検索
特集

オラクルセキュリティ担当者が語る、データを守るためのポイントマイナンバー対応は「そんなに難しくない」

2015年4月9日、10日に開催された「Oracle CloudWorld Tokyo 2015」に合わせて来日した、米オラクルのセキュリティ関連製品の責任者、ポール・ニーダム氏に、「データ」を中心としたセキュリティ対策の在り方について尋ねてみた。

Share
Tweet
LINE
Hatena

 日本オラクルは2015年4月9日、10日の2日間にわたって「Oracle CloudWorld Tokyo 2015」を開催した。これに合わせて来日した米オラクルのデータベースセキュリティ プロダクトマネジメント シニアディレクターのポール・ニーダム氏に、「データ」を中心としたセキュリティ対策の在り方について尋ねる機会を得た。

 「ポイントは二つある。まず、セキュリティはなるべくデータの近くで実施すること。もう一つは、『これだけで大丈夫』という素晴らしい解決策などというものはないということ。アクセス制御や暗号化など複数の手段を組み合わせ、多層的な防御を実現していくことが重要だ」(ニーダム氏)


基本を押さえておけば、情報漏えい対策はそれほど難しくないと語った米オラクルのデータベースセキュリティ プロダクトマネジメント シニアディレクターのポール・ニーダム氏

 日本では、昨年発生したベネッセコーポレーションでの情報漏えい事件のインパクトが記憶に新しい。同氏は、この一件もさることながら、情報漏えい事件は日本に限らず世界中でたびたび発生しており、「政府機関や防衛関連だけでなく、あらゆる分野の企業で情報漏えいに対する注意の意識が高まっている」という。

 ニーダム氏は、漏えいの原因は大きく二つあると述べた。一つは、認証に用いられるクレデンシャル(認証に用いられるIDやパスワードなどの情報)の悪用だ。米Verizonの調査でも、外部の攻撃者が、権限を持つ内部関係者のクレデンシャルを盗み出して悪用するケースが多いと報告されているという。もう一つは、SQLインジェクションだ。

 そして最もターゲットにされるのは、肝心のデータが保存されている「データベース」だ。だが、「多くの企業は、境界型セキュリティやエンドポイントセキュリティといった部分には注力しているのに、コントロールが欠如しているため、必要なセキュリティレベルが得られていない」とニーダム氏は指摘した。

基本を押さえておけばマイナンバー対応は難しくない

 例えば米カリフォルニア州では、情報漏えい対策法(Security Breach Notification Law)によって、暗号化していないデータが流出してしまった場合、企業はその旨を顧客に通知しなければならないとされた。このように、セキュリティやプライバシーに関するさまざまな法規制を遵守する意味からも、漏えい対策は待ったなしという状況だ。

 こうした動きを追い風に、「うちには重要なデータはない、だから漏えい対策は自社には関係のないこと」とする企業の風潮も変わり始めているという。「この1年ほど、顧客と話していて風向きが変わってきたのを感じている。日本でもじきにマイナンバー制度が始まることから、顧客の関心は高まっている」とニーダム氏。「日本オラクルと連携しながら支援している」という。

 マイナンバーに関してはさまざまな「対応ソリューション」が打ち出され、大げさに受け取られがちだが、データをどのようにコントロールするかというポイントさえ押さえておけば、それほど心配する必要はないというのがニーダム氏の意見だ。

 「マイナンバー対応といっても実はそんなに難しい話ではない。セキュリティは開発プロセスの一部であるべきであり、戦略立案、分析、開発、テスト、そして展開という全てのフェーズにおいてセキュリティを組み込んでおけばいい」という。

 具体的には「誰がデータにアクセスできるべきか」「どこにデータを置くべきか」といった事柄を整理し、アーキテクチャを構築する際の基盤にすることが肝心だと同氏は説明した。逆に言えば、この部分を明確にし、それをデータアクセス時のコントロールという形で実施できていれば、慌てて右往左往する必要はない、ということだ。

「予防」「発見」「管理」全てのフェーズで統制を

 ニーダム氏は合わせて、同社が「予防」「発見」「管理」という三つのフェーズにまたがり、統制(コントロール)に基づく防御の提供に取り組んでいることを説明した。

 漏えいを防ぐための「予防的統制」に関して文字通り鍵となるのは「暗号化」だ。このとき、認証をバイパスされるリスクに備え、鍵管理も含めて取り組む必要があると同氏は指摘した。加えて、内部関係者による不正を防ぐ「データベースへのアクセス制御」も不可欠だ。「先に述べた通り、盗まれたクレデンシャルが情報漏えいの大きな原因になっている。そこで、デフォルトで高い権限でデータベースにアクセスされることを防ぐ」(同氏)。

