スロバキアのセキュリティ企業ESETは2017年11月8日(現地時間)、情報の盗難や流出が頻発していることを踏まえ、データベースを安全に保つ5つのコツを公式ブログで紹介した。
以下、内容を抄訳する。
プライバシーやセキュリティの対策に関するアドバイスとして通常取り上げられるのは、強力なパスワードを設定する、データをバックアップする、セキュリティアプリケーションを利用する、システムを最新に保つ、デフォルト設定をそのまま使わない、などだ。
これらは、全てのシステム管理者が考えなければならない基本的な対策だ。だが、保護したいシステムによって、これら以外にも考慮すべきさまざまな問題がある。
データベースに関しては、安全に保つコツとして以下の5つが挙げられる。
1:データベースへのアクセスを制御する
データベースのセキュリティを考えると、権限や特権は制限すればするほどよい。厳密なアクセス制御は情報保護の第一歩だ。だが、基本的なシステム権限だけでなく、以下も考慮するとよいだろう。
- ユーザーとプロシージャによる機密データへのアクセスを制限する
- キープロシージャの利用を特定のユーザーに限定する
- 可能な限り、業務時間以外は同時利用や同時アクセスを防ぐ
使われていないサービスやプロシージャを全て無効にするのも賢明だ。これによって、攻撃への悪用を防げる。またデータを攻撃者に直接アクセスさせないため、データベースをインターネットに接続していないサーバ上に置くようにするのも1つの手段だ。
2:機密の重要データを特定する
保護技術やツールを検討する前に、保護すべき重要情報を特定する必要がある。全てのデータが重要で、保護する必要があるとは限らないからだ。また、どこに、どのように機密データを保存すべきか判断しやすくするため、データベースのロジックとアーキテクチャを理解することも重要である。
社内の全データベースを常にリストアップし、記録しておくこともお勧めする。情報を効果的に管理し、失うのを避けるのに役立つ。またこれは、重要なデータベースがバックアップ対象から漏れるのを防ぐのにも有効だ。
3:情報を暗号化する
機密データを特定したら、堅牢なアルゴリズムを使って暗号化するとよい。データベースを保護する最善策は、無許可でアクセスする人に内容を読めなくすることだ。
4:非本番データベースを匿名化する
開発環境やテスト環境では、本番データベースのコピーが使われることが多い。だが、これらの環境は管理が甘くなりがちなため、データベース内の機密情報が危険にさらされかねない。
データベースの似たバージョンを作成し、元のものと同じ構造を維持しながら、機密データを改変するプロセスの「マスキング」または「匿名化」は、データベースの有効な保護方法であり、特に開発環境やテスト環境で使われている。
5:データベース操作をモニタリングする
データベースの操作やデータの移動を追跡して記録すれば、どの情報がいつ、どのように、誰によって扱われたかが把握でき、情報流出、不正な変更、不審な操作の発見につなげることができる。
Copyright © ITmedia, Inc. All Rights Reserved.
関連記事
- なぜ、今「データベースセキュリティ」なのか──安全なデータベースに必要な「5つ」の基本
本連載では、データベースセキュリティの「考え方」と「必要な対策」をおさらいし、Oracle Databaseを軸にした「具体的な実装方法」や「Tips」を紹介していきます。初回は、「データベースセキュリティの基本的な考え方」を解説します。 - データベースセキュリティの基本的な考え方
- なぜ、データベースセキュリティが必要か──企業の対策率「たった20%」の現状
本連載では、データベースセキュリティの「考え方」と「必要な対策」をおさらいし、Oracle Databaseを軸にした「具体的な実装方法」や「Tips」を紹介していきます。今回は、あらためて「なぜ、データベースセキュリティが必要なのか」を説明します。