「改正個人情報保護法」の施行が迫る！ 機密データを効果的に守るためのポイントは？──「オラクル・セキュリティ・フォーラム 2017」レポート：情報セキュリティは企業の“イノベーションを守る楯”（3/4 ページ）

[PR／＠IT]

PR

2018年には「EUデータ保護規則」が施行

　個人情報の海外移転に関しては、2018年に施行される「EUデータ保護規則」も考慮すべき事項だ。これは現行の「EUデータ保護指令」に代わるものであり、「忘れられる権利」や、自分の個人情報を持つ企業に対して他社への移転を要求する「データポータビリティ」が追加されるなど、いくつかの規制強化が図られている。

　違反した場合の罰則も厳しく、悪質な違反と判断された場合は2000万ユーロ（約23億円、2017年4月現在）、もしくは全世界の売上高の最大4％のいずれか高い額を最高額として罰金が課される。EU圏でビジネスを展開している企業は注意すべき点だ。

　また、EUデータ保護規則では、これに対応した仕組みを初めから設計（バイデザイン）して業務に組み込む（バイデフォルト）ことを求めており、自社で監査して何か問題があれば報告すべしとされている。これは企業の情報セキュリティ施策にも大きくかかわる方針であり、今後、各社のIT部門が特に留意すべき点だと言えよう。

データを中心に据えた「多層防御」で機密情報を守る

日本オラクル クラウドテクノロジー事業統括 Database＆Exadataプロダクトマネジメント本部 ビジネス推進部 シニアマネージャーの大澤清吾氏

　佳山氏、上氏の講演に続いては、両セッションで示された情報セキュリティの最新動向も踏まえた対策を実施するためのソリューションが日本オラクルと富士通グループの代表者によって紹介された。

　最初に登壇した日本オラクルの大澤清吾氏（クラウドテクノロジー事業統括 Database＆Exadataプロダクトマネジメント本部 ビジネス推進部 シニアマネージャー）は、上氏が説明した改正個人情報保護法のポイントに改めて言及したうえで、これにシステム側で対応すべき事項として「暗号化」と「ログの収集と監査／検知」、そして「アクセス制御」を挙げた。

　これらの要件に対応しながらバイデザイン／バイデフォルトでシステムおよびデータベースにセキュリティを組み込んでいくアプローチがオラクルのソリューションの特徴だと大澤氏は話す。

　「オラクルは『SECURITY PART OF OUR DNA（セキュリティは企業DNAの1つ）』という社是の下、製品開発の当初からセキュリティを組み込むことに力を入れています。そもそも、オラクルが設立されたきっかけは米国諜報機関のデータベース開発プロジェクトであり、創業時よりセキュリティに重きを置いてきました」（大澤氏）

　この方針の下、オラクルが現在提供しているのが、データを中心とした「多層防御」を実現するためのソリューションだと大澤氏は説明し、既存のアプリケーションを改修することなくデータベースを暗号化できる「Oracle Advanced Security Transparent Data Encryption」や、高度なデータベースアクセス制御を実現する「Oracle Database Vault」、監査／検知を行う「Oracle Audit Vault and Database Firewall」などを紹介した。

「暗号化、アクセス制御が不十分」─アセスメントで見えた日本企業の課題

　また、日本オラクルは改正個人情報保護法に準拠したセキュリティ施策の導入を検討する企業に対してアセスメントサービスも提供しているが、多くの企業の取り組みを支援する中で、各社に共通の課題として、「暗号化やアクセス制御が不十分」であることが分かったと大澤氏は明かす。

　「皆さん、『データベースは暗号化している』とおっしゃるのですが、調べてみると一部の列しか暗号化されていなかったり、本番データは暗号化しているのに、バックアップは平文のまま共有ストレージに置かれていたりといったケースが散見されます。アクセス制御についても、アプリケーションからデータベースにアクセスするユーザーに強い権限が与えられているケースが少なくありません。この場合、もしそのアカウントが盗まれてしまったら、データベースは非常に危険な状態にさらされます」（大澤氏）