攻撃者が狙うのはデータベース、それなのに「データベース保護の対策が見落とされがち」ではありませんか?:Database Watch(2016年5月版)(3/3 ページ)
セキュリティ対策は“全体”を見通して考え、職務分掌する
ウィリアムズ氏はこれらの対策の意味を説明しながら、データベースセキュリティを考える上でも
- セキュリティ対策は“全体で考えること”
- 職務分掌
の2つが重要と言います。
「各種セキュリティ対策製品はあくまでも“全体の1つ”として捉え、全体を見渡すことが重要であるということ。そして、データベース管理者にはデータベースを管理するのに必要な権限のみ、アプリケーション利用者ならばその人の業務範囲内のデータのみを開示するなどといったように、業務の権限や役割に応じてアクセスできるデータを正しく分けることが肝要です。
データベース管理、アプリケーション管理、OS管理など、1人があれもこれもできてしまう体制は極めて危険です。きちんと権限を分散する必要があります。しかし、それは簡単ではないのも理解しています。企業文化を変えるほどの困難を伴うこともあるでしょう。
それでも、セキュリティのためには、やる必要があります」(ウィリアムズ氏)
データベースに対するアクティビティーの監視と防御
前述した「5つの対策」と共に、データへのアクセスが許可されたユーザーだとしても、ゴールドやプラチナに区分される機密データは、特に厳重に監視する必要があります。内部不正も含めた不正アクセスの検出のため、例えばオラクルでは、データベースに対するアクティビティーの監視と防御を行う「Oracle Audit Vault and Database Firewall」を用意しています。
ファイアウォール「Oracle Database Firewall」は、「データベースに投げられたSQL」を解析して、その通信を許可するか否かを判断します。例えば、SQLインジェクション攻撃のような不正なSQLをブロックできます。Oracle Databaseの他に、Microsoft SQL Server、SAP ASE(Adaptive Server Enterprise)、IBM DB2、MySQLなどのデータベースソフトウェアにも対応しています。
監査サーバである「Oracle Audit Vault」では、データの参照、追加、変更といったデータベースへのアクティビティーを監視してイベントやログを収集し、早期の不正発見と対策につながるレポートを作成したり、アラートを出したりすることができます。
関連記事
データベースセキュリティの基本的な考え方
オラクルの考える「データベースセキュリティ」とは
日本オラクルは2016年2月10日、Oracle Databaseユーザー向けに、データベースや周辺システムに関するセキュリティ診断を無償で行う「Oracle Database セキュリティ・リスク・アセスメント」サービスの提供を開始すると発表した。
オラクル、「監査と防御を統合」したDBセキュリティ製品を提供
日本オラクルは1月22日、データベースへの不正なアクセスを防ぐとともに、ログの分析、モニタリングを行うセキュリティ製品「Oracle Audit Vault and Database Firewall」を発表した。
Copyright © ITmedia, Inc. All Rights Reserved.
ITmediaはアイティメディア株式会社の登録商標です。