NoSQLを飲み込むRDBMS
2011/5/11
データを完全に暗号化する時代が来た
次はオラクルのデータベースセキュリティに関する取り組みについて。4月26日に記者向けに発表がありましたので、その内容をご紹介します。
オラクルは「Oracle7」の時代から数々のセキュリティ対策製品を販売しており、セキュリティ対策には長年取り組んでいます。余談ですが、オラクル起業時にはCIA(アメリカ中央情報局)に関するプロジェクトを受注したこともあり、当初からセキュリティに対する意識は高いとのことです。
顧客からオラクルに寄せられる相談としては、特に内部監査に関するものが多く、近年ではビジネスのグローバル化に伴うセキュリティ強化やSQLインジェクション対策の依頼も増えているそうです。さらに震災があり、事業継続性の観点からの情報セキュリティにも注目が集まってきているそうです。
セキュリティは重要なテーマではありますが、難しいテーマです。問題が起きないうちはいいのですが、その安全な状態をいかに維持するか。システムの規模が大きくなればなるほど、安全な状態を維持することが難しくなっていきます。どんなに守りを強固にしても抜け道があれば、そこを突かれてしまいます。セキュリティ対策では、全体をカバーするようにシステムを守り、かつ何重にも対策を施さなくてはなりません。
また、一般論としてセキュリティを強固にするということは、性能とのトレードオフになることもあります。そこで、例えばデータを暗号化するなら、必要な項目に絞るという具合に妥協を余儀なくされることもありました。しかし、昨今のWebサイトは個人情報を保管していながら、Webからの攻撃にさらされる危険もあります。このようなシステムであればどのような形であれ暗号化は不可欠です。オラクルの常務執行役員でありテクノロジー製品事業統括本部長の三澤智光氏は「データベースのデータを完全に暗号化する時代がやってきました」と述べています。
同社のテクノロジー製品事業統括本部 データベースビジネス推進本部 プラットフォームビジネス推進部のディレクターでCISSP保持者である北野晴人氏は「オラクルのセキュリティ対策は断片的なものではなく、トータルで保護する仕組みを提供できるのが強みです」と話しています。中でもオラクルが注力するセキュリティソリューションは暗号化、職務分掌、ファイアウォールの3分野だそうです。それぞれ対応する製品と特徴を見ていきましょう。
プロセッサの新機能を利用して暗号化の性能を飛躍的に高める
暗号化機能を提供するオプションとしてオラクルは「Advanced Security Option」を用意しています。データベースそのものの暗号化、ネットワークの暗号化、バックアップの暗号化の3種類の暗号化機能を備えています。かつては暗号化機能を利用すると、性能が大きく劣化することは避けられませんでした。しかし、最新のOracle Databaseなら1Gbyteの表領域を暗号化しても、復号にかかる時間は平文を読み出すのにかかる時間に比べて2割増し程度だそうです。
さらにAES-NI(Intel Xeon 5600プロセッサが備える新しい命令セット。暗号化と復号化をプロセッサで高速処理する機能を持つ)を利用すると、復号にかかる時間は平文を読み出す時間に比べてわずか3%増にとどまるという結果が出ているそうです。もう高い処理性能と厳密なセキュリティ(暗号化)は相反するものではなく両立できるようになりそうです。
職務分掌と言っても分かりにくいかもしれませんが、これはユーザーの権限管理のことでオラクルは、「Database Vault」というオプションを用意しています。データベース管理者に細かい操作を許しながらも、人事や顧客データにはアクセスできないようにするなど、きめ細かい権限の分割と管理を可能にします。内部漏えい対策としても重要視されているそうです。
最後はファイアウォールです。一般的なネットワーク向けファイアウォールは、インターネットとLANの境目に立って、TCP/IPのパケットの流れを監視し、不要なパケットを遮断するものです。
一方、オラクルが用意しているオプションである、「Oracle Database Firewall」はWebアプリケーションサーバとデータベースサーバの間に立って、不要なパケットを遮断します。データベースサーバの動作をモニターし、許可されないアクセスやSQLインジェクションなど不正アクセスを遮断します。
オラクルが提供するセキュリティ対策オプションについてより詳しく知りたい方ならオラクルのセキュリティソリューション特集ページも参考になるでしょう。
PostgreSQLは次バージョンで大幅機能追加の予定
最後に小ネタを2つほど。PostgreSQLの次期バージョンとなる9.1のベータ版の公開が始まりました。プレスリリースによると「過去に例がないほど多くの新機能を追加した」とのことです。具体的には機能拡張の新しい仕組みである「拡張モジュール」の導入や、レプリケーション機能の改良などが挙げられるそうです。
Club DB2では恒例の「初心者歓迎!DB2の使い方」シリーズを開催します。職場の新人さんを誘って参加してみてはいかがでしょう。
ではまた来月、お会いしましょう。過去記事もどうぞ!
2/2 |
Index | |
NoSQLを飲み込むRDBMS | |
Page 1 NoSQLに近づくMySQL MySQLコミュニティで日本人が活躍 |
|
Page 2 データを完全に暗号化する時代が来た Intelプロセッサの新機能を利用して暗号化の性能を飛躍的に高める PostgreSQLは次バージョンで大幅機能追加の予定 |
- Oracleライセンス「SE2」検証 CPUスレッド数制限はどんな仕組みで制御されるのか (2017/7/26)
データベース管理システムの運用でトラブルが発生したらどうするか。DBサポートスペシャリストが現場目線の解決Tipsをお届けします。今回は、Oracle SE2の「CPUスレッド数制限」がどんな仕組みで行われるのかを検証します - ドメイン参加後、SQL Serverが起動しなくなった (2017/7/24)
本連載では、「SQL Server」で発生するトラブルを「どんな方法で」「どのように」解決していくか、正しい対処のためのノウハウを紹介します。今回は、「ドメイン参加後にSQL Serverが起動しなくなった場合の対処方法」を解説します - さらに高度なSQL実行計画の取得」のために理解しておくべきこと (2017/7/21)
日本オラクルのデータベーススペシャリストが「DBAがすぐ実践できる即効テクニック」を紹介する本連載。今回は「より高度なSQL実行計画を取得するために、理解しておいてほしいこと」を解説します - データベースセキュリティが「各種ガイドライン」に記載され始めている事実 (2017/7/20)
本連載では、「データベースセキュリティに必要な対策」を学び、DBMSでの「具体的な実装方法」や「Tips」などを紹介していきます。今回は、「各種ガイドラインが示すコンプライアンス要件に、データベースのセキュリティはどのように記載されているのか」を解説します
|
|