 |
もう、対症療法的セキュリティでは防ぎきれないトータルセキュリティこそが
|
| WikiLeaksや尖閣諸島沖の問題など、内部関係者による情報漏えい事故が相次いでいる。これらの事故は、外部からの攻撃やウイルス感染などと異なり、内部の権限を持ったユーザーが“故意”に行っている点が特徴だ。誤操作による漏えいと異なり、故意に行っている行為に対しては、局所的な対応では不十分でセキュリティ上の穴を360度の視点で守る真のトータルセキュリティソリューションが必要だ。それを実現できる数少ないベンダが日本オラクルだ。 |
内部関係者による情報流出がクローズアップされた2010年 |
||
 |
||
2010年は、大規模なセキュリティインシデントや情報流出事件が頻発した年だったと言えよう。特に後半は、WikiLeaksによる米政府・軍の機密文書の公開を皮切りに、警視庁のテロ捜査資料の流出、尖閣諸島沖における中国漁船衝突動画のYouTubeへの投稿と、大規模な情報流出事件が立て続けに発生して世間を賑わした
また、これらの大事件をメディアが大々的に取り上げる一方で、報道はされないものの、小規模~中規模の情報流出事故も後を絶たなかった。例えば、2010年11月にはサンプル百貨店の会員情報46万人分が、派遣社員によって不正に持ち出されて流出していたことが発覚した。
さらに言えば、こうしてメディアで報道される情報流出事故は、実は氷山の一角にすぎない。
経済産業省が国内の製造業を対象に行った調査によれば、調査対象企業の実に35.8%が、「何らかの技術流出があった」との回答を寄せたという。企業自身が把握しているだけでもこれだけの数に上るのだから、把握できていないものも合わせれば、相当数の企業や組織が情報流出の被害に遭っていると推測される。
 |
| 図1:情報漏えいの原因比率(件数) JNSAの調査結果によると、2009年に報告された情報漏えいインシデントの内、原因が「不正な情報持ち出し」によるものは全体の3.4%、「内部犯罪、内部不正行為」によるものは1.0%となった(出典:JNSA) |
 |
| 図2:情報漏えいの原因別の一件当たりの漏えい件数(クリックで拡大) 情報漏えいを原因別にみた一件当たりの漏えい件数は「内部犯罪・内部不正行為」によるものが12万件超で圧倒的に多いことが分かる(出典:JNSA) |
日本ネットワークセキュリティ協会(JNSA)の調査によれば、2009年に報告された情報漏えいインシデントを原因別発生件数で見ると、「不正な情報持ち出し」によるものは全体の3.4%、「内部犯罪、内部不正行為」によるものは1.0%という結果が出ている。
この調査結果だけを見ると大した件数ではないようにも見えるが、インシデント1件当たりの個人情報の漏えい人数を見ると、ウイルスやワームが原因の場合は1件当たり平均6601人なのに対して、内部犯罪や内部不正行為の場合は、何と平均12万7937人にも上っている。
このように内部犯行による情報流出は、外部攻撃に比べてインシデント発生の確率は少ないのかもしれないが、一度発生してしまうと取り返しが付かないほど大きなダメージを被ってしまうものなのだ。
一方で、外部からの攻撃や、うっかりミスによる流出のリスクも決して減ってはいない。2009年に猛威を奮ったSQLインジェクションによる被害も、依然として報告されている。また、添付ファイル付き電子メールの誤送信による情報流出は、相も変わらず後を絶たない。JNSAの調査でも、インシデントの件数としてはこうした「故意ではない」情報流出が、圧倒的多数を占めている。
トータルでセキュリティ施策を考えることの重要性 |
||
|
||
このように、企業や組織の情報セキュリティに対する脅威が年々多様化しつつある中、企業はIT面で一体どのような防御策を取れるのだろうか? 日本オラクルでセキュリティ関連の製品・ソリューションを担当するテクノロジー製品事業統括本部 担当ディレクター 北野晴人氏は、次のように語る。
 |
| 日本オラクル テクノロジー製品事業統括本部 担当ディレクター 北野晴人氏 |
「故意の流出とうっかりミスによる流出、それぞれに対する防御策は自ずと異なってくるが、情報を守るという目的は一緒。どちらもしっかり対応しなくてはいけない。そのためには局所的な対処ではなく、その企業の情報セキュリティ施策全体をカバーする、トータルソリューションが求められてくる」
しかし、こうした観点を持ってセキュリティ施策に取り組んでいる日本企業は、まだまだ少数派だという。何かセキュリティ上の穴が見つかったら、その都度それをふさぐために対症療法的なツールを導入する。あるいは、他社のセキュリティインシデントが発覚して初めて、慌てて対応策を講じる。そうした結果、さまざまなセキュリティベンダの製品をばらばらに導入した、つぎはぎだらけのセキュリティシステムが出来上がってしまっているのだ。
また、多くの日本企業は、社内にセキュリティの専任担当者を置いていないことが多い上、セキュリティベンダもそれぞれ専門分野が細分化されており、セキュリティ施策をトータルに提案できる人材が少ない。中には、コンサルティング会社にセキュリティ診断を依頼し、トータルセキュリティ施策に取り組む企業もあるが、そうしたコンサルティングサービスは概して費用が高く、どの企業でも利用できるわけではない。
