close
プログラミング クラウド Microsoft Azure 情報処理資格 基本情報技術者 IT基礎 応用情報技術者 開発・設計方法 オブジェクト指向 内定者・新人研修 プログラミング基礎 アルゴリズム コンピュータ数学 内定者研修 新人研修 ヒューマンスキル プロジェクトマネジメント プレゼンテーション リーダーシップ 組織マネジメント ネゴシエーション ロジカルシンキング Java UI/UX HTTP JavaScript基礎 情報処理資格 ネットワークスペシャリスト ネットワーク インターネットルーティング応用 IPアドレス データベース応用 SQL応用 パフォーマンスチューニング データベース設計 ER図 概念設計(データベース) 論理設計(データベース) IT資格 Linux基礎 OS・システム基盤 セキュリティ TCP/IP OSI参照モデル データベースセキュリティ ファイアウォール 標的型攻撃 SQLインジェクション ネットワーク基本設計 CCNA Cisco プロジェクトマネジメント資格 情報処理資格プロジェクトマネージャ 情報処理安全確保支援士 人事給与 財務会計 管理会計 簿記 生産管理 在庫管理 ERP バランススコアカード 情報処理資格 ITアーキテクト 情報処理資格 ITストラテジスト 情報処理資格 ITサービスマネジメント 情報処理資格 システム監査 PMBOK® PMP® プロジェクト計画 WBS リスクコントロール ITIL ITサービスマネジメント 要求定義 要件定義 見積手法 ビジネスインダストリ 業種・業界知識 業務知識 提案力 ソフトウェアテスト基礎 情報処理資格 データベーススペシャリスト ハードウェア基礎 外部設計(基本設計) 内部設計(詳細設計) データベース基礎 SQL基礎 RDBMS 物理設計(データベース) C++ Ruby MVC基礎 Webアプリケーション開発 JavaEE Javaプログラミング応用 フレームワーク MVC応用 Spring フレームワーク ソフトウェアテスト応用 テスト手法 Junit スマートフォンアプリ開発 Androidアプリ開発 C# 基礎 C# 応用 負荷テスト Javaプログラミング基礎 ソフトウェアテスト コーチング メンタリング HTML/CSS サーバー構築 仮想化技術 KVS (NoSQL) アジャイル スクラム ファシリテーション C言語 ITパスポート JSTQB データサイエンス 単体テスト ユニットテスト キャリアアップ インターネットルーティング基礎 パケット解析 LAN構築 データベース データサイエンティスト トレンド 障害対応 インフラ監視 HTTP/2.0 コンピュータサイエンス VPN ネットワーク物理設計 データベース障害 JavaScript モダンJS (Modern JavaScript) 応用 MVS応用 バックアップ/リカバリ 分散処理 Hadoop Hive Python AI 深層学習(DeepLearning) CentOS Linux応用 Zabbix シェルスクリプト Infrastructure as Code Windowsサーバー基礎 内部設計 Docker DevOps Windowsサーバー応用 NginX chef Ainsible ロジカルライティング R テスト自動化 Jenkins Git 継続的インテグレーション (CI) バージョン管理 Vagrant 要求分析 Redmine 継続的インテグレーション(CI) 継続的デリバリー (CD) ヒューマンリソース管理 Web API マイクロサービス コミュニケーション 業務知識/業界知識 マーケティング 語学 AWS 法務 IoT ビジネスマナー OJT 業務効率化 表計算ソフト オフィスソフト コンプライアンス フロントエンド Subversion PHP 関数型プログラミング Laravel モダンJS (Modern JavaScript) 基礎 Android Studio 機械学習 iOSアプリ開発 ぷプログラミング React 次世代高度IT人材 共創 IPA Raspberry Pi Xamarin スクリプト言語 GoF CUI VBA 資格 ビジネス文書 jQuery 研修参加レポート マネジメント OSPF テーブル設計 アンガーマネジメント クリティカル・シンキング PDU 経営改善 Pマーク 問題解決技法 サイバー攻撃 エンジニア 参加してみた エンゲージメントマネジメント 労働関連法 新人育成 ネットワーク構築 情報セキュリティマネジメント デザインパターン リファクタリング マルチスレッドプログラミング ベンダーコントロール Modern JavaScript 冗長化 VLAN インフラエンジニア チームビルディング テストケース リーダブルコード セキュリティ入門 ネットワーク入門 Node.js npm gulp ビルドツール Python入門 冗長化入門 インフラ実機演習 プロジェクト管理 Active Directory ネットワーク管理 コンテナ 正規化理論 Haskell 品質管理 OpenStack シンギュラリティ DBA中級 プロトコル UX 基本設計 FinTech トラブルシューティング 並列処理 見える化 PMO ロジカルコミュニケーション Deep Learning インデックス設計 超上流工程 BGP Excel C-CENT Selenide プライベートクラウド アセンブラ コンピュータ基礎 工数見積 CCENT 法律知識 失敗から学ぶ プロジェクト失敗事例 PDCA プログラミング入門 非エンジニア向け 4Biz DNS セルフマネジメント 片付け術 サーバーダウン サーバー タイムマネジメント GO言語 プロダクトマネジメント プロダクトマネージャ LVS ロードバランサー 負荷分散 仮想通過 犯罪心理学 情報漏えい SEカレッジ導入事例 IT研修を聞いてみた 会社規模 (100~300名) IT研修制度を聞いてみた CentOS7 開発環境構築 数字力 財務 IT人材 UI Machine Learning Go言語 (golang) データマイニング 統計学 新人教育 やり直し数学 RDB つながる工場 モチベーション WebSocket WebWorker HTML5 CSS3 Bootstrap 微分・積分 システム設計 決断力 LAMP環境 トレ担 教育研修担当者向け ルーティング Linux入門 図解術 目標設定 試験対策 インタビュー技法 Vue.js ブロックチェーン 会社規模 (~50名) DHCP 仕掛け学 BSC 財務諸表 自己分析 RIP スタティックルート バッファオーバーフロー DoS攻撃 システム開発 会社規模 (~99名) Wireshark パケットキャプチャ 管理職研修 部下育成 ワークあり 文章力 情報システム部門向け プロジェクトリーダー プロジェクトマネージャ 塗り絵 リスク管理 法改定 会社の仕組み Chainer AI人材 会話術 会社規模 (~25名) テスト技法 組織規模 51名~99名 組織規模:~199名 [組織規模]199名まで 組織規模 199名まで 組織規模199名まで 会社規模199名まで 会社規模49名まで 会社規模99名まで アプリ開発 サーバサイドJava 営業知識 Cloud 栄養学 基本コマンド ウォーターフォールモデル ヘルスケア 論理設計 ニューラルネットワーク ハンズオン UML 顧客ヒアリング マウスで学ぶ Apache EC2 Lightsail M5Stack DevSecOps プロジェクト成果 画像認識 チャットポット コマンド レビュー 基本用語 自動構築 LPIC-1 サーバーサイドJavascript キャリア形成 ワークライフバランス インバスケット テック用語 GitHub Windows エディタ 教養 令和時代 RESTful API 物理設計 会社規模300名以上

