前編
データで分析するDBセキュリティの立ち遅れ原因
アシスト岸和田 隆
2006/6/15
また、既存データベースの「ユーザー認証」「権限管理」「アクセス制御」の見直しは、アプリケーションに影響を与えます。スキーマ定義の変更、必要に応じた権限の付与、行や列へのアクセス制御などを実装する場合、アプリケーション・ユーザーが利用する権限の範囲やアクセスできる範囲が変更されるため、正常にアプリケーションが動作するかどうかをテストする必要が生じます。
「監査ログ取得」や「通信、格納データの暗号化」では、ログ取得および暗号化によるパフォーマンスの低下を考慮する必要がありますし、格納データの暗号化ではアプリケーションのソース変更を伴う場合もあります。図6の「データベース・セキュリティの懸念点」のアンケートからも、実装から性能面、運用までの幅広い範囲の懸念点があるようです。
 |
| 図6 データベース・セキュリティの懸念点 |
さらに、表2の「Oracleのバージョンとセキュリティ機能の一覧」に示したように、データベースのバージョンによって実装できるセキュリティ機能が異なっていることも懸念点として考えられます。複数のバージョンが混在したシステムの場合、セキュリティの実装レベルを統一するためには、最下位バージョンの機能に合わせることになるためです。
| セキュリティ 項目 |
Oracleセキュリティ 機能 |
Oracle 10g | Oracle9i | Oracle8i | |||
| EE | SE | EE | SE | EE | SE | ||
| 認証情報の 一元管理 |
Oracle Identity Management | OAS | OAS | OAS | OAS | OAS | OAS |
| グローバル認証 | OP | ― | OP | ― | OP | ― | |
| 外部認証 | OP | ― | OP | ― | OP | ― | |
| プロキシ認証 | ○ | ○ | ○ | ○ | △ | △ | |
| DB認証、OS認証 | ○ | ○ | ○ | ○ | ○ | ○ | |
| 通信データの暗号化 | 通信データの暗号化 | OP | ― | OP | ― | OP | ― |
| パスワード暗号化 | ○ | ○ | ○ | ○ | ○ | ○ | |
| アクセス制御 | 仮想プライベートDB | ○ | ― | ○ | ― | ○ | ― |
| 格納データの暗号化 | 暗号化ツールキット | ○ | ○ | ○ | ○ | △ | ― |
| 透過的データの暗号化 | OP※ | ― | ― | ― | ― | ― | |
| 監査の実施 | 標準監査 | ○ | ○ | ○ | ○ | ○ | ○ |
| DBA監査 | ○ | ○ | ○ | ○ | ― | ― | |
| ファイングレイン監査 | ○ | ― | ○ | ― | ― | ― | |
| イベントトリガ | ○ | ○ | ○ | ○ | ○ | ○ | |
| ログマイナー | ○ | ○ | ○ | ○ | △ | △ | |
| 表2 Oracleのバージョンとセキュリティ機能の一覧 OAS:Oracle Application Serverで提供、OP:オプション機能、※:10g R2以降 |
|||||||
このように、データベースのセキュリティ対策はアプリケーションやシステムに影響を与える可能性が大きいため、実装までに時間を要しているのではないかと思われます。
 |
今後は「内部統制」という観点でデータベース・セキュリティは 再度注目される |
このように、既存データベース・システムへのセキュリティ対策の歩みは早いとはいえませんが、個人情報保護法、情報漏えいという切り口に加え、2006年に入ってからは内部統制という観点からデータベースのセキュリティ対策が再注目されています。
金融商品取引法案(日本版SOX法)の「財務報告に係る内部統制の評価及び監査の基準案」では「ITへの対応」が明記されています。「ITへの対応」はIT統制とされ、一般に「業務処理統制」と「全般統制」に分かれます。「業務処理統制」はソフトウェアで自動化された業務プロセスの正確性と網羅性を統制し、「全般統制」は自動化された業務プロセスの土台を提供し、企業活動の基盤としてのITを統制すると考えることができます。
情報漏えい対策では、情報漏えいが発生するリスクを軽減するため、不幸にも情報漏えいが発生した場合の原因調査および説明責任を果たすための物理的・技術的対策としてセキュリティ対策が検討、実装されていました。
これに対して内部統制では、企業内部のプロセスが法令や定められた手順を守って遂行され、その活動状況が組織や関係者に適切に伝えられていることが、継続的に評価されていなければなりません。企業活動の基盤としてのITを統制し、さらにソフトウェアによって自動化された業務プロセスで処理されてデータベースに格納されたデータの信頼性、正確性を継続的に証明できるような仕組み(セキュリティ対策)が必要になってくるでしょう。つまり、データベースのセキュリティ対策はこれまで以上に重要度を増していくのです。
◇
次回は多くの方が懸念点として挙げているOracleデータベースについて、セキュリティ機能の実装ポイントを性能面の検証結果とともに説明していきます。お楽しみに。
 |
3/3 |
| Index | |
| 特集:日本版SOX法時代のOracleセキュリティ(前編) データで分析するDBセキュリティの立ち遅れ原因 |
|
| Page
1 ・個人情報保護法施行に伴い、データベース・セキュリティへの関心が高まる |
|
| Page 2 ・データベース・セキュリティに対するニーズは依然として高いが、実装率が低いのはなぜか? |
|
 |
Page 3 ・今後は「内部統制」という観点でデータベース・セキュリティは再度注目される |
 |
日本版SOX法時代のOracleセキュリティ |
- Oracleライセンス「SE2」検証 CPUスレッド数制限はどんな仕組みで制御されるのか (2017/7/26)
データベース管理システムの運用でトラブルが発生したらどうするか。DBサポートスペシャリストが現場目線の解決Tipsをお届けします。今回は、Oracle SE2の「CPUスレッド数制限」がどんな仕組みで行われるのかを検証します - ドメイン参加後、SQL Serverが起動しなくなった (2017/7/24)
本連載では、「SQL Server」で発生するトラブルを「どんな方法で」「どのように」解決していくか、正しい対処のためのノウハウを紹介します。今回は、「ドメイン参加後にSQL Serverが起動しなくなった場合の対処方法」を解説します - さらに高度なSQL実行計画の取得」のために理解しておくべきこと (2017/7/21)
日本オラクルのデータベーススペシャリストが「DBAがすぐ実践できる即効テクニック」を紹介する本連載。今回は「より高度なSQL実行計画を取得するために、理解しておいてほしいこと」を解説します - データベースセキュリティが「各種ガイドライン」に記載され始めている事実 (2017/7/20)
本連載では、「データベースセキュリティに必要な対策」を学び、DBMSでの「具体的な実装方法」や「Tips」などを紹介していきます。今回は、「各種ガイドラインが示すコンプライアンス要件に、データベースのセキュリティはどのように記載されているのか」を解説します
 |
|
|
|
|
