TOP
>
情報セキュリティ
> データベースセキュリティによる内部統制
データベースセキュリティとコンプライアンス〜個人情報保護法から日本版SOX法へ〜
第3回:内部統制とデータベースセキュリティ
著者:
アイピーロックス ジャパン 渡辺 良一
2006/4/21
前のページ
1
2
3
データベースセキュリティによる内部統制
これまでITシステムが持つリスクの中に、データベースに関するリスクがあると述べました。それは財務報告につながる企業の取引に関する情報は、すべてデータベースの中に収められているからです。
つまりデータベースの運用に関する内部統制の仕組みを整え、データベースに対する誤操作や不正なデータ改ざんなどのリスクを軽減することは、SOX法対応の中でも重要な要素の1つとなります。
内部統制の構築のために活用することができるデータベースセキュリティとして、まずあげられるのは「脆弱性評価」の機能です。現状のデータベースにどのようなリスクが存在しているかについて、蓄積されたノウハウに基づいて自動的に評価してレポートを作成してくれます。
これは内部統制を構築する準備作業として行うことが有効です。また運用の中で定期的に繰り返し行ってデータベースの堅牢性を保持することも重要となります。
またデータベースシステム運用のためには、ユーザの追加、テーブルの追加、テーブル構造の変更、プログラムのバグなどで作成されてしまったテーブル内の不整合データの修正、削除などの作業を本番稼動中のシステムに対して行う必要があります。このような作業は権限の高いユーザIDで行われており、第3者による作業内容の監査が必要となります。これを支援するのがデータベースセキュリティの「監査」機能です。
図3に、米国で実際にSOX法対応のために導入したIPLocksのデータベースセキュリティの適用例を示します。
図3:データベースセキュリティによる内部統制の例
(画像をクリックすると別ウィンドウに拡大図を表示します)
まず、すべてのデータベースに対する変更作業はユーザ部門の要請により着手するというルールを設けて、ユーザ部門の変更要求なしにデータベース運用者が作業をすることがないようにします。
ユーザ部門よりシステム変更要求を受けた時には、システム運用者はシステムに必要な作業の指示書を作成して、実際の作業者(外注の場合もある)に渡します。
この作業指示書に記述してある内容の通りにデータベース運用作業者が変更を行うと、データベースセキュリティツールがそれらの作業内容を監査ログとして記録しますので、後でITに関する内部監査人がユーザの変更要求、作業指示書、データベース監査ログの3点をつき合わせて内容の確認を行います。
システム運用者による作業はすべて「自動監視」機能によりアラームとしてセキュリティ管理者に届くようにしておけば、作業指示書にないデータベース運用者による勝手なシステム変更やデータの改ざんなどをリアルタイムに検知することが可能です。
終わりに
これまでの3回にわたる連載で、社内の重要情報の保護や内部統制の構築において、いかにデータベースセキュリティが有効であるか読者の皆様にはご理解いただけたと思います。
現在では、ようやくその重要性に気づいたリスクに敏感な先進的企業が徐々にデータベースセキュリティの導入をはじめたところです。しかし、企業の重要情報が保管されているデータベースのリスクに対する認識が高まり、企業の内部統制に対する要求が強化されるに従って、データベースセキュリティは今後企業になくてはならないセキュリティツールとして急速に普及することは間違いないといえるでしょう。
前のページ
1
2
3
著者プロフィール
アイピーロックス ジャパン株式会社 マーケティング本部長
渡辺 良一
これまでに国内の自動車会社、米国系銀行においてデータベースシステムの開発と運用を経験。その後ERP、BPMツール、SOX法の監査支援ソフトの販売とサービスビジネスに従事した後、2005年11月にマーケティング本部長としてアイピーロックス ジャパンに入社、現在に至る。
http://www.iplocks.co.jp
INDEX
第3回:内部統制とデータベースセキュリティ
はじめに
内部統制構築の進め方
データベースセキュリティによる内部統制