「隠れSQL Server」、まさかこんな場所に……“詳しい人”も見落としがちな対策の落とし穴(3/4 ページ)

» 2015年12月04日 19時00分 公開
[岩城俊介@IT]

サポート終了を機に、セキュリティ対策とコンプライアンスを見直す

 マイクロソフト製品のサポート終了とは、あらためてどういうことか。2014年4月のWindows XPとOffice 2003、2015年7月のWindows Server 2003が記憶に新しい。SQL Server 2005も同じだ。

 具体的には、セキュリティ更新プログラムや製品に関するサポートが提供されなくなり、仮に重大な脆弱(ぜいじゃく)性が発見されたとしても対策されなくなる。また、マイクロソフトのサポート終了に合わせ、サードベンダーのハードウエアやソフトウエア製品のサポートも順次終了する。時間と共に未対応の脆弱性が蓄積し、脅威に対して丸裸になる。自社のセキュリティを脅かし、ビジネスリスクになるいうことだ。



 サイバー攻撃は日々激しさを増し、手口も巧妙になっている。これまでの愉快犯的攻撃から、近年は明確に「金銭奪取」を目的とする攻撃を行う。セキュリティ対策はサーバー単位、担当者単位ではなく、企業単位、CEOレベルで対処すべき重要な課題なのは言うまでもない。“なぜサポートを終えるのか”“なぜ新バージョンへの移行が必要か”の根幹もここにある。

photo
photo “なぜサポートを終えるのか”“なぜ新バージョンへの移行が必要か”の根幹となる、マイクロソフトが示した「データ保護とセキュリティのポイント」

 SQL Server 2005の移行対策に限らず、マイクロソフトはデータ保護とセキュリティ対策を「監査」「保護」「ポリシー」の観点で実施すべきと説明する。“監査”はアクセス監視などさまざまな監査ニーズに対応するための施策、“保護”はデータをどう保護するかの観点で、エンドツーエンドの暗号化でデータを保護し、情報漏えいを防ぐ施策、“ポリシー”は統一したセキュリティポリシーを定め、内部統制のために、例えばサーバー管理者とデータ管理者の権限を分離するといった施策。これらを行うことで、情報セキュリティ、プライバシー、信頼性などの項目を順守する「コンプライアンス」につながるという考え方だ。

 例えば、最新の「SQL Server 2014」は、FIPS 140-2、PCI DSS、HIPAA、ISO/IEC 15408といった暗号モジュールに関するセキュリティ要件、クレジットカード取引の安全性、コンピューターセキュリティ要件に関する国際規格、医療情報のセキュリティ要件に関する米国法におけるコンプライアンス基準を満たしている。「SQL Server 2014を使っていただくことで、皆さんの会社もこの基準を満たせることになる、ということです」(日本マイクロソフト 業務執行役員技術統括室ディレクターの田丸健三郎氏)

Copyright © ITmedia, Inc. All Rights Reserved.

スポンサーからのお知らせPR

注目のテーマ

Microsoft & Windows最前線2025
AI for エンジニアリング
ローコード/ノーコード セントラル by @IT - ITエンジニアがビジネスの中心で活躍する組織へ
Cloud Native Central by @IT - スケーラブルな能力を組織に
システム開発ノウハウ 【発注ナビ】PR
あなたにおすすめの記事PR

RSSについて

アイティメディアIDについて

メールマガジン登録

@ITのメールマガジンは、 もちろん、すべて無料です。ぜひメールマガジンをご購読ください。