オラクルが考える「データ」を守るためにすべきこと：本番データ、そのままHadoopにコピーして大丈夫？

オラクルはデータベースの会社だが、セキュリティにも注力している――日本オラクルはこれまで発表してきたセキュリティ関連ソリューションをまとめ、データが狙われる時代に、データベースができること紹介した。

[宮田健，＠IT]

　日本オラクルは2014年6月12日、同社が持つデータ保護のための製品群「Oracle Maximum Security Architecture」についての説明会を開催した。データ保護機能に加え、内部犯行対策、そしてビッグデータ解析に不可欠なマスキング／暗号化などのソリューションを紹介した。

「オラクル」はCIAが起源？ セキュリティにもコミットする姿勢をアピール

日本オラクル 執行役員 データベース事業統括 製品戦略事業統括本部長 山本恭典氏

　日本オラクル 執行役員 データベース事業統括 製品戦略事業統括本部長の山本恭典氏は、「攻撃者の狙いは、サービス停止でなければ『データベース内のデータ』だ」と述べる。「実はオラクルという名称はラリー・エリソンCEOが参画していた、CIAの某プロジェクトのコードネームから。CIAでも利用できるようなレベルのセキュリティを組み込んでいる」とした。

　オラクルが提唱するOracle Maximum Security Architectureは、「アクセスを制御する機能」「情報漏えい対策」「監査」などのカテゴリに分けられる。

Oracle Maximum Security Architectureのカバー範囲

　アクセス管理においては、データベースレベル／オブジェクトレベル／行レベルで、誰がアクセスできるのかをコントロールできる。データベース管理者の職務分掌を管理できるOracle Database Vaultや、行単位でラベルベースのアクセス管理を行えるOracle Label Securityを導入することで、細かなアクセス制御が可能だ。

　監査面においては、ユーザーとデータベースの間にSQLファイアウォールを置くことで、SQLインジェクションなどの攻撃の検知や、オラクル以外のデータベースを含む監査ログを取得可能だ。これはOracle Audit Vault and Database Firewallで実現できる。

アクセス制御を行うOracle Database Vaultの活用例。特定のデータベースオブジェクトに対し、IPアドレスや時間帯、アプリをルールとしてセットし、アクセス権を満たさないマルウェアなどからのアクセスを排除する

ビッグデータ時代の解析環境、セキュリティ対策できてますか？

日本オラクル データベース事業統括 製品戦略事業統括本部 プロダクトマーケティング部 大澤清吾氏

　情報漏えい対策、とりわけ「重要データを持ち出させない」対策は重要な役割を担う。データの参照時に不必要な情報を伏せ字化する「リアルタイムマスキング」や「データの暗号化」などは、開発／テスト環境へのデータ移行や、解析システムにデータをコピーする際に必要な機能だ。

　日本オラクル データベース事業統括 製品戦略事業統括本部 プロダクトマーケティング部の大澤清吾氏は、「メインのデータベースにセキュリティ対策を施したとしても、他のDBやHadoopにデータを流すような仕組みがあると、重要なデータが分散し、セキュリティリスクになる」と述べる。

　特にビッグデータ解析処理においては、個々のデータをプライバシーに配慮しつつ処理する仕組みが必要となる。そのための手法として大澤氏は

• アクセス情報に応じて、情報にリアルタイムにマスキングする
• データを他のデータベースにコピーする際に、物理データを不可逆にマスキング／ランダマイズする
• データを持ち出す際に暗号化する

などを挙げる。これらはOracle Data Redaction／Data Masking／Transparent Data Encryptionで実現できる。

重要なデータを持ち出させないためのソリューション

　データの暗号化は新しい技術ではないが、性能劣化が問題視されることが多かった。この点について大澤氏は「インテルのAES-NIなどチップレベルでの対応が進み、1〜3％程度しか性能劣化しない」と述べる。アプリケーションの改修も不要だとし、「導入のハードルも低いのがオラクルソリューションの特徴」だとした。