ここがポイント! DBセキュリティの実装(4)
脆弱性評価ツールの有効性を知る
セキュリティサービスとしてのビジネス展開も可能
ユーザー企業がデータべース脆弱性評価ツールを使用した場合に期待できる効果を挙げましたが、同ツールがセキュリティサービスプロバイダやデータセンター事業者にとって、どのようなビジネス展開ができるかについて具体例を挙げてみましょう。ただし、サービスプロバイダーが脆弱性評価ツールを使ってデータベース診断サービスを提供する場合、ツールのライセンス形態または使用契約条項によってはサービスとして利用できない製品もあります。
まずは、セキュリティサービスプロバイダが、サービスメニューの1つとしてデータベース脆弱性評価サービスを実施するケースを紹介します。データベース脆弱性評価ツールでは、1インスタンスあたり約1分程度でセキュリティ診断処理が完了し、すぐに各種レポートを出力することができます。セキュリティサービスとしての付加価値を付けたい場合は、ツールのレポート機能による評価結果に加え、サービスプロバイダーが独自に持つノウハウとを合わせて診断結果として顧客に提供することが簡単に行えます。一度限りの診断だけではなく、定期的な診断サービスとしても実施することが可能ですので、さまざまなサービスメニューを組むことができるでしょう。
脆弱性評価サービスを提供するスタッフは、診断だけに限ってみれば各社データベースに対する深い知識は不要で、ツールの操作方法さえマスターしていれば誰でも高レベルのセキュリティ診断が実施可能といっても過言ではありません。ビジネスとして早急に立ち上げたいと考えている事業者にとっては、非常に有効なツールとなるでしょう。
●図2 データベース脆弱性評価ツールを使ったセキュリティサービス提供例
セキュリティサービスの提供形態は、コンサルタントがツールを顧客企業に持ち込んで実施する(図2右)、保守サービスなどで顧客企業との間でVPN通信インフラが整備されている場合はリモートでサービスを実施する(図2左)などが考えられます。
一方、データセンター事業者もデータベース脆弱性評価ツールを使用して、顧客企業がコロケーションしているデータベースに対してセキュリティ診断サービスを提供することが可能です。データベースセキュリティの専任スタッフを必要とせず、人手を介さずにスケジュールによる自動診断を実施し、レポートを顧客に直接自動送信することでビジネス展開ができます。
データベース脆弱性評価ツールへの投資以外に人的コストも少ないながら、顧客にとって非常に付加価値の高いサービスを提供し続けることができます。サービスプロバイダーにとっては新たなビジネス機会であるとともに、サービスを受ける顧客企業にとっては、わずかな費用だけで高度なデータベースセキュリティの維持・管理が実現できるというメリットがあります。
●図3 データセンター事業者よるデータベース脆弱性評価サービス提供例
データベースの脆弱性評価に関しては、海外では以前から注目されており、ツールの活用が進んでいますが、なぜか日本国内ではツールの価値があまり評価されていません。筆者自身のじくじたる想いもあり、前回に引き続きデータベース脆弱性評価ツールの効用を取り上げました。日本でもこのような仕組みが浸透することを期待します。
成田泰彦 (なりた やすひこ)
フォーティネットジャパン株式会社
セールスエンジニアリング部 シニアコンサルティングSE
株式会社アシストにてRDBMSを使ったアプリケーション開発の技術支援エンジニアとしての経験を基に、後年ではシングルサインオン・アクセスコントロールシステムの構築支援・コンサルタントを担当。
その後アイピーロックスジャパン、日本オラクルにてDBセキュリティ、ID管理セキュリティソリューションをプリセールスエンジニアおよびセールスマンとして担当。
さらにはDBセキュリティコンソーシアムの研究員も務めるなどして、ここ最近の約10年間はセキュリティソリューションにどっぷり漬かってきている。
現在はフォーティネットジャパンにてコンサルタントとして奮闘中。つい最近ゴルフを始めたばかりで、下手くそな自分と一緒にラウンドしていただける忍耐力の強い方を募集中。
 |
3/3 |
| Index | |
| 脆弱性評価ツールの有効性を知る | |
| Page 1 DBをセキュアに保つための管理プロセスを確立せよ 社内のすべてのデータベースを確実に掌握する |
|
| Page 2 幽霊アカウントや設定ミスを撲滅する マルチデータベース環境で統一したセキュリティ基準を維持する DBセキュリティの維持管理がしっかりできていることを証明する |
|
 |
Page 3 セキュリティサービスとしてのビジネス展開も可能 |
 |
ここがポイント! DBセキュリティの実装 |
- Oracleライセンス「SE2」検証 CPUスレッド数制限はどんな仕組みで制御されるのか (2017/7/26)
データベース管理システムの運用でトラブルが発生したらどうするか。DBサポートスペシャリストが現場目線の解決Tipsをお届けします。今回は、Oracle SE2の「CPUスレッド数制限」がどんな仕組みで行われるのかを検証します - ドメイン参加後、SQL Serverが起動しなくなった (2017/7/24)
本連載では、「SQL Server」で発生するトラブルを「どんな方法で」「どのように」解決していくか、正しい対処のためのノウハウを紹介します。今回は、「ドメイン参加後にSQL Serverが起動しなくなった場合の対処方法」を解説します - さらに高度なSQL実行計画の取得」のために理解しておくべきこと (2017/7/21)
日本オラクルのデータベーススペシャリストが「DBAがすぐ実践できる即効テクニック」を紹介する本連載。今回は「より高度なSQL実行計画を取得するために、理解しておいてほしいこと」を解説します - データベースセキュリティが「各種ガイドライン」に記載され始めている事実 (2017/7/20)
本連載では、「データベースセキュリティに必要な対策」を学び、DBMSでの「具体的な実装方法」や「Tips」などを紹介していきます。今回は、「各種ガイドラインが示すコンプライアンス要件に、データベースのセキュリティはどのように記載されているのか」を解説します
 |
|
|
|
|
