「狙われているのはデータ」──企業の機密情報、個人情報を効果的に守るには?データベースセキュリティの勘所(3/6 ページ)

» 2015年11月24日 07時00分 公開
[PR/@IT]
PR

重要な情報を守るために採り入れるべき「データの防御」という考え方

 最後に室木氏は、入り口だけでなく内部や出口も含めた「多層防御」の考え方が重要であること、また次々に登場する新たな脅威に対抗するには、セキュリティ運用のさらなる強化が必要であることを強調した上で、「外部から侵入されるということは、端末を乗っ取られ、攻撃者が自由に操作できるということであり、これを防ぐアプローチは内部犯行と同じ考え方に基づきます。つまり、重要な情報が散乱し、内部の人間が誰でもアクセスできる状態を回避する必要があるのです。それには、本当に重要な情報については『データの防御』という考え方を採り入れ、大切な情報を整理し、堅牢なシステムで保管した上で、業務上、必要最小限の情報だけにアクセスできるようにするなど、内部犯行対策と同様の対策を施す必要があるでしょう」とアドバイスしてセッションを終えた。

米国で起きた8000万件の情報漏えい事件。その重大な問題点とは?

日本オラクル クラウド・テクノロジー事業統括 クラウド・テクノロジー製品戦略統括本部 Database/EM/Securityプロダクトマーケティング部 シニアマネージャーの大澤清吾氏

 次に「最終的に狙われる『情報資産』を企業はいかに守るべきか〜データ中心の縦深(多層)防御の考え方とその仕組み〜」と題して講演を行ったのは、日本オラクルの大澤清吾氏(クラウド・テクノロジー事業統括 クラウド・テクノロジー製品戦略統括本部 Database/EM/Securityプロダクトマーケティング部 シニアマネージャー)だ。

 セッションの冒頭、大澤氏は昨今起きている情報漏えい事件を幾つか紹介した。その一つが、約8000万件の情報漏えいが発生した海外の医療保険会社の事例だ。データベースの管理者アカウントが第三者に奪取され、それを使って情報が窃取されたというこの事例の重大な問題点は、「データベース管理者のアクセス制御をしていなかった」ことである。

 「最近のサイバー攻撃では、管理者権限を持つアカウントが奪取され、不正アクセスが行われるケースが増えています。特に個人情報を大量に保管しているデータベースは標的になりやすいため、万が一、データベース管理者アカウントが乗っ取られたとしても、重要な情報にはアクセスできない仕組みを作ることが何よりも重要です」(大澤氏)

 大澤氏が紹介したもう一つの事例は、医療機関で起きた約450万件の情報漏えい事件だ。個人情報を格納したシステムに不審なアクセスの痕跡が見つかったことから明らかになったこの事例の重大な問題点は、「データベースが暗号化されていなかった」ことである。

 「米国では、医療保険に関する法律『医療保険の相互運用性と説明責任に関する法律(HIPAA)』において、プライバシーを保護するためにデータの暗号化が推奨されていますが、強制力はありませんでした。この企業では、残念ながらデータが暗号化されていなかったため、顧客の住所や氏名、生年月日などに加えて、社会保障番号まで盗み出されてしまったのです」(大澤氏)

 日々、世界中から大量のサイバー攻撃を受けていることから、米国の政府機関では1999年よりネットワーク中心型のセキュリティ対策が進められてきた。しかし、それだけでは不十分であるため、現在はデータセントリック、つまり「データ中心型」のセキュリティ対策が推進されていると大澤氏は説明し、その一例として米国防総省が採っている縦深防御を紹介した。

 「国防総省では、オンプレミスとクラウドのいずれにも適用可能なセキュリティアーキテクチャを整備しています。その中では、物理的なセキュリティ対策やネットワークセキュリティ、IDアクセス管理に加えて、データセキュリティをしっかりと行うことが指示されています」(大澤氏)

Copyright © ITmedia, Inc. All Rights Reserved.


提供:日本オラクル株式会社
アイティメディア営業企画/制作:@IT 編集部/掲載内容有効期限:2015年12月23日

関連情報

驚異的なパフォーマンス、優れた運用効率、最高の可用性とセキュリティ、クラウド対応を実現するOracle Exadataとの統合、クラウド、可用性や運用管理など、次世代データベース基盤構築のために参考になる必見資料をまとめてご紹介いたします。

RSSについて

アイティメディアIDについて

メールマガジン登録

@ITのメールマガジンは、 もちろん、すべて無料です。ぜひメールマガジンをご購読ください。