ここがポイント! DBセキュリティの実装(3)
診断ツールでデータベースの健全性を保つ
第2回「不正行為を未然に防ぐログの分析と活用」では、不正行為を未然に防ぐためにアクセスログの活用が重要であることを述べました。データベースの運用においては、データベースの設定、運用におけるセキュリティ上の“弱点”を検出し、改善策を継続的に実施することが必要です。
今回は、データベースの“脆弱性評価”について、ツールの活用による効果を解説します
データベースの脆弱性評価とは?
ネットワークやWebアプリケーションの脆弱性評価ならすぐにイメージできても、「データベースの脆弱性評価」はいったいどういうものか、よく分からない方も多いと思います。そこで、現実社会でのオフィスビルのセキュリティ対策に照らし合わせて考えてみると、分かりやすく理解できるのではないかと思います。
例えば、ある会社のオフィスビルに、その会社にとって重要な書類や現金が保管、管理されている堅牢な金庫があるとします。金庫は金庫室に格納されていて、その金庫室への入退室や金庫への出し入れを行う処理は、いつ、誰が、どのような理由で実施するのかが厳密に管理されていて、すべての記録を取り、さらには監査が実施されていることと思います。もちろん金庫室内で行われる行為は、すべて監視カメラを通してリアルタイムにモニタリングされ、記録されているでしょう。
この金庫室がサーバルームおよびデータベースサーバであり、金庫がデータベースインスタンスだと考えてください。
●図1 オフィスビルセキュリティとデータベースセキュリティの対比
企業は、金庫内の重要な資産を守るため、ビル全体に高度なセキュリティ対策を実装、管理します。その際に企業が考えるべきことは、最終砦である金庫室と金庫だけを単に厳重にするのではなく、そもそも誰がビルに入れるのか、誰が金庫室に入って金庫を開けられるのかなどのポリシーを設定することです。また、金庫までの物理的アクセス経路はどうなっているか、入退室時の認証の仕組みを物理的にどこまで強固にし、どのように実装するのかといった物理的な設計などが必要になります。そうした仕組み作りのために、セキュリティコンサルタントなどを活用してポリシーの策定、実装、運用、維持を行い、場合によっては情報セキュリティマネジメントシステム(ISMS)の認証を受けています。
ISMSで考える運用管理のヒント(1)
ISMSで仕事をラクにしよう!(@IT Security&Trust)
http://www.atmarkit.co.jp/fsecurity/rensai/isms_hint01/isms_hint01.html
データベースサーバにおけるセキュリティを万全にするためには、データベースインスタンスの堅牢性を高めるだけではなく、データベースサーバを取り巻くシステム全体、およびアクセスできるアカウント(人間あるいはプログラム)に対するセキュリティポリシーをしっかり策定、実装、運用、維持がなされていることが重要になります。
今回のテーマである「データベースの脆弱性評価」とは、データベースにおけるセキュリティポリシーの策定、それに基づく実装や運用がなされているかを診断するものと理解してください。具体的には、認証ルール(アカウントのパスワード運用設定など)、アクセス権限の設定、不要なアカウントやサービス/プロシージャなどの有無、アクセス経路(ネットワークの設定)、セキュリティ強度(パッチの適用状況)、企業独自のポリシーへの対応状況などを総合的に繰り返し評価します。そして、評価結果を基に改善策を提示することによって、データベースのセキュリティ強度を継続的に改善していくことを目的としています。
では、企業がデータベースの脆弱性評価をどのような方法で行っているのでしょうか。多くは以下の3つのパターンであると考えられます。
- データベースセキュリティコンサルタントが社内に常駐し、随時評価を実施
- 定期的にデータベースセキュリティコンサルタントに評価を依頼
- ユーザー企業が自分自身で評価を実施
現実的には、2および3のパターンが多いと思われますが、いずれの場合においても、データベースの脆弱性評価を効率的かつ確実に実施するために、データベースの脆弱性評価ツールを活用することが賢明です。
データベース脆弱性評価ツールは、各データベースから収集したコンフィグレーション情報を内部リポジトリに記録し、ポリシーに基づいて評価を行います。一般的に、データベース脆弱性評価ツールはマルチベンダ環境に対応し、ネットワーク上においてJDBC接続が可能な複数のデータベースインスタンスの脆弱性評価を同時に実施が可能です。また、レポートは、各インスタンスごとに評価した結果でも、すべてのインスタンスを集計した結果でも出力することができます。
●図2 一般的なデータベース脆弱性評価ツールの仕組み
| 1/3 |  |
| Index | |
| 診断ツールでデータベースの健全性を保つ | |
 |
Page 1 データベースの脆弱性評価とは? |
| Page 2 狙いその1:内部の人為的ミス・不正行為に備える 狙いその2:バックドアからの侵入に備える |
|
| Page 3 狙いその3:すべての人に安心感を 脆弱性評価ツールの効果的な活用を |
|
 |
ここがポイント! DBセキュリティの実装 |
- Oracleライセンス「SE2」検証 CPUスレッド数制限はどんな仕組みで制御されるのか (2017/7/26)
データベース管理システムの運用でトラブルが発生したらどうするか。DBサポートスペシャリストが現場目線の解決Tipsをお届けします。今回は、Oracle SE2の「CPUスレッド数制限」がどんな仕組みで行われるのかを検証します - ドメイン参加後、SQL Serverが起動しなくなった (2017/7/24)
本連載では、「SQL Server」で発生するトラブルを「どんな方法で」「どのように」解決していくか、正しい対処のためのノウハウを紹介します。今回は、「ドメイン参加後にSQL Serverが起動しなくなった場合の対処方法」を解説します - さらに高度なSQL実行計画の取得」のために理解しておくべきこと (2017/7/21)
日本オラクルのデータベーススペシャリストが「DBAがすぐ実践できる即効テクニック」を紹介する本連載。今回は「より高度なSQL実行計画を取得するために、理解しておいてほしいこと」を解説します - データベースセキュリティが「各種ガイドライン」に記載され始めている事実 (2017/7/20)
本連載では、「データベースセキュリティに必要な対策」を学び、DBMSでの「具体的な実装方法」や「Tips」などを紹介していきます。今回は、「各種ガイドラインが示すコンプライアンス要件に、データベースのセキュリティはどのように記載されているのか」を解説します
 |
|
|
|
|
