TOP情報セキュリティ> 情報セキュリティの変遷とデータベースセキュリティ
データベースセキュリティとコンプライアンス〜個人情報保護法から日本版SOX法へ〜
データベースセキュリティとコンプライアンス〜個人情報保護法から日本版SOX法へ〜

第1回:データベースセキュリティによる内部統制の構築
著者:アイピーロックス ジャパン  渡辺 良一   2006/4/7
1   2  3  次のページ
情報セキュリティの変遷とデータベースセキュリティ

   90年代後半以降、インターネットの急速な普及により情報セキュリティとITシステムのリスクは大幅に様変わりしています。

   まずインターネットによって世界中のコンピュータがオープンなネットワークで結ばれた結果、官庁や大企業などのサーバに入り込み、機密情報を読み出したり、内容を書き換えてしまうなどの愉快犯的な犯行が流行しました。このような外部の不審者による社内のサーバへのアクセスを防止する仕組みとしてファイアウォールやIDS、IPSといった製品が次々と開発され急速に普及しました。

   またPCが1人に1台の時代となり、メールなどを介してウイルスがPCに感染し自分のPCの中のデータが破壊されたり、知らないうちに他人にもウイルスの感染を広げてしまうといった問題が発生しました。このため最新のウイルスを発見して取り除くワクチンソフトもなくてはならない存在となっています。

   このように企業のセキュリティ対策の第1世代は、外部の不審者から社内のシステムやPCに保管されたデータを守ることが中心といえるでしょう。


第2世代のセキュリティ対策

   情報セキュリティに関する問題として次に注目されたのは、不注意あるいは不正により企業の大切な情報が社内から社外に漏れてしまう事故です。これらの事故はPCそのものが盗難にあったり、社内の顧客情報などを記録デバイスにコピーして持ち出してしまうような悪意を持ったユーザによる犯罪的行為によるものでした。

   このような情報漏洩の対策としてPC内のデータの暗号化、指紋や顔による個人認証などの第2世代のセキュリティ対策が普及して、様々なソリューションが生まれています。

   これら第1、第2世代を通じて見落とされてきた領域があります。それが本連載でテーマとして取り上げるデータベースセキュリティです。


データベースセキュリティとは

   データベースには企業の重要な情報が保管されているにもかかわらず、IDとパスワードだけでセキュリティ管理されているケースがほとんどであり、企業の重要な情報は甚大なリスクにさらされているといっても過言ではありません。

   もし仮に強力な権限のある管理者ユーザIDとパスワードが何者かによって盗まれてしまった場合、機密情報の読み出し・変更・削除がいとも簡単にできてしまいます。特に情報の読み出しには足跡が残らないので、大切な情報が外部に渡って事件が発覚するまで、「いつ」「誰が」「何をしたのか」をまったく把握できないのが実態です。

   このような状況を解決して、企業の最も重要な情報が保管されているデータベースそのものを守る仕組みとして開発されたのがデータベースセキュリティなのです。

   データベースセキュリティはユーザがデータベースに対して行った行動をすべて監視します。そしてルールとして許可された以外の不審なアクセスが検知された場合にはセキュリティ管理者に即座に通報が届く仕組みになっており、情報漏洩事故を水際で未然に防ぐことができるのです。

   図1は、データベースセキュリティと他のセキュリティ製品がカバーしている脅威と守っているIT資産の領域の比較マップを示しています。

様々なセキュリティ対策とデータベースセキュリティの位置づけ
図1:様々なセキュリティ対策とデータベースセキュリティの位置づけ
(画像をクリックすると別ウィンドウに拡大図を表示します)

   図1を見ると企業の重要情報が保管されているデータベースが社内で無防備なままになっていることが理解していただけると思います。

   それでは次に、法的観点から個人情報保護法とSOX法を取り上げ、データベースセキュリティとの関係について見ていきましょう。

1   2  3  次のページ


アイピーロックス ジャパン  渡辺 良一
著者プロフィール
アイピーロックス ジャパン株式会社  マーケティング本部長
渡辺 良一

これまでに国内の自動車会社、米国系銀行においてデータベースシステムの開発と運用を経験。その後ERP、BPMツール、SOX法の監査支援ソフトの販売とサービスビジネスに従事した後、2005年11月にマーケティング本部長としてアイピーロックス ジャパンに入社、現在に至る。
http://www.iplocks.co.jp


INDEX
第1回:データベースセキュリティによる内部統制の構築
情報セキュリティの変遷とデータベースセキュリティ
  個人情報保護法とデータベースセキュリティ
  内部統制の要求の高まりとデータベースセキュリティ