それでは、保護すべきは「データベースに格納されたデータ」であるとすれば、それを守るために、どのような対策を施せばよいのか?
恐らく多くの企業では、DoS(Denial of Service attack)攻撃やアプリケーションの脆弱性を突いた攻撃に対しては、既にある程度の対策を施しているだろう。しかし、前述のように攻撃の手法は年々、多様化しており、次々に新たな手法が生み出されている。特に注意すべきは、対象をピンポイントで攻撃する「標的型攻撃」「未知の脆弱性を狙った攻撃」、そしてデータベースを直接扱える立場にある者による「内部犯行」である。
米政府機関のセキュリティ関連プロジェクトを創業のルーツとするオラクルは、データベースセキュリティを最重要のテーマに掲げ、そのための技術/ソリューションの開発に多くの資源を投入してきた。下図に示すように、今日では企業のデータ資産を効果的に守るためのソリューションを豊富に取りそろえている。
これらの中には、データベース内のデータを直接、暗号化する技術や、データベースの特定の行列をマスキング(伏せ字化)する技術、データベースへのアクセスをユーザーのロールや行列のレベルできめ細かくコントロールする技術、さらにはデータベースの操作内容を監視/記録し、不正検知や監査、迅速なインシデント対応を行うための仕組みなどがある。
オラクルは現在、これらの製品を「予防的統制」と「発見的統制」という二つの概念に沿って体系化し、提供している。
このうち、予防的統制とは、「情報セキュリティを脅かす行為を、そもそもさせない仕組みを作ること」を指す。この仕組みには、ブロッキングや暗号化、アクセスコントロールなどが該当する。それに対して、後者の発見的統制とは、何か問題が起きた際、それについて後から調査し、誰が何をしたのかを追跡できる状態を作ることを指す。これには、データベースの監査証跡の記録やログ分析などが相当する。
これら二つの概念は、「攻め」と「守り」の視点で捉えることができる。攻めとは予防的統制であり、それによってデータベースへの攻撃をプロアクティブに抑止した上で、最終防衛となる守りの手段として、監査証跡の記録などによる発見的統制を実施するわけだ。
両者はいずれか一方だけをやればよいというものではなく、情報セキュリティを考える上では、必ず二つの面を考慮して対策を施す必要がある。オラクルのデータベースセキュリティ製品のどれが予防的統制に対応し、どの製品が発見的統制に対応するのかをまとめたのが次の図だ。
以降では、データベースアクセスの詳細なコントロールによって攻めのセキュリティ対策(予防的統制)を実現するOracle Database Vaultと、データベースの監視/監査による守りのセキュリティ対策(発見的統制)で威力を発揮するOracle Audit Vault and Database Firewallについて、それぞれの特長を紹介していく。
Copyright © ITmedia, Inc. All Rights Reserved.
提供:日本オラクル株式会社
アイティメディア営業企画/制作:@IT 編集部/掲載内容有効期限:2015年10月3日
驚異的なパフォーマンス、優れた運用効率、最高の可用性とセキュリティ、クラウド対応を実現するOracle Exadataとの統合、クラウド、可用性や運用管理など、次世代データベース基盤構築のために参考になる必見資料をまとめてご紹介いたします。