前編
データで分析するDBセキュリティの立ち遅れ原因
アシスト岸和田 隆
2006/6/15
個人情報保護法に続き日本版SOX法の制定を目前に控え、内部統制という観点からデータベースのセキュリティ対策が注目されている。本記事では、前編においてはデータベース・セキュリティの実装状況の分析、後編ではOracleのセキュリティ機能の実装ポイントを解説する。(編集部)
 |
個人情報保護法施行に伴い、データベース・セキュリティへの関心が高まる |
| 主な内容 --Page 1--
 個人情報保護法施行に伴い、データベース・セキュリティへの関心が高まる--Page 2--
データベース・セキュリティに対するニーズは依然として高いが、実装率が低いのはなぜか?--Page 3--
今後は「内部統制」という観点でデータベース・セキュリティは再度注目される |
2005年4月に「個人情報の保護に関する法律」(個人情報保護法)が施行されて1年あまりが経過しました。皆さんの会社でも、個人情報保護法対策室が設置され、個人情報や機密情報の取り扱いについて社員に自覚を促しルールを順守するための「雇用および企業秘密保持に関する誓約書(仮称)」や、個人情報の範囲および利用目的の確認と同意のための「個人情報の取得・利用に関する同意書(仮称)」などが整備されたのではないでしょうか。また、eラーニングを利用した個人情報保護法の社員教育が行われているところも少なくないと思います。
このような個人情報保護法に向けての社内体制、社内外のルール策定に加え、物理的・技術的対策として各種のセキュリティ対策が実装されていると思います。筆者の勤務するアシストでは2005年1月以降、セミナーにご参加いただいたお客さまを対象に、システムのセキュリティ対策についてアンケートを実施しています(アンケート総数:657名)。どのようなセキュリティ対策が実装されているかアンケート結果から確認してみましょう。
図1の「サーバに実施しているセキュリティ対策」からは、「利用者の認証とアクセス制御」「ウイルス対策」「入退室管理」の実装が多いことが分かります。
 |
| 図1 サーバに実施しているセキュリティ対策 |
図2の「ネットワークへのセキュリティ対策」では、「利用者の認証とアクセス制御」「ファイアウォールによるゾーニング」の実装が多いことが分かります。
 |
| 図2 ネットワークへのセキュリティ対策 |
図3の「クライアントへのセキュリティ対策」では、「ウイルス対策」「セキュリティ・パッチ」「利用者認証」の実装が多いことが読み取れます。
 |
| 図3 クライアントへのセキュリティ対策 |
これらの結果を分析すると、情報漏えい事件では不要なアカウントを悪用されるケースが多いこともあり、ユーザー認証やアクセス制御、アカウント管理を優先して対応していると判断できるでしょう。
それでは、データベースのセキュリティ対策はどの程度実装されているのでしょうか。
図4に示す「データベースのセキュリティ対策の実装」を見ると、「個人情報保護法」が施行された後の2005年5月以降のアンケート結果では、「サードベンダのセキュリティツールを導入」または「データベース機能を利用」することで、何らかのデータベース・セキュリティを実施している割合は25%まで増えています。
しかし、残り約75%は「必要性がない」または「現在検討中」であり、現時点でデータベース・セキュリティはサーバ、ネットワークのセキュリティ対策ほど普及していない状況です。
 |
| 図4 データベースのセキュリティ対策の実装 |
また、図5を見ると実施しているデータベースのセキュリティ対策は、「共有ユーザーの廃止、削除」「ユーザーに付与する権限の見直し」など、サーバ、ネットワークと同様にアクセス制御、アカウント管理に関する項目が多いことが確認できます。
 |
| 図5 実施しているデータベースのセキュリティ対策 |
| 1/3 |  |
| Index | |
| 特集:日本版SOX法時代のOracleセキュリティ(前編) データで分析するDBセキュリティの立ち遅れ原因 |
|
 |
Page 1 ・個人情報保護法施行に伴い、データベース・セキュリティへの関心が高まる |
| Page 2 ・データベース・セキュリティに対するニーズは依然として高いが、実装率が低いのはなぜか? |
|
| Page 3 ・今後は「内部統制」という観点でデータベース・セキュリティは再度注目される |
|
 |
日本版SOX法時代のOracleセキュリティ |
- Oracleライセンス「SE2」検証 CPUスレッド数制限はどんな仕組みで制御されるのか (2017/7/26)
データベース管理システムの運用でトラブルが発生したらどうするか。DBサポートスペシャリストが現場目線の解決Tipsをお届けします。今回は、Oracle SE2の「CPUスレッド数制限」がどんな仕組みで行われるのかを検証します - ドメイン参加後、SQL Serverが起動しなくなった (2017/7/24)
本連載では、「SQL Server」で発生するトラブルを「どんな方法で」「どのように」解決していくか、正しい対処のためのノウハウを紹介します。今回は、「ドメイン参加後にSQL Serverが起動しなくなった場合の対処方法」を解説します - さらに高度なSQL実行計画の取得」のために理解しておくべきこと (2017/7/21)
日本オラクルのデータベーススペシャリストが「DBAがすぐ実践できる即効テクニック」を紹介する本連載。今回は「より高度なSQL実行計画を取得するために、理解しておいてほしいこと」を解説します - データベースセキュリティが「各種ガイドライン」に記載され始めている事実 (2017/7/20)
本連載では、「データベースセキュリティに必要な対策」を学び、DBMSでの「具体的な実装方法」や「Tips」などを紹介していきます。今回は、「各種ガイドラインが示すコンプライアンス要件に、データベースのセキュリティはどのように記載されているのか」を解説します
 |
|
|
|
|
