ここがポイント! DBセキュリティの実装(3)

診断ツールでデータベースの健全性を保つ

 

フォーティネットジャパン株式会社
セールスエンジニアリング部 シニアコンサルティングSE
成田泰彦
2010/3/5
DBをセキュアに保つには、日々のチェックが重要。診断ツールを運用に組み込むことが、情報漏えい対策の第一歩です(編集部)

 第2回「不正行為を未然に防ぐログの分析と活用」では、不正行為を未然に防ぐためにアクセスログの活用が重要であることを述べました。データベースの運用においては、データベースの設定、運用におけるセキュリティ上の“弱点”を検出し、改善策を継続的に実施することが必要です。

 今回は、データベースの“脆弱性評価”について、ツールの活用による効果を解説します

データベースの脆弱性評価とは?

 ネットワークやWebアプリケーションの脆弱性評価ならすぐにイメージできても、「データベースの脆弱性評価」はいったいどういうものか、よく分からない方も多いと思います。そこで、現実社会でのオフィスビルのセキュリティ対策に照らし合わせて考えてみると、分かりやすく理解できるのではないかと思います。

 例えば、ある会社のオフィスビルに、その会社にとって重要な書類や現金が保管、管理されている堅牢な金庫があるとします。金庫は金庫室に格納されていて、その金庫室への入退室や金庫への出し入れを行う処理は、いつ、誰が、どのような理由で実施するのかが厳密に管理されていて、すべての記録を取り、さらには監査が実施されていることと思います。もちろん金庫室内で行われる行為は、すべて監視カメラを通してリアルタイムにモニタリングされ、記録されているでしょう。

 この金庫室がサーバルームおよびデータベースサーバであり、金庫がデータベースインスタンスだと考えてください。

●図1 オフィスビルセキュリティとデータベースセキュリティの対比

 企業は、金庫内の重要な資産を守るため、ビル全体に高度なセキュリティ対策を実装、管理します。その際に企業が考えるべきことは、最終砦である金庫室と金庫だけを単に厳重にするのではなく、そもそも誰がビルに入れるのか、誰が金庫室に入って金庫を開けられるのかなどのポリシーを設定することです。また、金庫までの物理的アクセス経路はどうなっているか、入退室時の認証の仕組みを物理的にどこまで強固にし、どのように実装するのかといった物理的な設計などが必要になります。そうした仕組み作りのために、セキュリティコンサルタントなどを活用してポリシーの策定、実装、運用、維持を行い、場合によっては情報セキュリティマネジメントシステム(ISMS)の認証を受けています。

【関連記事】
ISMSで考える運用管理のヒント(1)
ISMSで仕事をラクにしよう!
(@IT Security&Trust)
http://www.atmarkit.co.jp/fsecurity/rensai/isms_hint01/isms_hint01.html

 データベースサーバにおけるセキュリティを万全にするためには、データベースインスタンスの堅牢性を高めるだけではなく、データベースサーバを取り巻くシステム全体、およびアクセスできるアカウント(人間あるいはプログラム)に対するセキュリティポリシーをしっかり策定、実装、運用、維持がなされていることが重要になります。

 今回のテーマである「データベースの脆弱性評価」とは、データベースにおけるセキュリティポリシーの策定、それに基づく実装や運用がなされているかを診断するものと理解してください。具体的には、認証ルール(アカウントのパスワード運用設定など)、アクセス権限の設定、不要なアカウントやサービス/プロシージャなどの有無、アクセス経路(ネットワークの設定)、セキュリティ強度(パッチの適用状況)、企業独自のポリシーへの対応状況などを総合的に繰り返し評価します。そして、評価結果を基に改善策を提示することによって、データベースのセキュリティ強度を継続的に改善していくことを目的としています。

 では、企業がデータベースの脆弱性評価をどのような方法で行っているのでしょうか。多くは以下の3つのパターンであると考えられます。

  1. データベースセキュリティコンサルタントが社内に常駐し、随時評価を実施
  2. 定期的にデータベースセキュリティコンサルタントに評価を依頼
  3. ユーザー企業が自分自身で評価を実施

 現実的には、2および3のパターンが多いと思われますが、いずれの場合においても、データベースの脆弱性評価を効率的かつ確実に実施するために、データベースの脆弱性評価ツールを活用することが賢明です。

 データベース脆弱性評価ツールは、各データベースから収集したコンフィグレーション情報を内部リポジトリに記録し、ポリシーに基づいて評価を行います。一般的に、データベース脆弱性評価ツールはマルチベンダ環境に対応し、ネットワーク上においてJDBC接続が可能な複数のデータベースインスタンスの脆弱性評価を同時に実施が可能です。また、レポートは、各インスタンスごとに評価した結果でも、すべてのインスタンスを集計した結果でも出力することができます。

●図2 一般的なデータベース脆弱性評価ツールの仕組み
  1/3 次のページへ

Index
診断ツールでデータベースの健全性を保つ
→
Page 1
データベースの脆弱性評価とは?

Page 2
狙いその1:内部の人為的ミス・不正行為に備える
狙いその2:バックドアからの侵入に備える

Page 3
狙いその3:すべての人に安心感を
脆弱性評価ツールの効果的な活用を

ここがポイント! DBセキュリティの実装

@IT Special

- PR -

TechTargetジャパン

Database Expert フォーラム 新着記事
@ITメールマガジン 新着情報やスタッフのコラムがメールで届きます(無料)
- PR -

イベントカレンダー

PickUpイベント

- PR -

アクセスランキング

もっと見る

ホワイトペーパーTechTargetジャパン

注目のテーマ

Database Expert 記事ランキング

本日月間
ソリューションFLASH