TOP
>
比較データ
> 実装レベルでの機能は少なくとも、使い手がしっかりしていればOSSデータベースでも充分?
商用&OSSデータベースの現状と今後
第4回:商用 vs. OSSの単純な機能比較では話にならない 〜 データベースのセキュリティを考える
著者:
オフィスローグ 工藤 淳
2005/6/3
前のページ
1
2
3
実装レベルでの機能は少なくとも、使い手がしっかりしていればOSSデータベースでも充分?
では、今度はOSSデータベースの方に眼を向けてみよう。前述したとおり、OSSデータベースはそもそもの出発点が純粋なデータベーステクノロジーの研究・開発というスタンスにあった。このため、セキュリティ機能に関しては、商用データベースに比べると現状どうしても手薄な印象は否めない。
とはいえ、まったくないかというとそんなことはなく、一通りの機能は備えているのも事実だ。PostgreSQLを見てみると、下のような基本的な機能は一通りちゃんと持っているのである。
アプリケーションとデータベースエンジン間の通信の暗号化
パスワード管理機能
データベースエンジンへの接続ID設定と管理
ネットワーク制限
一方、監査機能は現在特に備えていないという。設定しておけば誰が何を作ったという程度のログは取れるが、それとても最初からセキュリティを意識しているものではない。こうしたセキュリティに関する現状を、PostgreSQLのエバンジェリストの一人である株式会社SRAの石井達夫氏は、やはりOSSの置かれた独自のスタンスから必然的に出てきたものと分析する。
石井氏によれば、OSSデータベースは開発者の自発的かつ自主的な活動に依存している。要するにボランティア的に参加している開発者が自分で「やってみよう」と思わない限り、開発は進まないのだ。これはセキュリティに限らず、フリーソフトウェアでは当たり前のことである。
どこでセキュリティを保つのか?OSSの考え方
一方で、商用データベースにおけるセキュリティは、これまでスタンダードがないまま各社が各様に開発を進めてきたという歴史がある。このため、近い将来業界標準が確立されれば、逆にそこをよりどころとしてOSSデータベースのセキュリティ機能が進化を進める可能性もあると石井氏は示唆する。
なにぶんにもOSSデータベースの開発者は自分の技術的な関心によって動いているので、ただ「OracleやSQL Serverにこういうセキュリティ機能があるから、同じものを作ろう」といった形では、どうしてもモティベーションが上がらないのではというのが、自らも第一線の開発者である石井氏の分析である。
そうはいいつつも、石井氏とSRA社が手がけた事例の中には、PostgreSQLによって構築され、現在すでに企業に導入されているシステムも少なくない。いったいそれらのセキュリティはどうしているのかと尋ねると、意外にも、セキュリティをうるさくいってくるユーザはほとんどいないのだとか。
というのは、PostgreSQLを自社のシステムに採用しようという企業の場合、すでにネットワークの内側も強固に固めてあるケースが多いので、データベース単体のセキュリティはあまり問題にしないのだという。
石井氏は、そこまで守りができあがっているからこそ、逆にデータベースはPostgreSQLでも大丈夫という自信があるのではと推測する。それにそもそもそのレベルの企業になると、すでに会社総体でのセキュリティのフレームがきちんと整備されていて、その枠内でデータベースも導入・運用されているのだとか。
さらに石井氏は、現場でのシステムセキュリティを考える場合、データベース単体の機能云々という議論ではもはや収まらないと語る。なぜなら、悪意を持った者が実際にデータを狙う場合、データベースにアクセスしてどうこうというよりは、ディスクなどで物理的に持ち出すといった方法の方がより現実的である。そうなれば、事は社員の管理や組織運営といったレベルの話になり、もはやデータベース技術の範疇ではとらえられない。
むしろ実際のシチュエーションで危険性が高いのは、今までHTMLでWebサイトを作っていたような、データベースには素人同然の人が「安いから」という理由でOSSデータベースを導入してしまうケースだという。こういう人は、深く考えずにインターネット上にデータベースを置いてしまったりするのだそうだが、もっともここまで無警戒だとデータベース自体の機能の問題ですらないし、この記事の読者にはそんな恐ろしいことをする人はいないだろう。
いずれにしてもセキュリティは、今まで見てきたような可用性や拡張性といった実装レベルのデータベースの機能とは問題の毛色がかなり異なっている。ソフトウェアの機能の優劣や有無といった問題にも増して、企業統治や組織管理、財物としてのデータの価値やリスクと表裏一体の関係など、社会的かつ抽象的なテーマを意識することなしには、データベースセキュリティは語り得ない。
もしあなたがエンジニアであって、セキュリティ面からデータベース選択を検討する機会があったら、どのデータベースソフトウェアを選ぶかを考える前に、いったんマシンの前を離れて営業や法務などの担当者と意見を交わしてみることをお勧めする。商用、OSSの別なく、自社のセキュリティに対するスタンスをまず確認することが、的確なソリューション構築のカギとなるのは間違いないからである。
株式会社SRA 開発サービスカンパニーコンサルティング部
OSSビジネスプロジェクト長 石井達夫氏
マイクロソフト株式会社 サーバープラットフォームビジネス本部
アプリケーションインフラストラクチャ製品グループ
シニアプロダクトマネージャ 斎藤泰行氏
(五十音順)
前のページ
1
2
3
著者プロフィール
オフィスローグ 工藤 淳
IT技術系出版社勤務を経て、オフィスローグとして独立。データベース関連誌編集に携わっていた流れで、現在もデータベース系の執筆が比較的多い。元々は楽器から建築、自動車まで何でも注文があれば書いてきたのが、気がついたらIT専門のような顔をして仕事をしているのに自分で少し驚愕、赤面。
INDEX
第4回:商用 vs. OSSの単純な機能比較では話にならない 〜 データベースのセキュリティを考える
社会的な側面と影響力をともなうデータベースのセキュリティ問題
セキュリティの延長上にビジネス保護と経営効率を置く商用DBの進化論
実装レベルでの機能は少なくとも、使い手がしっかりしていればOSSデータベースでも充分?
