見逃されがちな「アカウント」周りの脆弱性をチェック

GSX、データベースに特化した脆弱性検査サービス

2008/08/11

 グローバルセキュリティエキスパート(GSX)は7月より、データベースに特化した脆弱性診断サービス「データベース脆弱性検査サービス」の提供を開始した。セキュリティパッチが適用されているかどうかだけでなく、データベースへのアクセス権限やアカウントが適切に運用されているかどうかをチェックし、改善策を提示する。

 データベース脆弱性検査サービスは、商用ツールを用いた機械的な検査に加え、同社のセキュリティコンサルティング専門チーム「タイガーチーム」による手動の侵入検査と、ID、パスワードの運用などに関するヒアリングから構成される。ツールによる自動検査だけでは洗い出しきれない脆弱性を検出できる点が特徴という。また、内部監査の観点からも重要な、ログの管理体制についてもチェックする。

 国内でも大きな被害が生じていることから、SQLインジェクションをはじめとする外部からの攻撃へのセキュリティ対策の必要性は意識されるようになった。

 これに対しデータベース本体は、Webサーバやアプリケーションサーバとは異なり、外部からのアクセスが制限された社内LANに置かれることが多い。ファイアウォールの内側に置かれることもあって、不正行為や操作ミスに起因する内部からの情報漏えい対策の重要性は、あまり認識されていないという。

 ところがGSXによると、インストール時のデフォルトアカウント/パスワードがそのまま放置されていたり、開発環境用のアカウントが本番環境にもそのまま移行されるといった、データベースのアカウントやアクセス権限/ロール権限に関する脆弱性は珍しくないという。こうした設定がそのまま放置されていると、社内ネットワークから直接SQLコマンドなどを入力され、情報を盗み取られたり、削除されてしまったりする恐れもある。

 データベース脆弱性検査サービスの対象は、Oracle DatabaseやIBM DB2、Microsoft SQL Serverなどで、料金は1インスタンス当たり100万円から。検査結果はレポートとしてまとめられ、オンサイトの報告会も実施される。

(@IT 高橋睦美)

情報をお寄せください:



Security&Trust フォーラム 新着記事

注目のテーマ

Security & Trust 記事ランキング

本日 月間