その結果、大多数の企業ではセキュリティ対策の重要性は認識しているものの、では具体的にどこまでやればよいのかとなると、検討が進まなくなっているのが実情ではないだろうか。
包括的なセキュリティソリューションを提供するオラクル |
||
|
||
こうした課題に対して、トータルなセキュリティソリューションを提供できる数少ないITベンダの1社に、日本オラクルがある。
同社はかつてはデータベースソフトウェア製品を提供する企業として、さらに近年では企業買収によって各種アプリケーションやミドルウェア、さらにはハードウェア製品までを提供するトータルベンダとして知られているが、実はセキュリティベンダとしても業界屈指の製品ポートフォリオを揃えている。北野氏は次のように述べる。
「どの領域に対しても具体的なセキュリティソリューションを提供できるベンダは、現状ではオラクルを含む数社しかいない。セキュリティ施策をトータルで考える場合、同一ベンダの同一インフラ上で全てのセキュリティ領域をカバーできるメリットは、極めて大きい」
同社がカバーするセキュリティソリューションの領域は下図のように、データベースセキュリティを中心にして、その周囲を取り巻く情報システムの「アクセス制御」「統合ディレクトリ」「IDライフサイクル管理」「ファイル形式情報の制御」に至るまで、実に多岐に渡る(図3)。
 |
| 図3:オラクルが提供するセキュリティソリューションの全体図(クリックで拡大) |
また北野氏は、セキュリティ施策を行う上では、常に業務の効率性とのバランスを考えることが重要だと述べる。ただやみくもにセキュリティをガチガチに固めてしまうと、日々の業務の生産性が損なわれてしまう可能性があるからだ。セキュリティと業務効率、言い換えれば「情報の活用と保護」の適切なバランスも考慮した上で具体的な対策を検討・実行していくのが、真のトータルセキュリティソリューションというわけだ。
「業界や企業ごとに業務形態や取り扱う情報の内容、リスクの種類は異なる。従って、業務効率とのバランスを考えながら、どの領域に重点を置いてセキュリティ対策を行うべきかを考える必要がある。その結果によって、当然IT投資のバランスも変わってくる」(北野氏)
企業の情報システムを脅威にさらす6つの課題 |
||
|
||
では、オラクルは具体的にどのような領域に対するセキュリティソリューションを提供しているのだろうか? 同社では、企業の情報システムにおけるセキュリティの一般的な課題を6種類に分類し、それぞれに対して具体的なソリューションを提供している。
課題の1つ目は、システムの利用権限の管理に不備がある場合だ。特に、システムの管理権限を有する「特権ユーザーID」の管理に課題を持つ企業が多い。この点に関してオラクルは、異なる2つの側面からソリューションを提供している。1つは、Oracle Databaseのデータベース管理者(DBA)の権限を制限するソリューションである「Oracle Database Vault」。もう1つは、ワークフロー機能とプロビジョニング機能を備えたツール「Oracle Identity Manager」で、特権ユーザーIDの管理業務を支援するソリューションだ。
2つ目の課題は、ログがきちんと取られていないという点だ。この点に関しては、異論を挟む人も多いかもしれない。「いや、わが社は日本版SOX法に対応するために、ログはきちんと残す運用を徹底している」と。しかし、ログはただ残すだけでなく、その内容に改ざんが加えられないよう日ごろから保全活動を行わないと、いざ監査や裁判となったときに有効な証明力を主張できない可能性があるのだ。
また、全てのログが確実に記録されるためには、ログ管理システムの可用性も重要なポイントになる。さらには、ログの内容を素早く解析できる仕組みも必要だ。オラクルでは、こうした真に有効なログ管理を実現するための機能を包括的に備えたツール「Oracle Audit Vault」を提供している。
3つ目の課題としては、ID管理が挙げられる。内部犯行による情報流出を防ぐためには、退職者やパートタイム社員などのユーザーIDとアクセス権の管理をきちんと行うことが欠かせない。オラクルではID管理を自動化するツール「Oracle Identity Manager」を提供しているほか、LDAP、Active Directoryやデータベースなど他社製品も含めた各種システムに散らばったユーザー情報を仮想的に統合し、LDAPプロトコルを利用してアクセス可能にするソリューション「Oracle Virtual Directory」も用意している。
4つ目の課題は、バックアップデータやテストデータの保護だ。バックアップメディアが輸送中に盗難に遭ったり、あるいは開発で用いたテストデータのファイルがうっかりミスで流出したりといったインシデントが、実際にあちらこちらで起きている。こうした脅威に対してオラクルでは、万一データが流出したり盗難にあっても情報が漏れないよう、データベース上のデータとネットワーク上のデータを暗号化するソリューションを提供している。また、テストデータをマスキングできるツールも用意している。
 |
| 日本オラクル Fusion Middleware事業統括本部 ビジネス推進本部 マネージャー 大澤清吾氏 |
