ここがポイント! DBセキュリティの実装(1)

優先すべきは内部からの脅威対策

 

フォーティネットジャパン株式会社
セールスエンジニアリング部 シニアコンサルティングSE
成田泰彦
2009/12/2
データベース自体にセキュリティ対策を行う必要性を感じている管理者も多いかと思いますが、どこから手を付ければいいのでしょうか?本連載では、データベースセキュリティを実装するポイントをていねいに解説します(編集部)

 機密情報が格納されたデータベースは、情報漏えい、流出によるリスクが高いにもかかわらず、多くの企業で十分な対策が講じられていないのが現状です。本連載では、データベースセキュリティはどうあるべきか、その前提となる現状の把握、コントロールすべき要素は何かを、データベースコンサルタントの視点で解説していきます。

対策不十分なデータベースセキュリティ

 企業内のデータベースには機密性の高い情報が蓄積されているだけに、その情報の損失による被害は非常に大きいといえます。多くの企業がそうしたリスクを認識しているはずなのに、情報漏えい、流出の事故はあとを絶ちません。情報セキュリティに関して細心の注意を払っていると思われている金融機関においても、データベース侵害による重大な情報漏えい事件が起きているのが現実です。

 ニュース報道でも大きく取り上げられた三菱UFJ証券の顧客情報漏えい事件も、そうしたデータベースセキュリティが侵害された一例です。同社のシステム部部長代理が、個人顧客のほぼすべてに当たる148万6600人分の個人情報を不正に持ち出し、そのうち約5万人の情報を名簿業者に売却した事件です。

【関連記事】
退職社員が148万人の顧客情報を持ち出し――三菱UFJ証券が発表
http://www.itmedia.co.jp/enterprise/articles/0904/08/news092.html

三菱UFJ証券、情報漏えいの再発防止について表明
http://www.itmedia.co.jp/enterprise/articles/0906/25/news103.html

 同社はこの事件により、情報が流出した約5万人の個人に対して「お詫びのしるし」として1万円相当のギフト券を発送しました。この費用だけで約5億円を費やしたほか、事件の調査や顧客からの問い合わせ対応、売却された名簿業者との交渉するための弁護士費用、さらに機関投資家からの発注減少による逸失利益などを合算すると、約70億円超(2009年9月9日の東京地裁公判における検察側資料より)という多大な損失を被っています。そして何よりも「一番の損害は目に見えない信用の失墜である」(同社専務、東京地裁公判での意見陳述より)というように、データベースセキュリティの不十分さがもたらす被害の重大さがあらためて浮き彫りになりました。

 同様に、従業員によって個人情報が持ち出された可能性が高いのが、外資系生命保険会社、アリコジャパンからの保険契約者のクレジットカード情報が大量に流出した事件。同社の場合も、流出したカード情報が実際に利用されて実質的な損害が出ていることに加え、カード発行会社が被害者に対してカード再発行手続きの費用を請求される可能性もあり、膨大な金銭的損失と信用をなくしています。

【関連記事】
アリコジャパン、顧客情報11万件流出の恐れ カード不正使用相次ぐ
http://www.itmedia.co.jp/news/articles/0907/23/news105.html

 同社の契約者情報を管理している社内システムは、外部の回線には接続されておらず、情報を引き出せるのは特別な権限を持つ従業員40人に限られているとされていますが、三菱UFJ証券の事案と決定的に異なる点は、いつ、誰が、どうやって、どれだけの情報を持ち出したか、その手口などが2009年11月時点でも、まだ把握できていない点です。三菱UFJ証券は、おそらくログの取得など何らかの仕組みがあったから情報漏えいの証跡を検証できたのですが、アリコジャパンは何も対策をとっていなかったか、とっている“つもり”でいたと思われます。

【関連記事】
セキュリティ、そろそろ本音で語らないか
誌上セミナー「拡大を続けるログ砂漠」

http://www.atmarkit.co.jp/fsecurity/rensai/talk10/talk01.html

 2つの情報漏えい事件を見ても分かるように、データベースセキュリティは、企業にとって最も大切な情報を守るための最重要課題であるのに、現実的な対応が不十分なことが現状です。

 データベースセキュリティコンソーシアムが2009年2月に実施した「データベースセキュリティ安全度セルフチェック」によると、「重要とされる対策は十分に実施されている」と回答したのはわずか9%。「実施できていない重要とされる対策が多く、早急な対策実施の検討が必要」が46%、「セキュリティ対策ができておらず、抜本的な改善、対策実施の検討が必要」が33%と、8割近くは対応が不十分と回答しています。このアンケート結果を見ても、データベースセキュリティの重要性は認識しつつも、その対策はいまだ不十分という企業がほとんどだといえるでしょう。

●図1 データベースセキュリティの対策実施度の結果
(出典:データベースセキュリティコンソーシアム 2009年6月)
loadmap
【関連記事】
じっくり考える「情報漏えい発生の理由」(前編)
雇用形態の変化と情報漏えいの実態

http://www.atmarkit.co.jp/fsecurity/special/145dlp/dlp01.html
  1/3 次のページへ

Index
優先すべきは内部からの脅威対策
→
Page 1
対策不十分なデータベースセキュリティ

Page 2
データベースセキュリティは人的脅威への対策が重要
現状把握と職務分掌が対策の第一歩

Page 3
脅威に対するマッピングが対策の基準

ここがポイント! DBセキュリティの実装


Database Expert フォーラム 新着記事
@ITメールマガジン 新着情報やスタッフのコラムがメールで届きます(無料)

注目のテーマ

Database Expert 記事ランキング

本日月間