Oracle Direct Seminar ·...

<Insert Picture Here>

Oracle Direct Seminar

配布されたファイル保護と管理を実現する情報漏えい対策Oracle Information Rights Management

日本オラクル株式会社

Copyright© 2010, Oracle. All rights reserved. 2

以下の事項は、弊社の一般的な製品の方向性に関する概要を説明するものです。また、情報提供を唯一の目的とするものであり、いかなる契約にも組み込むことはできません。以下の事項は、マテリアルやコード、機能を提供することをコミットメント（確約）するものではないため、購買決定を行う際の判断材料になさらないで下さい。オラクル製品に関して記載されている機能の開発、リリースおよび時期については、弊社の裁量により決定されます。

OracleとJavaは、Oracle Corporation 及びその子会社、関連会社の米国及びその他の国における登録商標です。文中の社名、商品名等は各社の商標または登録商標である場合があります。


OTN×ダイセミでスキルアップ!!

※OTN掲示版は、基本的にOracleユーザー有志からの回答となるため100%回答があるとは限りません。ただ、過去の履歴を見ると、質問の大多数に関してなんらかの回答が書き込まれております。

Oracle Technology Network(OTN)を御活用下さい。

・一般的な技術問題解決方法などを知りたい！・セミナ資料など技術コンテンツがほしい！

一般的技術問題解決にはOTN掲示版の

「他のミドルウェア製品」をご活用ください

http://otn.oracle.co.jp/forum/index.jspa?categoryID=2

過去のセミナ資料、動画コンテンツはOTNの

「OTNセミナーオンデマンドコンテンツ」へ

http://www.oracle.com/technology/global/jp/ondemand/otn-seminar/index.html

※ダイセミ事務局にダイセミ資料を請求頂いても、お受けできない可能性がございますので予めご了承ください。ダイセミ資料はOTNコンテンツオンデマンドか、セミナ実施時間内にダウンロード頂くようお願い致します。

http://otn.oracle.co.jp/forum/index.jspa?categoryID=2


OTNセミナーオンデマンドコンテンツ期間限定にて、ダイセミの人気セミナーを動画配信中!!

ダイセミのライブ感はそのままに、お好きな時間で受講頂けます。

※掲載のコンテンツ内容は予告なく変更になる可能性があります。期間限定での配信コンテンツも含まれております。お早めにダウンロード頂くことをお勧めいたします。

OTN オンデマンド

Copyright© 2010, Oracle. All rights reserved.

オラクルクルクルキャンペーン

5

Enterprise Editionはここが違う!!

•圧倒的なパフォーマンス!

•データベース管理がカンタン!

•データベースを止めなくていい!

• もちろん障害対策も万全!

Oracle Databaseのライセンス価格を大幅に抑えて

ご導入いただけます

詳しくはコチラ

http://www.oracle.co.jp/campaign/kurukuru/index.html

あのOracle Database Enterprise Editionが超おトク!!

お問い合わせフォームhttp://www.oracle.co.jp/inq_pl/INQUIRY/quest?rid=28

多くのお客様でサーバー使用期間とされる

5年間にライセンス期間を限定

•期間途中で永久ライセンスへ差額移行

• 5年後に新規ライセンスを購入し継続利用

• 5年後に新システムへデータを移行


本日お話したいこと

• 情報漏えい管理の課題

• Oracle Information Rights Management のご紹介

• 導入事例

• Appendix 付録無償技術サービスOracle Direct Concierge

http://www.oracle.com/lang/jp/direct/services.html

・Oracle Database バージョンアップ支援・Oracle 構成相談(Sizing)サービス・パフォーマンス・クリニック・サービス・SQL Serverからの移行アセスメント・DB2からの移行支援サービス・Sybaseからの移行支援サービス・MySQLからの移行相談サービス・PostgreSQLからの移行相談サービス・Accessからの移行アセスメント・Oracle Developer/2000 Webアップグレード相談・仮想化アセスメントサービス・ビジネスインテリジェンス・エンタープライズエディション・アセスメントサービス・簡易業務診断サービス