5つ目の課題としては、オフィス文書の社外への持ち出しに対するセキュリティ施策だ。データベースやファイルサーバへのアクセスをいくら強固に管理しても、一度ユーザーのクライアントPC上にファイルデータとして情報が保存された後は、USBメモリやメールの添付ファイルなどのルートでいくらでも流出するリスクがある。
こうしたリスクをつぶすために、PCのUSBポートを無効化したり、メールの添付ファイルを制限するなどの方策を採る企業も多い。しかし、こうした方法は業務の効率性を著しく低下させる恐れがある。日本オラクル Fusion Middleware事業統括本部 ビジネス推進本部 マネージャーの大澤清吾氏は、こうした課題に対するオラクルのソリューションについて、次のように説明する。
「例えば、『Oracle Information Rights Management(Oracle IRM)』という製品を使えば、クライアントPC上のファイルに対して暗号化と操作権限を付与するため、社内外問わず機密性を保持できる。このソリューションでは、ファイルの内容である“情報そのもの”を保護するので、媒体や場所を選ばず確実に情報漏えいを防ぐことができる」
そして最後の6つ目の課題として同社が挙げるのが、なりすましやフィッシングへの対策だ。オラクルはこれらの脅威に対しても、ユーザーIDの盗難を予防するソリューションや、リスクベースの強力な認証基盤を提供するセキュリティ認証製品「Oracle Adaptive Access Manager」を提供する。
トータル導入と個別導入のいずれも可能なオープンソリューション |
||
|
||
これら広範な製品ラインアップに加え、同社ではSQLインジェクションの脅威からデータベースを保護するための新製品「Oracle Database Firewall」を近くリリースする予定だ。
これは、データベースに対するリクエスト中に含まれるSQL文を詳細に解析することにより、疑わしいクエリをデータベースの外側でブロックするというものだ。こうした外部からの攻撃に対する防御も、今後は非常に重要になってくると大澤氏は述べる。
「来るべきクラウドコンピューティングの時代を見据えた場合、オンプレミスの自社環境をしっかり守るだけではなく、外部からの攻撃に対してもしっかり備えることが重要になってくる。その面でもオラクルでは、クラウド時代を先取りした各種のセキュリティソリューションを既に用意しているし、今後も提供していく予定だ」
ちなみに、この新しいSQLインジェクション対策ソリューションは、Oracle Databaseはもとより、マイクロソフトや旧サイベース(現SAP)といったサードパーティ製のデータベースに対しても適用可能だ。先述したディレクトリ統合ソリューションもそうだが、オラクルのセキュリティソリューションは他社製品とも共存できる「オープン性」が特徴だと大澤氏は言う。
「他社製のデータベース製品やディレクトリ基盤と連携できるし、またオープン化団体の標準化作業にもオラクルは積極的に参画している。包括的にあらゆる製品を網羅しているが、他社製品を含む混在環境に対して、個別に製品を導入することも可能になっている。決してベンダロックインしないのが、オラクルのセキュリティソリューションの強みだ」
また同社では、製品の提供だけでなく、セキュリティ製品の導入コンサルティングサービスも提供している。また無償で簡単なアセスメントサービスを提供するメニューも用意しているという。アセスメント対象の企業が、現状どこにセキュリティの弱点を持っているかを診断し、それに対してオラクルが保有する数多いソリューションの中から最適なものを提案するというものだ。
本稿ではほんの触りしか紹介できなかった各ソリューションの内容が、ここでは詳細に知ることができるだろう。興味を持たれた方は、ぜひ話を聞いてみてはいかがだろうか。
提供:日本オラクル株式会社
企画:アイティメディア営業企画
制作:@IT情報マネジメント編集部
掲載内容有効期限:2011年2月28日
ダウンロード
 |
|
 |
統計データで読み解くセキュリティ対策のヒントとは(情報セキュリティハンドブック) |
| 過去の情報漏洩事件/事故を振り返り、システムに起因する6つの課題を解決するためのソリューションを分かりやすく解説した小冊子 | |
|
事例:Oracle Databaseの機能でアクセス制御とデータ保護を実現 ~三井住友銀行 事例~ |
| 三井住友銀行、Oracleデータベースのセキュリティ機能により、投資銀行部門のEUC基盤における厳密なアクセス制御とデータ保護を低コストかつスピーディに実現 | |
関連リンク
関連記事
|
ファイルに“シール”、オラクルが情報漏えい対策製品を発表(@ITNews) |
|
オラクルがログ管理製品発表――「技術情報漏えいがクリティカルだ」(@ITNews) |
|
「IDのハブになる」、オラクルがSOA対応のID管理製品出荷へ(@ITNews) |
|
じっくり考える「情報漏えい発生の理由」(@IT) |
|
「一見まじめでもリスク」、オラクルがDB管理者を管理する製品(@ITNews) |
| |
リソース、ノウハウ不足が深刻なID管理市場、オラクルの解答は?(@ITNews) |
ITmediaはアイティメディア株式会社の登録商標です。
