“攻めと守り”で固めるデータベースセキュリティ──「Oracle Database Vault」と「Oracle Audit Vault and Database Firewall」:特権ユーザーによる内部犯行を効果的に防ぎ、万一の際のトレーサビリティを確保する(2/4 ページ)
重要なデータ資産を狙ったサイバー攻撃が激化する昨今、企業はデータベースセキュリティを一層強化する必要性に迫られている。特に今、対策を急ぐべきは、特権ユーザーを悪用した内部犯行の防止策と、データベースアクセスをモニタリングし、万一の際の速やかな対応を実現する監視/監査機構の整備だ。[セキュリティ対策][Database Security]
要はデータベースセキュリティ。多様なソリューションでデータを効果的に守る
それでは、保護すべきは「データベースに格納されたデータ」であるとすれば、それを守るために、どのような対策を施せばよいのか?
恐らく多くの企業では、DoS(Denial of Service attack)攻撃やアプリケーションの脆弱性を突いた攻撃に対しては、既にある程度の対策を施しているだろう。しかし、前述のように攻撃の手法は年々、多様化しており、次々に新たな手法が生み出されている。特に注意すべきは、対象をピンポイントで攻撃する「標的型攻撃」「未知の脆弱性を狙った攻撃」、そしてデータベースを直接扱える立場にある者による「内部犯行」である。
米政府機関のセキュリティ関連プロジェクトを創業のルーツとするオラクルは、データベースセキュリティを最重要のテーマに掲げ、そのための技術/ソリューションの開発に多くの資源を投入してきた。下図に示すように、今日では企業のデータ資産を効果的に守るためのソリューションを豊富に取りそろえている。
これらの中には、データベース内のデータを直接、暗号化する技術や、データベースの特定の行列をマスキング(伏せ字化)する技術、データベースへのアクセスをユーザーのロールや行列のレベルできめ細かくコントロールする技術、さらにはデータベースの操作内容を監視/記録し、不正検知や監査、迅速なインシデント対応を行うための仕組みなどがある。
オラクルは現在、これらの製品を「予防的統制」と「発見的統制」という二つの概念に沿って体系化し、提供している。
このうち、予防的統制とは、「情報セキュリティを脅かす行為を、そもそもさせない仕組みを作ること」を指す。この仕組みには、ブロッキングや暗号化、アクセスコントロールなどが該当する。それに対して、後者の発見的統制とは、何か問題が起きた際、それについて後から調査し、誰が何をしたのかを追跡できる状態を作ることを指す。これには、データベースの監査証跡の記録やログ分析などが相当する。
これら二つの概念は、「攻め」と「守り」の視点で捉えることができる。攻めとは予防的統制であり、それによってデータベースへの攻撃をプロアクティブに抑止した上で、最終防衛となる守りの手段として、監査証跡の記録などによる発見的統制を実施するわけだ。
両者はいずれか一方だけをやればよいというものではなく、情報セキュリティを考える上では、必ず二つの面を考慮して対策を施す必要がある。オラクルのデータベースセキュリティ製品のどれが予防的統制に対応し、どの製品が発見的統制に対応するのかをまとめたのが次の図だ。
以降では、データベースアクセスの詳細なコントロールによって攻めのセキュリティ対策(予防的統制)を実現するOracle Database Vaultと、データベースの監視/監査による守りのセキュリティ対策(発見的統制)で威力を発揮するOracle Audit Vault and Database Firewallについて、それぞれの特長を紹介していく。
提供:日本オラクル株式会社
アイティメディア営業企画/制作:@IT 編集部/掲載内容有効期限:2015年10月3日
Copyright © ITmedia, Inc. All Rights Reserved.