データベース管理の現場にも求められる「情報漏えい対策」という課題――「安定稼働」と「データ保護」は両立できるのかデータベース管理者にデータセキュリティの意識が求められる理由

頻繁に発生するサイバー攻撃によって「データそのものを守ること」の重要性が再認識されている。データベース管理の現場にも厳密な対策が求められるようになっているが、データベース管理者としては、データベースの安定稼働もないがしろにはできない。セキュリティと安定稼働を両立させる方法とは。

» 2023年06月07日 10時00分 公開
[PR/@IT]
PR

 サイバー攻撃によって企業システムに保存されていたデータが流出する事件が後を絶たない。金銭目的、あるいは国家組織を後ろ盾とする犯罪者がさまざまな手段を用いてデータを盗み出し、企業を脅迫して金銭を手に入れるなど、世の中に不安をばらまいている。それに伴い、企業の情報統制に関する目線も厳しくなっている。企業に預けた個人情報が意図せず公開状態にされる、内部情報が搾取、売却されるといったことになれば、社会的な批判は免れないだろう。

 こうした事態に対して政府は手をこまねいてきたわけではない。2022年に施行された改正個人情報保護法では、サイバー攻撃を受けて情報漏えいが起きた場合、速やかに個人情報保護委員会に報告し、顧客や関係者に通知することが求められるなど、一段と強い規制を課した。世界に目を向けると、EU(欧州連合)の「GDPR」(一般データ保護規則)では、個人情報漏えいの責任が問われると多額の制裁金を負う恐れがある。韓国の個人情報保護法では、適切な保護措置を怠った企業の経営層に対して刑事責任を問う規定まで定められている。海外で事業を展開する場合、こうした情勢に留意し、データをいっそう慎重に扱う必要がある。

 このように、企業に求められるセキュリティ対策の水準は、社会的にはもちろん、法規制面でも高まってきた。風向きの変化を受け、かつては「セキュリティのことはIT担当者に任せておけばよい」と考えていた経営層も、積極的にセキュリティ対策を指示するようになっている。

 ただ、セキュリティ対策といっても幅広く、まずは組織の体制整備や従業員の教育といった取り組みに加え、具体的かつ技術的な対策を組み合わせて推進する必要がある。そして、デジタル社会を支えるデータの保護という観点から、「守るべきデータはどこにあるのか」を把握した上で、データそのものを守ることが重要だ。

クラウドの普及によって「データ保護」の考え方も変化

 代表的なデータ保護の方法として“暗号化”がある。データ、特に個人情報が格納されるデータベースの暗号化は、クラウドの普及に伴うIT環境の変化を見ても不可欠といえる。

 かつてセキュリティは、外側と内側を分け、外から入ってくる危険なものを排除する「境界型防御」によって成り立っていた。このため、「安全」とされるネットワーク内部に置かれることの多いデータベースは、「安定稼働」が第一優先で、セキュリティ対策の優先度はそこまで高くなかった。

 ペンタセキュリティシステムズの美濃部 崇氏(プリンシパルセキュリティコンサルタント、CISSP<Certified Information Systems Security Professional>認定者)は「一般的に、データベースを社内ネットワークに置く企業は、そこへのアクセス管理がおろそかになりがちです。特定のユーザーアカウントに必要以上に多くの権限を付与していたり、退職者のシステム権限が放置されて残っていたりといった例も散見されます。システム全体として見た場合、それらが脆弱(ぜいじゃく)性となり、情報漏えいにつながった事例が多々あります」と指摘している。

画像 ペンタセキュリティシステムズの美濃部 崇氏

 しかしこの10年あまりで、変化する市場ニーズに合わせて素早く、柔軟に新しいサービスを提供する基盤として、クラウドサービスが急速に普及した。基幹システムの移行に伴い、データベースをクラウドにマイグレーションする事例も増えている。データベースは、安全に守られてきた“壁”の内側ではなく、企業の外側でも稼働するようになった。

 ポイントは、そのデータベースが稼働している物理基盤(ハードウェアやネットワークなど)のセキュリティをクラウド事業者が保証していたとしても、アプリケーションやデータベースに保存されるデータの保護は、クラウドを利用する企業の責任となることだ。

 「『責任共有モデル』によって、クラウドを活用しながらデータのセキュリティをどう確保するかという課題も浮上しています。そうした背景もあり、暗号化はデータ保護の対策として有効な手段です」(美濃部氏)

「これ」という解決策が見当たらなかった、データベース暗号化

 だが、問題はその方法だ。暗号化が必要だと判断しても、すぐにふさわしい方法が見つかるわけではない。IT担当者としては安定稼働の優先度は落とせないため、それとセキュリティをどう両立させるかが課題となる。特に、多くのデータが保管されているデータベースの暗号化となるとさらに選択肢は狭まる。

 まず思い浮かぶのは、データベースのAPIを利用して暗号化のロジックを組み込む方法だ。これにはアプリケーションの改修が不可欠で、その工数やコストをどう捻出するかが課題となる。また暗号化の実装には、暗号鍵の生成や管理といったセキュリティ全般の高度な知識が必要だ。安易な実装では簡単に破られ、かえって痛い目を見る恐れがある。現に韓国では、ある大手キャリアが独自に実装した暗号化方式を破られ、大量の個人情報漏えいにつながったケースが報じられている。

 もう1つは、OracleやMicrosoftなどのベンダーが提供する暗号化機能を採用する方法だ。この方法であれば、前述したような導入時の課題は解決できる。ただその場合、「より高機能な上位エディションへの移行が必要」「暗号化対象はデータファイルに限定される」といった制約がある。

