第1回 個人情報データ保護の思考回路

星野 真理
株式会社システム・テクノロジー・アイ
2005/1/28

 情報漏えい対策として問題意識を持とう

 前述のチェック項目は、1から5までの前半部分と6以降の後半部分で分かれています。前半はインフラ側のチェック項目であり、後半はプログラミングやデータベース機能の利用形態のチェック項目です。では、なぜこの項目が情報漏えいのチェックとなり得るのでしょうか。その理由をまとめてみましょう。

チェック1:ネットワークの強化
「外部からデータベースにアクセスするためにファイアウォールを2つ以上通過する」

データベースへのアクセスはネットワークを通じて行われます。もちろん、外部犯の動きも検討しますが、内部犯によるデータ持ち出しはその量の多さにより企業に与える影響も大規模です(図3)。内部ファイアウォールを導入することにより社内からのアクセスをフィルタリングすることが可能になり、社内からのデータ漏えいを防ぐことができるようになります(図4)。

図3 内部ファイアウォールがない場合

図4 内部ファイアウォールがある場合

チェック2:サーバの設置場所
「データベースサーバの設置場所は、社内の施設ではない」

サーバマシンを社内に設置しているとサーバマシンに対してアクセスできる人間が増え、万が一情報漏えいが発生した場合に犯人を特定することが難しくなります。そのため、データベースはデータセンターのようなセキュリティが確保できる場所に置くべきです。

また、災害に対して完ぺきに安全なシステムを用意することは理想ですが、そのようなオフィスビルは皆無といっていいでしょう。やはり、災害対策を担保できるのはデータセンターのような特定の施設のみです。データを失わないこともセキュリティの1つの要素です。悪意のあるクラッカーによるデータ破壊も、災害によるデータ破壊もセキュリティの脅威としては同じです。

チェック3:物理サーバへのアクセス
「データベースサーバの設置場所に対して、入退室管理などの物理セキュリティを施している」

サーバがデータセンターに設置してあれば、物理的にサーバにアクセスするのは難しくなります。しかし事情によりデータベースサーバを社内に設置する場合、そのアクセスにはICカードを利用した社員章を使うなど特別な認証が必要です。

いまどき、ネットワーク越しに何でもできると思われますが、大量のデータを盗み出すには時間がかかりリスクが高いといえます。しかし物理的にサーバにアクセスできれば、CD-ROM、DVD、USBメモリなどの外部装置を利用して大量のデータを容易に持ち出すことが可能です。データベースサーバは特定の人間以外はお目にかかれない深窓の令嬢であるべきでしょう。

チェック4:バックアップの保護
「バックアップメディアの格納方法は、十分に検討している」

データの流出で最も怖いのはバックアップです。バックアップメディアには膨大なデータが含まれます。もし、そこからデータ流出が発生すれば、賠償金額も増大し企業に与える影響は莫大なものになります。入手したバックアップに対してゆっくりと時間をかけて試行錯誤を繰り返すことにより、トランザクションデータとしてクレジットカードデータなどの個人情報を取り出すことができるかもしれません。かなり恐ろしい問題です。

チェック5:データを扱う人材
「個人データの管理者は十分に検討して決定し、委託会社の人材には管理を任せていない」

データ漏えいが信じていた人間によって発生することもあります。データベース管理者はその技術力だけではなく、信頼性を十分に検討して決定すべきです。となると、委託会社の人材は信頼性が十分であるとするのは難しいのではないかと思います。アウトソーシングが当然の時代の流れから見ると、かなり逆行しているような気もしますが、これも逆にいえば時代の流れといえるでしょう。

チェック6:デフォルトの不採用
「データベースの設定において、デフォルト値はできる限り変更している」

データベースの設定には、インストールガイドがあり、デフォルト値がありと年々便利になってきます。しかし、デフォルト値を採用するということはアタッカーから見れば非常にありがたい行為です。

