データベース・セキュリティ

2010年11月22日(月)
斉藤 純平

前回は、Webアプリケーション・セキュリティについて解説しましたが、2回目の今回は企業にとって最も重要なデータベース・サーバーのセキュリティについて解説します。

コンプライアンス 法制・規制の動向

従来のデータベース含めた情報システムは365日24時間いつでもアクセス可能、瞬時に応答するといった可用性を重視した要件が多くを占めていました。しかし、2005年施行の個人情報保護法や、2008年施行のJ-SOXなど、情報システムにコンプライアンスが要求され、内部統制強化、社会的責任、損害賠償に対しても目を向ける必要が出てきたという背景から、データベース・セキュリティの重要性が叫ばれるようになってきました。

今回は各法制・規制が要求するデータベースに関するセキュリティをみていきます。

1. 個人情報保護法

個人情報保護法とは、個人情報に関して本人の権利や利益を保護するため、個人情報を取り扱う事業者などに一定の義務を課す法律であり、正式名称は「個人情報の保護に関する法律」と言います。

2004年5月30日に公布・一部施行され、2005年4月1日に全面施行されました。法律を守るためのガイドラインが各管轄省庁から出ています。例えば、金融庁管轄の金融分野では以下の「技術的安全管理措置」を講じなければなりません。個人データをデータベースに保存している場合、全項目がデータベースに対するセキュリティ要件となります。

  1. 個人データの利用者の識別および認証
  2. 個人データの管理区分の設定およびアクセス制御
  3. 個人データへのアクセス権限の管理
  4. 個人データの漏えい・き損等防止策
  5. 個人データへのアクセスの記録および分析
  6. 個人データを取り扱う情報システムの稼働状況の記録および分析
  7. 個人データを取り扱う情報システムの監視および監査

(出典:金融庁「金融分野における個人情報の保護に関するガイドライン」)

2. 金融商品取引法(J-SOX)

金融商品取引法(J-SOX)は、相次ぐ会計不祥事やコンプライアンスの欠如などを防止するため、米国のサーベンス・オクスリー法(SOX法)に倣って整備された、日本の法規制のことです。

「J-SOX法」という呼び名は俗称で、実際には証券取引法の抜本改正である「金融商品取引法」の一部規定がこれに該当します。上場企業は財務報告に係る内部統制の整備および運用状況の有効性について評価、報告することが義務付けられ、2008年4月1日以後に開始する事業年度から施行されました。

経済産業省では内部統制の基本的要素の1つであるIT統制に関するガイダンスとして「システム管理基準 追補版(財務報告に係るIT 統制ガイダンス)」を発表しています。この中でデータベースに関連する内容として、以下のような内容が述べられています。

  • 財務データの完全性、正確性、正当性の確保
  • 利用に関する認証、操作範囲限定などのアクセス管理
  • 内部統制が有効に機能しているかを監視するためのモニタリング

出典:経済産業省「システム管理基準 追補版(財務報告に係るIT 統制ガイダンス)
図1:財務報告とIT統制との関係(クリックで拡大)
株式会社アークン

2002年 アークン入社
2004年 JNSA Webセキュリティ調査・検証WG初代リーダ
2004年よりSecureSphere WAFおよびDAM(DB監査システム)のマーケおよび営業に従事

連載バックナンバー

Think ITメルマガ会員登録受付中

Think ITでは、技術情報が詰まったメールマガジン「Think IT Weekly」の配信サービスを提供しています。メルマガ会員登録を済ませれば、メルマガだけでなく、さまざまな限定特典を入手できるようになります。

Think ITメルマガ会員のサービス内容を見る

他にもこの記事が読まれています