Copyright© 2010, Oracle. All rights reserved.7

文書や情報を渡す時に「取扱注意」と注意書きを添えた

重要情報を含むファイルは、パスワードを設定して共有した

出所がわからないファイルからコピーして、引用をした

ここで、ご自身のチェックをしてみましょう

社内宛てならファイルをメールに添付して送っている

私は相手を信頼している

価格表やマニュアルなどは、その有効期限を意識している

不動産や節税対策の勧誘電話が名指しでかかってきた


ひとつでも当てはまりましたか？

引き続きご覧ください


機密情報を間違えて社外に送付したら...


もちろん見られてしまいますよね


パスワードつきファイルがいくつあっても…


どれが正しいパスワードか分からない

• いくつまでパスワードを覚えていられますか

• メールでパスワードを伝えたりしてませんか

パスワードは「絶対」に漏れます


• 見つけられる、拾われる• 複製される• 一部を利用（コピー＆ペースト）• 印刷（画面キャプチャ含む）• 転送（回覧）される• 改ざん• 譲渡、転売• 一瞬で広範囲に広まる

そして、それは取り戻せない

どう使われているか分からない


相手を信頼できますか？

14

部下、同僚、関係社員、パートナー、取引先、お客様

その情報は、意図通りに使われていますか

流用は？

盗用は？

漏えいは？

悪用されていないと言い切れますか？


情報が漏れる理由とその対処

出展: NPO 日本ネットワークセキュリティ協会

http://www.jnsa.org/result/incident/2009.html

引用届け出済み

2009年上半期：漏えい原因

91.8% 8.2%

ミス，誤操作，バグなど悪意による持ち出し

ミスをしても被害をおこさない仕組みが必要。

抑止力としての仕組みが必要。

http://www.jnsa.org/result/incident/2009.html


情報がサーバーから取り出された時が最も危ない

おっ、この資料いいね。取引先資料に使ってもらうか

部下

取引先

誰が作ったんだろう？使ってもいいのかな…

中継サーバーファイルサーバー

危険性高

変換アクセス権有

ファイルサーバー

ホストコンピュータ漏えい!

これは社内でしか使えないな…


情報漏えいに伴う損失

• 失われたときのコストが高額に...

財務情報買収情報知財個人情報

マーケット信用失墜による株価の下降

コンプライアンス違反による監査

高い法廷費用

保障費用

企業ブランドへのインパクト

競合優位性の低減


典型的なデスクトップセキュリティ

ディスク暗号化外部デバイスの利用禁止

情報流出の監視ツール

OS アクセスコントロール

PGPによるコンテンツ暗号化

外部サービスの利用禁止

増え続けるコスト

エンドユーザーへの大量の制限

パートナにも？顧客にも？サプライヤにも？

保護すべきはPCではなく、コンテンツだったのでは？


こんなことができたら…

ネットワークを超えてアクセス権をコントロールできたら

印刷、コピー、閲覧、編集にも制限がかけられたら

規則の追加や変更が自由にできたら

ファイルごとに監査を行えたら

すべてのコンテンツから権限を剥奪できたらたとえそれが配布後でも、コピーされた物でも





• 導入事例





オラクルのセキュリティ

Information Rights Management

暗号化とマスク

特権ユーザーの制限(SOD)

