ここがポイント! DBセキュリティの実装(4)

脆弱性評価ツールの有効性を知る

 

フォーティネットジャパン株式会社
セールスエンジニアリング部 シニアコンサルティングSE
成田泰彦
2010/5/27
DBの脆弱性評価ツールはどのような効果をもたらすのでしょうか。DB運用に潜むリスクと、ツールによる解決策を取り上げます(編集部)

 第3回「診断ツールでデータベースの健全性を保つ」では、データべースの“脆弱性評価”とはどのようなものか、診断ツールで何ができるのか説明しました。データベースを運用する上で脆弱性をきちんと把握、改善することは、セキュリティ管理の前提であり、とても重要です。

 今回も引き続きデータベースの脆弱性評価について掘り下げるともに、実際の環境において脆弱性評価ツールがどのような効果をもたらしてくれるのかについて具体的に解説します。

DBをセキュアに保つための管理プロセスを確立せよ

 データベースをセキュアに保つためには、現在のシステム構成でセキュリティ上の“弱点”がないかを評価し、現状を把握することが重要です。その評価結果を基にポリシーを見直し、改善策を施す――これを継続して実施していくという「管理サイクルのプロセス」を確立することがリスクを軽減し、セキュリティ強度を高めることになります。

 脆弱性の診断・改善の実施の対象範囲はデータベースインスタンス内だけにとどまらず、データベースサーバを取り巻くシステム全体、さらにアクセスできるアカウントやアクセス経路、アクセスするプログラムに及びます。それらに対するセキュリティポリシーの策定→実装→運用→維持/改善という仕組みが構築できていることが大切です。もちろん、運用プロセスではアクセスログを記録したり、不審なアクセスをリアルタイムで検知するといった監視や監査の仕組みも必要になりますが、まずはデータベースの“健康状態”を診断し、弱点を把握することが前提という認識を持ってください。

●図1 データべースの脆弱性管理プロセス

 複数データベース、複数インスタンスが存在する環境では、ゼロからこのような仕組みを構築していくことは大変な作業です。そこで、データベース脆弱性評価ツールを積極的に利用しましょう。これにより、脆弱性管理プロセスの迅速な構築が可能になります。また、そのあとのプロセス維持管理と運用も容易になるはずです。

 データベース脆弱性診断評価ツールには、最初から標準的なポリシー、あるいはデータベースセキュリティの専門家がデザインしたポリシーがベストプラクティスとして実装されています。脆弱性評価ツールをネットワークに接続して実行すれば、そのままでも十分な脆弱性ポイントの検出ができます。もし、データベースアカウントのネーミングルールやパスワード文字列の規定など、すでに独自の運用ポリシーやルールが策定されているなら、それらのポリシーも追加して評価を実施することも可能です。

 脆弱性評価ツールを活用して現状を診断し、その評価結果を検討して新たなポリシーを追加したり、不備な部分を改善して、もう一度評価を実施する――これを定期的に繰り返し実施するプロセスを素早く構築するために、脆弱性評価ツールは非常に役立つはずです。

 しかし、管理プロセスの迅速な構築だけが脆弱性評価ツールのメリットではありません。具体的にどのようなリスク管理や不正行為を防御できるのか、詳しく見ていきましょう。

社内のすべてのデータベースを確実に掌握する

 米国のあるセキュリティリサーチ会社の調査によると、多くの企業で稼働中のデータベースに保管されているデータは、複数のデータベースに一部コピーされるような運用が行われているそうです。その数、実に4〜12もの複製が存在するようです。

 データがコピーされ二次利用されるケースは、BI系システムや情報検索システム、開発系システムなどのサブシステムといわれています。皆さんの会社でも、部門で必要なデータをメインデータベースから抽出して、部門データベースで利用しているケースもあるでしょう。

 こうしたサブシステム的なデータベースの問題は、メインのデータベースなどと比較して十分なセキュリティ上の管理が行き届いていないことが多い点です。いくらメインのデータベースがしっかりセキュリティ管理されていたとしても、一部とはいえ複製されたデータがあるサブデータベースの管理が野放し状態では、大きなリスクを背負い続けている状態だといえます。

 データベース脆弱性評価ツールは、セキュリティ担当部門が把握していない、あるいはコントロールされていないデータベースインスタンスを自動的に検出し、管理下に置く手助けをします。脆弱性評価ツールは接続されたネットワーク内を走査し、検出したデータベースインスタンスをリスト化します。セキュリティ担当部門は、そのリストを基に各データベースの管理者は誰なのか、また保持されているデータの内容がどのようなものであるのかを明確に把握することを手助けします。そしてツールによる脆弱性評価を行うことによって、社内すべてのデータベースインスタンスをセキュリティ管理のコントロール下に置き、しっかりと対策を実施していくことが可能になります。

コントロールされていない
インスタンスによるリスク
脆弱性評価ツールによる解決
  • 基となるデータベースから各業務に必要なデータのサブセット(コピー)が、いくつかのインスタンスに散らばっている状況がある
  • セキュリティ担当部門は、どれだけのインスタンスが社内に存在するか不明
  • サブセットの管理は誰が担当しているのか不明
  • どこのマシンでどのようなデータベースが稼働しているのかネットワーク内を走査し、検出する
  • セキュリティ部門が認識できてなかったインスタンスが発見でき、重大な漏えい事故につながりかねない重要データの有無を確認できる
  • アカウント設定、権限設定、システム設定などの脆弱性をチェックし、セキュリティ担当部門のコントロール下に置くことができる

  1/3 次のページへ

Index
脆弱性評価ツールの有効性を知る
→
Page 1
DBをセキュアに保つための管理プロセスを確立せよ
社内のすべてのデータベースを確実に掌握する

Page 2
幽霊アカウントや設定ミスを撲滅する
マルチデータベース環境で統一したセキュリティ基準を維持する
DBセキュリティの維持管理がしっかりできていることを証明する

Page 3
セキュリティサービスとしてのビジネス展開も可能

ここがポイント! DBセキュリティの実装


Database Expert フォーラム 新着記事
@ITメールマガジン 新着情報やスタッフのコラムがメールで届きます(無料)

注目のテーマ

Database Expert 記事ランキング

本日月間