今だから確認したいDBセキュリティの基本 研修コースに参加してみた

今回参加した研修コースは 今だから確認したいDBセキュリティの基本 です!

億単位の規模で個人情報が流出や、またビジネス側もBigQueryなどを使ってデータベースを参照する時代になり、「DBのセキュリティは大丈夫か?」と言われると、わかっていても不安になってしまうもの。

このコースで基本とその対策を確認できて、とても良かったです。

では、どんな内容だったのか、レポートします!!

想定している受講者

  • データベースの概要(データベースの目的)
  • 基本のマシン操作

受講目標

  • セキュリティの必要性と効果を説明できる

講師紹介

今回登壇されたのは 代田 (しろた) 佳子さん です。

この参加してみたレポートでは初めてですね。

データベースではおなじみの林 優子さんとも同じiThings研究所の所属で、同じく Oracle Master 教科書の執筆、Oracle University から何度も表彰されている講師です。

受講してみると、やはりRDBMSのアーキテクチャを熟知されていて、なぜ、そうなるのかわかりやすく解説頂けました。

システム全体への攻撃のお話

データベースのセキュリティというのが何を指すのか、システム全体への攻撃からブレイクダウンして説明します。
なお、今回はPostgreSQLを例として使います。

 

  • システム全体

 

  • DBへの攻撃

 

この攻撃をどうやって防ぐのか、それを今日は実際に試しながらやります。

 

DBでのセキュリティ

先に挙げたDBへの攻撃への対策を挙げていただきました。

 

  • 想定される被害
    • アカウント乗っ取り
    • データ・ファイル盗難
  • 対策
    • 認証
    • 認可
    • 暗号化

 

なおPostgresSQLでは postmaster が認証を行い、OKであれば postgres というプロセスを起動し、その postgres にアプリケーションやユーザが接続し、操作を受けつけ結果を返す構成になっています。

認証

認証とのその対策を行う前に、どのようにデータベースは認証しているのか、プロセスを確認します。

 

ここから解説しながら、実際に操作します。

 