 また予防的統制の一環として、これまであまりフォーカスされてこなかったが、必ずしも見える必要のないデータ、特にプライバシーに関するデータを必要に応じてマスクする「データリダクション」やデータの「匿名化」、データの「マスキング」といった手法によって、「パートナーによる開発環境やテスト環境においてもデータを保護できる」とした。

 二つ目の発見的統制は、いわゆる「監査」に代表される取り組みだ。「事後に、誰が何をしたかを確かめる監査データを取りまとめ、安全な形で蓄積していく仕組みが必要だ」(ニーダム氏)。このため、OSやディレクトリといったプラットフォーム側のデータに加え、SQL文の内容まで確認できるデータベースファイアウォールの情報も組み合わせ、全体を把握できる仕組みが必要だとした。これは、コンプライアンス上も有効な手法だという。

 最後の「管理」は、機密データの検出と特権管理、鍵管理、構成情報のスキャンといった要素から構成される。特に「Oracle KeyVault」では、データベースを暗号化する際の肝心の「鍵」を、エンタープライズ全体にまたがって一元的に管理するとした。

 こうした一連の制御、具体的にはアクセス制御や暗号化といったセキュリティ機能は、同社の場合、「Oracle Database 12c」をはじめとする製品で、透過的に提供しているという。

「どんなデータを持っているか」が最初の一歩

 とはいえニーダム氏は、漏えい対策の基本はシンプルなものだと強調した。

 「『データベースのセキュリティに関して何から始めればいい?』とよく質問を受けるが、まずは、どんなデータを持っているかを把握することが第一歩。それが明らかになれば、どんな統制によってどう守るかをエンタープライズ全体で標準化し、ロードマップを明確化していける」(同氏)。

 同氏のオススメは、データの重要度を4段階に分け、制御をマッピングしていくというやり方だ。パッチの適用やセキュアな構成を行うというレベルをベースラインに、扱うデータの性質に応じて、コントロールを追加していく。例えば、プライバシーに関わるデータを扱うならば暗号化やマスキングといった手段を、より機密性の高いデータについてはアクセス制限やSQLトラフィックの監視も、そしてさらに、非常にセンシティブなデータが対象となる場合は、特権管理も含めたよりレベルの高いアクセスコントロールを、といった具合だ。

 ちなみにオラクルでも、はじめからセキュリティ機能を取り入れるという取り組みを推進している。今回の取材はデータベースにフォーカスしたもので、Javaなどその他のプロダクトについては触れていないが、「オラクルの開発者も全て、セキュアコーディングに関するトレーニングを受けている。もうコードは書いていないが、私自身もトレーニングを受講している。新しい脅威に応じて、トレーニング内容もアップデートしている」という。「セキュリティ はオラクルのDNAに含まれている」と強調するニーダム氏。こうしたスタンスは、業種を問わずどの企業にとっても重要なものなのかもしれない。

Copyright © ITmedia, Inc. All Rights Reserved.

Security & Trust 記事ランキング

  1. セキュリティ担当者の54%が「脅威検知ツールのせいで仕事が増える」と回答、懸念の正体とは? Vectra AI調査
  2. 米国/英国政府が勧告する25の脆弱性、活発に悪用されている9件のCVEとは、その対処法は? GreyNoise Intelligence調査
  3. 「このままゼロトラストへ進んでいいの?」と迷う企業やこれから入門する企業も必見、ゼロトラストの本質、始め方/進め方が分かる無料の電子書籍
  4. ランサムウェア攻撃を受けた企業、約6割が「サプライチェーンのパートナー経由で影響を受けた」 OpenText調査
  5. AIチャットを全社活用している竹中工務店は生成AIの「ブレーキにはならない」インシデント対策を何からどう進めたのか
  6. 人命を盾にする医療機関へのランサムウェア攻撃、身代金の平均支払額や損失額は? 主な手口と有効な対策とは? Microsoftがレポート
  7. 長続きする高度セキュリティ人材育成の秘訣を「第19回情報危機管理コンテスト」から探る
  8. OpenAIの生成AIを悪用していた脅威アクターとは? OpenAIが脅威レポートの最新版を公開
  9. ゼロトラストの理想と現実を立命館大学 上原教授が語る――本当に運用できるか? 最後は“人”を信用できるかどうか
  10. 約9割の経営層が「ランサムウェアは危ない」と認識、だが約4割は「問題解決は自分の役割ではない」と考えている Vade調査
ページトップに戻る