他要素認証

活動の監視と監査

セキュアな構成

アイデンティティの管理

データベース・セキュリティ

データベース

業務アプリケーション

コンテンツ

ハードウェア

オペレーティングシステム

ユーザーのプロビジョニング

ロール管理

職務ベースでの権限管理

リスク・ベースでのアクセス制御

仮想ディレクトリ

ドキュメントレベルでのアクセス制御

場所によらない全ての配布物の保護

監査とアクセス権の事後取り消し

情報


Oracle Information Rights Management で実現する

配布物の保護と管理


ファイル形式となった情報を守るクライアントセキュリティ

社内や社外に配布されるファイルと、そこに納められた情報改ざん、不正利用、複製、流用、盗難、流出、漏えいから守る。


データベースからのレポート

社員の文書や電子メール

自動的にシール

デスクトップ上でシール

または

操作を制御

利用者の利便性を損なわず

所在を追跡操作を記録権限を剥奪

シール＝暗号化とセキュリティ設定


SharePoint

Email

File systems

Intranet/extranetDatabases

顧客

パートナー

サプライヤー

Oracle Information Rights Management機密情報のすべてのコピーまで保護

• IRMで保護されたコンテンツなら、どこで使われたとしても安全• 許可されたユーザのみ

• いつでも即時に権限の剥奪

• 配布済コンテンツに対する、集約ポリシー管理と監査

• データベースやアプリケーション、ファイヤーウォールを超えたセキュリティ

企業の環境

24

Oracle IRM サーバー


Oracle IRM はファイルをシールすることで，次を可能にする製品です。

Oracle Information Rights Management

アクセス権の制限。

ファイルがどこにあっても，権限を持つ人だけがファイルを開けます。1

操作権の制限。

ファイルを開いた人の権限に応じて印刷，編集，コピー，保存などの操作を制限します。2

参照期間の制限。

指定した時間が経過した後，または即時にファイルを開けないようにします。3

操作の追跡。

ファイルに対する操作を記録し，サーバー上で集約することで，利用者の活動状況を追跡します。4


Oracle IRM は，暗号化したファイルにセキュリティ情報を埋め込ことで，ファイルを格納している媒体の特性に影響を受けず，厳密なセキュリティ管理を実現します。(詳細なACL情報までは埋め込みません。)ファイルをどこから開こうとも，一貫したユーザー認証とアクセス権を強制的に適用します。

Oracle IRM の機能 -1-

アクセス権の制限。

ファイルがどこにあっても，権限を持つ人だけがファイルを開けます。1

Oracle IRM では…これまでは…

ファイル本体セキュリティ情報

別々に管理

暗号化

セキュリティ情報の埋め込み


操作権の制限。

ファイルを開いた人の権限に応じて操作を制限します。2


印刷編集

コピー画面ショット取得

別名保存セキュリティ再設定

利用者がどのような役割(ロール)を持っているかに応じて，どのような操作が行えるのかを柔軟にコントロールします。

印刷編集



読者

印刷編集



作成者

印刷編集



承認者

印刷編集



部門管理者


Oracle IRM の機能 -2- 詳細操作権の制限 (1)

Oracle IRM では，下記の操作権を制限できます。2

開く

封印(シール)済みファイルを開けるか制御。

シール

ファイルをシールできるか制御。

再シール

シール済みファイルのセキュリティ設定を変更できるか制御。

検索

シール済みファイルを検索対象にできるか制御。

編集

シール済みファイルを編集できるか制御。

印刷

シール済みファイルを印刷できるか制御。

ファイルに印刷

シール済みファイルを仮想デバイスに印刷できるか制御。

画面キャプチャ

シール済みファイルの画面キャプチャを取得できるかを制御

アイテムコードの設定

IRMが内部的に利用するファイルへのIDの付与を制御。(通常は自動的に実ファイル名が付与)

アクセシビリティ

MS Office 文書のアクセシビリティ機能を使用できるか制御。


Oracle IRM の機能 -2- 詳細操作権の制限 (2)

