企業がまず守るべきは「データベース」。「予防」「検出」「管理」のアプローチでセキュリティリスクを最小化する:セキュリティのプロが示す、データ保護の原則と最新ソリューション(2/4 ページ)
内部不正やサイバー攻撃による情報漏えいの増加、マイナンバー制度のスタート、個人情報保護法の改正などを背景に、企業が情報セキュリティ強化に取り組む機運が高まっている。具体的な対策を検討/実施する際、何よりも重視すべきことは何か、どのようなアプローチを採るべきか──無駄なく、漏れなく、適切なセキュリティ施策を打つためのポイントがある。[セキュリティ対策][Database Security]
データを暗号化/マスキングし、特権管理者を含むユーザーのアクセス権限を厳格に制御する「予防」のソリューション
まず、セキュリティ侵害の「予防」措置の一つである「暗号化&リダクション」の機能を担うのが「Oracle Advanced Security」だ。
Oracle Advanced Securityが提供する機能の一つは、ディスクへの書き込み時やバックアップ時にデータベースの内容を暗号化する機能(「Transparent Data Encryption」)である。既存のアプリケーションには手を加えることなく、データベース暗号化の機能を実装できる点を大きな特徴とする。しかも、暗号化や復号の処理に伴うパフォーマンスの劣化はほとんど生じないという。
また、Oracle Advanced Securityはデータベースの完全/部分的/固定的な「リダクション」の機能も提供する。ここでいう「リダクション」とは、いわゆる隠蔽(いんぺい)処理のことを指す。Oracle Advanced Securityでは機密データを含むレコードが参照された際、ユーザーの権限やロールに応じてデータベース内の特定の列をリアルタイムにリダクションすることができる。しかも、このリダクション機能は主要なアプリケーションから透過的に利用できるという特徴を備える。
一方、「マスキング&サブセッティング」の機能は「Oracle Data Masking and Subsetting」が担う。これは、アプリケーションデータを必要に応じて、なおかつデータの参照整合性を維持したまま他の文字列に置き換え、その機密性を担保するという仕組みだ。例えば、コールセンターのオペレーターに、業務遂行で必要となる顧客情報だけを見せるような場合に利用する。つまり、「顧客の電話番号は見せるが、クレジットカード番号は見せない」といった具合だ。また、Oracle Data Masking and Subsettingは、Oracle Databaseのみならず、他社のデータベースに適用することも可能だとニーダム氏は補足する。
「特権ユーザー&運用管理者の統制」の機能は「Oracle Database Vault」が提供する。この製品を使うことで、アプリケーションデータに対するデータベース管理者(DBA)のアクセスを制限し、管理者の不正による影響範囲を最小限にとどめることが可能となる。
さらに、Oracle Database Vaultでは、DBAの特権/ロールの使用状況を確認し、必要に応じて特権の取り消しや最小化を図ることもできる。また、「Oracle Label Security」を使うことで、「ラベル」によってユーザーとデータを分類し、行レベルのアクセス制御など、さまざまなセキュリティコントロールを行える。
不正アクセスの「予防」を実現するオラクルのセキュリティソリューション
- Oracle Advanced Security製品情報
- Oralce Data Masking and Subsetting製品情報
- Oracle Database Vault製品情報
- Oracle Label Security製品情報
提供:日本オラクル株式会社
アイティメディア営業企画/制作:@IT 編集部/掲載内容有効期限:2015年7月8日
Copyright © ITmedia, Inc. All Rights Reserved.