 また、データベースベンダーが提供する「TDE(Transparent Data Encryption)暗号化」方式は、ディスクの読み書き(I/O)ごとに、暗号化と復号処理を実行するため、メモリ上に展開されるテーブルは常に平文のままの状態だ。導入しやすさを優先する以上やむを得ないやり方かもしれないが、セキュリティ面での懸念が残る。

既存システムへの影響を最小限に抑えながら標準的な暗号化を導入

 こうした状況に対して、ペンタセキュリティシステムズが提供するのが、データベース暗号化製品群「D'Amo」(ディアモ)だ。

 「D'Amo DP」(D’Amo DBMS Package)は、企業システムで広く活用されている「Oracle Database」と「Microsoft SQL Server」を主な対象とする、データ暗号化製品ラインアップの一つだ。プラグイン方式で導入でき、開発作業などを追加しなくてもすぐに導入できるのが特徴で、グローバル標準で推奨されているアルゴリズム「AES 128bit/256bit」で重要なデータカラムを暗号化できる。

 「データベースベンダーが提供する暗号化機能と比べてコストパフォーマンスに優れています。データベース内だけで処理が完結するので、アプリケーションにほとんど影響を与えることなく導入可能です。暗号化機能導入に伴う作業を最小限にできるため、トータルで見てもコストを抑えられます。現場のデータベース管理者視点でいえば、アプリケーションの作り直しや改修が必須ではない点が魅力的だと思います」(美濃部氏)

画像 プラグイン方式で導入可能

 データベースのテーブルを丸ごと暗号化するのではなく、特定のカラムだけを選択して暗号化できることも特徴だ。

 「データベース管理者が一番心配するのは『暗号化によってデータベースのレスポンスが遅くなるのではないか』ということです。D'Amoは本当に必要なところや機微な情報のみを暗号化し、それ以外の部分は平文で処理することで、暗号化に要する処理を最小限にとどめてデータベースの負荷を抑えます。また、暗号化インデックスを自動作成するため、暗号データをインデックス参照することも可能です」(美濃部氏)

画像 高いパフォーマンスを実現

 もちろん、暗号化がデータを別のデータに置き換える処理である以上、「システムに全く影響がない」とは断言できない。そこでペンタセキュリティシステムズは、導入に当たって、これまでと同じように利用できるかどうかを確認できる検証期間を設けている。もし体感的に「遅い」と感じることがあれば、技術的にどうやって回避すべきかといった解決策を、パートナーとともに提供する体制も整えている。

 「ユーザー側が意識することなく、可用性を確保しながらデータベースのセキュリティを強化できます。データベース運用のことが分かっている人ほど使いやすいと感じられるはずです」(美濃部氏)

 商用データベース製品以外にも「MySQL」「MariaDB」といったオープンソースのデータベースに対応している製品もある。「D’Amo DE」は、暗号化専用のストレージエンジンを追加するインプレース方式によって、同様にカラム単位で暗号化できる製品も用意しており、「商用データベース製品よりも効率的な暗号化が可能だ」という。

画像 インプレース方式で導入できる製品も

職掌分離とアクセスログで、管理者はシステム管理に集中できる

 データベースセキュリティという観点では、「管理者権限をどう管理するか」も長年の懸念事項だ。メンテナンス作業などを担うデータベース管理者(もしくはDBA権限者)は、基本的にあらゆる操作が可能であり、保護すべきデータも閲覧できてしまう。

 D'Amoはその部分もケアしている。DBA権限者とセキュリティ管理者の職務を分け、たとえDBA権限者であっても、セキュリティ管理者によって割り当てられたデータのみしか復号できない。これによって、DBA権限者が必要以上にデータを参照したり、悪意を持って持ち出したりする事態を防ぐことができる。

 「『DBA権限者はシステム管理に集中してもらい、データの中身は解読できないようにする』といった制御が可能です」(美濃部氏)

 この場合、セキュリティ管理者は一連の操作記録に加え、アクセス権限付与の履歴をログとして出力することもできるので、後々の監査に役立てることができる。こうした証跡を残すことは、万一データ漏えいが起こった際に、権限を持った管理者やユーザーが不正をしていないことの証明にもなる。

データ暗号化は企業の価値を高め、データベース管理者のレベルアップにもつながる

 D'Amoの特徴を評価し、導入している企業が増えている。オンプレミスの環境をデータベースごとパブリッククラウドへ移行するタイミングで、より高いセキュリティレベルを求めてD'Amoを採用している金融業界の事例もある。データ保護の社会的要請が高まる中で、「どれぐらいの水準のセキュリティレベルを保証すべきなのか」を企業として自ら考え、実装する動きは今後も拡大するだろう。

 データ暗号化は、情報漏えいの被害を最小限に抑えるといった実用上のメリットに加えて、“データを預ける側“から見える企業の信用価値を高める。また、これまで「データベースのお守り役」と見られがちだったデータベース管理者(DBA権限者)にとっても、セキュリティの実装が前提となる中で、エンジニアとしてのさらなるレベルアップを図るきっかけになるはずだ。

 「データベース運用の現場で積み上げてきたスキルや経験にセキュリティが加わるのは、非常に有益な経験であり、スキルアップにつながります。ひいては、運用現場にセキュリティの意識が浸透することによって、システムの在り方やエンジニアの発言力が変わっていくでしょう」(美濃部氏)

画像

Copyright © ITmedia, Inc. All Rights Reserved.


提供:ペンタセキュリティシステムズ株式会社
アイティメディア営業企画/制作:@IT 編集部/掲載内容有効期限:2023年6月28日

RSSについて

アイティメディアIDについて

メールマガジン登録

@ITのメールマガジンは、 もちろん、すべて無料です。ぜひメールマガジンをご購読ください。