Oracle IRM は、操作権を制限できます。2

注釈

MS Office 文書にコメントを入れられるか制御。

編集追跡

Wordファイルの変更履歴管理機能を利用できるか制御。

一時停止

ムービーを一時停止できるか制御。

動画サイズの変更

再生中のムービの表示サイズを変更を制御。

フレームステップ再生

再生中のムービーの1コマ再生ができるか制御。

相互作用

WordフォームやExcelの保護されていないセルへの入力を制御。

数式

Excelのセルの数式を表示できるか制御。

返信

シール済み電子メールの内容を編集し，変更の追跡を制御。

返信追跡

シール済み電子メールの内容をすべての変更を追跡して編集。

プログラム

シール済みファイルに対しプログラム(マクロ等)を実行を制御。


Oracle IRM の機能 -2- 操作権の制限

30

編集機能を制御コピー&ペーストを制御


参照期間の制限3


時間が経ったので…

公開期限切れのファイルを自動で利用できなくする

情報が更新されたので…

新しい版が出たタイミングで古い版を破棄。

人事異動や退職・契約破棄等により…

権限喪失者から即時に権利を剥奪。

Oracle IRM では，ドキュメントを参照できる期限を設定できます。配布した後からでも，ファイルへのアクセス権と操作権を管理者がいつでも取り消せます。

Get back the control!


操作の追跡4


オンライン・オフラインにかかわりなく，利用者が保護されているドキュメントに対しておこなった主要な操作をすべて記録し，サーバー側で集中管理万一のときに漏れのない監査を即時に実施，また抑止力につながります。

ファイルに対する操作を記録

オフラインでもすべて記録

誰がどのファイルにどのような操作を行ったか，いつでも解析が可能。

Audit

記録中…


Oracle IRM によるインフラ

Oracle IRM サーバー

ID管理基盤

参照者

Oracle IRM デスクトップ

原本作成者


シール

様々な方法で共有メール送信, Web,

ファイル共有, IM,

USB, DVD, etc.

ビジネスマネージャー

or

IT 管理者

監査

Oracle IRM 管理コンソール

スタンドアロンでも既存のITインフラと統合されても運用可能

分類や権限の管理および監査

シールされたドキュメントやメールを参照

ドキュメントやメールをシール

権限や監査の自動同期


Oracle IRM ServerOracle IRM サーバー

アプリケーションor データベース

or ファイルサーバー

Oracle IRM 管理コンソール

ビジネスマネージャIT管理者監査

シール配布

読者へ

権限/監査の自動同期

OracleIdM

アプリケーションやリポジトリを越えたセキュリティ


保護されたキャッシュ


ちょっと一息: 「シール(Seal)」とは?

強力な暗号セキュリティ

付与

シールされた書類

sealed document

•AES 128

•AES 256

•RSA 1024

• コンテキスト指定

• ロール指定

• 参照可能期限

• オフライン可否


豊富かつ自由なシール手段

• ユーザー側でシール• ファイル右クリックからシール

• MS Office で保存時にシール

• Windowsエクスプローラ上で新規にシール

• システム側でシール• アプリケーション連携による、フォルダ格納時の自動シール

• API開発による、フォルダ格納時の自動シール

36


右クリックでシール


システム側でシール（API連携）

• APIによる開発で以下を実現• Webシステムとの連携

• ファイルシステム連携

• サンプルファイルを提供可能

38


管理者作業

• ロールの管理• 権限の集合体の作成

• コンテキストの管理• セキュリティグループの作成

• レポートの管理• ユーザーログレポート確認

39


•文書の取扱区分（Context）

–個々の文書に適用

–ロールに紐づく

•ロール

–操作権を定義

–業務内容、職務で実装可能

–実組織、役職などに対応例: LDAPに設定された組織と、

Oracle IRMのロールをマップ

–運用形態により、ユーザーには複数のロールを付与

取扱区分: “取締役会”

取扱区分: “全社通達事項”

