攻撃者が狙うのはデータベース、それなのに「データベース保護の対策が見落とされがち」ではありませんか?:Database Watch(2016年5月版)(1/3 ページ)
企業活動において重要なのは何か。セキュリティ対策において「データベースの保護が見落とされがち」と、オラクルは警鐘を鳴らしている。データベースセキュリティの“考え方”をキーパーソンに確認する。
近年、「情報漏えい」事件が会社の存続にまで大きな打撃を与えるケースが後を絶ちません。
世界的に影響を及ぼした事件として、2013年末に米国のディスカウントストア大手であるターゲット(TARGET)が起こした情報漏えい事件が思い出されます。この情報漏えい事件では、店頭のPOS端末へのマルウェア感染から、約4000万件のクレジットカード情報と約7000万件の個人情報が漏えいしました。企業として必要最低限とされる初動対応のまずさも批判の的となり、その責任を取る形で、CEO(最高経営責任者)やCIO(最高情報責任者)ら経営陣が辞職しました。
そんな負のイメージから企業イメージが落ち、2013年第4四半期(2014年3月)の利益も前年比46%まで落ち込みました。株価も約72ドル(2013年2月)から一時、約55ドル(2014年2月)まで下落し、損害賠償を求める訴訟も多発しました。情報漏えい事件は、ここまで会社の経営、さらには存続にまで響きかねない大きなインパクトがあり、企業としての責任も強く求められるのです。
米国、および米国の企業ではこのような被害が多発していることもあり、恐らく日本より意識が進んでいるとされています。例えば米国の多くの州では「セキュリティ侵害通知法(Security Breach Notification Laws)」などの法律が定められており、情報漏えいが発生した場合には顧客へ通知することが義務付けられています。
また、サイバー攻撃の被害を補償する企業向け損害保険商品も普及しつつあるようです。サイバー攻撃保険は、連邦政府機関である米国証券取引委員会(SEC)のコンプライアンス検査局(OCIE)が、サイバーリスク戦略の一環として加入を推奨しているほどです。
ちなみにサイバー攻撃保険があるといっても、保険会社の監査を受けてセキュリティ対策を十分にしていると認められなければ加入はできません。また、多くのサイバー攻撃保険では、「漏えいしたデータが暗号化されていなかったら、補償しない(保険金は下りない)」という条件があるようです。このように法制度から保険商品まで、米国では、企業に対して「会社としてセキュリティ対策を万全にする姿勢」が強く求められています。
※「サイバー攻撃保険」は既に日本でも販売されています。しかし、2015年6月にIPA(情報処理推進機構)が公開した「企業におけるサイバーリスク管理の実態調査2015」によると、日本企業のサイバー攻撃保険の認知率は3割未満、経営者の認知率に至っては1割に満たないという結果でした。日本での認知度はまだまだ低いというのが現状です。
セキュリティ対策で何よりも重要なのは「データ/情報を保護すること」
では、企業活動のあらゆるデータが集約されるデータベースシステムで、このデータをどう保護していけばいいのでしょうか。今回は、米オラクルでセキュリティ機能のシニアプリンシパルプロダクトマネージャーを務めるアラン・ウィリアムズ氏に、オラクルのデータベースが持つセキュリティ機能の最新事情について話を聞きました。
近年のサイバー攻撃で狙われるのは個人情報やクレジットカード情報だけではありません。目的は明確に「金銭」ですので、製品の設計図や商品情報といった企業の“手っ取り早くお金になる”知的財産も格好の標的です。実際に、著名なブランドの製品、あるいはその周辺機器の模倣品がなぜか“発売間もなく”出回ることも今や珍しくありません。また、システムに侵入するならば管理者アカウントを奪取すれば簡単ということで、そのアカウントを持つ担当者に的を絞って狙う傾向もあるといわれています。
一方でウィリアムズ氏は、「一般的に、セキュリティ対策はファイアウォールなどのネットワークの保護に目が向きがちです。しかし重要なのは、何より“データ”です。データに近いところも保護しなければなりません。セキュリティ対策としてデータベースの保護は見落とされがちです」と警鐘を鳴らします。
「データの保護」を具体的に実践していくために、どんな対策が必要なのでしょうか。「今すぐ」できることをウィリアムズ氏に教えてもらいました。
Copyright © ITmedia, Inc. All Rights Reserved.
関連記事
- データベースセキュリティの基本的な考え方
- オラクルの考える「データベースセキュリティ」とは
日本オラクルは2016年2月10日、Oracle Databaseユーザー向けに、データベースや周辺システムに関するセキュリティ診断を無償で行う「Oracle Database セキュリティ・リスク・アセスメント」サービスの提供を開始すると発表した。 - オラクル、「監査と防御を統合」したDBセキュリティ製品を提供
日本オラクルは1月22日、データベースへの不正なアクセスを防ぐとともに、ログの分析、モニタリングを行うセキュリティ製品「Oracle Audit Vault and Database Firewall」を発表した。