攻撃者が狙うのはデータベース、それなのに「データベース保護の対策が見落とされがち」ではありませんか？：Database Watch（2016年5月版）（3/3 ページ）

[加山恵美，＠IT]

セキュリティ対策は“全体”を見通して考え、職務分掌する

　ウィリアムズ氏はこれらの対策の意味を説明しながら、データベースセキュリティを考える上でも

• セキュリティ対策は“全体で考えること”
• 職務分掌

　の2つが重要と言います。

　「各種セキュリティ対策製品はあくまでも“全体の1つ”として捉え、全体を見渡すことが重要であるということ。そして、データベース管理者にはデータベースを管理するのに必要な権限のみ、アプリケーション利用者ならばその人の業務範囲内のデータのみを開示するなどといったように、業務の権限や役割に応じてアクセスできるデータを正しく分けることが肝要です。

　データベース管理、アプリケーション管理、OS管理など、1人があれもこれもできてしまう体制は極めて危険です。きちんと権限を分散する必要があります。しかし、それは簡単ではないのも理解しています。企業文化を変えるほどの困難を伴うこともあるでしょう。

　それでも、セキュリティのためには、やる必要があります」（ウィリアムズ氏）

データベースに対するアクティビティーの監視と防御

　前述した「5つの対策」と共に、データへのアクセスが許可されたユーザーだとしても、ゴールドやプラチナに区分される機密データは、特に厳重に監視する必要があります。内部不正も含めた不正アクセスの検出のため、例えばオラクルでは、データベースに対するアクティビティーの監視と防御を行う「Oracle Audit Vault and Database Firewall」を用意しています。

「Oracle Audit Vault and Database Firewall」で対策できること（出典：オラクル）

　ファイアウォール「Oracle Database Firewall」は、「データベースに投げられたSQL」を解析して、その通信を許可するか否かを判断します。例えば、SQLインジェクション攻撃のような不正なSQLをブロックできます。Oracle Databaseの他に、Microsoft SQL Server、SAP ASE（Adaptive Server Enterprise）、IBM DB2、MySQLなどのデータベースソフトウェアにも対応しています。

　監査サーバである「Oracle Audit Vault」では、データの参照、追加、変更といったデータベースへのアクティビティーを監視してイベントやログを収集し、早期の不正発見と対策につながるレポートを作成したり、アラートを出したりすることができます。