“攻めと守り”で固めるデータベースセキュリティ──「Oracle Database Vault」と「Oracle Audit Vault and Database Firewall」：特権ユーザーによる内部犯行を効果的に防ぎ、万一の際のトレーサビリティを確保する（2/4 ページ）

[PR／＠IT]

PR

要はデータベースセキュリティ。多様なソリューションでデータを効果的に守る

　それでは、保護すべきは「データベースに格納されたデータ」であるとすれば、それを守るために、どのような対策を施せばよいのか？

　恐らく多くの企業では、DoS（Denial of Service attack）攻撃やアプリケーションの脆弱性を突いた攻撃に対しては、既にある程度の対策を施しているだろう。しかし、前述のように攻撃の手法は年々、多様化しており、次々に新たな手法が生み出されている。特に注意すべきは、対象をピンポイントで攻撃する「標的型攻撃」「未知の脆弱性を狙った攻撃」、そしてデータベースを直接扱える立場にある者による「内部犯行」である。

　米政府機関のセキュリティ関連プロジェクトを創業のルーツとするオラクルは、データベースセキュリティを最重要のテーマに掲げ、そのための技術／ソリューションの開発に多くの資源を投入してきた。下図に示すように、今日では企業のデータ資産を効果的に守るためのソリューションを豊富に取りそろえている。

　これらの中には、データベース内のデータを直接、暗号化する技術や、データベースの特定の行列をマスキング（伏せ字化）する技術、データベースへのアクセスをユーザーのロールや行列のレベルできめ細かくコントロールする技術、さらにはデータベースの操作内容を監視／記録し、不正検知や監査、迅速なインシデント対応を行うための仕組みなどがある。

　オラクルは現在、これらの製品を「予防的統制」と「発見的統制」という二つの概念に沿って体系化し、提供している。

　このうち、予防的統制とは、「情報セキュリティを脅かす行為を、そもそもさせない仕組みを作ること」を指す。この仕組みには、ブロッキングや暗号化、アクセスコントロールなどが該当する。それに対して、後者の発見的統制とは、何か問題が起きた際、それについて後から調査し、誰が何をしたのかを追跡できる状態を作ることを指す。これには、データベースの監査証跡の記録やログ分析などが相当する。

　これら二つの概念は、「攻め」と「守り」の視点で捉えることができる。攻めとは予防的統制であり、それによってデータベースへの攻撃をプロアクティブに抑止した上で、最終防衛となる守りの手段として、監査証跡の記録などによる発見的統制を実施するわけだ。

　両者はいずれか一方だけをやればよいというものではなく、情報セキュリティを考える上では、必ず二つの面を考慮して対策を施す必要がある。オラクルのデータベースセキュリティ製品のどれが予防的統制に対応し、どの製品が発見的統制に対応するのかをまとめたのが次の図だ。

　以降では、データベースアクセスの詳細なコントロールによって攻めのセキュリティ対策（予防的統制）を実現するOracle Database Vaultと、データベースの監視／監査による守りのセキュリティ対策（発見的統制）で威力を発揮するOracle Audit Vault and Database Firewallについて、それぞれの特長を紹介していく。