オラクルが考えるクラウドは「セキュリティなしにはあり得ない」――故意、事故から大事なデータを守るためにできることについて、日本オラクルの取り組みが紹介された。
情報漏えいだけでなく、データの破壊、改ざんからどう守るか――日本オラクル社長の杉原博茂氏は、データベース側にセキュリティが実装されることを「オラクルに課せられた使命」と述べる。日本オラクルは2015年2月23日、これまで提供してきた製品を改めて紹介するとともに、性善説にとらわれないセキュリティ対策にどう取り組んでいるかの解説を行った。
日本オラクルの取締役 代表執行役社長の杉原博茂氏は、社長就任時に同社のビジョンとして「No.1 Cloud Company(ナンバーワンのクラウド企業)」を掲げていた。この実現において、セキュリティは重要なポイントであると杉原氏は述べる。
日本においては12年前の2003年から個人情報保護法が施行され、2014年の改正では新たにデータセキュリティの記載が追記されている。さらに2015年秋からマイナンバー制度も運用を開始するなかで、最も重要な「データ」がサイバー脅威に狙われるという状況だ。そこで、日本オラクルは改めて「データ中心のセキュリティ」を提唱する。
日本オラクル 副社長執行役員 データベース事業統括の三澤智光氏は、従来のセキュリティを「性善説に基づいた実装」で「ネットワーク中心の対策」だったと述べる。それに対し、これからのあるべきセキュリティは、悪意のあるものが企業内に入り込んでくるという前提で「データ中心の対策」を行うべきであるとした。「これまでの実装では、次々と作られるアプリケーションごとにセキュリティポリシーが存在していた。法制度改正ごとに改修するのは非現実的。データベースによるセキュリティ実装では、データベース側にセキュリティポリシーを作ることで、短期間、低コストで実装できるだけでなく、データベースへの不正侵入にも対応可能だ」(三澤氏)。
データベースによるセキュリティ実装のために、日本オラクルは「データの暗号化」「アクセス制御」「検知」の仕組みを施し、多層防御を実装するための製品を用意している。三澤氏は続いて三つのソリューションを紹介した。
Database Vaultはデータベース管理者の権限を分散、コントロールするための製品だ。この製品を利用することで、例えば協力会社に所属するデータベース管理者に対し、データ閲覧を制限しつつ、チューニングや運用管理機能だけを開放することが可能になる。三澤氏はこの製品を導入している企業としてヤフーを挙げ、「Database Vaultを導入することで、ヤフーの情報システム部は個人情報にアクセスできなくなった。万が一情報漏えい事件が発生したとしても、ヤフーの情報システム部のメンバーは犯人ではないことを証明できる」と述べた。
データの暗号化を行うTDEについて三澤氏は、「データベースの暗号化はアプリケーションに手を加えないといけないこと、パフォーマンスが大幅に劣化することなどから、これまでは避けられてきた手法だ。しかし、オラクルはExadataなどに搭載したCPUの機能により、パフォーマンス劣化がほとんどない。いまや、データベースを暗号化しないという選択肢はない」と述べる。
システムログ収集については、データベースファイアウオールを利用することを三澤氏は推奨する。SQLの構文解析を行えることで、不正なSQLを混入させるような攻撃もブロックできる。また、その攻撃の状況、およびデータベースの操作ログなどをAudit Vault Serverに集約することで、例えば特定のアドレスから不正なSQLが発行されていることや、深夜の時間帯にDBAがエクスポートを何度も行うといった行動に対し、アラートを適切に発行できる。
これらの製品はすでに発表、発売済みの製品であるが、CPUの性能向上、2020年の東京五輪に向けた脅威対策への意識の高まり、およびマイナンバーなどの法制度から改めて重要性が高まってきているものだ。そこで日本オラクルは、これらの製品を利用するための「Oracle Database Security スタートアップテンプレート」2種を無償で提供する。
「内部犯行対策向け無償テンプレート」「マイナンバー対策向け無償テンプレート」は、Oracle Database Vaultなどの製品の導入、設定テンプレートが含まれており、ガイドラインに基づきどのような対策が必要かを判断するヒアリングシートや設計書、構築のためのサンプルスクリプトが含まれる。三澤氏は「マイナンバー対策は1つカラムを増やし、そこにマイナンバーを格納すればいいというものではない(2014年12月11日に公開された)安全管理措置ガイドラインにも、どう守るべきかが明確に書かれている」と述べる。無償テンプレートの公開とともに、日本オラクルとパートナー企業はマイナンバー対応を支援するコンサルティングサービスも提供する。
さらに、日本オラクルは新製品として、データベースやミドルウエア、サーバーなどの暗号鍵を一元管理する「Oracle Key Vault」の提供を開始する。RACなど、高可用性システムではサーバーごとに鍵管理が必要な上に、PCI DSSなどでは暗号化のための鍵を定期的に更新する必要があるため、暗号鍵を一元化するニーズが高まっていると判断した。価格はOracle Key Vaultが動作するサーバー1台当たり543万4800円から。
Copyright © ITmedia, Inc. All Rights Reserved.