ここがポイント! DBセキュリティの実装(3)

診断ツールでデータベースの健全性を保つ

 

フォーティネットジャパン株式会社
セールスエンジニアリング部 シニアコンサルティングSE
成田泰彦
2010/3/5

狙いその3:すべての人に安心感を

 過去に起きたデータベースからの情報漏えい事件を見ると、ひとたびデータベースから重要な情報が漏えいしてしまったときには、そのデータにかかわるすべての人々(企業、社員、顧客、SI業者、株主)に大きな衝撃と損失を与えることは明らかです。セキュリティにゴールはないといわれますが、できる限りの対策を取ることによって、すべての人が安心できる状況にしておくことが最低限必要なことです。

 データベースのセキュリティに関しては、どこまで何をやればいいかというセキュリティスタンダードのような明確な指針は一般的にはなく、PCI DSSのような業界ごと、もしくは企業ごとに独自にポリシーを立て、それを満たしていこうという状況が見受けられます。脆弱性評価ツールを活用することにより、自分たちが運用しているデータベースは最低ラインのセキュリティをクリアできているのか、業界または企業独自のセキュリティポリシーをしっかり満たしているのか、しっかりと診断できます。また、対処できているというレポートを状況証拠として、株主や顧客、監査法人などに示すことも可能です。レポートは、過去に実施した診断結果もすべて記録としてツールの中に蓄積されるため、過去からのセキュリティ対策の推移レポートとして企業の取り組み状況の進ちょく記録を関係者に示すこともできます。

●図4 脆弱性評価レポートの一例
【関連記事】
オール・ザッツ・PCI DSS 連載インデックス
(@IT Security&Trust)
http://www.atmarkit.co.jp/fsecurity/index/index_pcidss.html

5分で絶対に分かるPCI DSS(@IT Security&Trust)
http://www.atmarkit.co.jp/fsecurity/special/126pcidss/pcidss00.html

脆弱性評価ツールの効果的な活用を

 このサイトをご覧になっている方々の中には、SI業者やソフトウェア販売会社、あるいはセキュリティサービスベンダなどに勤務されている方も多いと思います。そこで、ユーザー企業の視点ではなく、セキュリティサービスをユーザー企業に提供する側の視点で脆弱性評価ツールを考えてみたいと思います。

 データベース脆弱性評価ツールは、ITサービスを提供している会社にとって、大変利用価値が高いビジネスのツールです。ユーザー企業にセキュリティ診断サービスのようなサービスを提供する際に、脆弱性評価ツールを積極的に活用することで、サービスを提供するスタッフのスキルレベルや知識レベルに左右されることなく、少ない工数と短い時間でデータベースのセキュリティ診断を行うことができます。

 脆弱性評価ツールは各社からリリースされており、無償版や試用版が用意されていますので、積極的に試してみることをお勧めします。実際にビジネスで活用される場合には、各製品の特長とランニングコストを見定め、最適なツールを選択することがポイントです。表1はデータベースの脆弱性評価にフォーカスした十分な機能を持った製品の一例です。

●表1 データベース脆弱性評価ツール一覧
ツール名 提供元 URL
FortiDB 米FortiNet http://www.fortinet.co.jp/products/fortidb/
AppDetective 米Application Security http://www.lac.co.jp/appsec/index.html
NGSSquirreL 英Next Generation Security Software http://www.ngssoftware.com/
Scuba by Imperva 米Imperva http://www.imperva.com/products/scuba.html

 データベースのセキュリティは、まずは現状把握をしっかり行うために、今回紹介した脆弱性評価から始めて、使用中のデータベースインスタンス自体をしっかりとセキュアな状況ことが重要です。脆弱性評価は1回だけで終わらせるのではなく、日々の運用の中で継続して行っていく点も大切です。

 これらができて初めて、前回までにご説明したアクセスログの取得とモニタリングを実装していくといった進め方が、最も望ましいデータベースセキュリティの実装方法なのです。


筆 者 略 歴

成田泰彦 (なりた やすひこ)

フォーティネットジャパン株式会社

セールスエンジニアリング部 シニアコンサルティングSE

株式会社アシストにてRDBMSを使ったアプリケーション開発の技術支援エンジニアとしての経験を基に、後年ではシングルサインオン・アクセスコントロールシステムの構築支援・コンサルタントを担当。

その後アイピーロックスジャパン、日本オラクルにてDBセキュリティ、ID管理セキュリティソリューションをプリセールスエンジニアおよびセールスマンとして担当。

さらにはDBセキュリティコンソーシアムの研究員も務めるなどして、ここ最近の約10年間はセキュリティソリューションにどっぷり漬かってきている。

現在はフォーティネットジャパンにてコンサルタントとして奮闘中。つい最近ゴルフを始めたばかりで、下手くそな自分と一緒にラウンドしていただける忍耐力の強い方を募集中。
前のページへ 3/3  

Index
診断ツールでデータベースの健全性を保つ

Page 1
データベースの脆弱性評価とは?

Page 2
狙いその1:内部の人為的ミス・不正行為に備える
狙いその2:バックドアからの侵入に備える
→
Page 3
狙いその3:すべての人に安心感を
脆弱性評価ツールの効果的な活用を

ここがポイント! DBセキュリティの実装


Database Expert フォーラム 新着記事
@ITメールマガジン 新着情報やスタッフのコラムがメールで届きます(無料)
- PR -

注目のテーマ

Database Expert 記事ランキング

本日月間
ソリューションFLASH