracle Role Manager

「アクセス制御管理」製品としては、
Oracle Access Manager
Oracle Identity Federation
Oracle Entitlement Server
そして、
Oracle Adaptive Access Manager


「管理ディレクトリ」製品としては、
Oracle Internet Directory
Oracle Virtual Directory


次回以降、それぞれの製品概要を説明します。

日本オラクル セキュリティチームのBlogがスタートします。最初のエントリはこのBlogについての紹介です。

オラクルはERP製品、アプリケーションサーバー、データベース製品に渡り様々 な製品をリリース提供していますが、各層に対してセキュリティ製品も提供していることをご存知でしょうか。
ERPなどの業務アプリケーションからインフラであるディレクトリ、DB、OSなどのID管理や、シングル・サインオンなどアクセス制御等の各種 Identity Management製品、また、データベース層においては、通信やデータの暗号化機能、データベース管理者（DBA）の権限を制限し運用におけるセキュリティを向上する機能を提供しています。
このBlogでは日本オラクルのセキュリティ製品担当のメンバーが、日々の業務の 中から得た”生の”製品の情報や、セキュリティやコンプライアンスなど情報シス テムを取り巻く環境の動向をお伝えしていきます。
これからマニュアルにはないライブ感を重視して情報を発信していきますので、どうぞご期待ください。

日本オラクル セキュリティチーム