 |
|
|
| 前のページ 1 2 3
|
|
| データベースのセキュリティの概要
|
データベースに限ったことではありませんが、セキュリティ対策を実施する際にはきちんとした計画が必要です。セキュリティ対策のゴールは、リスクをゼロにすることではありません。リスクを受容可能な範囲まで減らすことです。
そのためには、現時点でどれだけのリスクがあって、また情報資産やシステムの重要性を踏まえてどのレベルまでリスクを受容できるかを把握することが必要です。それを欠いたまま、闇雲に対策しようとすると、必要以上に高価なソリューションを買ってしまう、システムの利便性が著しく損なわれるなどの問題が発生します。すなわち、情報資産やシステムの身の丈にあったセキュリティ対策を行うことが重要だといえるでしょう。
データベースからの情報漏洩の脅威は、不正を行う人物(脅威の主体)ごとに、下記の通り分類することができます。
|
| 外部の第三者
|
ハッカー、クラッカーなど、社外の第三者がインターネットから情報を盗み出す。通常、データベースはセキュリティ強度の高いネットワークに設置されているが、それでもSQLインジェクションという攻撃方法によって不正アクセスを受ける事件が頻発している。
|
| 内部の非関係者
|
データベースへアクセスする権限を持っていないが、何らかの方法で社内のネットワークに接続できる人物が不正アクセスを行う。IDとパスワードを推測する、データベース製品の不具合を悪用するなどの手法が考えられる。
|
| 内部の関係者
|
データベースにアクセスする権限を持っている関係者が情報を持ち出す。このタイプの内部不正を防ぐことは難しいが、アクセス記録を残などの方法により、事件が発生した場合に犯人を追跡できるようにし、また不正アクセスを心理的に思いとどまらせるといった対策が考えられる。
|
| データベース・セキュリティは多層防御の最後の砦
|
セキュリティ対策を考える上で重要なのは多層防御(Defense in Depth)の考え方です。すなわち、ネットワーク、システム基盤(OS)、アプリケーション、データベースといった層で、それぞれ独立してセキュリティ対策を行うことが必要ということです。これによって、どこかの層のセキュリティが破られた場合でも、被害の発生を防ぐ、あるいは緩和することができます。
このような考え方に基づくと、データベースのセキュリティは多層防御における最後の砦といえるでしょう。ネットワークやアプリケーションなどの層におけるセキュリティが破られた場合、情報漏洩が発生するかどうかはデータベースのセキュリティにかかっているといえます。
前述の情報漏洩の脅威の主体とデータベースで実施すべき主要なセキュリティ対策を表2にまとめます。
| セキュリティ対策 |
脅威の主体 |
外部の
第三者 |
内部の
非関係者 |
内部の
関係者 |
| アカウント、パスワードの設定 |
|
◎ |
○ |
| アクセス権限の制限 |
◎ |
|
○ |
| 不要なアカウント、機能の停止 |
○ |
○ |
○ |
| 監査の設定(操作履歴の記録) |
|
|
◎ |
| ネットワーク接続の設定 |
|
○ |
○ |
| セキュリティパッチの適用 |
|
○ |
○ |
| 物理的対策 |
|
◎ |
○ |
表2:データベースで実施すべき主要なセキュリティ対策
(◎:特に対策が必要な項目、○:対策が必要な項目)
|
| おわりに
|
データベースのセキュリティ強化は、困難で時間のかかる作業です。このため、なるべく早くセキュリティ上のリスクを把握し、メンテナンスやリプレースなどの適切なタイミングでセキュリティ対策の実施するよう、計画を立てる必要があるでしょう。
こうしたセキュリティ上のリスクを把握するためには、専門家によるセキュリティ診断を受けることが効果的です。Webアプリケーションやシステム基盤へのセキュリティ診断は既に多くの企業に普及しているが、データベースのセキュリティ診断サービスを受ける企業も増えてきています。
こうしたセキュリティ診断は、ソフトウェアの設定、権限の管理といったセキュリティ対策の不備を指摘します。その結果を基にすれば、適切かつ効率的にセキュリティ対策を実施することができるでしょう。
次回は、データベースのセキュリティ対策について、より具体的に解説します。
|
前のページ 1 2 3
|
|
|
|
|
著者プロフィール
NRIセキュアテクノロジーズ株式会社 鴨志田 昭輝
コンサルティング事業部 セキュリティコンサルタント
電機メーカーの研究所を経て、2001年に野村総合研究所に入社し、NRIセキュアテクノロジーズに出向。2002年頃からセキュリティ診断に携わり、200件以上のWebサイトのセキュリティを診断を担当。CISSP(情報システム・セキュリティ・プロフェッショナル)、CISA(公認情報システム監査人)、CAIS-Lead Auditor(公認情報セキュリティ主任監査人)、GCFA(GIAC公認フォレンジック・アナリスト)。
|
|
|
|
|
|