CFO

人事部長

全従業員

文書

Health+Safety

Issues.sdoc

HR procedures.spdf

Sales pipeline.sxlsNew customers

ロールContributor

Reader

Reviewer

Print Edit

CommentOpen

Open

Open

文書ロール

Contributor

Reader

Reviewer

Print Edit

CommentOpen

Open

Open

Sales strategy Q3 Figures.sxls

2008 Business

Plan.sppt

ACME competitive

review.sdoc

文書の取扱区分とロール全社規模でも混乱なく運用できるデザイン


Oracle IRM の特徴とメリット対応ファイル形式

カテゴリファイル形式対応プログラム

オフィス文書.doc .docx.xls .xlsx.ppt .pptx

Microsoft Office 2003 以降 *

PDF .pdf Internet Explorer

画像.gif.jpg.png

Internet Explorer

テキストファイル.html.txt.xml

Microsoft WordInternet Explorer

電子メール .emlMicrosoft OutlookLotus Notes

対応ファイル多数

等々、他多数


Oracle IRM の特徴とメリット

対応ファイル多数

メールも保護オフライン

使用可LDAP連携

OFF

全文検索スケーラビリティ豊富なAPI 簡単な操作


簡単なシール。開かせない。場所・利用者・操作の監視コピーや画面キャプチャも抑制操作を制御

シール


データベース

個人のドキュメントやメール

Oracle IRM まとめ


44

Oracle IRMを選ぶ理由

• コスト削減• 高額な訴訟費用を回避• 企業のブランドと市場価値の保護

• セキュリティの強化• 保存場所に依存しない• 使用方法は常に監視できて、いつでも権限を取り消すことができる

• ユーザビリティ• 導入前と変わらない操作感• 既存のドキュメントフローをサポート

• 全体的な運用のしやすさ• 大企業であってもセキュリティポリシーをわかりやすい形で適用• 課題のある業務にピンポイントに適用可能





• 導入事例• Appendix 付録

無償技術サービスOracle Direct Concierge




・設計、図面、テスト結果

などはOracle UCMへ

・Oracle IRM でSealされる

46

•すぐ使いはじめられる

•必要要件を全て網羅

•版管理、検索、ワークフロー

保存期間管理、変更通知機能

•属性情報付与の自動化

•ブラウザによる文書閲覧

•Information Rights Management

主たる利用機能

•シングルリポジトリ

•厳格なライフサイクル管理とセキュリティ

•ドキュメントの保護と操作制御

•エンタープライズビジュアライゼーション

ソリューションの特筆点なぜ Oracle?

工場内、個人環境に分散したコンテンツをすべて１つの器に集めた

英国工場(シャーシ)、フランス工場(エンジン)F1 Grand Prix チームサプライヤ/コントラクタ

Oracle Information RightsManagement

配布されたドキュメントは：

・複製不可、印刷不可・画面コピー不可・編集不可、Copy & Paste不可・譲渡不可・期限がきたら参照不可・即座に権限の剥奪

700名の社員

種別メタデータ

版メタデータ

要件メタデータ

技術メタデータ

検索

ING Renault Formula 1 Team


イギリスの住宅ローンを取り扱う銀行同様の民間金融サービス機関

Newcastle Building Society

課題社員間、パートナー間（外部の事務弁護士、不動産鑑定士、不動産業者等）で、顧客の財務情報を随時共有する必要があり、社内および社外においても電子化された情報を保護する仕組みがなかった。社外のパートナーが情報を取り扱い時でも、一般的に利用されているフォーマットに対応し、かつ簡単に操作できる必要があった。

導入効果外部のビジネスパートナーに情報を送る場合、eメールに添付しても受取り側の権限をサーバーでコントロールできるため、安全性が保たれるようになった

上記の条件を満たし、かつ導入が簡単だった安全性を強化しつつ、業務処理が飛躍的に短縮された。


利用者数 120,000 ユーザー

主な利用目的知的所有権を含む文書の社内外取引における保護

会社の重要文書の配布を含む、厳格なライフライクル管理

特徴 •X3, X4 と呼ばれる 2つの取扱区分が全ての取引文書に自動的に適応される

•上記のために既存の文書管理システムとOracle IRMを統合している

ポイント • この規模のユーザー数では、あまりにも細分化された取扱区分を全社展開することは、逆に円滑な運用を阻害します

•細分化された取扱区分はより細かいユニットやプロジェクト単位での運用に設計されています

•他社の類似製品が提供するAdHoc型権限モデルは大規模運用に向いていません

Vodafone Ltd.


