最終回 DBをセキュアに保つために行うべき作業
星野 真理
株式会社システム・テクノロジー・アイ
2005/5/26
個人情報の保護に関する法律(個人情報保護法)の全面施行から、2カ月が経過しようとしていますが、皆さんの周りではどのような変化があったでしょうか。例年では、4月1日といえば入社式などがあり、新入社員への祝辞と今後の活躍への期待が語られるはずですが、今年は少々違ったようです。
多くの企業において、個人情報保護の重要性を促すコメントと、データ漏えい防止への強い注意事項が発表されました。また、セキュリティを強化した新システムの導入も多くの会社で本番稼働を迎えました。強化されたのはインフラ側だけではなく、会社規定も大幅に変更され、会社ビルへの入出チェックの強化、会社所有のノートPCの持ち出しの禁止など、仕事の効率を上げるとはいいがたいルール改定も多く見られます。
多くの犠牲を払ってのセキュリティ強化です。今後は、データ漏えいの問題など発生しないことでしょう。と、願いたいところですが、どんな要さいでもアリの這い出るすき間があるように、強固なセキュリティシステムにも、弱点がないとはいえません。
また、セキュリティの運用自体を人間が行う以上、人為的ミスや怠慢が、存在しないはずの弱点を生み出してしまう可能性もあるのです。セキュリティ強化は、日々の継続があってこそ、その効果を発揮できるのです。では、セキュリティ強化を継続していくために、DB管理者が行うべき作業を挙げてみましょう。
- ユーザー管理
- パスワードの変更確認
- データ管理
- データアクセスの監視
- バックアップファイル管理
 |
DBユーザー管理 |
では、実際の作業にブレークダウンして考えていきましょう。システム構築が終了し、本番稼働が始まっても、ユーザーの管理は必要です。各部門からの改善要求やシステムの追加に際して、新規ユーザーの作成、既存ユーザーの変更・削除が必要となります。これらの作業を行う前に、以下を明確にし、ドキュメント(参考例:アクセスデータ申請書)に残す手順を作りましょう。
●DBユーザーの追加作成
- 新規ユーザーが必要となる理由
- 有効期間
- 必要な権限
- アクセスできるデータとデータへの処理
●DBユーザーの変更
- ユーザー変更が必要となる理由
- 有効期間
- 変更する権限
- 変更するデータへの権限
●DBユーザーの削除
- 該当ユーザーが不要となる理由
- 該当ユーザーが所有していたオブジェクトおよび権限
- 該当ユーザーの持つデータのバックアップの必要性
さて、DBユーザーの削除については、少々注意が必要です。削除するユーザーが、データへのアクセス権限のみを所有するユーザーである場合は削除するだけで問題ありません。
しかし、このユーザーが表やビュー、ストアードプログラムのオーナーであった場合は、ユーザーを削除する前にこれらの所有データを別のユーザーに移し、現システムに悪影響が発生しないことを確認するテストが必要です。できることならば、このようなデータ所有ユーザーの削除は極力避けるべきです。
では、データ所有ユーザー以外のユーザーの削除は安易に実行していいかといえば、1つだけ例外があります。それは、データアクセス管理ユーザーです。ほかのユーザーに対して、データへのアクセスの許可を発行してきたユーザーが削除された場合、このユーザーから許可を受けたユーザーのアクセス権が取り消される場合があります。
権限の従属削除が発生するかどうかは、データベースによって異なります。Oracleでは、図1、図2のような形になりますが、DB2では図2のような権限の従属削除は発生しません。
権限の従属削除が発生するデータベースの場合は、権限管理をしていたユーザーの削除は避け、ユーザーがログインできない処置を取ることで対応すべきでしょう。Oracleの場合は、ユーザーをロックするコマンドが用意されており、ロックされたユーザーは決してログインできません。
 |
| 図1 オブジェクト権限の付与 |
 |
| 図2 オブジェクト権限の剥奪(Oracleの場合) |
|
1/4
|
|
| Index | |
| DBをセキュアに保つための作業 | |
 |
Page1 DBユーザー管理 |
| Page2 DBユーザーのパスワードの変更確認 データ管理 |
|
| Page3 データアクセスの監視 |
|
| Page4 バックアップ管理 セキュリティと生産性のバランス感覚 コラム:バックアップの意外な実態 |
|
| 関連記事 |
| データベースセキュリティの基礎のキソ |
| Database Expertフォーラム |
 |
Security&Trust記事一覧 |
- Windows起動前後にデバイスを守る工夫、ルートキットを防ぐ (2017/7/24)
Windows 10が備える多彩なセキュリティ対策機能を丸ごと理解するには、5つのスタックに分けて順に押さえていくことが早道だ。連載第1回は、Windows起動前の「デバイスの保護」とHyper-Vを用いたセキュリティ構成について紹介する。 - WannaCryがホンダやマクドにも。中学3年生が作ったランサムウェアの正体も話題に (2017/7/11)
2017年6月のセキュリティクラスタでは、「WannaCry」の残り火にやられたホンダや亜種に感染したマクドナルドに注目が集まった他、ランサムウェアを作成して配布した中学3年生、ランサムウェアに降伏してしまった韓国のホスティング企業など、5月に引き続きランサムウェアの話題が席巻していました。 - Recruit-CSIRTがマルウェアの「培養」用に内製した動的解析環境、その目的と工夫とは (2017/7/10)
代表的なマルウェア解析方法を紹介し、自社のみに影響があるマルウェアを「培養」するために構築した動的解析環境について解説する - 侵入されることを前提に考える――内部対策はログ管理から (2017/7/5)
人員リソースや予算の限られた中堅・中小企業にとって、大企業で導入されがちな、過剰に高機能で管理負荷の高いセキュリティ対策を施すのは現実的ではない。本連載では、中堅・中小企業が目指すべきセキュリティ対策の“現実解“を、特に標的型攻撃(APT:Advanced Persistent Threat)対策の観点から考える。
 |
|
|
|
|
