三つの重大インシデントが契機。米国防機関が実践する縦深／多層防御、データ中心型のセキュリティとは？：もうシステム／ネットワーク中心のアプローチでは情報を守れない！（3/3 ページ）

[PR／＠IT]

PR

ITのシンプル化、そしてクラウド化が今後の鍵。効果的なセキュリティを実装したサービスの活用を

　もちろん、米軍のような極めて大規模な組織がデータ中心型の縦深防御を具体化する上で、乗り越えるべき課題は少なくない。その一つは情報資産の棚卸であり、「重要度に応じた情報資産の格付け」（松岡氏）が必要になる。また、データセンターの統合化やサーバーの集約化も含めたIT環境のシンプル化、そしてクラウド化も大きな鍵となるようだ。

　実際、米国防総省は2012年の時点でIT環境の全面クラウド化のロードマップを描いている。

　2012年当時、米軍のIT環境は複雑を極めていた。多数の情報システムが個々にサイロ化し、セキュリティ対応状況はバラバラであった。しかも、それぞれのセキュリティ状況を適宜把握することができない中で、年々システムの数が増え続け、機能の重複も進んでいたのだ。

　これに関して松岡氏は、サイバー軍の司令官を務めていた米陸軍のキース・アレクサンダー元大将（NSA長官も兼務）による当時の発言を次のように引用する。

　「われわれは、個別に管理されている1万5000ものエンクレーブ（サブネット領域）を保有している。その結果、個々の領域は独立した領地のようになっており、防御に責任を持つ者がファイアウオールを超えて深部をチェックすることができない状況に陥っている。ホストベースのセキュリティシステムは助けにはなるが、状況認識（SA：Situation Awareness）はない」

　IT環境がこのように混乱した状況にあるとしたら、データのセキュリティコントロールを厳格に行っていくのは難しい。「だとすれば、『データセンターの統合やサーバーの集約化を推し進め、データ中心の縦深防御を実行しやすい環境を整えるべし』との結論におのずと至るでしょう。併せて、セキュリティスタックのサービス化（Security as a Service）によってシステム横断的な防御を図り、各ノードの防御は必要最低限のシンプルなものにするのが理想的です」と松岡氏は語り、次のようなアーキテクチャイメージを掲げた。

　松岡氏によれば、このセキュリティアーキテクチャの中核を担うのが、オラクルのデータベースクラウドサービス「Oracle DBaaS」であり、またID管理クラウドサービス「Oracle IDaaS」である。前者はパブリッククラウド上で高度なセキュリティに守られたデータベースを提供するサービス、後者はOracle Cloudを含むインターネット上の各種サービスへの厳格なアクセスコントロールと、その一元管理を実現するサービスである。

　つまり、散在するサーバー／データベース群を全てOracle DBaaSに集約することで、データのラベル（格付け）に応じたアクセスコントロールをはじめ、データベースの暗号化、データアクセスの認証や監視／監査、特権分掌、アノマリ型での検知／警報など、データ中心型の防御を包括的に講じることができるのだ。

　また、Oracle IDaaSを使い、ロールベースのアクセスコントロールに加えて、属性ベースのアクセスコントロールを適用する必要がある。松岡氏は、「そうしなければ、今後のサイバーリスクに対応していくのは難しいでしょう」と最後に注意を促して講演を締めくくった。

　米軍担当者らも認めている通り、高度化するサイバー攻撃や内部不正の前では、いかに水際の施策を強化したところで、情報漏えいを防ぐことはできない。米政府機関のセキュリティ関連プロジェクトを創業のルーツとし、米国をはじめ各国の政府／国防機関に対しても最新のデータベースセキュリティ技術を開発／提供し続けてきたオラクル。その技術を活用したデータ中心型の縦深防御は、政府／国防機関のみならず、民間の企業／組織のデータ保護においても大きな威力を発揮するだろう。

関連情報

• Oracle DBaaS
• オラクルのデータベースセキュリティ

関連記事

• セキュリティのプロが示す、データ保護の原則と最新ソリューション：企業がまず守るべきは「データベース」。「予防」「検出」「管理」のアプローチでセキュリティリスクを最小化する
• ポイントは「業務／ロール単位」での確実なアクセス制御：ガイドライン策定者が教える、マイナンバー対応で企業が取るべき対応とIT施策
• 全ての企業が対応必須：DBセキュリティ見直しにも影響するマイナンバー安全管理の“要件”と“盲点”
• 今やるべきデータベースセキュリティ対策：内部犯行から効果的に情報を守る方法とは？