TOP比較データ> 社会的な側面と影響力をともなうデータベースのセキュリティ問題
商用&OSSデータベースの現状と今後
商用&OSSデータベースの現状と今後

第4回:商用 vs. OSSの単純な機能比較では話にならない 〜 データベースのセキュリティを考える
著者:オフィスローグ  工藤 淳   2005/6/3
1   2  3  次のページ
社会的な側面と影響力をともなうデータベースのセキュリティ問題

   世間では、寄るとさわると「セキュリティ」の話題である。これほどにITシステムが社会の基本的なインフラとなり、ビジネスの基盤となってくれば当たり前のことではある。

   特に2005年4月からの個人情報保護法の完全施行からこちら、企業の経営者や管理層のシステムセキュリティに対する関心の高まりは、ときとして過熱気味ですらある。

   事実、多くの経営者やエコノミストやコンサルタントは、もはやITセキュリティを単なるコンピュータシステムの運用・保全上の技術的問題とはとらえていない。意識的な人々のほとんどは、システムのセキュリティをコーポレート・ガバナンス(企業統治)の一角として認識している。事はもっと重大な、企業の活動の根幹に関わる問題なのである。

   それはそうだろう。新聞やニュースではITシステムのセキュリティに関わる事件が日々報道されている。それも、いい加減な企業ではない。誰もが知っている一流、大手企業も少なくない。むしろ、システムやネットワークが大規模なほど、よりスキャンダラスで派手な報道のネタにされている感もある。

   バグによる金融システムのダウンや顧客データの流出といった偶発的な事故から、社内外の人物によるデータ改ざんや持ち出し、あるいはシステムへの不正アクセスやアタックといった立派な犯罪まで、いわゆるITセキュリティに関する事件は枚挙にいとまがない。

   経営者や現場の情報システム担当者は、このいつ起きるかわからない不測の事態に24時間態勢で備え、ひとたび事が起きれば瞬時に最適の対応を要求される。失敗すれば巨大な損失や信用の失墜は免れない。まさに現代は、ITシステムを活用するすべての企業にとって、インシデント・レスポンスの時代なのである。
データベースセキュリティの社会的責任の重さ

   さて、今回の記事のテーマは「データベースのセキュリティ」だが、同じ「システムセキュリティ」でも、データベースになるとなぜか緊迫度がひときわ高くなってくる。というのも、実際にセキュリティ上のトラブルが発生した場合、その被害や損害は単なるWebサイト停止などに比べて、さらに深刻で幅広いものになる可能性が高いからだ。データベースの中のデータは、「盗まれるデータ」だからである。

   たとえば、簡単にシステムをOS層、データベース層、アプリケーション層という3階層に分けた場合、OSやアプリケーションは破壊されたりする可能性はあっても"盗まれる"ことはまずない(攻撃の踏み台にされる可能性はあって、これはこれで厄介だが)。だが、データベースのテーブル上にあるデータには、「情報」として盗まれたり漏れ出したりする危険が常につきまとっているのである。

   ありうるインシデントを具体的に考えてみよう。データベースの中身は、いうまでもなく各種のそれも貴重なデータだ。しかも、それらはしばしば個人情報であったり企業の極秘データであったり、新製品の最新技術情報といった「人に見られては困る」データであったりする。

データベースに格納されるデータ
図1:データベースに格納されるデータ
   仮に、あるクレジット会社の顧客データベースからAさんの顧客情報が流出したとしよう。それも外部からのハッキングなどではなく、自社のミス。Webサイト担当者の不注意で、Webサイトにアクセスした人が簡単に閲覧できる状態にさらされてしまったのである。それもクレジットカード番号まで最重要データがそっくり、Webサイトにアクセスした人からの通報があるまでの数日間、不特定多数の目にさらされたのだ。

   まもなくAさんの元へはスパムメールはもちろんのこと、さまざまな業者からのセールスが殺到し、果ては誰かが無差別のパスワード入力を試みた形跡すら発見された。すべての個人口座などの変更を余儀なくされ激怒したAさんは、その損害賠償訴訟をクレジット会社に対して起こし、事態はマスコミによって大々的に報道された……。

   ここまで見てきてわかるように、データベースのセキュリティは、「データ」という直接盗んだり奪われたりする財物と直結している点が、他のシステムセキュリティと大きく異なっている。

   このため、データベースの中のデータが盗まれたり漏れたりした場合、被害はサーバがダウンしたとかシステムが破壊されたといった物理的なシステム面での損害にとどまらない。

   データを漏えいさせた企業は被害者や社会からの指弾を受け、損害は社会的な信用や長年築いたブランドイメージまでに及ぶ。場合によっては、企業の存亡に関わる事態を招いても不思議ではない。そうした意味で、データベースのセキュリティは他のシステム層のそれよりもひときわ社会性の強い側面を持っているのである。

   さて、データベースセキュリティの社会的責任の重さを自覚したところで、さっそく連載のテーマである、商用データベースとOSSデータベースのセキュリティにおけるそれぞれの実状を見てみよう。
1   2  3  次のページ


著者プロフィール
オフィスローグ  工藤 淳
IT技術系出版社勤務を経て、オフィスローグとして独立。データベース関連誌編集に携わっていた流れで、現在もデータベース系の執筆が比較的多い。元々は楽器から建築、自動車まで何でも注文があれば書いてきたのが、気がついたらIT専門のような顔をして仕事をしているのに自分で少し驚愕、赤面。


INDEX
第4回:商用 vs. OSSの単純な機能比較では話にならない 〜 データベースのセキュリティを考える
社会的な側面と影響力をともなうデータベースのセキュリティ問題
  セキュリティの延長上にビジネス保護と経営効率を置く商用DBの進化論
  実装レベルでの機能は少なくとも、使い手がしっかりしていればOSSデータベースでも充分?