「これは課せられた使命」日本オラクルがデータベースにしかできない“守り方”を語るマイナンバー対応テンプレートを無償で提供、鍵管理製品も

オラクルが考えるクラウドは「セキュリティなしにはあり得ない」――故意、事故から大事なデータを守るためにできることについて、日本オラクルの取り組みが紹介された。

» 2015年02月23日 19時06分 公開
[宮田健@IT]

 情報漏えいだけでなく、データの破壊、改ざんからどう守るか――日本オラクル社長の杉原博茂氏は、データベース側にセキュリティが実装されることを「オラクルに課せられた使命」と述べる。日本オラクルは2015年2月23日、これまで提供してきた製品を改めて紹介するとともに、性善説にとらわれないセキュリティ対策にどう取り組んでいるかの解説を行った。

2020年までにクラウドナンバー1を目指す日本オラクル、そのポイントは「セキュリティ」

日本オラクル 取締役 代表執行役社長 杉原博茂氏

 日本オラクルの取締役 代表執行役社長の杉原博茂氏は、社長就任時に同社のビジョンとして「No.1 Cloud Company(ナンバーワンのクラウド企業)」を掲げていた。この実現において、セキュリティは重要なポイントであると杉原氏は述べる。

 日本においては12年前の2003年から個人情報保護法が施行され、2014年の改正では新たにデータセキュリティの記載が追記されている。さらに2015年秋からマイナンバー制度も運用を開始するなかで、最も重要な「データ」がサイバー脅威に狙われるという状況だ。そこで、日本オラクルは改めて「データ中心のセキュリティ」を提唱する。

データ中心のセキュリティを実現するには?

日本オラクル 副社長執行役員 データベース事業統括 三澤智光氏

 日本オラクル 副社長執行役員 データベース事業統括の三澤智光氏は、従来のセキュリティを「性善説に基づいた実装」で「ネットワーク中心の対策」だったと述べる。それに対し、これからのあるべきセキュリティは、悪意のあるものが企業内に入り込んでくるという前提で「データ中心の対策」を行うべきであるとした。「これまでの実装では、次々と作られるアプリケーションごとにセキュリティポリシーが存在していた。法制度改正ごとに改修するのは非現実的。データベースによるセキュリティ実装では、データベース側にセキュリティポリシーを作ることで、短期間、低コストで実装できるだけでなく、データベースへの不正侵入にも対応可能だ」(三澤氏)。

 データベースによるセキュリティ実装のために、日本オラクルは「データの暗号化」「アクセス制御」「検知」の仕組みを施し、多層防御を実装するための製品を用意している。三澤氏は続いて三つのソリューションを紹介した。

データベースアクセス制御:Database Vault

 Database Vaultはデータベース管理者の権限を分散、コントロールするための製品だ。この製品を利用することで、例えば協力会社に所属するデータベース管理者に対し、データ閲覧を制限しつつ、チューニングや運用管理機能だけを開放することが可能になる。三澤氏はこの製品を導入している企業としてヤフーを挙げ、「Database Vaultを導入することで、ヤフーの情報システム部は個人情報にアクセスできなくなった。万が一情報漏えい事件が発生したとしても、ヤフーの情報システム部のメンバーは犯人ではないことを証明できる」と述べた。

職務分掌を行うことでデータベース管理者の権限をコントロールできる「Database Vault」(クリックで拡大)

データの暗号化:Transparent Data Encryption(TDE)

 データの暗号化を行うTDEについて三澤氏は、「データベースの暗号化はアプリケーションに手を加えないといけないこと、パフォーマンスが大幅に劣化することなどから、これまでは避けられてきた手法だ。しかし、オラクルはExadataなどに搭載したCPUの機能により、パフォーマンス劣化がほとんどない。いまや、データベースを暗号化しないという選択肢はない」と述べる。

データベース暗号化へのパフォーマンス劣化は、CPU内の暗号化支援機能を利用することで大幅に改善したという(クリックで拡大)

システムログ収集とアラート:Audit Vault and Database Firewall

 システムログ収集については、データベースファイアウオールを利用することを三澤氏は推奨する。SQLの構文解析を行えることで、不正なSQLを混入させるような攻撃もブロックできる。また、その攻撃の状況、およびデータベースの操作ログなどをAudit Vault Serverに集約することで、例えば特定のアドレスから不正なSQLが発行されていることや、深夜の時間帯にDBAがエクスポートを何度も行うといった行動に対し、アラートを適切に発行できる。

データベースファイアウオールを設置することで、SQLインジェクション攻撃をブロックする。さらに各種ログをデータウエアハウス的に処理することで、適切なアラートを管理者へ発行できる(クリックで拡大)

内部犯行対策、マイナンバー対策をテンプレート化し無償提供、暗号鍵管理の新製品も

 これらの製品はすでに発表、発売済みの製品であるが、CPUの性能向上、2020年の東京五輪に向けた脅威対策への意識の高まり、およびマイナンバーなどの法制度から改めて重要性が高まってきているものだ。そこで日本オラクルは、これらの製品を利用するための「Oracle Database Security スタートアップテンプレート」2種を無償で提供する。

 「内部犯行対策向け無償テンプレート」「マイナンバー対策向け無償テンプレート」は、Oracle Database Vaultなどの製品の導入、設定テンプレートが含まれており、ガイドラインに基づきどのような対策が必要かを判断するヒアリングシートや設計書、構築のためのサンプルスクリプトが含まれる。三澤氏は「マイナンバー対策は1つカラムを増やし、そこにマイナンバーを格納すればいいというものではない(2014年12月11日に公開された)安全管理措置ガイドラインにも、どう守るべきかが明確に書かれている」と述べる。無償テンプレートの公開とともに、日本オラクルとパートナー企業はマイナンバー対応を支援するコンサルティングサービスも提供する。

マイナンバー法によりシステムが対応すべき事項。「アクセス制御により限定」「データの暗号化」「不正アクセスなどの検知」といった記載がある(クリックで拡大)

 さらに、日本オラクルは新製品として、データベースやミドルウエア、サーバーなどの暗号鍵を一元管理する「Oracle Key Vault」の提供を開始する。RACなど、高可用性システムではサーバーごとに鍵管理が必要な上に、PCI DSSなどでは暗号化のための鍵を定期的に更新する必要があるため、暗号鍵を一元化するニーズが高まっていると判断した。価格はOracle Key Vaultが動作するサーバー1台当たり543万4800円から。

「Oracle Key Vault」の概略(クリックで拡大)

Copyright © ITmedia, Inc. All Rights Reserved.

RSSについて

アイティメディアIDについて

メールマガジン登録

@ITのメールマガジンは、 もちろん、すべて無料です。ぜひメールマガジンをご購読ください。