環境構築

  • postgresql-10.5を使用

 

  1. ユーザーを作成
    • createuser -U postgres -d -P -I -E [username]
    • オプションで権限設定
    • -d: DBを作成できる権限
    • -P: パスワードを設定できる権限
    • -I: ロール毎に決められた権限を引き継がない
    • -E: DBユーザのパスワードを暗号化して格納
  2. database を作成
    • 権限が違うことを確認

 

認証

  • %PGHOME%\data\ に設定ファイルがある
    • pg_hba.conf に設定情報
    • ユーザ情報を編集してみてる

 

type database user address method
host userdb all ::1/128 trust

 

  • パスワードなしでログインできることを確認 -> psql userdb

 

代田さんからはユーザごとに適切に権限付与しましょう、との補足がありました。

 

アクセスログ

念のため、どこにログがあるか確認してみます。

 

  • %PGHOME%\data\log\ postgresql-<今日の日付>.log
    • 認証を失敗して↑のログファイルを確認

 

 

おや、2018/12/17の日付が…
スイマセン、他業務に忙殺されていて、2ヶ月遅れで本レポートを書いております (汗)

認可 (権限付与)

できる権限をグループ化するのがロール (役割) です。

まずはユーザーに権限管理をしてみます。

 

ロールを作ってみる

いちいちユーザごとに細かい権限設定するのは大変です。
そこでロールでその権限を管理します。

 

続いて、どんな操作に権限設定ができるのか確認しながら実行してみます

  • connect / select / insert / update

また、この操作レベルだけでなく、行レベルでも権限付与できるとのことでした。(スゴい)

他にもいろいろありそうだったので、ググるとやはり一杯ありました。

 

 

代田さんからは 権限最小化原則 を紹介いただき、すべての権限を与えるのではなく、必要な権限だけ付与していく、というのが重要です、とのことでした。

暗号化

最後にデータ盗難への対策、暗号化です。

 

通信の暗号化

まずはデータベースとの接続の暗号化です。

 

  • アルゴリズムと鍵を使う
    • アルゴリズムは AES が標準的
  • 1番最初のSSLリクエストで公開鍵を配布
    • クライアント・サーバで共通鍵を使う

 

  • pg_hba_conf のtype列で設定できます
    • SSL を有効化 / 無効化する箇所

 

ちなみに接続を暗号化すると、通信量が結構増えます -> CPU 負荷も上がるとのことでした。

なるほど。やはり利便性とセキュリティはトレードオフの関係がありますね。

 

データの暗号化

続いてデータベース内部のデータやファイルの暗号化です。
今回はデータの暗号化を試してみます。

 

  • データベース側で暗号化
    • 透過的データ暗号化(TDE)
      • ディスク/ファイルの暗号化
      • 場合によってはファイルの暗号化のほうがよい
      • やってみたいところだけどRDBMS で出来るオプションは有料になるので今回はやりません
  • アプリ側でINSERTやUPDATE処理のときに暗号化する
    • 通常はアプリ側で暗号処理を施すライブラリを使う
    • RDBMS側で設定して、アプリ側でその設定を呼び出すと暗号化出来る (PostgreSQL)

 

では、ハンズオンでやってみます。

バイナリ型の列をもつテーブル fruit2 を作ってみましょう。

 

続いて、列の暗号化をやってみましょう。

 

pgcrypto という拡張機能を有効化します。

なお通常はアプリ側からSQLを書きますが、今回はコマンドで update します。

 

ここまで行ったところで、このコースは修了しました。

 

まとめ

このコースではDBへの攻撃にはどのようなものがあるか解説頂いた上で、実際にハンズオンでどのように対策するのか確かめてみました。

億単位の規模で個人情報が流出するなど事故が相次ぎ、またビジネス側もBigQueryなどを使ってデータベースを参照する時代なので、もっと何かいろんなことをやらねば、という気になってしまうのですが、基本は認証、認可 (権限設定)、暗号化であり、その手順と効果 (結果) を確認できて、とても良かったです。

「DBのセキュリティは大丈夫か?」と言われたら、「大丈夫です」と言えるようになるコースでした!

 

 

label SE カレッジの無料見学、資料請求などお問い合わせはこちらから!!


SEカレッジについて

label SEカレッジを詳しく知りたいという方はこちらから !!

