第3回 データベースアプリケーションのセキュリティ
星野 真理
株式会社システム・テクノロジー・アイ
2005/4/5
個人情報保護法(個人情報の保護に関する法律)がついに完全施行されました。セキュリティ対策の総点検、および補強作業は、着実に進みつつある、もしくは終了段階にある時期かと思います。もし、セキュリティ対策の進ちょくが芳しくないとすれば、それを遂行する体制に問題があるかもしれません。セキュリティ対策は、情報システム部やインフラ担当者だけで行えるほど単純なものではなく、各部署のエキスパートの知識と技術を統合してこそ実現することができるのです。
しかし、縦のつながりが強い企業において、組織を横断したチームが最初から存在しているケースは少ないのではないでしょうか。それ故、各部署のエキスパートによるチームを特別編成する必要があります。組織横断型のセキュリティ対策委員会です。インフラの構成、社内のデータの流れ、人材の管理、社外への対応方法など、すべての面を知る人材が顔をそろえれば、セキュリティ強化実施の強いけん引力が手に入るはずです。
さて、データベースセキュリティの総点検を始めていきましょう。今回は、データベースアプリケーションのセキュリティについて検討します。
今回の設定 |
では、以下のようなシステム構築を例にして、セキュリティを意識した確認ポイントを考えてみましょう。
●社外に公開するシステム:インターネットシステム
A社は、インターネットを使用した教育システムを提供する会社です。契約を交わした法人の社員や一般顧客は、登録したユーザー名とパスワードを入力することにより、場所を問わず学習をすることが可能です。各個人の学習履歴はデータベースに格納され、顧客は学習の進ちょくや試験結果などが確認できます。
また、オンライン講座の申し込み、および教育媒体の購入もインターネットサイトで行うことが可能です。購入方法としてクレジットカードが利用できます。クレジットカード利用者は、初回購入時にカード番号を登録することにより、次回からはより簡単に購入作業が行えます。
●社内システム
業務担当者は、受発注作業のための注文確認や入金確認作業がWebシステムを通じて実行できます。サポート担当者は、メールによる質問サービスを行います。また、電話による対応の場合は相手の情報を検索し、学習履歴情報などをWebブラウザに表示できます。
マーケット担当者は、顧客のニーズ動向を柔軟な切り口で分析し任意の出力を可能にするために、EUC(エンドユーザーコンピューティング)アプリケーションを実行します。
アプリケーション構築の着目点 |
データベースセキュリティにおいて、最も重要なものは認証です。悪意のあるユーザーがいたとしても、データベースに接続できなければ何もできないのです。では、認証の仕組みから検討していきましょう。
- ユーザー名とパスワードはどこで管理するのか
- クレジットカード番号は安全に管理されるのか
- DBユーザーとアプリケーションの関係はどうなるのか
- 社内アプリケーションではどのようなデータが表示できるのか
- EUCアプリケーションはデータ漏えいの原因にならないか
セキュリティを考慮した場合、アプリケーション構築の着目点は以下の3つではないでしょうか。
- アプリケーション使用の認証の仕組み
- DBユーザーの分類とその権限設定
- 表示データの必須性
上記、3つをブレークダウンして考えてみます。
1.アプリケーション使用における認証の仕組み
どこで認証が必要になるのか
認証情報の取得先はどこになるか
認証ユーザーは何に対応付けるのか
認証情報の管理は誰ができるのか
2.DBユーザーの分類とその権限設定
DBユーザーは何に対応させて作成する必要があるのか
権限セットであるロールは何を切り口に分類するか
権限は何に対して与えるのか
権限はいつセットされるのか
3.表示データの必須性
どの列を画面に表示し、何を隠すのか
どの行を表示できるのか
次章から上記の確認項目についての見解を述べていきます。
1/4
|
Index | |
データベースアプリケーションのセキュリティ | |
Page1 今回の設定 アプリケーション構築の着目点 |
|
Page2 アプリケーション使用における認証の仕組み DBユーザーの分類とその権限設定 |
|
Page3 インターネットアプリケーションで使うDBユーザー イントラネットシステムで使うDBユーザー |
|
Page4 EUCアプリケーションで使うDBユーザー |
関連記事 |
データベースセキュリティの基礎のキソ |
Database Expertフォーラム |
Security&Trust記事一覧 |
- Windows起動前後にデバイスを守る工夫、ルートキットを防ぐ (2017/7/24)
Windows 10が備える多彩なセキュリティ対策機能を丸ごと理解するには、5つのスタックに分けて順に押さえていくことが早道だ。連載第1回は、Windows起動前の「デバイスの保護」とHyper-Vを用いたセキュリティ構成について紹介する。 - WannaCryがホンダやマクドにも。中学3年生が作ったランサムウェアの正体も話題に (2017/7/11)
2017年6月のセキュリティクラスタでは、「WannaCry」の残り火にやられたホンダや亜種に感染したマクドナルドに注目が集まった他、ランサムウェアを作成して配布した中学3年生、ランサムウェアに降伏してしまった韓国のホスティング企業など、5月に引き続きランサムウェアの話題が席巻していました。 - Recruit-CSIRTがマルウェアの「培養」用に内製した動的解析環境、その目的と工夫とは (2017/7/10)
代表的なマルウェア解析方法を紹介し、自社のみに影響があるマルウェアを「培養」するために構築した動的解析環境について解説する - 侵入されることを前提に考える――内部対策はログ管理から (2017/7/5)
人員リソースや予算の限られた中堅・中小企業にとって、大企業で導入されがちな、過剰に高機能で管理負荷の高いセキュリティ対策を施すのは現実的ではない。本連載では、中堅・中小企業が目指すべきセキュリティ対策の“現実解“を、特に標的型攻撃(APT:Advanced Persistent Threat)対策の観点から考える。
|
|