TOP
>
情報セキュリティ
> はじめに
最後の砦、データベース・セキュリティ
第1回:データベース・セキュリティは本当に必要なのか
著者:
NRIセキュアテクノロジーズ 鴨志田 昭輝
2007/1/23
1
2
3
次のページ
はじめに
近年、個人情報をはじめとする機密情報が外部に漏洩する事件が多発しています。各種メディアで報道されるだけでもかなりの件数がありますが、外部に公表せずに処理してしまったものや、そもそも情報漏洩の事実に企業側が気付いていないものを含めると、実際には相当な件数の情報漏洩事件が起こっていると考えられます。
情報漏洩の経路は様々です。Winnyを通じて感染を拡げるウィルスにより、PC上の個人情報や機密情報が漏洩する事件が後を絶ちません。またノートPCの盗難・紛失によって、機密情報が漏洩したおそれがあるという趣旨の報道発表も少なくありません。このような「過失」による情報漏洩だけでなく、外部からの不正アクセスや内部者による情報の持ち出しなど、「故意」による情報漏洩も少なくありません。
こうした「故意」による情報漏洩事件の相次ぐ発生を受け、データベースのセキュリティ対策「
データベース・セキュリティ
」が近年急速に注目を集めるようになってきました。今回は、データベース・セキュリティは本当に必要なのか、必要ならばどのような対策をとるべきなのかについて解説します。
データベース・セキュリティの現状
データベース・セキュリティとは、データベースにおけるセキュリティ対策を指します。具体的な内容については後述しますが、アカウントやアクセス権限の管理、操作履歴の記録、セキュリティパッチの適用など、いくつかの施策が含まれます。
報道される様々な情報漏洩事件、筆者の経験、専門家や現場担当者の話などを総合すると、データベース・セキュリティの重要性は認知されつつあるものの、実際に適切な対策が行われているケースは残念ながらあまり多くはないと思われます。その理由としては、下記のようなことが考えられます。
専門的な知識、技術力が必要である
要件整理などに手間と時間がかかる
安全性を重視すると利便性が低下する(メンテナンスがやりにくくなる)
安全性を重視すると性能が劣化する(パフォーマンスが低下する)
直接外部からアクセスされないため、対策が後回しにされがちである
表1:適切な対策が行われない理由
すなわち、データベース・セキュリティは難しく時間がかかる作業であるにも関わらず、デメリットが大きく、また効果がはかりずらいと思われています。
また、NRIセキュアテクノロジーズの調査では、約半数のWebサイトで外部からの不正アクセスを許すような致命的な欠陥が発見されています。(注1)そのうえ、Webアプリケーションの脆弱性を狙った外部の第3者による不正アクセスも急増しています。こうしたことから、主に内部からの不正アクセスを想定したデータベースのセキュリティ対策は後回しにされているのが現状です。
注1:
参考連載
クラッカーから企業Webサイトを守り抜け!
第1回:Webサイトのセキュリティの実態
1
2
3
次のページ
著者プロフィール
NRIセキュアテクノロジーズ株式会社 鴨志田 昭輝
コンサルティング事業部 セキュリティコンサルタント
電機メーカーの研究所を経て、2001年に野村総合研究所に入社し、NRIセキュアテクノロジーズに出向。2002年頃からセキュリティ診断に携わり、200件以上のWebサイトのセキュリティを診断を担当。CISSP(情報システム・セキュリティ・プロフェッショナル)、CISA(公認情報システム監査人)、CAIS-Lead Auditor(公認情報セキュリティ主任監査人)、GCFA(GIAC公認フォレンジック・アナリスト)。
INDEX
第1回:データベース・セキュリティは本当に必要なのか
はじめに
データベース・セキュリティの必要性
データベースのセキュリティの概要
