オラクルの考える「データベースセキュリティ」とは：同社製品ユーザー向けのセキュリティ・リスク・アセスメントサービスを無償提供開始

日本オラクルは2016年2月10日、Oracle Databaseユーザー向けに、データベースや周辺システムに関するセキュリティ診断を無償で行う「Oracle Database セキュリティ・リスク・アセスメント」サービスの提供を開始すると発表した。

[＠IT]

　日本オラクルは2016年2月10日、「Oracle Database セキュリティ・リスク・アセスメント」サービスの提供を開始すると発表した。同サービスはオラクルが重視する「データを中心とした多層防御」の考え方に基づくもので、スクリプトを使用して対象データベースの構成状況を確認し、対象システムに潜在する脆弱（ぜいじゃく）性を分析した上で、具体的な対策方法やセキュリティの改善計画の立案支援を行うもの。Oracle Datbaseユーザー向けに無償で提供される。

オラクルの考える「データを中心とした多層防御」

日本オラクル 執行役副社長 クラウド・テクノロジー事業統括 三澤智光氏

　日本オラクル 執行役副社長 クラウド・テクノロジー事業統括 三澤智光氏は、データ漏えいなどのセキュリティインシデントの7割近くは「（なりすましを含む）内部不正」により「OSやアプリケーションの特権ユーザーを悪用されたこと」が原因となっているとし、「日本企業はこれまで、国外の企業に比べると内部不正対策にはあまり大きなコストを掛けてこなかった」と指摘。

　一方で、「今後は、日本でも内部不正対策を含むグローバルレベルのセキュリティ対策が必要になってくる」と述べ、ネットワークやアプリケーションでのセキュリティ対策だけでなく、内部不正対策として「データを中心に据えた多層防御」が必要だとした。

　三澤氏によれば、従来の日本のシステムの多くは、ネットワークセキュリティやアプリケーション側の権限管理でセキュリティ対策を行っているものが多く、アプリケーションの特権ユーザーの乗っ取りなどによる情報漏えいのリスクを残していた。また、情報の漏えい時にアプリケーションユーザーを悪用されるため、「不正な操作を行った個人の特定」も困難だったという。

　三澤氏は、経済産業省などが公開する各種ガイドラインに「データベースのアクセス制御」といった項目が含まれていることにも触れながら、「データベース側でのセキュリティを強化することで、アプリケーションユーザーの乗っ取りなどによる情報漏えいリスクを防ぎ、データアクセスに関するセキュリティポリシーを一本化し、さらに個人を特定できる証跡の管理などが可能になる」と述べた。

　三澤氏によれば、「Oracle Database 12c」以降ではこうしたデータベースアクセス権限管理のための機能が標準搭載されており、「Oracle WebLogic Server」などの同社製品と組み合わせることで、「データ中心のセキュリティ」が標準機能で実現できるという。

　「『ベンダーロックイン』という見方をされるかもしれないが、セキュリティのためには『製品同士の接続性の高さ』が重要だと考えている」（三澤氏）

Oracle Database セキュリティ・リスク・アセスメント

　こうした「データ中心のセキュリティ」の考え方に基づき、2016年2月10日から日本オラクルは、Oracle Datbaseのユーザーに向け「Oracle Database セキュリティ・リスク・アセスメント」の無償提供を開始する。同サービスはスクリプトによるデータベース構成状況の確認に始まる4段階（下図）からなり、「職務分掌」や「データアクセス管理」などのカテゴリごとのスコアや、課題への対策方法、将来のデータベースセキュリティ対策案などが提示されるという。また、さらに踏み込んだ支援を必要とするユーザーに対しては、同社のコンサルティングサービス（有償）を提供していくとしている。