web-dev-qa-db-ja.com

インサイダーの脅威からデジタル資産を保護する

悪意のある従業員(データベース管理者、認証を担当するシステム管理者など)が顧客データを盗もうとすることから会社を保護できるセキュリティメカニズムはありますか?

例を挙げると:ある会社が顧客に貴重なデータを自分のサイトにアップロードすることを許可しているとします。その後、顧客は会社のWebサイトにログインして、以前にアップロードしたデータをダウンロード/削除できます。従業員が顧客データをコピー/削除/盗むのを防ぐために会社が使用できるメカニズムはありますか?

(私はもともとビットコインをオンライン交換サイトに転送したときにこの問題について考え始めました。ビットコインプロトコルは明らかにこれらのタイプの脅威に対応していないため、この質問をビットコインに関するものにするつもりはありませんが、バックグラウンドコンテキスト/シナリオ例として役立ちます。ビットコイン交換会社は、従業員が顧客の資産を逃げるのをどのように防ぐことができますか?)

1
aioobe

悪意のある従業員(データベース管理者、認証を担当するシステム管理者など)が顧客データを盗もうとすることから会社を保護できるセキュリティメカニズムはありますか?

データベース管理者は、ほとんど定義上、データベースへの管理アクセス権を持っています。したがって、技術的には、いいえ、それを防ぐことは、データベース内のデータが暗号化されている場合にのみ機能します。それでも、まだまとめることができる多くの情報が残ります(たとえば、匿名からの注文のエントリが表示されます)顧客番号14は、月曜日の午後1時になります。毎週月曜日の午前11時に、顧客の「ジャックラボ」と電話があります。

この種のことを防ぐ唯一のことは、ポリシーと監視です。データベース管理者が無効にできないデータベースアクセスログが必要であり、データベースの非標準的な使用が発生するとアラームが発生しますが、実際には、2人目のデータベース管理者が必要になります。最初のものが何をしているのかを理解して監視するだけです。

あなたが持っているのは邪悪なメイドシナリオです。不運。


そのため、クラウドプロバイダーの従業員(およびそのクラウドプロバイダーのサーバーを実行している従業員と政府)を信頼できない場合は、機密データを「クラウドに」保存しません。


ビットコインの概念はまさにこれに向けられています。すべてのトランザクションはログに記録されますが、それ以外の場合は発生せず、ウォレットはパスフレーズで暗号化されて保護されます。

2
Marcus Müller