「講じなければならない」ならば話は別 データベースセキュリティが「各種ガイドライン」に記載され始めている事実：今さら？ 今こそ！ データベースセキュリティ（3）（1/2 ページ）

本連載では、データベースセキュリティの「考え方」と「必要な対策」をおさらいし、Oracle Databaseを軸にした「具体的な実装方法」や「Tips」を紹介していきます。今回は、「今、各種ガイドラインが示すコンプライアンス要件としてデータベースのセキュリティがどのように記載されているのか」を解説します。

[福田知彦，日本オラクル株式会社]

連載バックナンバー

　昨今多発している情報漏えい事件を受け、さまざまなガイドラインのコンプライアンス要件に「データベースでのセキュリティ対策」が具体的に追記されるようになっています。

　それらには「データベースでのセキュリティ対策」として、何をどのようにせよと書かれているのか。今回は以下の法令や主要基準のガイドラインから、データベース関連のコンプライアンス要件をピックアップして解説します。

• サイバーセキュリティ経営ガイドライン
• 改正個人情報保護法
• PCI DSS（Payment Card Industry Data Security Standard）
• 政府統一基準

サイバーセキュリティ経営ガイドライン

　「サイバーセキュリティ経営ガイドライン」は、ITシステムやサービスを提供したり、IT活用が経営に不可欠であったりする大企業および中小企業の経営者に対し、経済産業省と独立行政法人情報処理推進機構（IPA）が、サイバー攻撃から企業を守るための原則や、セキュリティ対策実施の責任者となるCISO（Chief Information Security Officer：最高情報セキュリティ責任者）に指示すべき重要な項目を策定したものです。2015年に公開されました。

　例えば、経営者がCISOに対して指示し、着実に実施させるべき項目の1つに「リスクを踏まえた攻撃を防ぐための事前対策」があり、その「実現に有効な技術的対策項目」として、物理層、ネットワーク層から、データ層までの「多層防御措置」が挙げられています。さらに「多層防御措置」の技術的対策の例として、データベースへの「高度な暗号化」「アクセス制限」「アクセスログ収集」などが具体的に記述されています。

「付録B-2 技術対策の例」

重要情報が保存されているサーバの保護

　重要情報を保存しているサーバについては、ネットワークの分離（別セグメント化）や、ファイアウォール（FW）設置、重要データ（データベースおよびファイル）への高度な暗号化、アクセス制限、アクセスログ収集を行う。

（出典：サイバーセキュリティ経営ガイドライン）

改正個人情報保護法

　「個人情報の保護に関する法律」（通称、個人情報保護法）が改正され、2017年5月30日に全面施行されました。

　個人情報保護法では、企業などが収集した個人情報を「安全管理のために必要かつ適切な措置を講じなくてはならない（20条）」と規定されています。そして、個人情報保護委員会が「法第20条に定める安全管理措置として、個人情報取扱事業者が具体的に講じなければならない措置や該当処置を実践するための手法の例等」をガイドラインとして公開しています。

　具体的な対策内容は、ガイドラインの「8（別添）講ずべき安全管理措置の内容」として記載されています。データやデータベース、データアクセスに関連する内容は以下の通りです（図1）。

図1　データ、データベース、データアクセスに関連する講ずべき安全管理措置（個人情報保護委員会「個人情報保護法ガイドライン（通則編）」から、該当箇所を抜粋）

　また、万が一情報が漏えいした場合にどんな対応をすべきかについての指針も、「個人データの漏えい等の事案が発生した場合等の対応について」にまとめられています。データの漏えい事案が発生した場合には、原則として個人情報保護委員会などへの報告と公表が義務付けられています。ただし、高度な暗号化などの秘匿化施策が行われていた場合など、「実質的に、個人データまたは加工方法などの情報が外部に漏えいしていないと判断される場合」には報告を要しないともされています。

　ちなみに海外においても、欧州連合（EU）による「GDPR（General Data Protection Regulation：EU一般データ保護規則）が制定され、「2018年5月25日まで」に個人情報を保護するための具体的な対応が求められています。

（参考リンク）EU一般データ保護規則（GDPR）への対応強化（オラクル）