企業がまず守るべきは「データベース」。「予防」「検出」「管理」のアプローチでセキュリティリスクを最小化する：セキュリティのプロが示す、データ保護の原則と最新ソリューション（1/4 ページ）

内部不正やサイバー攻撃による情報漏えいの増加、マイナンバー制度のスタート、個人情報保護法の改正などを背景に、企業が情報セキュリティ強化に取り組む機運が高まっている。具体的な対策を検討／実施する際、何よりも重視すべきことは何か、どのようなアプローチを採るべきか──無駄なく、漏れなく、適切なセキュリティ施策を打つためのポイントがある。[セキュリティ対策][Database Security]

[PR／＠IT]

PR

いまだ脆弱（ぜいじゃく）な企業のデータベース。原因はDBセキュリティに未対応なソリューションの採用

米国オラクル データベースセキュリティ プロダクトマネジメント シニアディレクターのポール・ニーダム氏

　世界各国で深刻な情報漏えい事件が頻発し、加えて国内では「マイナンバー制度」の運用開始が2016年1月に迫っている現在、日本の企業／組織における情報セキュリティ強化の必要性はかつてないほど高まっている。

　言うまでもなく、デジタル化された企業の機密情報は、その多くがRDBMSをはじめとするデータベースシステムで管理されている。今後、企業や行政機関が社員／国民のマイナンバーを管理していく“器”も、これまでと同様にデータベースシステムになるはずだ。従って、サイバー犯罪者の最終的な攻撃対象も、そして内部不正が行われる対象も、最終的にはデータベースシステムに集中すると予想される。

　「ところが、ユーザー企業のデータベースシステムの多くは、セキュリティ攻撃に対する防備がいまだ不完全であり、巧妙なサイバー攻撃や内部不正によって重要なデータが抜き取られてしまうケースが少なくありません。実際、米国ベライゾンがまとめた2014年の情報漏えい調査リポートによれば、データベースからの個人情報漏えいは2005年の5300万レコードから2014年には2億5000万レコードに増大しているのです」と米オラクルでデータベースセキュリティ製品担当シニアディレクターの任に当たるポール・ニーダム氏は警鐘を鳴らす。ニーダム氏は2015年4月、日本オラクルが都内で開催した「Oracle CloudWorld Tokyo 2015」の講演のために来日し、初日に実施されたデータベースセキュリティ関連のセッションでスピーカーを務めた。

　ニーダム氏によれば、今日提供されているITセキュリティソリューションの約80％はデータベースのセキュリティに対応しておらず、通常のセキュリティツールだけでデータベース内のデータを守ることは困難だという。そのため、例えばSQLインジェクション（不正なSQLを適正なSQL発行のルートに混入させて実行する不正行為）によって重要なデータが不正に奪取されるケースが後を絶たないのだ。

　また、ニーダム氏はサイバー攻撃よりも深刻な脅威として内部不正の問題に言及し、次のように警告を発する。

　「ベライゾンが2013年に公表した情報漏えい調査リポートでは、情報漏えいの約7割は機密情報へのアクセス権限を持ったスタッフによる内部犯行だとされています。この種の犯行は、もちろん一般的なセキュリティプログラムでは防げませんし、特にデータベースの管理者権限を持つスタッフによる不正行為は企業に甚大な被害をもたらします。そのため、データベース利用において、一人の人間に多くの権限（特権）を与えるのは非常に危険なことなのです」

（クリックで拡大）

セキュリティリスクを最小化するための「予防」「検出」「管理」のアプローチ

　それでは、企業はデータベースのセキュリティリスクをどのようにして最小化すればよいのだろうか。ニーダム氏によれば、オラクルはデータベースセキュリティを確保（制御）するためのアプローチを「予防」「検出」「管理」の三つに分け、それぞれに最適なソリューションを次のようにマッピングして提供しているという。

【予防】

• 暗号化＆リダクション
• マスキング＆サブセッティング
• 特権ユーザー＆運用管理者の統制

【検出】

• アクティビティの監視
• データベースファイアウォール
• 監査＆レポーティング

【管理】

• 鍵管理
• 特権管理＆データディスカバリ
• 構成管理

（クリックで拡大）

　ニーダム氏は今回、上記の各ソリューションについて、オラクルの製品をマッピングしながら具体的な説明を加えた。以降では、その要旨を紹介する。