データベースセキュリティ導入のメリット
データベースセキュリティ導入のメリット
企業にとってデータベースセキュリティの導入は、次のようなメリットをもたらします。
定期的な脆弱性の評価によるデータベースの堅牢性保持
データベースの脆弱性を定期的にチェックすることで、堅牢性の低下を防ぐことができます。データベースシステムを運用していると、退職した社員の ユーザIDが削除されずに残っていたり、最新のパッチが適用されずに放置されていたりして、データベースの堅牢性が日々低下していきます。「脆弱性評価」 機能によりデータベースの脆弱性を定期的にチェックして必要な対策を行うことで、このような堅牢性の低下を防ぐことができます。
アクセス監視による不審なユーザ操作の自動検出
現状のシステムでは不可能な不審ユーザによる操作を自動的に検出することが可能になります。
通常、不審な操作として定義されるルールには次のようなものがあります。
- ユーザIDの登録
- ユーザIDに対する権限の追加・変更
- テーブルなどのオブジェクト追加・変更・削除
データベースセキュリティではこれらの重要な操作に対して、あらかじめ設定したルールに基づきユーザのデータベース操作を監視し、セキュリティ管理 者がそれらの操作すべての通報を受け取ることができます。事前申請されたデータベース管理者の作業内容とつき合せてチェックを行うことで、事前申請のない ものを違反として厳しく取り締まることが必要です。
さらに各企業におけるシステム運用方法により、次のような監視ルールの設定により、異常を検知できます。
- 定められたPC以外からのデータベースへのアクセス
- 定められたOSのユーザ以外からのデータベースへのアクセス
- 指定した時間帯以外、および休日のアクセス
- 短時間にあるテーブルから大量のデータが読まれた場合
例えば、最近発覚したある銀行の情報漏洩の事故などは、まさにデータベースセキュリティが導入されていれば…というケースです。ユーザごとに業務上 関わりのない重要情報(顧客情報など)の読み取りを監視ルールに定義しておくことにより、例えば外注先の一作業者の不審な行為を検出できるわけです。
リアルタイム通知によるデータベース被害の最小化
表2の監視ルールで検出された不審なアクセスは、即座にセキュリティ管理者にメールで通報されます。メールを受け取ったセキュリティ管理者は迅早なアクションを取ることにより、外部への情報漏洩を未然に防いだり被害を最小化するための対応を行うことができます。
ログ保存による犯罪証拠の保持
検出したユーザの不審な行動や重要情報が保管されているテーブルに対するアクセスを監査ログとして記録・保持します。
この監査ログは、データベースへの不正行為が発覚した時の監査証拠として使われたり、個人情報保護法で求められている個人データへのアクセス記録や、日本版SOX法における内部統制のための監査ログとして用いることができます。
監視通知による内部犯行の抑止
データベースに対するすべてのアクセスを24時間監視しているという事実を社内に公表することによって、不正行為発生の抑止効果があります。
これは例えばSECOMのステッカーが玄関に張ってあることで、犯罪者が侵入をためらうのと同じ効果が得られるといえます。
まとめ
今回は、データベースセキュリティ導入のメリットとログ取得方法の違いについて解説しました。データベースセキュリティという新しい分野についてご理解いただけましたでしょうか。
次回は、いよいよ内部統制の構築においてデータベースセキュリティがいかに有効であるかについて解説していきます。
バックナンバー
この記事の筆者
筆者の人気記事
Think ITでは、技術情報が詰まったメールマガジン「Think IT Weekly」の配信サービスを提供しています。メルマガ会員登録を済ませれば、メルマガだけでなく、さまざまな限定特典を入手できるようになります。
