診断ツールでデータベースの健全性を保つ
狙いその3:すべての人に安心感を
過去に起きたデータベースからの情報漏えい事件を見ると、ひとたびデータベースから重要な情報が漏えいしてしまったときには、そのデータにかかわるすべての人々(企業、社員、顧客、SI業者、株主)に大きな衝撃と損失を与えることは明らかです。セキュリティにゴールはないといわれますが、できる限りの対策を取ることによって、すべての人が安心できる状況にしておくことが最低限必要なことです。
データベースのセキュリティに関しては、どこまで何をやればいいかというセキュリティスタンダードのような明確な指針は一般的にはなく、PCI DSSのような業界ごと、もしくは企業ごとに独自にポリシーを立て、それを満たしていこうという状況が見受けられます。脆弱性評価ツールを活用することにより、自分たちが運用しているデータベースは最低ラインのセキュリティをクリアできているのか、業界または企業独自のセキュリティポリシーをしっかり満たしているのか、しっかりと診断できます。また、対処できているというレポートを状況証拠として、株主や顧客、監査法人などに示すことも可能です。レポートは、過去に実施した診断結果もすべて記録としてツールの中に蓄積されるため、過去からのセキュリティ対策の推移レポートとして企業の取り組み状況の進ちょく記録を関係者に示すこともできます。
●図4 脆弱性評価レポートの一例オール・ザッツ・PCI DSS 連載インデックス(@IT Security&Trust)
http://www.atmarkit.co.jp/fsecurity/index/index_pcidss.html
5分で絶対に分かるPCI DSS(@IT Security&Trust)
http://www.atmarkit.co.jp/fsecurity/special/126pcidss/pcidss00.html
脆弱性評価ツールの効果的な活用を
このサイトをご覧になっている方々の中には、SI業者やソフトウェア販売会社、あるいはセキュリティサービスベンダなどに勤務されている方も多いと思います。そこで、ユーザー企業の視点ではなく、セキュリティサービスをユーザー企業に提供する側の視点で脆弱性評価ツールを考えてみたいと思います。
データベース脆弱性評価ツールは、ITサービスを提供している会社にとって、大変利用価値が高いビジネスのツールです。ユーザー企業にセキュリティ診断サービスのようなサービスを提供する際に、脆弱性評価ツールを積極的に活用することで、サービスを提供するスタッフのスキルレベルや知識レベルに左右されることなく、少ない工数と短い時間でデータベースのセキュリティ診断を行うことができます。
脆弱性評価ツールは各社からリリースされており、無償版や試用版が用意されていますので、積極的に試してみることをお勧めします。実際にビジネスで活用される場合には、各製品の特長とランニングコストを見定め、最適なツールを選択することがポイントです。表1はデータベースの脆弱性評価にフォーカスした十分な機能を持った製品の一例です。
●表1 データベース脆弱性評価ツール一覧ツール名 | 提供元 | URL |
---|---|---|
FortiDB | 米FortiNet | http://www.fortinet.co.jp/products/fortidb/ |
AppDetective | 米Application Security | http://www.lac.co.jp/appsec/index.html |
NGSSquirreL | 英Next Generation Security Software | http://www.ngssoftware.com/ |
Scuba by Imperva | 米Imperva | http://www.imperva.com/products/scuba.html |
データベースのセキュリティは、まずは現状把握をしっかり行うために、今回紹介した脆弱性評価から始めて、使用中のデータベースインスタンス自体をしっかりとセキュアな状況ことが重要です。脆弱性評価は1回だけで終わらせるのではなく、日々の運用の中で継続して行っていく点も大切です。
これらができて初めて、前回までにご説明したアクセスログの取得とモニタリングを実装していくといった進め方が、最も望ましいデータベースセキュリティの実装方法なのです。
成田泰彦 (なりた やすひこ)
フォーティネットジャパン株式会社
セールスエンジニアリング部 シニアコンサルティングSE
株式会社アシストにてRDBMSを使ったアプリケーション開発の技術支援エンジニアとしての経験を基に、後年ではシングルサインオン・アクセスコントロールシステムの構築支援・コンサルタントを担当。
その後アイピーロックスジャパン、日本オラクルにてDBセキュリティ、ID管理セキュリティソリューションをプリセールスエンジニアおよびセールスマンとして担当。
さらにはDBセキュリティコンソーシアムの研究員も務めるなどして、ここ最近の約10年間はセキュリティソリューションにどっぷり漬かってきている。
現在はフォーティネットジャパンにてコンサルタントとして奮闘中。つい最近ゴルフを始めたばかりで、下手くそな自分と一緒にラウンドしていただける忍耐力の強い方を募集中。
3/3 |
Index | |
診断ツールでデータベースの健全性を保つ | |
Page 1 データベースの脆弱性評価とは? |
|
Page 2 狙いその1:内部の人為的ミス・不正行為に備える 狙いその2:バックドアからの侵入に備える |
|
Page 3 狙いその3:すべての人に安心感を 脆弱性評価ツールの効果的な活用を |
ここがポイント! DBセキュリティの実装 |
- Oracleライセンス「SE2」検証 CPUスレッド数制限はどんな仕組みで制御されるのか (2017/7/26)
データベース管理システムの運用でトラブルが発生したらどうするか。DBサポートスペシャリストが現場目線の解決Tipsをお届けします。今回は、Oracle SE2の「CPUスレッド数制限」がどんな仕組みで行われるのかを検証します - ドメイン参加後、SQL Serverが起動しなくなった (2017/7/24)
本連載では、「SQL Server」で発生するトラブルを「どんな方法で」「どのように」解決していくか、正しい対処のためのノウハウを紹介します。今回は、「ドメイン参加後にSQL Serverが起動しなくなった場合の対処方法」を解説します - さらに高度なSQL実行計画の取得」のために理解しておくべきこと (2017/7/21)
日本オラクルのデータベーススペシャリストが「DBAがすぐ実践できる即効テクニック」を紹介する本連載。今回は「より高度なSQL実行計画を取得するために、理解しておいてほしいこと」を解説します - データベースセキュリティが「各種ガイドライン」に記載され始めている事実 (2017/7/20)
本連載では、「データベースセキュリティに必要な対策」を学び、DBMSでの「具体的な実装方法」や「Tips」などを紹介していきます。今回は、「各種ガイドラインが示すコンプライアンス要件に、データベースのセキュリティはどのように記載されているのか」を解説します
|
|