特集・キャンペーン

よくある質問集

タグ一覧

参加してみた研修参加レポートJavaLinux基礎セキュリティ基本情報技術者プログラミングプロジェクトマネジメントオブジェクト指向PythonネットワークAISQL基礎プログラミング基礎ヒューマンスキル資格コミュニケーションIoTアルゴリズムエンジニアデータベースJavaScriptLinux入門マネジメントC# 基礎テーブル設計仮想化技術ソフトウェアテストプログラミング入門SQL応用パケット解析ビジネスマナーPMBOK®jQueryLinux応用ファイアウォールビジネス文書シェルスクリプトデータサイエンスデザインパターン教育研修担当者向けコンテナ工数見積ER図障害対応プレゼンテーションテック用語RDBMSDocker問題解決技法IT研修制度を聞いてみたデータベース基礎AWSLAN構築Windowsサーバー基礎SEカレッジ導入事例テスト自動化DNS簿記Raspberry Pi要求定義ロジカルライティング新人研修サーバサイドJavaPマークVLAN単体テストトレンドネットワーク入門Javaプログラミング基礎情報処理資格アンガーマネジメントアジャイルプロジェクトマネージャベンダーコントロールコーチングプロトコルIT基礎品質管理GoFJavaプログラミング応用C# 応用データサイエンティストロジカルコミュニケーションロジカルシンキング財務データベース設計ヘルスケアExcelインフラエンジニアマルチスレッドプログラミングCloudインフラ実機演習CCNAテストケースTCP/IP決断力法律知識Modern JavaScriptLVSプロジェクト管理機械学習応用情報技術者WBSActive DirectoryCSS3サーバー構築パフォーマンスチューニング試験対策CentOS7フレームワークリファクタリング営業知識SQLインジェクション新人育成UIスクラムネットワーク構築インデックス設計図解術非エンジニア向け情報漏えい見える化ITパスポートHTML5HTML/CSSRDBJavaScript基礎クラウドOSPFVPNデータベースセキュリティ物理設計(データベース)Python入門ZabbixITILルーティング微分・積分ソフトウェアテスト基礎Vue.js片付け術サイバー攻撃UI/UX犯罪心理学正規化理論Webアプリケーション開発管理職研修JavaEEDHCP会社規模99名まで経営改善CentOSLAMP環境ロードバランサーBGPエンゲージメントマネジメントセキュリティ入門プロジェクト失敗事例システム開発データベース障害セルフマネジメント統計学Deep LearningトラブルシューティングWindowsサーバー応用業務効率化DBA中級リスク管理マーケティングクリティカル・シンキングプロダクトマネージャLPIC-1ブロックチェーンデータベース応用JunitUXCisco情報セキュリティマネジメント内定者研修サーバーサイドJavascript会社の仕組み法改定基本コマンド要件定義コマンド冗長化Windows次世代高度IT人材UMLPHPウォーターフォールモデルM5Stackネットワーク管理顧客ヒアリング関数型プログラミングPDCAOS・システム基盤IT人材マウスで学ぶMVC基礎プロダクトマネジメント論理設計IPアドレスITサービスマネジメントテスト手法CCENT表計算ソフト塗り絵開発環境構築栄養学HTTP会社規模199名までMachine Learningプロジェクト計画リーダーシップ論理設計(データベース)HTTP/2.0サーバーOSI参照モデルPMO失敗から学ぶWeb API財務諸表レビュー情報システム部門向けGit自己分析GO言語ビジネスインダストリインタビュー技法OJTインターネットルーティング応用会社規模49名までDevSecOps仮想通過IPAインターネットルーティング基礎会話術継続的インテグレーション (CI)インバスケットRIP冗長化入門LaravelWebSocketC-CENT自動構築Node.js新人教育画像認識チームビルディング令和時代パケットキャプチャテスト技法並列処理PMP®Apacheシステム設計バージョン管理スタティックルートモダンJS (Modern JavaScript) 基礎概念設計(データベース)インフラ監視ニューラルネットワークWebWorkerSelenidechefコンピュータ数学サーバーダウンnpmやり直し数学Infrastructure as CodeチャットポットRESTful APIHaskellスクリプト言語PDUEC2継続的インテグレーション(CI)GitHubバッファオーバーフローハンズオンプライベートクラウドgulpフロントエンド超上流工程目標設定4Bizリーダブルコード会社規模300名以上アプリ開発Go言語 (golang)LightsailネゴシエーションDoS攻撃IT資格数字力基本設計財務会計アセンブラキャリア形成タイムマネジメントビルドツールChainerつながる工場内部設計見積手法OpenStackデータマイニングリスクコントロールMicrosoft Azureエディタ負荷分散共創AI人材FinTechBootstrapコンピュータ基礎ワークライフバランスモチベーション労働関連法基本用語プロジェクトリーダーシンギュラリティ業務知識/業界知識ソフトウェアテスト応用教養Wireshark

過去の記事