ここがポイント! DBセキュリティの実装(4)
脆弱性評価ツールの有効性を知る
第3回「診断ツールでデータベースの健全性を保つ」では、データべースの“脆弱性評価”とはどのようなものか、診断ツールで何ができるのか説明しました。データベースを運用する上で脆弱性をきちんと把握、改善することは、セキュリティ管理の前提であり、とても重要です。
今回も引き続きデータベースの脆弱性評価について掘り下げるともに、実際の環境において脆弱性評価ツールがどのような効果をもたらしてくれるのかについて具体的に解説します。
DBをセキュアに保つための管理プロセスを確立せよ
データベースをセキュアに保つためには、現在のシステム構成でセキュリティ上の“弱点”がないかを評価し、現状を把握することが重要です。その評価結果を基にポリシーを見直し、改善策を施す――これを継続して実施していくという「管理サイクルのプロセス」を確立することがリスクを軽減し、セキュリティ強度を高めることになります。
脆弱性の診断・改善の実施の対象範囲はデータベースインスタンス内だけにとどまらず、データベースサーバを取り巻くシステム全体、さらにアクセスできるアカウントやアクセス経路、アクセスするプログラムに及びます。それらに対するセキュリティポリシーの策定→実装→運用→維持/改善という仕組みが構築できていることが大切です。もちろん、運用プロセスではアクセスログを記録したり、不審なアクセスをリアルタイムで検知するといった監視や監査の仕組みも必要になりますが、まずはデータベースの“健康状態”を診断し、弱点を把握することが前提という認識を持ってください。
●図1 データべースの脆弱性管理プロセス
複数データベース、複数インスタンスが存在する環境では、ゼロからこのような仕組みを構築していくことは大変な作業です。そこで、データベース脆弱性評価ツールを積極的に利用しましょう。これにより、脆弱性管理プロセスの迅速な構築が可能になります。また、そのあとのプロセス維持管理と運用も容易になるはずです。
データベース脆弱性診断評価ツールには、最初から標準的なポリシー、あるいはデータベースセキュリティの専門家がデザインしたポリシーがベストプラクティスとして実装されています。脆弱性評価ツールをネットワークに接続して実行すれば、そのままでも十分な脆弱性ポイントの検出ができます。もし、データベースアカウントのネーミングルールやパスワード文字列の規定など、すでに独自の運用ポリシーやルールが策定されているなら、それらのポリシーも追加して評価を実施することも可能です。
脆弱性評価ツールを活用して現状を診断し、その評価結果を検討して新たなポリシーを追加したり、不備な部分を改善して、もう一度評価を実施する――これを定期的に繰り返し実施するプロセスを素早く構築するために、脆弱性評価ツールは非常に役立つはずです。
しかし、管理プロセスの迅速な構築だけが脆弱性評価ツールのメリットではありません。具体的にどのようなリスク管理や不正行為を防御できるのか、詳しく見ていきましょう。
社内のすべてのデータベースを確実に掌握する
米国のあるセキュリティリサーチ会社の調査によると、多くの企業で稼働中のデータベースに保管されているデータは、複数のデータベースに一部コピーされるような運用が行われているそうです。その数、実に4〜12もの複製が存在するようです。
データがコピーされ二次利用されるケースは、BI系システムや情報検索システム、開発系システムなどのサブシステムといわれています。皆さんの会社でも、部門で必要なデータをメインデータベースから抽出して、部門データベースで利用しているケースもあるでしょう。
こうしたサブシステム的なデータベースの問題は、メインのデータベースなどと比較して十分なセキュリティ上の管理が行き届いていないことが多い点です。いくらメインのデータベースがしっかりセキュリティ管理されていたとしても、一部とはいえ複製されたデータがあるサブデータベースの管理が野放し状態では、大きなリスクを背負い続けている状態だといえます。
データベース脆弱性評価ツールは、セキュリティ担当部門が把握していない、あるいはコントロールされていないデータベースインスタンスを自動的に検出し、管理下に置く手助けをします。脆弱性評価ツールは接続されたネットワーク内を走査し、検出したデータベースインスタンスをリスト化します。セキュリティ担当部門は、そのリストを基に各データベースの管理者は誰なのか、また保持されているデータの内容がどのようなものであるのかを明確に把握することを手助けします。そしてツールによる脆弱性評価を行うことによって、社内すべてのデータベースインスタンスをセキュリティ管理のコントロール下に置き、しっかりと対策を実施していくことが可能になります。
| コントロールされていない インスタンスによるリスク |
脆弱性評価ツールによる解決 |
|---|---|
|
|
| 1/3 |  |
| Index | |
| 脆弱性評価ツールの有効性を知る | |
 |
Page 1 DBをセキュアに保つための管理プロセスを確立せよ 社内のすべてのデータベースを確実に掌握する |
| Page 2 幽霊アカウントや設定ミスを撲滅する マルチデータベース環境で統一したセキュリティ基準を維持する DBセキュリティの維持管理がしっかりできていることを証明する |
|
| Page 3 セキュリティサービスとしてのビジネス展開も可能 |
|
 |
ここがポイント! DBセキュリティの実装 |
- Oracleライセンス「SE2」検証 CPUスレッド数制限はどんな仕組みで制御されるのか (2017/7/26)
データベース管理システムの運用でトラブルが発生したらどうするか。DBサポートスペシャリストが現場目線の解決Tipsをお届けします。今回は、Oracle SE2の「CPUスレッド数制限」がどんな仕組みで行われるのかを検証します - ドメイン参加後、SQL Serverが起動しなくなった (2017/7/24)
本連載では、「SQL Server」で発生するトラブルを「どんな方法で」「どのように」解決していくか、正しい対処のためのノウハウを紹介します。今回は、「ドメイン参加後にSQL Serverが起動しなくなった場合の対処方法」を解説します - さらに高度なSQL実行計画の取得」のために理解しておくべきこと (2017/7/21)
日本オラクルのデータベーススペシャリストが「DBAがすぐ実践できる即効テクニック」を紹介する本連載。今回は「より高度なSQL実行計画を取得するために、理解しておいてほしいこと」を解説します - データベースセキュリティが「各種ガイドライン」に記載され始めている事実 (2017/7/20)
本連載では、「データベースセキュリティに必要な対策」を学び、DBMSでの「具体的な実装方法」や「Tips」などを紹介していきます。今回は、「各種ガイドラインが示すコンプライアンス要件に、データベースのセキュリティはどのように記載されているのか」を解説します
 |
|
|
|
|
