TOP情報セキュリティ> データベース・セキュリティの必要性
データベース・セキュリティ
最後の砦、データベース・セキュリティ

第1回:データベース・セキュリティは本当に必要なのか

著者:NRIセキュアテクノロジーズ  鴨志田 昭輝   2007/1/23
前のページ  1  2  3  次のページ
データベース・セキュリティの必要性

   近年、SQLインジェクション攻撃による情報漏洩事件が多発しています。これはWebアプリケーションの問題が原因であるため、アプリケーション層で十分な対策を行えばよいと考えられがちです。大規模なWebアプリケーションともなると、画面数が100を超えることも少なくありませんが、多くの画面のうち1ヶ所でも対策が漏れてしまうと、SQLインジェクションによる攻撃を受けてしまいます。

   すなわち、1ヶ所の対策漏れが命取りとなる場合もあるということです。しかし、データベース自体のセキュリティを高めておくことによって、万が一Webアプリケーションにこうした問題があった場合でも、その被害を軽減することができるのです。NRIセキュアテクノロジーズの調査では、35%のWebサイトにSQLインジェクション脆弱性が発見されているという現状も考慮すると、特に注意が必要であるといえます。(注2)

注2: 参考連載

クラッカーから企業Webサイトを守り抜け!
第2回:Webサイトへの不正アクセス手法とその対策


内部からの不正アクセスに対して

   また内部関係者による情報漏洩は、実際には非常に発見されにくいものです。実際、表沙汰になっていない情報漏洩事件は少なくないと思われます。しかし、データベースの操作履歴を適切に記録し、それを定期的に監査することによって、こうした隠れた情報漏洩を発見できる可能性が格段に向上するでしょう。

   一方、システムの開発や運用を外部に委託している企業では、委託先の企業がデータベース上の情報を適切に取り扱っているか管理・監督しなくてはなりません。委託先の企業のPCがウィルスに感染し、機密情報がWinnyを通じて拡散してしまった事件が多発していますが、その中には本来外部に持ち出すことが禁止されていた情報も少なくありません。

   こうした現状を考慮すると、委託先の企業による機密情報へのアクセスをしっかり管理する必要があるといえるでしょう。このような場合でも、前述のようなデータベースの操作履歴の記録・監査を行うことによって、これまで発見されなかった不正アクセスを発見するだけでなく、委託先の企業による不正アクセスに対する牽制の効果も期待できます。

   逆に、システムの開発や運用を受託している企業にとっても、データベースのセキュリティを強化するメリットがあります。実際に情報漏洩事件が発生した場合、システム運用の担当者が真っ先に疑われることも少なくありません。

   しかし、データベースの操作履歴がきちんと残っていれば、情報を持ち出していないことをきちんと説明することができます。しか、実際に事件が発生した現場では、記録が残っておらず、責任の押し付け合いなど大きなトラブルに発展する場合もあります。


データベース・セキュリティは本当に必要か?

   情報漏洩事件の多発を受けて、数多くのセキュリティ対策製品・ソリューション・サービスが市場にでてきています。なかでも、データベース・セキュリティに関するものが、ここ数年で急に増えてきています。一口にデータベース・セキュリティ製品といっても、ログ記録から暗号化まで様々なものがあります。

   しかし、データベース・セキュリティは、本当に必要なものなのでしょうか。

   人によって意見は分かれるでしょうが、筆者は「今後必要になるので、今のうちに検討をはじめておくとよい」と考えています。その理由は、財務データベースを中心として、内部統制に代表される不正防止への関心が、今後ますます高まってくると考えられるからです。

   また、外部からの不正アクセスへの対応がひと段落すると、今度は内部からの不正アクセスへの対策も注目されると考えられます。このように、内部からの不正アクセスへの対策が注目されるようになると、機密情報が保管されているデータベースでもセキュリティ対策が必要となるのではないでしょうか。

   しかし、既に構築されているデータベースの設定、アクセス権限、運用ルールなどを変更することは、非常に困難な作業です。データベースの変更はシステムのほかの部分に与える影響が大きく、十分なテストを行うためには時間がかかるからです。実際、データベース製品にセキュリティパッチを適用できず、運用されているシステムも少なくありません。

   このため、データベースのセキュリティ対策が今後必要となることを見越して、なるべくはやいタイミングで必要な作業を洗い出し、大規模メンテナンスなどのタイミングで計画的に対策を実施していくことが必要でしょう。

前のページ  1  2  3  次のページ


NRIセキュアテクノロジーズ株式会社 鴨志田 昭輝
著者プロフィール
NRIセキュアテクノロジーズ株式会社  鴨志田 昭輝
コンサルティング事業部 セキュリティコンサルタント
電機メーカーの研究所を経て、2001年に野村総合研究所に入社し、NRIセキュアテクノロジーズに出向。2002年頃からセキュリティ診断に携わり、200件以上のWebサイトのセキュリティを診断を担当。CISSP(情報システム・セキュリティ・プロフェッショナル)、CISA(公認情報システム監査人)、CAIS-Lead Auditor(公認情報セキュリティ主任監査人)、GCFA(GIAC公認フォレンジック・アナリスト)。


INDEX
第1回:データベース・セキュリティは本当に必要なのか
  はじめに
データベース・セキュリティの必要性
  データベースのセキュリティの概要