情報の盗難や流出が頻発する中、データベースを安全に保つには何をすべきなのだろうか。
スロバキアのセキュリティ企業ESETは2017年11月8日(現地時間)、情報の盗難や流出が頻発していることを踏まえ、データベースを安全に保つ5つのコツを公式ブログで紹介した。
以下、内容を抄訳する。
プライバシーやセキュリティの対策に関するアドバイスとして通常取り上げられるのは、強力なパスワードを設定する、データをバックアップする、セキュリティアプリケーションを利用する、システムを最新に保つ、デフォルト設定をそのまま使わない、などだ。
これらは、全てのシステム管理者が考えなければならない基本的な対策だ。だが、保護したいシステムによって、これら以外にも考慮すべきさまざまな問題がある。
データベースに関しては、安全に保つコツとして以下の5つが挙げられる。
データベースのセキュリティを考えると、権限や特権は制限すればするほどよい。厳密なアクセス制御は情報保護の第一歩だ。だが、基本的なシステム権限だけでなく、以下も考慮するとよいだろう。
使われていないサービスやプロシージャを全て無効にするのも賢明だ。これによって、攻撃への悪用を防げる。またデータを攻撃者に直接アクセスさせないため、データベースをインターネットに接続していないサーバ上に置くようにするのも1つの手段だ。
保護技術やツールを検討する前に、保護すべき重要情報を特定する必要がある。全てのデータが重要で、保護する必要があるとは限らないからだ。また、どこに、どのように機密データを保存すべきか判断しやすくするため、データベースのロジックとアーキテクチャを理解することも重要である。
社内の全データベースを常にリストアップし、記録しておくこともお勧めする。情報を効果的に管理し、失うのを避けるのに役立つ。またこれは、重要なデータベースがバックアップ対象から漏れるのを防ぐのにも有効だ。
機密データを特定したら、堅牢なアルゴリズムを使って暗号化するとよい。データベースを保護する最善策は、無許可でアクセスする人に内容を読めなくすることだ。
開発環境やテスト環境では、本番データベースのコピーが使われることが多い。だが、これらの環境は管理が甘くなりがちなため、データベース内の機密情報が危険にさらされかねない。
データベースの似たバージョンを作成し、元のものと同じ構造を維持しながら、機密データを改変するプロセスの「マスキング」または「匿名化」は、データベースの有効な保護方法であり、特に開発環境やテスト環境で使われている。
データベースの操作やデータの移動を追跡して記録すれば、どの情報がいつ、どのように、誰によって扱われたかが把握でき、情報流出、不正な変更、不審な操作の発見につなげることができる。
Copyright © ITmedia, Inc. All Rights Reserved.