企業がまず守るべきは「データベース」。「予防」「検出」「管理」のアプローチでセキュリティリスクを最小化する：セキュリティのプロが示す、データ保護の原則と最新ソリューション（2/4 ページ）

[PR／＠IT]

PR

データを暗号化／マスキングし、特権管理者を含むユーザーのアクセス権限を厳格に制御する「予防」のソリューション

　まず、セキュリティ侵害の「予防」措置の一つである「暗号化＆リダクション」の機能を担うのが「Oracle Advanced Security」だ。

　Oracle Advanced Securityが提供する機能の一つは、ディスクへの書き込み時やバックアップ時にデータベースの内容を暗号化する機能（「Transparent Data Encryption」）である。既存のアプリケーションには手を加えることなく、データベース暗号化の機能を実装できる点を大きな特徴とする。しかも、暗号化や復号の処理に伴うパフォーマンスの劣化はほとんど生じないという。

（クリックで拡大）

　また、Oracle Advanced Securityはデータベースの完全／部分的／固定的な「リダクション」の機能も提供する。ここでいう「リダクション」とは、いわゆる隠蔽（いんぺい）処理のことを指す。Oracle Advanced Securityでは機密データを含むレコードが参照された際、ユーザーの権限やロールに応じてデータベース内の特定の列をリアルタイムにリダクションすることができる。しかも、このリダクション機能は主要なアプリケーションから透過的に利用できるという特徴を備える。

　一方、「マスキング＆サブセッティング」の機能は「Oracle Data Masking and Subsetting」が担う。これは、アプリケーションデータを必要に応じて、なおかつデータの参照整合性を維持したまま他の文字列に置き換え、その機密性を担保するという仕組みだ。例えば、コールセンターのオペレーターに、業務遂行で必要となる顧客情報だけを見せるような場合に利用する。つまり、「顧客の電話番号は見せるが、クレジットカード番号は見せない」といった具合だ。また、Oracle Data Masking and Subsettingは、Oracle Databaseのみならず、他社のデータベースに適用することも可能だとニーダム氏は補足する。

（クリックで拡大）

　「特権ユーザー＆運用管理者の統制」の機能は「Oracle Database Vault」が提供する。この製品を使うことで、アプリケーションデータに対するデータベース管理者（DBA）のアクセスを制限し、管理者の不正による影響範囲を最小限にとどめることが可能となる。

（クリックで拡大）

　さらに、Oracle Database Vaultでは、DBAの特権／ロールの使用状況を確認し、必要に応じて特権の取り消しや最小化を図ることもできる。また、「Oracle Label Security」を使うことで、「ラベル」によってユーザーとデータを分類し、行レベルのアクセス制御など、さまざまなセキュリティコントロールを行える。

（クリックで拡大）

不正アクセスの「予防」を実現するオラクルのセキュリティソリューション

• Oracle Advanced Security製品情報
• Oralce Data Masking and Subsetting製品情報
• Oracle Database Vault製品情報
• Oracle Label Security製品情報