例えば、Oracleのデータベースにおいてoracleというユーザーをインストールユーザーにすることは珍しくありません。また、データベースにおいて着信要求を行うプロセスが使用するポートをデフォルト値の1521にすることも多いでしょう。しかし、これでは攻撃目標を示していることになってしまいます。設定が面倒でもできる限りデフォルトを避ける心掛けが必要です。

チェック7:ネットワークの暗号化
「データベースとアプリケーション間のデータは暗号化されてネットワーク上を送受信される」

インターネットの利用において、ブラウザとHTTPサーバ間はSSLを使って暗号化するのが普通です。しかし、イントラネットではどうでしょう? また、クライアント/サーバシステムで使用する社内LANはいかがでしょう? 社内だから安心という時代は終わったように思うのです。やはり暗号化すべきでしょう。

チェック8:パスワード管理の強化
「データベースへの接続ユーザーのパスワードは定期的に変更するルールを設定している」

LDAPサーバを使用したユーザー管理が定着し、ユーザーのパスワードを定期的に変更させるのは当たり前の対策といえます。しかし、データベース側のユーザーのパスワードはどうですか?

アプリケーションデータのオーナーであるユーザーのパスワードの変更は、メンテナンスのためのシステム停止が必要になる可能性もあるので簡単ではありません。しかし、定期的にメンテナンス作業を実施する仕組みにしてしまえば決して難しいことではないでしょう。ましてや、データベース管理者のパスワードを定期的に変えることは当然でしょう。

定期的に夜中にサイトが止まったとしても、個人データの漏えいが発生するよりはユーザーにとってもよいことです。あえていえば、その夜間作業をする方がちゃんと代休を取れることを確認したいものですね。

チェック9:付与権限を有効化するタイミングの検討
「権限管理にはロールを使用しているが、ユーザーの接続時にはユーザーに付与されたロールは適用されない」

データベースの権限管理にロールを使用するのは、至って当たり前のことです。しかし、このロールがデータベースに接続したら必ず使えてしまうというのはいかがなものでしょう?

専用のアプリケーションを通して処理をする限りアクセスできるデータとその処理は限られることになります。しかし、データベースにはいろいろなクライアントツールがあるのです。そして、クライアントツールからSQLを直接実行すれば、アプリケーションでは実行できない処理も簡単にできてしまいます。

そのようなクライアントツールはいくらでも無料でダウンロードできるのが現実です。社内に優秀な技術者が多いことは素晴らしいことですが、反対に危険でもあるのです。権限設定にはもう一ひねりが必要です。

チェック10:機密データの格納方法
「個人データにおいて秘密厳守のデータは、暗号化されてデータベースに格納される」

個人データと一言でいっても、電話番号とクレジットカード番号ではその重要度が違います。クレジットカード番号の漏えいは、そのまま個人に金銭的な損害を与えます。そのような事件が起きれば企業の存続自体が難しくなることもあるかもしれません。そのようなデータは必ず暗号化してデータベースに格納してください。もちろん、復号のためのキーの管理方法も慎重に決めていく必要があるでしょう。

◆ ◇ ◆

 さて、個人情報保護法の法制化を直前に控え、データベースのセキュリティ対策への思考回路の準備ができたところで今回は終わりにしておきます。次回は、チェック項目が満たせない原因を検討し、その原因を取り払う方法を探りながら実装のヒントをお話ししていきます。

2/2


Index
個人情報データ保護の思考回路
  Page1
個人情報保護の基礎知識
データベースのセキュリティ度チェック  
Page2
 情報漏えい対策として問題意識を持とう


関連記事
データベースセキュリティの基礎のキソ
Database Expertフォーラム

Security&Trust記事一覧


Security&Trust フォーラム 新着記事
@ITメールマガジン 新着情報やスタッフのコラムがメールで届きます(無料)

注目のテーマ

Security & Trust 記事ランキング

本日 月間
@IT