ここがポイント! DBセキュリティの実装(1)

優先すべきは内部からの脅威対策

 

フォーティネットジャパン株式会社
セールスエンジニアリング部 シニアコンサルティングSE
成田泰彦
2009/12/2

脅威に対するマッピングが対策の基準

 登場人物がデータベース内の情報資産にどのようにアクセスしてくるかという分類ができたら、次にはどのような手口で不正なアクションを行う可能性(危険性)があるのかを明確にし、認識しなければなりません。具体的な手口としては、パスワードへの辞書攻撃、管理情報からID/パスワードの不正利用、不正ルートで入手後に情報の悪用(持ち出し)、通常ルートで入手後に情報の悪用(持ち出し)といったケースが想定されます。また、それらの手口を使って実行される不正アクションには、入手できる情報の悪用(持ち出し)、入手できる情報の改ざん、破壊、業務妨害(リソース枯渇)などがあります。

 これらの登場人物、情報資産、手口、不正アクションをマトリックス化すると、脅威に対するマッピングが出来上がります。その1つ1つのケースについて、正規のアクセスであるか不正アクセスであるかを規定していくことによって、不正なアクセスパターンが浮き彫りになるので、それに対してどういった対応を取るべきかが見えてきます。

 データベースセキュリティを実装するためには、こうした手順を経ることでアクセスコントロールや監査などのデータベースセキュリティ対策を有効にするための前提条件となるポリシー策定を行うことが必要です。

●図4 登場人物×情報資産×手口×不正アクションの組み合わせによる脅威
(クリックで拡大します)
loadmap

 次回は、ログ取得の重要性、そのログの取得方法などについて具体的に解説していきます。

筆 者 略 歴

成田泰彦 (なりた やすひこ)

フォーティネットジャパン株式会社

セールスエンジニアリング部 シニアコンサルティングSE

株式会社アシストにてRDBMSを使ったアプリケーション開発の技術支援エンジニアとしての経験を基に、後年ではシングルサインオン・アクセスコントロールシステムの構築支援・コンサルタントを担当。

その後アイピーロックスジャパン、日本オラクルにてDBセキュリティ、ID管理セキュリティソリューションをプリセールスエンジニアおよびセールスマンとして担当。

さらにはDBセキュリティコンソーシアムの研究員も務めるなどして、ここ最近の約10年間はセキュリティソリューションにどっぷり漬かってきている。

現在はフォーティネットジャパンにてコンサルタントとして奮闘中。つい最近ゴルフを始めたばかりで、下手くそな自分と一緒にラウンドしていただける忍耐力の強い方を物色中。
前のページへ 3/3  

Index
優先すべきは内部からの脅威対策

Page 1
対策不十分なデータベースセキュリティ

Page 2
データベースセキュリティは人的脅威への対策が重要
現状把握と職務分掌が対策の第一歩
→
Page 3
脅威に対するマッピングが対策の基準

ここがポイント! DBセキュリティの実装


Database Expert フォーラム 新着記事
@ITメールマガジン 新着情報やスタッフのコラムがメールで届きます(無料)
- PR -

注目のテーマ

Database Expert 記事ランキング

本日月間
ソリューションFLASH