企業がまず守るべきは「データベース」。「予防」「検出」「管理」のアプローチでセキュリティリスクを最小化する:セキュリティのプロが示す、データ保護の原則と最新ソリューション(4/4 ページ)
内部不正やサイバー攻撃による情報漏えいの増加、マイナンバー制度のスタート、個人情報保護法の改正などを背景に、企業が情報セキュリティ強化に取り組む機運が高まっている。具体的な対策を検討/実施する際、何よりも重視すべきことは何か、どのようなアプローチを採るべきか──無駄なく、漏れなく、適切なセキュリティ施策を打つためのポイントがある。[セキュリティ対策][Database Security]
データの重要度/機密性に応じてレベル分けし、適切な対策を実施──データベースセキュリティ実装のメソドロジー
ニーダム氏によれば、既に各国で多くの企業/組織が、ここまでに紹介したオラクルのソリューションを活用してデータベースセキュリティの強化に取り組んでいる。
例えば、カタールのオリンピック委員会(Qatar Olympic Committee)では、データベースマシン「Oracle Exadata」を用いて複数のデータベースを統合。Oracle Advanced SecurityとOracle Data Masking and Subsettingの機能を使い、データベースの暗号化とデータのマスキングによってセキュリティ強化を実現した他、アプリケーション/データベースに対するアクセスを「Oracle Access Manager」によって管理している。
また、各国の金融機関やクレジットカード会社などに向けて1000億ドル規模の資産回収/資産管理のサービスを提供している米スクエアツー・フィナンシャル(SquareTwo Financial)は、Oracle Database FirewallやOracle Advanced Security、Oracle Data Masking and Subsetting、Oracle Database Vaultなどを使い、組織内外のセキュリティリスクからデータベースを保護しているという。
こうして各国の事例を紹介したニーダム氏は、最後に情報セキュリティの実装手法について説明した。氏によれば、その最初のアプローチとして重要なのが、「セキュリティの観点によるデータの仕分け」である。
「今日では、多くの企業がセキュリティ強化の必要性を理解していますが、『具体的にどこから手を付ければよいのか分からない』という担当者が少なくありません。そして、あれやこれやと悩んでいる間に情報漏えいの被害を受けてしまうわけです。
そうならないための第一歩は、社内に散在するデータの棚卸しを行い、重要度/機密性に応じてデータの仕分けを行うことです。その上で、それぞれに適切なセキュリティコントロールを適用していくことが、セキュリティ実装の正しいアプローチだといえるでしょう」(ニーダム氏)
オラクルは、この考え方に沿ったメソドロジーを既に完成させている。具体的には、「企業のデータを四つのレベルに分け、各レベルのデータに対して必要なセキュリティコントロールを実装していく」というアプローチだ。
【データの重要度/機密性に応じた四つのレベル】
- BRONZE:機密性のないデータ
- SILVER:社内データ(トランザクションデータ、受注データなど)
- GOLD:規制/コンプライアンス対象のデータ
- PLATINUM:機密性が最高レベルのデータ(顧客データ、決算データ、知的データ資産、M&A関連データ、など)
「こうしたアプローチにより、セキュリティ施策のプランニングや意思決定、マネジメントが容易になり、セキュリティ構成(事後対応のプロセスも含めたソリューション構成)を最適化できるようになります。その結果、セキュリティ投資の無駄も排除されるのです」とニーダム氏は語り、次のように呼び掛けて講演を締めくくった。
「今後、企業はこのようなセキュリティの考え方/ソリューションを、クラウド環境にも適用していかなければなりません。オラクルは、その課題に対しても業界で最良のソリューションを提供していきます。クラウド時代においても、どうぞ安心してオラクルのソリューションをご活用ください」
以上、ここではオラクルが提供するデータベースセキュリティの最適アプローチと、その実装を支援するソリューションやメソドロジーの概要を紹介した。米国政府機関のセキュリティ関連プロジェクトを創業のルーツとするオラクルは、データベースをはじめとする自社製品のセキュリティ強化に、これまで最優先で取り組んできた。そのノウハウを凝集したソリューション/メソドロジーの有効性は、各国の企業/政府機関でそれらが広く採用されていることからも明らかである。情報窃取の主要なターゲットとなるデータベースをいかに効果的に保護するか──全ての企業IT関係者が考慮すべきこの課題に対する最適解は、今後もオラクルが提供していく。
関連記事
- 現場が実践すべきセキュリティ対策のポイントは?:ガイドライン策定者の解説で理解する「マイナンバー制度」対策と「技術的安全管理措置」
- 全ての企業が対応必須:DBセキュリティ見直しにも影響するマイナンバー安全管理の“要件”と“盲点”
- 今やるべきデータベースセキュリティ対策:内部犯行から効果的に情報を守る方法とは?
提供:日本オラクル株式会社
アイティメディア営業企画/制作:@IT 編集部/掲載内容有効期限:2015年7月8日
Copyright © ITmedia, Inc. All Rights Reserved.