TOP情報セキュリティ> はじめに
データベースセキュリティとコンプライアンス〜個人情報保護法から日本版SOX法へ〜
データベースセキュリティとコンプライアンス〜個人情報保護法から日本版SOX法へ〜

第2回:データベースセキュリティとは
 著者:アイピーロックス ジャパン  渡辺 良一   2006/4/14
1   2  3  次のページ
はじめに

   第1回目ではデータベースセキュリティと個人情報保護法や日本版SOX法に対するコンプライアンスの関係について述べてきました。今回はデータベースセキュリティについて、さらに詳しい解説をしたいと思います。
データベースセキュリティの3要素

   まずデータベースセキュリティを実現するために必須となる「脆弱性評価」「自動監視」「監査」の3要素について紹介します。
脆弱性評価

   既存システムのデータベースにどのようなセキュリティ上の弱点があるかを評価する要素が「脆弱性評価」です。この評価結果と企業のセキュリティポリシーに基づいて、既存データベースの弱点の補強とデータベースセキュリティマネジメントの戦略設計を行います。
自動監視

   データベースセキュリティマネジメントの戦略が設計できたら、続いてはその戦略設計に基づいてユーザ/テーブル/アクセスをどのように不審または不正として通報するかについてルールを設定して、データベースの「自動監視」要素を定義します。
監査

   「自動監視」要素によりデータベースに対する不審なアクセスが検知された場合には「監査」要素を使って「誰が(Who)」「いつ(When)」「どこで(Where)」「何を(What)」(4W)を行ったのかについて調査・分析をします。

   さらに定期的にデータベースセキュリティマネジメントのゴールおよび戦略に立ち帰ってセキュリティポリシー内容を見直し、新たなゴール設定と戦略立案を行います。

   これがデータベースセキュリティマネジメントのPDCAサイクルであり、これをスパイラル的にまわすことによって、企業におけるデータベースのセキュリティレベルの継続的な向上を実現することが可能です。これはデータベースセキュリティの3要素のどれか1つが欠けても成り立ちません。

データベースセキュリティマネジメントの3要素
図1:データベースセキュリティマネジメントの3要素

   次に、データベースセキュリティを実現するため方法として3つのログ取得方式を取り上げ、その違いについて紹介します。
1   2  3  次のページ

アイピーロックス ジャパン 渡辺 良一
 著者プロフィール
アイピーロックス ジャパン株式会社  マーケティング本部長
渡辺 良一
これまでに国内の自動車会社、米国系銀行においてデータベースシステムの開発と運用を経験。その後ERP、BPMツール、SOX法の監査支援ソフトの販売とサービスビジネスに従事した後、2005年11月にマーケティング本部長としてアイピーロックス ジャパンに入社、現在に至る。
http://www.iplocks.co.jp


INDEX
第2回:データベースセキュリティとは
はじめに
  監査ログ方式によるデータベースセキュリティの特徴
  データベースセキュリティ導入のメリット