「データベースのセキュリティ対策」の現状で、ぜひ知ってほしい数値があります。
筆者の所属する日本オラクルでは、「Oracle Databaseセキュリティ・リスク・アセスメント」と呼ばれるサービスを提供しています。これは、データベースシステムに脆弱な設定はないか、過度の権限の付与を行っていないか、などの項目を「データベースを守る」観点で診断していくものです。
実はこのサービスを利用した企業のうち、2017年5月末時点の調査において日本で「データベースのセキュリティ対策を考慮していたシステム」だった割合は「20%程度」でした。企業のデータベースセキュリティ対策はまだ浸透していないのが現状といえます。
このサービスは現行システムの本番環境に対して実施するもので、アセスメント対象のデータベースシステムは「Oracle Database 11g R1(以下、11g R1)」と「同11g R2」が多くを占めています。11g R1のリリースは2007年8月、11g R2のリリースは2009年9月、次のメジャーバージョンであるOracle Database 12c R1(以下、12c R1)のリリースは2013年6月なので、2017年6月時点で、11g R2を利用している比較的新しいシステムでも12c R1のリリース以前となる「4年以上前」、11g R1を利用している古いものでは11g R1がリリースされた「10年前に設計されたシステム」ということになります。
2007年当時は、まだ「まずはネットワーク層でのセキュリティ対策を導入する」といったフェーズだったことから、データベースでのセキュリティ対策はほとんど考慮されていないことは仕方がないことかもしれません。また、他社のデータベースシステムを含めるといくらか数値は変わるでしょう。しかし2017年現在も、多くの未対策データベースが本番システムとして稼働している現実は変わらないはずです。
その一方で、データベースのセキュリティリスクアセスメントを受ける企業は日に日に増加しています。実対策はまだかもしれません。しかし、データベースのセキュリティ対策が必要と理解し、今、そのさまざまなシステムで対策計画が進みつつあるのもまた事実なのです。
多発する近年の情報漏えい事件を受けて、「各種法律・法令」や「それに伴うガイドラインなどのコンプライアンス要件」に、データやデータベースに対するセキュリティ対策や、ネットワークレイヤー以外のレイヤーでもセキュリティ対策を実施する多層防御の考え方が記載され始めています。
例えばベネッセの大規模な情報漏えい事件があった2014年には、監督官庁である経済産業省が『個人情報の保護に関する法律についての経済産業分野を対象とするガイドライン』を改訂し、データベースへのアクセス制御、管理者権限の分割などが追記されました。
また、日本年金機構の情報漏えい事件があった翌年の2016年には、内閣サイバーセキュリティセンター(NISC)による『政府機関等の情報セキュリティ対策のための統一基準群』へ、データベースに対するセキュリティ対策(管理者権限分割、アクセス制御、監査・検知、暗号化)という項目が具体的に追記されました。
このように、新しい高度な攻撃から重要なデータを保護する対策はもちろん、これらの新しい法律やガイドラインに対応する(つまり、対策が必須となる)ことも視野に入れ、今後、データベースのセキュリティ対策を考慮し、実践していくことが強く望まれるようになります。
次回は、この各種法令やガイドラインに「データベースセキュリティ」が具体的にどう記載されているのかを解説します。
日本オラクルでセキュリティ関連のプロダクトやソリューションを長年担当。出荷前製品検証からプリセールス、コンサルティングと、さまざまな部署を転々とするも担当はだいたいいつもデータベースセキュリティかIDマネジメント。出荷前から構築、運用、トラブル対応まで製品の一生を見守るエンジニア
Copyright © ITmedia, Inc. All Rights Reserved.