「一見まじめでもリスク」、オラクルがDB管理者を管理する製品

2006/9/20

 日本オラクルは9月19日、Oracle Databseの管理者権限をコントロールするオプション製品「Oracle Database Vault」を10月17日に出荷すると発表した。いわゆる日本版SOX法(金融商品取引法の一部)など内部統制の整備ではデータベース管理者などが持つスーパーユーザー権限も問題になるとされ、オラクルは商機の盛り上がりを期待している。

日本オラクルの常務執行役員 システム製品統括本部長 三澤智光氏

 日本オラクルの常務執行役員 システム製品統括本部長 三澤智光氏は情報システム部に属するデータベース管理者が他部署のデータをのぞけたり、改ざんできることが「監査上懸念されている」と指摘。特に内部統制の整備では社員に正しい職務上の権限を付与する職務分掌(Segregation of Duties:SoD)が重要になるとし、「SoDの観点ではデータベース管理者は非常に特殊な社員だ」と説明した。データベースの管理を他社にアウトソーシングしている企業も多く、「一見まじめに見えるデータベース管理者が企業にとってリスクになる。内在するリスクは果てしない」と語った。

 Database Vaultは何でもできてしまうデータベース管理者に職務分掌を適用し、ほかのユーザーとの相互監視で不正な行為を未然に防ぐ製品。具体的にはデータベース管理者はデータベースの管理業務はできるが、人事情報、財務情報などデータベースの特定領域は内容を見られないようにする。この情報は人事や財務の担当者だけが見られるように設定可能。また、データベース管理者やアクセスする時間、場所(IPアドレス)によって利用できるコマンドを制限する。

 データベース管理者が見られない領域を作るには、Database Vaultの管理者権限でログインし、保護する領域を作成。その後に領域に含めるTableを決定する。保護する領域の管理者には人事部、財務部などの担当者を設定する。

 Database Vaultの管理者はデータベース管理者の上司などが務めるが、Database Vaultの管理者が人事や財務のデータを見ようとすると、別のユーザーに電子メールなどで通知されるなど、ユーザー同士の相互監視が可能という。日本オラクルのシステム製品統括本部 担当ディレクター 北野晴人氏は「Oracle 9i Database Release 2からはデータベース管理者の監査機能を搭載し、操作のログが残るようになった。何をやったかは分かるが、できないようにすることはできなかった」と説明した。

 Database Vaultは「Oracle Database Enterprise Edition」のオプション製品。「Oracle Database 10g Release 2」以降で利用できる。Processorライセンスが262万5000円(税込)。Named User Plusライセンスが5万2500円。オラクルは2007年5月末までの今年度に30件、来年度に200件の採用を目指している。

(@IT 垣内郁栄)

[関連リンク]
日本オラクルの発表資料

[関連記事]
KPMGの日本企業担当監査人、SOX法対応の実際を語る (@ITNews)
「DB管理者からキングダムを奪え」、SOX法で浮上するSoD問題 (@ITNews)
SOX法対応ID管理は難しい?――専門コンサルが語る (@ITNews)
月1500人が入社するリーマン・ブラザーズ、そのID管理とは (@ITNews)
「SOX法対応のスタートポイントはID管理」、米オラクルVP (@ITNews)

情報をお寄せください:



@ITメールマガジン 新着情報やスタッフのコラムがメールで届きます(無料)