データベースの暗号化、まず「何を、どのように」実施すべきか:今さら? 今こそ! データベースセキュリティ(6)(1/3 ページ)
本連載では、データベースセキュリティの「考え方」と「必要な対策」をおさらいし、Oracle Databaseを軸にした「具体的な実装方法」や「Tips」を紹介していきます。今回は「データベースの暗号化で、まず実施すべきこと」を解説します。
前回は、データベース暗号化が必要となった背景と、データベース暗号化には用途別に3つの異なる方式があり、それぞれにメリットとデメリットが存在することを説明しました。
今回は具体的に「どんなデータをどのように暗号化すべきか」の指針を順に解説していきます。
「暗号化するかどうかに迷うものは、全て暗号化する」を基本指針とする
企業活動で生成されるデータにはまず、「コンプライアンス要件などで、必ず暗号化しなければならない」ものがあります。
例えば、クレジットカード業界やEC業界などで2018年3月までの対応が迫られている「PCI DSS(Payment Card Industry Data Security Standard)」では、「保存されるクレジットカード会員データを保護する」という要件を満たすための重要な要素として「暗号化」を挙げています。
この他、個人情報保護法(個人情報の保護に関する法律)の順守も当てはまります。経済産業省が公開した「個人情報保護に関するガイドライン」では「格納データの暗号化」が具体的に明記されてはいません。しかし、ガイドラインに記載がないからといって、実施しなくてもいいのでは決してありません。
例えば、2018年5月の施行を控える欧州連合(EU)による「GDPR(General Data Protection Regulation:EU一般データ保護規則)では、「個人情報の仮名化と暗号化(the pseudonymisation and encryption of personal data)」を必要に応じて実施せよ、との記載があります。バックナンバー「『講じなければならない』ならば話は別 データベースセキュリティが『各種ガイドライン』に記載され始めている事実」で説明した通り、サイバーセキュリティ経営ガイドラインや政府統一基準などにも、「重要なデータは暗号化すべき」と明記されています。
バックナンバー「なぜ、今『データベースセキュリティ』なのか──安全なデータベースに必要な5つの基本」も再度確認してください。ここでは、データベースを安全に運用する上で実施すべきポイントの1つとして「暗号化した方がよいか迷うものは、全て暗号化する」と説明しました。また、「機密レベルに合わせたセキュリティ対策実施例」では、4段階で設定した重要度レベルのうち、下から2番目のSILVERレベルの段階でデータへのセキュリティ対策として「格納データの暗号化」をするように勧めています。
つまりは、個人情報に限らず、そもそものセキュリティ対策としてデータの暗号化は「やっておくべき基本的な対策である」ということになるでしょう。
バックナンバー「データベース暗号化が必要な理由と『3大方式』を理解する」では、データを暗号化していなければ、意図しない人が「盗み見ることができてしまう」可能性があることを紹介しました。このことは、あらためて聞けば「確かに」と理解できるでしょう。しかし多くのデータベース管理者はこれを「想定していなかった」のではないでしょうか。もう1つ例を紹介しましょう。
OS上の操作で削除してしまったファイルを復旧/復元する手段があるのはご存じと思います。それと同様にデータベースにも「データ復旧サービス」や「データ復元ツール」があります。どうしても起動しなくなったデータベース表のデータをCSVなどに書き出してくれるといったものです。
この手のサービスやツールは、いざ障害が発生したときには大いに助かるものです。しかしよく考えてください。データベースの構成ファイルさえあればデータを復元できる。裏を返せば、悪意ある人がバックアップ、データファイル、ディスクなどを何らかの方法で入手できたならば、中のデータを吸い出して復元できる手段があるとも言えます。
もちろんバックアップ、データファイル、ディスクの持ち出し対策は既に行っているとも思いますが、ともあれ「想定していない」手口を事前に対策することは困難です。しかし昨今は、そんな新しい「想定外の攻撃手法」が次々に登場しているのもまた事実です。「暗号化するかどうかに迷うものは、全て暗号化する」は、ぜひ今後の運用の指針に据えるようにしてください。
Copyright © ITmedia, Inc. All Rights Reserved.
関連記事
- 攻撃者が狙うのはデータベース、それなのに「データベース保護の対策が見落とされがち」ではありませんか?
企業活動において重要なのは何か。セキュリティ対策において「データベースの保護が見落とされがち」と、オラクルは警鐘を鳴らしている。データベースセキュリティの“考え方”をキーパーソンに確認する。 - 実録・4大データベースへの直接攻撃
- オラクルの考える「データベースセキュリティ」とは
日本オラクルは2016年2月10日、Oracle Databaseユーザー向けに、データベースや周辺システムに関するセキュリティ診断を無償で行う「Oracle Database セキュリティ・リスク・アセスメント」サービスの提供を開始すると発表した。 - データベースセキュリティの基本的な考え方
- 「データベースセキュリティ」の視点から見る「ユーザー管理」「監査証跡(ログ)管理」のポイント
システムの開発・運用に携わっているけれど、セキュリティに少し不安がある。そんなシステム担当者の方は多いのではないでしょうか? 本連載「システムインテグレーションとセキュリティ」では、“SI視点”に立って、システム担当者が考慮すべきセキュリティ上のポイントについて、身近な例を取り上げながら分かりやすく解説します。最初のテーマは、「データベースセキュリティ」です。