なぜ、今「データベースセキュリティ」なのか──安全なデータベースに必要な「5つ」の基本：今さら？ 今こそ！ データベースセキュリティ（1）（2/2 ページ）

本連載では、データベースセキュリティの「考え方」と「必要な対策」をおさらいし、Oracle Databaseを軸にした「具体的な実装方法」や「Tips」を紹介していきます。初回は、「データベースセキュリティの基本的な考え方」を解説します。

[福田知彦，日本オラクル株式会社]

（4）暗号化した方がよいか迷うものは、全て暗号化する

　データベースに格納されたデータは、認証とアクセス制御によって保護されます。しかし、データベースの仕組みをバイパスしたアクセス──例えば、データベース構成ファイルののぞき見、通信の盗聴などからは、認証とアクセス制御だけではデータを保護できません。そのために格納するデータと通信データは必要に応じて暗号化して保護します。

　どのデータを暗号化すべきかに迷うこともあるでしょう。この判断のコツを紹介します。あるデータを暗号化するかどうかを迷ったならば、全て「暗号化の対象」とします。「あなた（会社）は、少なからずそのデータに価値があると認識している」ことになるからです。

　ちなみに不正競争防止法では、営業秘密は「秘密として管理されていること」と定義されています。暗号化を含めてきちんとセキュリティ対策をしていなければ、それは「営業秘密として認められない」と判断されることも考えられます。

（5）監査だけでなく、監視する

　最後は「監視」することです。

　まず、適切に「監査を取る」ことは当然ですが必要です。ただしこの監査証跡の役割は、被害が出た後の原因究明のためだけに使われるのではありません。監査証跡を定期的、あるいはリアルタイムに分析、アラート、レポートのサイクルを回すようにチェックします。これが監視です。不正アクセスの兆候にいち早く気付き、被害を未然に防げるようになり得ます。

　もし監査しかしていなければ、攻撃に気が付く手段がありません。攻撃者は時間をかけて、あらゆる攻撃手法をじっくり試してから本攻撃に出ることでしょう。つまり、攻撃されて、被害を受ける確率が高まってしまうというわけですね。

　実務としては、まず「監査」を取り、「監査をしていること」を周知します。そして、「監視」までを行うように計画します。

---

　今回は、データベースセキュリティ対策の基礎となる5つのポイントを解説しました。

　おそらく、当たり前のことしか書いていない／そんなことは常識だと思われた人は多いことでしょう。皆さんもネットワークやアプリケーションの構築時には当然のように実施しているかもしれません。

　データベースセキュリティも、結局は「アカウント管理」「アクセス制御」「暗号化」「監査・監視」という、一般的なセキュリティ要素に集約されます。「他の層で当然のように行っている対策は、データベースでも的確に実施する」がデータベースセキュリティの基本的な考え方です。

　次回は「あらためて、データベースセキュリティがなぜ必要なのか」を解説します。

筆者紹介

福田知彦（ふくだ ともひこ）

日本オラクルでセキュリティ関連のプロダクトやソリューションを長年担当。出荷前製品検証からプリセールス、コンサルティングと、さまざまな部署を転々とするも担当はだいたいいつもデータベースセキュリティかIDマネジメント。出荷前から構築、運用、トラブル対応まで製品の一生を見守るエンジニア