After

Before

Beckman Coulter Inc.

古い情報を参照

勝手な再配布

内容の改竄

5 レベルの区分

古い版からは権限を破棄

再配布しても開けない。

改竄を禁止




Oracle UCM + IRM

裸のスプレッドシートをファイルサーバーに格納

シールしたスプレッドシートを UCM に格納

米国で臨床検査装置開発／販売。

10,000人で利用中。

セールスマニュアルのセキュリティとライフサイクル管理に Oracle IRM を利用。

シールしたセールスマニュアルを CD とウェブサイト経由で営業に配布。紙のマニュアルを排除。





• 導入事例





51

原本配布物(コピー)

情報ライフサイクルとセキュリティ

オラクルのコンテンツ管理（Oracle UCM） Oracle IRM

作成

承認公開

改訂ver.1.0

ver. 1.1

ver. 2.0

ver. 2.1

異なるライフサイクル

原本と配布物は異なるライフサイクルを持ちます。原本は配布物にはない重要な属性を持ちます。配布後は内容の保護が期待できません。情報のセキュリティでは，原本と配布物の両方に対してトータルなアプローチが必要です。

作成

承認公開

改訂作成

承認公開

改訂

90日後に…

作成

承認公開

改訂


52

情報と権限のセキュリティ

情報の保護を完全にする二大要素

情報の

ライフサイクル

権限の

ライフサイクル

Oracle IRMオラクルのID管理（Oracle IdM）

情報ライフサイクルよりも，利用者の権限のほうが早く変わる。情報保護では利用者の権限のライフサイクルを管理することが重要。


Oracle IRMの公開情報

• www.oracle.com/goto/irm

Oracle.com

• http://blogs.oracle.com/irm/

Oracle IRM ブログ

• http://www.youtube.com/oracleirm/

YouTube

• http://www.facebook.com/

Facebook

• http://twitter.com/oracleirm/

Twitter

http://www.oracle.com/goto/irm

http://blogs.oracle.com/irm/

http://blogs.oracle.com/irm/

http://www.youtube.com/oracleirm/

http://www.facebook.com/

http://twitter.com/oracleirm/


http://www.oracle.co.jp/inq_pl/INQUIRY/quest?rid=28

Oracle Direct 検索

あなたにいちばん近いオラクル

Oracle Directまずはお問合せください

Web問い合わせフォームフリーダイヤル

専用お問い合わせフォームにてご相談内容を承ります。

※フォームの入力には、Oracle Direct Seminar申込時と同じログインが必要となります。

※こちらから詳細確認のお電話を差し上げる場合がありますので、ご登録されている連絡先が最新のものになっているか、ご確認下さい。

0120－155－096

※月曜~金曜 9:00~12:00、13:00~18:00

（祝日および年末年始除く）

システムの検討・構築から運用まで、ITプロジェクト全般の相談窓口としてご支援いたします。

システム構成やライセンス/購入方法などお気軽にお問い合わせ下さい。

http://www.oracle.co.jp/inq_pl/INQUIRY/quest?rid=28


以上の事項は、弊社の一般的な製品の方向性に関する概要を説明するものです。また、情報提供を唯一の目的とするものであり、いかなる契約にも組み込むことはできません。以下の事項は、マテリアルやコード、機能を提供することをコミットメント（確約）するものではないため、購買決定を行う際の判断材料になさらないで下さい。オラクル製品に関して記載されている機能の開発、リリースおよび時期については、弊社の裁量により決定されます。

OracleとJavaは、Oracle Corporation 及びその子会社、関連会社の米国及びその他の国における登録商標です。文中の社名、商品名等は各社の商標または登録商標である場合があります。

Oracle Direct Seminar ·...

Documents

Transcript of Oracle Direct Seminar ·...